曲成义:国家信息化专家咨询委员会委员、中国计算机学会网络与数据通信专委会副主任、中国航天工程咨询中心科技委委员。信息安全专家。
十七大上,总书记的报告提出:要推进信息化与工业化的融合。将信息化摆在了很高的位置。
现在,信息化已经逐步渗透到国家政治、经济、文化乃至国民生活的各个领域,信息化的融合已经开始深化,与工业的融合越发紧密,对工业化的发展起到了巨大的催化作用。可以说工业化时代的各个领域,信息化带来的是各领域的倍增效应。
国家信息化专家咨询委员会委员曲成义
新形势需要对信息安全进行顶层设计和总体规划
在信息化加强的今天,任何信息化危机的发生,都会对社会造成很大风险。因此在信息化对工业化的渗透、融合、催化、倍增的社会背景下,加强信息化的全局规划已经刻不容缓。
2008年是很重要的一年,在奥运的推动下,中国迎来了重要的发展机遇。在此背景下,健康发展的信息化保障就显得尤其重要。网络安全的保障直接决定国家机关的稳定运行,国家的电子政务一旦出现任何风险,都会对国家的发展带来很大的损害。民航受到攻击,则飞机无法起飞;核电站受到攻击,则可能产生重大的泄漏风险;政府机关的政务受到攻击,则可能造成大量国家机密文件的泄密事件发生,甚至造成政府的业务中断,政府的公信力就会受到重大影响……
如何在重大灾难发生的情况下,保障信息不中断的传输,使国家部门企业运行正常运转,是一个很重要的课题。
信息化已经在我国发展多年,我们已经走过了初创阶段,我们现在要站在全局规划的高度上,对信息安全的整体进行完整的构想和实施。
BCM(信息作业持续性管理)是非常重要的。从1993年开始,我国的“三金”工程启动,到现在已经15年,我们现在需要从信息安全的顶层对其进行系统化规划和设计。
信息安全总体规划四要点
其一,做好信息安全的等级保护制度的落实。
通俗地说,信息安全等级保护制度就是要在你的信息系统可能面临的风险和你的信息系统的投入之间寻找到一个平衡点。包括资金、人力、资源的各种投入都要形成一种平衡状态。因为在中国目前的状态下,资金的投入一定是受到一些限制的,因此我们需要在业务信息系统的构建和资金投入之间找到合适的点。
国家《信息安全等级保护管理办法》(公通字[2007]43号)根据信息安全的重要程度,将信息安全的级别分为个人级别、社区级别、城市级别、社会安全级别、国家重大安全级别等五个级别,根据每个级别国家将颁布相关的保护标准,不同等级有不同的投入。以此形成合理的投入和底线的保障。根据国信办、公安部、保密局、密码局等部门规定,首先要由主体部门自主定级,随后由主管部门审批确认,并向公安部门备案,然后按照要求和规定进行调整和优化,随后要进行第三方的检测和评估,最后是试运行。
其二,建立健全的信息安全保障体系。
信息安全保障体系的建立分为技术保障体系的建立和管理保障体系的建立。
先说技术保障体系的建立。
信息安全技术保障体系的建立包括4个要点。
第一, 要做好纵深防御工作。这包括4点:做好信息安全域的科学划分;要做好安全边界的防护和控制,这包括物理隔离和逻辑隔离两种手段;要做好信息安全设施在纵深多级上的部署;要做好公众信道的安全保障工作。要使信息安全机制形成综合集成的安全管理和联动。
第二, 要建立动态防护策略。任何攻击都是一个过程,要在各环节部署有效的对策,要对外界的攻击有检测、预警、监控、抑制、诊断、恢复和容灾的动态机制,在整个的动态防御流程中,保证信息传输的正常运营。在综合攻击情况下,任何单点的静态的防御效果都不大。
第三, 要加强基于密码技术的网络信任体系建设。国家相关文件明确规定,网络信任体系的建设,要让每个人都能够证明自己的身份。其中包括身份认证、授权管理、责任认定等几个环节。网络信任体系是要通过规范操作,确认责任,防止违规。
第四, 强化系统内部审计(内控机制)。近些年来,企业或机构内部安全事件的数量已经超过外部病毒、黑客攻击等安全事件,这些内部安全事件包括误操作、违规操作和违法操作(内部人员和外部人员互相勾结,违法泄漏公司机密)等。所以强化内部审计,控制内部员工对于内部文件的接触掌控是非常重要的。
内部审计有事后审计、事中审计和事前审计。内部审计的发展方向是审计点前移,即从事后审计向事中审计甚至事前审计转化。
要形成全局范围的审计系统。这包括网络审计、数据库审计(数据库和日志需要进一步细化),系统流程和应用的审计、主机审计、介质审计等。
审计记录要进行安全加固,这也是对于系统管理员的一种控制,以防管理员对审计记录进行篡改。
再谈一下信息安全管理保障体系(ISMS)的建设。
在信息安全管理体系建设方面,我们需要做的工作还很多。2006年国信办曾发文倡导从全局观的角度构建信息安全管理体系。
在信息安全管理体系方面,国际标准化组织的上百位专家研究了很多年,制定了一个叫ISO/IEC27001:2005的标准,我国目前实行的是ISO/IEC27001管理系统。这一标准为我们提供了一整套信息安全管理体系建设的方法,其中的一个很重要的方法论就是PDCA环,PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母,PDCA循环就是按照这样的顺序进行质量管理,并且循环不止地进行下去的科学程序。后来,国际标准化组织又制定了ISO/IEC27002标准,该标准规定了需要控制的一些关键点,它包括11个控制领域、39个控制目标、133个控制措施。
2006年,国信办通过在国家六个部门进行信息安全管理体系的试点工作,发现效果非常大。
总体上来说,在建立信息安全保障体系方面,我们不能单纯搞技术,也不能单纯搞管理。两者必须紧密结合,技术和管理并重,共同构建完善的保障体系。
其三,做好信息安全系统的风险评估工作。
风险评估包括检查评估、自评估和委托评估。检查评估是从领导层强制执行的检查,由国家机关的官方检测,委托评估则是委托第三方进行评估。
其四,及时应对网络突发事件和灾难,做好系统应急和灾备工作。
这类事件和灾难尽管发生概率较低,可一旦发生就是高风险。需要做好准备。
网络突发事件一般包括电子威胁类、物理威胁类和内容威胁类等几类。电子威胁类包括大规模病毒扩散等,比如冲击波等病毒;2005年病毒攻击东京航空系统,结果日本航空公司大批飞机无法起降。2000年美国8大网站遭到了拒绝服务攻击,结果CNN等网站受到很大损害。有的停顿达3天之久,损失总额达到12亿美元。物理威胁类典型的例子就是“9·11”事件,当时世贸大厦共有2200家公司,没有备份没有安全措施的公司受到惨重打击,其中800家公司完全不可恢复,从此破产,而有应急系统的企业基本都存活了下来。内容威胁类事件则可能导致社会的不稳定,甚至会影响到国家的稳定。
“9·11”之前的10年,美国世贸大厦曾经发生过一次车库爆炸,为此,纽约证券交易所拿出了灾难备份对策,包括远程恢复系统,结果在“9·11”发生之后,它的信息很快得到恢复。这就是灾备的重要性。因此,我们要建立关于灾难的网络灾备对策。
建立国家规范的应急预案很重要,目前国家的相关规范已经下发,同时要有应急资源的支撑,以及应急的控制联络手段的落实。
应急和灾备要系统目标、有规划、有对策、有组织、有保障、有培训。要对应急和灾备工作进行检验和演练,这包括呼叫演练、模拟模拟、实战演练等。重要的业务应急和灾备工作,每年都需要做一次应急系统操作演练。
在制定应急预案方面,最后一道环节就是远程备份。应急要有异地备份系统,防止单点被彻底摧毁的重大灾难发生的时候无计可施。
