信息安全保障
电子与信息技术领域术语
信息安全保障,这个词越来越受到人们的关注;据CNNIC统计,截至2023年9月8日,中国网民规模达到10.79亿,中国手机网民规模达到10.76亿,这个庞大的网络群体每天在网上买卖商品,交各种费用、发邮件、聊天、存资料等等。其中很多信息是私密的不能让别人知道,随着网络技术日益发达,网络安全成了热门话题。网络上信息不能像是存到银行的保险箱里万无一失的保险,只要黑客技术够厉害,轻而易举的就能拿到任何信息。20世纪,70-90年代后期,计算机和网络改变了一切,新世纪信息技术应用于人类社会的方方面面。人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织业务使命才有意义
定义
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性完整性可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
国内纲领性文件
“27号文”
《关于加强信息安全保障工作的意见》(中办发[2003]27号文件),简称“27号文”,它的诞生标志着我国信息安全保障工作有了总体纲领,其中提出要在5年内建设中国信息安全保障体系。
总体要求
坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全
主要任务
(重点加强的安全保障工作):
加强以密码技术为基础的信息保护和网络信任体系建设;
建设和完善信息安全监控体系;
重视信息安全应急处理工作;
加强信息安全技术研究开发,推进信息安全产业发展;
加强信息安全法制建设和标准化建设;
加快信息安全人才培养,增强全民信息安全意识;
保证信息安全资金;
加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
主要原则
立足国情,以我为主,坚持技术与管理并重;
正确处理安全与发展的关系,以安全保发展,在发展中求安全;
统筹规划,突出重点,强化基础工作;
明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
国外现状
当前,随着信息化的不断深入,各国纷纷重视信息安全保障工作,从战略、组织结构、军事、外交、科技等各个方面加强信息安全保障工作力度。在战略方面,发布网络安全战略、政策评估报告、推进计划等文件;在组织方面,通过设立网络安全协调机构、设立协调官,强化集中领导和综合协调;在军事方面,陆续成立网络战司令部,开展大规模攻防演练,招募网络战精英人才,加快军事网络和通信系统的升级改造,网络战成为热门话题;在外交方面,信息安全问题的国际交流与对话增多,美欧盟友之间网络协同攻防倾向愈加明显,信息安全成为国际多边或双边谈判的实质性内容;在科技方面,各国寻求走突破性跨越式发展路线推进技术创新,力求在科技发展上保持和占据优势地位。
在保障对象方面,关键基础设施是各国信息安全保障的最核心内容。
美国实施方案
战略方针
1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》。2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。
2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务。
2008年1月2日,美国发布国家安全总统令54/国土安全总统令23,建立了国家网络安全综合计划(CNCI)。
CNCI计划建立三道防线:
第一道防线,减少漏洞的隐患,预防入侵;
第二道防线,全面应对各类威胁:增强反间能力,加强供应链安全来抵御各种威胁;
第三道防线,强化未来安全环境:增强研究、开发和教育以及投资先进的技术来构建将来的环境。
同时,CNCI还明确了十二项任务,包括:可信互联网连接(TIC)、网络入侵检测系统、网络入侵防护系统、科技研发、态势感知、网络反间、增强涉密安全、加强网络教育、“超越未来(Leap Ahead)”技术研发、网络威慑战略、全球供应链风险管理机制、公私协作。
重点对象
美国明确将关键基础设施作为其信息安全保障的重点。关键基础设施定义为关系到美国生死存亡的物理和虚拟的信息系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全产生严重影响。
美国的关键基础设施和主要资源部门包括:(1)信息技术;(2)电信;(3)化学制品;(4)商业设施;(5)大坝;(6)商用核反应堆、材料和废弃物;(7)政府设施;(8)交通系统;(9)应急服务;(10)邮政和货运服务;(11)农业和食品;(12)饮用水和废水处理系统;(13)公共健康和医疗;(14)能源;(15)银行和金融;(16)国家纪念碑和象征性标志;(17)国防工业基地;(18)关键制造业。
组织机构
美国联邦政府负责信息安全保障工作的最高官员是网络安全协调官,负责领导白宫“网络安全办公室”,制定和发布国家信息安全政策,首任网络安全协调官霍华德·施密特,被喻为“网络沙皇”。
美国信息安全管理部门包括:国土安全部(DHS)、国家安全局(NSA)、国防部(DOD)、联邦调查局(FBI)、中央情报局(CIA)、国家标准技术研究所(NIST)等6个机构,具体执行不同的分管职责。
同时,美国重视公私合作机构的合作,包括国家基础设施顾问委员会(NIAC)、信息共享和分析中心(ISAC)、网络安全全国联盟(NCSA)等等。
英国实施方案
战略方针
2009年6月,英国发布首份国家《网络安全战略》,宣布成立“网络安全办公室”和“网络安全运行中心”,提出建立新的网络管理机构的具体措施。
英国注重信息安全标准组织建设,重视将本国标准向海外推广,积极参与国际信息安全标准制定,其BSI7799标准已成为国际标准,并主导ISO/IEC 27000系列标准。
英国在其信息安全保障工作中强调网络监控,规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统,成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家。
重点对象
英国的关键基础设施包括:(1)通信;(2)应急服务(救护、消防、警察、营救等);(3)能源(电力、石油等);(4)金融;(5)食品;(6)政府和公共服务;(7)公共安全;(8)健康(医疗保健、公共卫生);交通;(10)水处理。
组织机构
英国负责基础设施保护的机构是国家基础设施安全协调中心,它是负责信息安全工作的跨部门机构,运行着英国的计算机应急响应小组。信息保障中央主办局和民事应急局是英国负责信息安全工作的重要政府机构。
政策法规
在立法工作方面,英国1984年制定《数据保护法》,1990年出台《反计算机滥用法》,1997年实施《电信诈骗法》,2000年出台《信息自由法》。
在政策方面,1998年贸易和工业部发表《加强竞争力白皮书》,确定了英国建设信息社会的方式;2005年英国政府制定发表了《信息保障管理框架》:作为信息安全保障战略。
德国实施方案
德国是世界上第一个建立电子政务标准的国家。1991年,德国在内政部下建立信息安全局(BSI),负责处理与网络空间相关的所有问题。德国重视关键基础设施信息安全保障,建立日耳曼人的“基线”防御。1997年建立部际关键基础设施工作组;2005年出台《信息基础设施保护计划》和《关键基础设施保护的基线保护概念》。
法国实施方案
2003年12月总理办公室提出《强化信息系统安全国家计划》并得到政府批准实施,四大目标:确保国家领导通信安全;确保政府信息通信安全;建立计算机反攻击能力;将法国信息系统安全纳入欧盟安全政策范围。
2009年7月7日,法国成立国家级“网络和信息安全局”,置于总理领导之下,隶属国防部。
俄罗斯实施方案
俄罗斯信息安全重点保护对象包括:经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾难响应等。
俄罗斯的信息安全管理机构包括:俄罗斯联邦安全理事会;俄罗斯联邦安全局(国家安全管理机关,信息安全工作主管和执法机关);俄罗斯技术和出口控制局;俄罗斯联邦保卫局、信息技术和通信部。
俄罗斯制定了《俄罗斯国家安全纲要》,将其作为国家信息安全战略,工作中注重安全测评和实施信息安全分级管理。
各国保障小结
从上述各国信息安全保障工作情况来看,各国之间历史、国情、文化不同,具体的重点保护对象也有所差异,但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点;所有国家最常被提到的关键部门都是现代化社会的核心部门,也是被破坏后可能造成极大规模灾害的部门。
少数国家在中央政府一级设立机构专门负责处理网络信息安全问题,如美国;大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担;机构单位的设立,以及机构在信息安全管理中的影响力,受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响。
上述国家在信息安全保障工作中有几个相同点:将信息安全视为国家安全的重要组成部分是主流;积极推动信息安全立法和标准规范建设是主流;重视对基础网络和重要信息系统的监管和安全测评是主流;普遍重视信息安全事件应急响应;普遍认识到公共私营合作伙伴关系的重要性,一方面政府加强管理力度,一方面充分利用社会资源。
我国的实施概况
启动阶段
2001年至2002年,是我国网络与信息安全事件频发且性质严重的时期,IP电话通信技术被恶意滥用,数据走私和电话骚扰行为猖獗,直接影响政府日常工作和居民正常生活;互联网淫秽有害信息内容充斥。重要信息系统存在诸多安全隐患,卫星通信故障造成美元兑港元汇价异常,引发国内首例网络炒汇纠纷案;深交所因系统崩溃停市半天,造成直接经济损失和社会影响;北京首都国际机场信息系统出现故障,造成上百个航班延误,数万名旅客滞留等等。
信息安全事件频发,改变了我国对信息安全状况的认识,即我国面临的信息安全问题已不再是一个局部性和技术性的问题,而是一个跨领域、跨部门的综合性安全问题,更是一个影响国计民生、关乎国家安全与社会稳定的现实问题。为此,2001年,国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动。
展开与推进阶段
2003年7月,国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要,制定出台了《关于加强信息安全保障工作的意见》(中办发27号文件),文件明确了“积极防御、综合防范”的国家安全保障工作方针,提出了加强信息安全保障工作的总体要求和主要原则,以及进一步提高信息安全保障工作能力和水平、维护公众利益和国家安全、促进信息化建设健康发展的具体意见。
2003年至2005年是我国信息安全保障体系建设深入推进阶段。此阶段,我国信息化建设快速发展,取得了明显成效。基础信息网络已初具规模,金融、税务、海关、能源、交通、国防等领域建成了一批重要信息系统,电子商务和电子政务快速发展,为国民经济和社会发展做出了积极贡献。尤其是全国信息安全保障工作会议召开之后,各地区、各部门认真贯彻落实会议精神和27号文件要求,各省(区、市)和有关部门陆续建立了网络与信息安全协调小组,研究制定了加强信息安全保障工作的具体措施。国信办、发改委、教育部、科技部、公安部、国家安全部、财政部、信息产业部、广电总局、新闻办、国家认监委、保密局、国密办以及军队有关单位按照协调小组的要求,认真研究制定配套文件和措施,做了大量工作。银行、电力、铁路、海关、税务、证券、民航等重要信息系统的主管部门也都专门制定了落实措施,加强和改进本系统的信息安全保障工作。信息安全等级保护、信息安全风险评估、网络信任体系建设、信息安全产品认证认可工作、信息安全标准制定、信息安全监控和信息安全应急处理等工作均取得积极推进和明显进展。
深化落实阶段
2006年至今,国家信息安全保障体系建设取得实质性进展。围绕中办第27号文件开展的各项信息安全保障工作迈出了坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果。信息安全基础设施和工程建设进一步完善,信息安全等级保护和风险评估取得了新进展。2006年至今,随着中国信息化进程不断加快,国民经济与社会信息化水平不断提高,信息化在促进经济与社会协调、稳定、持续发展过程中,发挥着越来越重要的作用。我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。我国的信息安全保障工作正在稳健、扎实地步入高速发展的新阶段。
基本思路
我国信息安全保障工作的基本思路是:以维护国家利益为根本出发点,服从和服务于国家发展和安全,适应国内改革开放不断深入的形势和全球信息化加速发展的趋势,坚持以人为本、全面协调可持续的科学发展观,突出保障重点,推动自主创新,实现跨越发展,走投入较少、效益较高的中国特色信息安全保障建设和发展之路,为国家发展和社会建设提供有力支撑。坚持用发展、改革和开放的办法解决面临的信息安全问题,从法律、管理、技术和人才等多方面入手,采取多种安全措施动员和组织全社会力量,共同构建国家信息安全保障体系。
工作目标
保障和促进信息化发展
在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全协调发展。国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大经济与社会效益就难以有效发挥,信息化发展也会受到严重制约。加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全。采取不上网、不共享、不互联互通等传统封闭的方式保安全,会严重影响甚至阻碍信息化发展,也不可能从根本上解决信息安全保障问题。只有继续大力推动信息化建设,全面提高信息化发展水平,才能为应对各种信息安全问题提供强有力的物质和技术保障。全面推进信息化,只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速地发展。
维护企业与公民的合法权益
加强信息安全保障是维护企业与公民合法权益的重视前提和根本保证。《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规,对维护公民的通信自由、保护企业和公民信息活动的权益都作出了明确的规定。依据信息安全问题的发展变化和从保护广大用户安全的需要出发,我国正在进一步修改和完善相关的行政法规和部门规章,《信息安全条例》也即将出台。为切实维护企业和公民信息权益,形成良好、安全、可信的信息网络环境,中国政府执法部门依法严厉打击各种形式的网络违法犯罪活动,包括手机短信诈骗、网络金融欺诈、网上非法传销、滥发垃圾邮件、非法传播“黄”、“赌”、“毒”等。中国政府有关部门也依照相关法律及程序,对信息通信网络的运行实行必要的检测,以有效维护国家信息基础设施和重要信息系统安全。
构建安全可信的网络信息传播秩序
我国是世界上第一大手机和第二大互联网国家。构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务。由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供和获取越来越多的有用、有益的新闻信息及其他信息服务的同时,也存在着一些虚假和错误导向的新闻信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,并依法进行管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间。
保护互联网知识产权
信息通信技术及其应用形式和服务的多样化,移动通讯、有线电视及互联网之间的互联互通,有力地加快了信息的交流与共享。信息资源的有效开发利用,正在不断地满足广大民众在信息、文化、娱乐和生活方面日益增长的需求,极大地发挥了信息化发展带来的经济与社会效益。在促进互联互通和信息共享过程中,保护网络信息内容的知识产权,是中国信息安全保障政策的一项重要内容和目标。
整体规划
政策规划
《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)
《关于进一步加强互联网新闻宣传和信息内容安全管理工作意见》(中办发[2002]8号文件)
《关于进一步加强联网管理工作的意见》(中办发[2004]32号文件)
《关于加强网络文化建设和管理的意见》(中办发[2007]16号文件)
战略规划
《国家信息安全战略报告》(2005年5月)
《2006-2020年国家信息化战略》
最新修订时间:2024-07-02 11:02
目录
概述
定义
国内纲领性文件
参考资料