| 出版日期:2004-07-05 总期号:1327 本年期号:48 |
|
 |
不能大炮打麻雀
——看“2004中国信息安全论坛暨信息系统安全保障与评估研讨会” 李刚 为进一步贯彻落实中央办公厅、国务院办公厅《关于加强信息安全保障工作意见》和全国信息安全保障工作会议精神,6月27日,由中国信息安全产品测评认证中心主办的“2004中国信息安全论坛暨信息系统安全保障与评估研讨会”在北京召开。 本次研讨会以信息安全系统建设及系统安全风险评估为主题展开。会议宗旨是“研究理论、交流技术、发布标准、推广实践”。 本次大会召开目的,在于促进和规范政府相关部门、行业用户、企业信息安全系统评估及建设工作,加强国家信息安全基础工作和基础设施建设。 公安部欧阳满局长、何德全院士、沈昌祥院士、周仲义院士等信息安全的领导、资深专家学者以及以及来自各界代表共200人出席了本次会议,围绕等级保护和安全评估等安全主题进行了深入交流与探讨。 中央办公厅、国务院办公厅《关于加强信息安全保障工作意见》和全国信息安全保障工作会议明确提出了我国建立信息安全体制中,等级保护的重要性。然而,等级保护不仅仅应用在信息安全的保障中,等级保护的思想,对于信息安全体系的第一环安全评估工作,依然有着重要的作用。 会上专家指出,等级保护的核心,在于“合理投入”、“分级进行保护、分类指导”、“分阶段实施”等。而其主要内容或者说目标,还是针对信息安全的防护和保障方面。 
“2004中国信息安全论坛暨信息系统安全保障与评估研讨会”现场 何德全院士,强调指出了安全评估在安全体系建立中的重要性。他指出,应该将中央的“以人为本,全面协调,可持续”的发展观战略,应用到信息安全的建设中,强调安全的“主体化”,应当应用安全风险评估主动地构建安全保障体系。 据统计资料显示,因为安全漏洞没有及时发现,而导致的安全隐患和安全事故,每年使企业花费170亿美元。由此可见,安全风险评估在安全体系建设中有着十分重要的作用。 天融信副总裁陈爱锋在介绍天融信目前成熟的安全评估体系时认为,信息系统的安全风险,是来自人为或者自然利用系统存在的脆弱性造成的安全事件。正如木桶原理,一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的是其中最短的那块木板,这其实也是我们做安全评估的一个模型。 中联绿盟的刘闻欢也认为,通过信息安全评估,找到信息安全防护体系中的“马奇诺防线”,有针对性进行改进,这样才更有利于信息系统的整体安全保障。 会中,沈昌祥院士强调,等级保护在我国安全体系建设中有特殊的现实意义。这是因为我国的网络建设发展不平衡,网络安全建设的资金还无法全部保证,等级保护有助于抓重点,切实把有限的资源用在关键点上。 为什么等级保护思想在安全评估中,有着重大的意义?中国信息安全产品测评认证中心的专家认为,首先,被评估的安全主体有个安全等级的区分,我们必须按照这种等级去做相应等级的评估,否则大家都相同的话,消耗的费用和资源就太多了(因为安全评估相对于其他有针对性的安全措施,需要更多的人力、调查和工作量);其次,针对一个安全主体,我们对之的评估也不能一概而论,一定要引入“分类、分阶段和合理投入”的等级保护思想,进行有区分、有等级的评估工作。 在实践中,信息安全评估,就是根据国家有关信息技术标准对信息系统处理、传输和存储的信息的保密性、完整性和可用性等进行科学、公正的综合评估的过程。 大会代表一致认为,我国政府“等级保护”的网络安全建设指导意见,对于我们国内正在起步的安全评估技术和产业来说,无论在现实市场,还是在技术研发工作上,无疑都具有很大的意义。 |
||||||||||||||||||||||||
