ccidnet????

出版日期:2004-05-24 总期号:611 本年期号:18

本期导读
新闻直通车
产业观察
应用前沿
选型指南
信息系统
企业管理
技术讲堂
企业追踪
高端导刊
 积极防御 综合防范

中国工程院院士 国家信息化专家咨询委员会委员 沈昌祥

  在去年,中办发的27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》,对关于加强信息安全保障工作提出了总体要求。其中最重要的一点就是要坚持积极防御、综合防范的方针,全面提高信息安全防护能力

  今年1月,在全国信息安全保障工作会议上,中共中央政治局常委、国务院副总理黄菊在重要讲话中,再次强调了这一方针的重要性。


  目前来看,我们当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成。常规的安全手段只能达到防止外部攻击的目的。而对访问者源端(客户机)未加控制,信息资源随意共享。操作系统的不安全导致应用系统的各种漏洞层出不穷,无法从根本上解决信息安全问题。

  这样一来,就会导致:误报率增多;安全投入不断增加;维护与管理更加复杂和难以实施;信息系统的使用效率大大降低;对内部没有防范;对新的攻击入侵毫无防御能力(如冲击波)。

  因此,应该采取积极防御的方针,加强信息安全管理。应该是主动防止非授权访问操作,从客户端操作平台实施高等级防范,使不安全因素在终端源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。

  据2002年美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。因此加强信息安全管理就成了很重要的事情。我们应该以 “防内为主、内外兼防”的模式,从提高使用节点自身的安全着手,构筑积极、综合的安全防护系统。

  目前我国信息安全建设正处在一个关键时期,我们必须把握住正确的研究方向,制定相应的发展战略,走符合我国国情的发展道路,利用国际先进技术和管理经验,开发安全高效、简洁廉价,具有自主知识产权的信息安全产品,从而满足我国各行各业的迫切需要,促进我国信息安全事业的发展。


  加强信息安全保障

  加强信息安全管理工作主要有以下重点:

  ◆ 实行信息安全等级保护制度;进行基于密码技术的网络信任体系建设,包括密码管理体制、身份认证、授权管理、责任认定等内容;

  ◆ 建设信息安全监控体系,提高对网络攻击、病毒入侵的应变能力;

  ◆ 推动信息安全技术研发与产业发展:要提高关键技术的开发能力、加强自主创新、规范测评认证体系;

  ◆ 加强信息安全法制与标准建设:坚决打击网络犯罪、建设标准体系、规范网络行为;

  ◆ 采取设立学科、加大培训、提高技能等方式,提高广大民众的自律、守法意识;

  ◆ 加强信息安全组织建设:成立信息安全协调小组、实施责任制、对信息安全进行依法管理。

  由此,我们的国家信息安全保障体系主要由组织管理、技术保障、信息安全基础设施、产业支撑、人才教育与培养、法规与标准等六大部分组成。

  从信息安全管理来看,我们的安全管理主要包括以下方面:

  ◆ 建设行政管理体制,主要是不断完善信息安全协调小组的功能;

  ◆ 完善技术管理体制。主要是不断研究CSO的定位,发挥CSO的作用;

  ◆ 加紧制定信息系统安全管理准则。认真研究ISO 17799,发挥起积极意义;

  ◆ 还要研究制定有效的信息安全管理策略;

  ◆ 在信息安全组织设立、人员配置等方面进行严格要求;

  ◆ 不断提高信息安全的审计和监控力度,保证业务的连续性。

  信息安全管理,是信息安全保障体系中很重要的一个环节,只有将安全管理与安全技术有效结合起来,才能更好的促进我们信息安全的发展和进步。(国家信息化专家咨询委员会委员 曲成义)


  电子商务要重视安全管理
  在我国经济高速发展的情况下,我们的电子商务也取得了巨大进步。电子商务给我们的工作、生活带来了很大的便利,但同时,电子商务的安全性和可靠性值得我们认真对待。


  电子商务的安全关系千家万户,是电子商务发展的关键。电子商务安全了,可以保证电子商务的大规模健康发展。否则,会严重阻碍电子商务的发展。

  电子商务安全体系框架由下述主要内容组成:安全策略;安全法规;安全管理;安全标准;安全服务;安全技术与产品;安全基础设施。

  电子商务的安全管理应从以下层面进行:

  ◆ 首先从思想上,高度重视电子商务安全。思想意识方面一定不能麻痹大意;

  ◆ 其次,根据不同层次,建立相应的管理电子商务安全的机构。从主管部门、仲裁机构、用户、银行、中介机构等方面入手,建立多方位的监管机构;

  ◆ 还要加强电子商务业务流的安全管理,建立安全管理平台,加强电子商务安全基础设施的安全管理。电子商务安全基础设施主要包括,安全操作系统,这是安全的基础。没有安全操作系统的安全保障,其它安全产品和措施,犹如建造在沙滩上的城堡。安全电子商务协议,这是用来保证电子商务业务流程的安全性。还有PKI,公开密钥基础设施;

  ◆ 从法律上来讲,促进电子商务的发展,立法十分重要。我们需要急待制定关于电子签名、电子文档、隐私权保护、信息公开等法律法规。若干过时的法规已不能适应电子商务的发展,需要进行修订和补充。

  从未来的发展趋势来看,网上银行将会更加深入人心,网上电子商务交易将会成为首选,而且电子货币会更加广泛流通。因此,从现在起高度重视电子商务的安全管理具有特别重要的意义。

  (中国科学院信息安全技术工程研究中心主任 /研究员 卿斯汉)