摘 要:全文分析当今世界信息化的形势和我国信息化的发展趋势,阐述信息化建设的重要性,通过内网的安全保密防范管理这一例子从管理上、技术上保障我国信息化某一领域中所遇到的安全保密问题,并在文章最后针对信息化的安全保密防范方面给予适当的建议。
关键词:信息化;安全;保密;防范;重要;保障;体系
引 言
谈信息安全与保密防范,首先要理解什么是信息,这里讲的信息更偏重于整个信息化系统。其次,是安全与保密防范,信息在整个传输过程中,是怎样通过何种方式保障整个信息化系统安全正常运行的,是如何保障信息在传递过程中不泄密的。
所谓信息,分为天然信息和智力信息,其中天然信息是自然、社会、人类等天然产生的信息,是潜在的有待开发的取之不尽的“信息资源”;智力信息是“智力活动”的产物,人们可直接利用、交流、创新的信息,是信号、消息、数据、符号、语言、文字、数字、音像、图表等载体信息、编码信息、电子信息的总称。
因此,信息化就是“信息智力化、智力信息化”的高级“智力活动”过程,是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。
所谓安全与保密防范,说的通俗一点,其过程就是想进一切办法堵塞一切漏洞,其目的就是达到通过指定的人传递指定的信息在指定的地方。目前我国基本采用的策略可以用一句话来形容:“居安思危,思而有备,有备则无患。”意思是只有预先采取措施,才能保持安稳状态,说明安全的根源首先来自于防范。很显然,目前我国在信息化安全保密管理上是采取“积极防御”的态度,意味着我国的信息安全建设并不是立足于进攻上,而是立足于防御上。
1 信息化的重要性
为什么信息(以下统称信息化)在当今世界如此重要,为什么每个国家都会花大量资金去投入到信息化安全建设,保障信息化的安全,运行。这必须从当今世界的发展趋势来统筹分析。
信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。
1.1 全球信息化发展的基本趋势
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,信息化成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。进入21世纪,信息化对经济社会发展的影响更加深刻。广泛应用、高度渗透的信息技术正孕育着新的重大突破。信息资源日益成为重要生产要素、无形资产和社会财富。信息网络更加普及并日趋融合。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。互联网加剧了各种思想文化的相互激荡,成为信息传播和知识扩散的新载体。电子政务在提高行政效率、改善政府效能、扩大民主参与等方面的作用日益显著。信息安全的重要性与日俱增,成为各国面临的共同挑战。信息化使现代战争形态发生重大变化,是世界新军事变革的核心内容。全球数字鸿沟呈现扩大趋势,发展失衡现象日趋严重。发达国家信息化发展目标更加清晰,正在出现向信息社会转型的趋向;越来越多的发展中国家主动迎接信息化发展带来的新机遇,力争跟上时代潮流。全球信息化正在引发当今世界的深刻变革,重塑世界政治、经济、社会、文化和军事发展的新格局。加快信息化发展,已经成为世界各国的共同选择。
1.2 我国信息化发展的基本形势
1.2.1 信息化发展的进展情况
党中央、国务院一直高度重视信息化工作。20世纪90年代,相继启动了以金关、金卡和金税为代表的重大信息化应用工程;1997年,召开了全国信息化工作会议;党的十五届五中全会把信息化提到了国家战略的高度;党的十六大进一步作出了以信息化带动工业化、以工业化促进信息化、走新型工业化道路的战略部署;党的十六届五中全会再一次强调,推进国民经济和社会信息化,加快转变经济增长方式。“十五”期间,国家信息化领导小组对信息化发展重点进行了全面部署,作出了推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等一系列重要决策。各地区各部门从实际出发,认真贯彻落实,不断开拓进取,我国信息化建设取得了可喜的进展。
——信息网络实现跨越式发展,成为支撑经济社会发展重要的基础设施。
——信息产业持续快速发展,对经济增长贡献度稳步上升。
——信息技术在国民经济和社会各领域的应用效果日渐显著。
——电子政务稳步展开,成为转变政府职能、提高行政效率、推进政务公开的有效手段。
——信息资源开发利用取得重要进展。
——信息安全保障工作逐步加强。
——国防和军队信息化建设全面展开。
——信息化基础工作进一步改善。
1.2.2 信息化发展中值得重视的问题
当前我国信息化发展也存在着一些亟待解决的问题,主要表现在:第一,思想认识需要进一步提高。我国是在工业化不断加快、体制改革不断深化的条件下推进信息化的,信息化理论和实践还不够成熟,全社会对推进信息化的重要性、紧迫性的认识需要进一步提高。第二,信息技术自主创新能力不足。核心技术和关键装备主要依赖进口。以企业为主体的创新体系亟待完善,自主装备能力急需增强。第三,信息技术应用水平不高。在整体上,应用水平落后于实际需求,信息技术的潜能尚未得到充分挖掘;在部分领域和地区应用效果不够明显。第四,信息安全问题仍比较突出。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出,如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。第五,数字鸿沟有所扩大。信息技术应用水平与先进国家相比存在较大差距。国内不同地区、不同领域、不同群体的信息技术应用水平和网络普及程度很不平衡,城乡、区域和行业的差距有扩大趋势,成为影响协调发展的新因素。第六,体制机制改革相对滞后。受各种因素制约,信息化管理体制尚不完善,电信监管体制改革有待深化,信息化法制建设需要进一步加快。
上述表明,当今的世界已进入信息化时代,每个国家的经济发展、国防建设等很多方面都要靠信息化操作来完成,作为发展中的大国,我国必须抓住机遇,迎接挑战,适应转变经济增长方式、全面建设小康社会的需要,更新发展理念,破解发展难题,创新发展模式,大力推进信息化发展,这已成为我国经济社会发展新阶段重要而紧迫的战略任务。
2 信息化的安全建设
信息化安全建设不如直接说如何管理好信息化,因为我国信息化已经在各领域展开,实施并正在逐步完善中。个人认为,管理好信息化,其实就是让大家在有保障的平台中以最高效的方式完成某种协议达到发展的目的。换言之,既要高度重视信息安全,又要正确处理安全与发展之间的关系,以安全保发展,在发展中求安全。
2.1 信息安全与保密防范——加强管理
信息安全不仅是技术问题,也是管理问题,没有完善的管理,降低安全风险只是空谈。
信息安全所受到的重视程度一直在上升,我国政府主管部门频频出台一系列政策法规,直接牵引、推进信息安全的应用和发展,各类安全产品也层出不穷。然而,多方的重视并没有缓解安全面临的严峻形势。
比如,很多企业习惯于在多处部署不同的安全产品以期达到全面的安全效果,但依赖于安全产品的简单堆积来应对“日新月异”的攻击手段和病毒传播是无法持续有效的。相反,每个安全产品产生海量的安全事件造成严重的信息过载,各类安全产品“各自为政”,不同产品之间的安全信息无法共享,形成一个个“信息孤岛”,管理员缺乏应付混合型安全威胁的能力。海量事件、定位困难、事件间不能关联呈现,导致管理员无法及时准确地发现网络中的安全隐患,进而加以处理。而安全事件不能及时处理往往会带来更大更严重的危害。
实际上,信息安全只有通过实施一整套恰当的控制措施才能实现,这些控制措施包括策略、实践、步骤、组织结构和软件功能。信息安全管理的核心是安全风险管理,它涉及到多个要素: 资产、资产价值、威胁、脆弱性、风险 、防护需求、防护措施。
安全管理是一个动态管理的过程,会随着时间的推移和业务的发展而变化。许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。因为许多安全问题不是因为产品的功能不佳造成的。即使企业设置了层层关卡,仍可能因为被破解的管理者密码、帮助台维修后未关闭的开放权限、轻易被共享的网络文件夹等管理盲点,为黑客及病毒开启后门。因此,企业信息安全是管理问题,而非单纯的技术问题。唯有完善的管理,才能降低安全风险,避免不必要的损失。为了做好安全管理,建议从以下几方面着手:
2.1.1 提升组织的整体安全意识
要高度重视信息安全管理,切实加强领导,以高度的责任感进一步推进信息化建设和信息安全管理。对信息安全管理工作引起足够的重视,在加强信息系统的软硬件建设的同时,对信息安全管理工作也不能松懈和忽视。企业的信息安全政策不应再单单是信息部门的责任,企业对于组织安全的认知,应通过整体安全分析与定期安全检查获得提升。
2.1.2 强化执行作业程序
一方面我们在信息化建设过程中严格执行信息安全标准,减少内部的弱点和威胁,使安全隐患不再有机可乘; 另一方面对于安全事件的处置,提倡强制实施应变作业流程,并针对特定目标提供安全训练,协助建立必要的作业程序,以及时发现安全隐患、降低并控制安全事件的损害。
2.1.3 提升应变能力
信息安全技术的日新月异,使得安全管理有着很大的不确定性。再严密的安保措施也不能保证网络安全的万无一失,因此必须增强信息安全管理的危机处理能力,将危机处理程序标准化,在危机来临之际,采取有效措施,积极将损失减少到最小程度。同时针对各种安全事件拟定一套顺畅且有效的应变措施,如为了封堵某一网络蠕虫病毒的传播,自动配置防火墙,阻塞已中病毒主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。
2.1.4 构建安全环境
网络安全和信息安全是信息资源共享的前提,发展信息化必须高度重视信息网络安全体系的建设。
2.2 信息安全与保密防范——加强技术保障
随着计算机网络技术的快速发展和应用,电子商务、网络管理、网络通信等已经成为国家和社会正常运转,企业正常运营的必要环境。正当我们越来越依赖信息技术的同时,伴随的信息安全问题越来越紧迫,有一句话让我们触目惊心:外部网络的入侵就像一个人被打了脸;而对内部网络的成功入侵,就像一个人被伤及了五脏六腑……,事实给我们敲醒了警钟。下面通过技术手段针对加强内网的安全管理例子提高信息化的安全保密防范。
内网安全隐患突显——内部重要文档自由使用造成泄密。即使是加密文档一旦被授限打开,使用者就拥有了对文档进行操作的所有权力,并且无法对重要文档使用过程进行控制、追踪和审计。这个安全漏洞成为不法分子的可趁之机。如:某省政府办公厅原助理调研员,被境外情报机构收买,通过个多月的时间,多次利用省政府某些部门保密工作和内部管理存在的漏洞,获取近百份秘密文件和内部材料,提供给境外间谍分子,从中获得美元4300元、台币14万元、人民币6600元情报酬金及其他酬物。他的行为,给国家的安全和利益造成极大危害;离职、辞职人员带走内部机密资料造成严重损失。制度在一定程度上能够约束泄密行为的发生,但是当面临巨大的利益诱惑时,就显得微弱无力,如果不通过技术手段防止泄密,制度就成为纸上谈兵;国家某军工基地3名技术骨干集体辞职。12月,另两名技术骨干失踪。厂方在清理资料时发现,这5人不仅带走了历年的工作笔记本、工作手册、草稿本,还带走一块120M硬盘和104张软盘,其中不少技术资料事关国家机密。5人离开才几天,工厂的一条生产线突然发生随机故障,经检查,系人为破坏所致,因此,一批急需的军品未能按时交货,造成了严重的损失;
很多信息传递在有技术保障的条件下,是能够最大限度降低人为所带来的安全风险的:
2.2.1 内部重要文档安全保护
核心数据的安全需要关注它的存储、共享、传输、使用的整个生命周期的过程,首先需要加强电子文档本身的安全性,而且控制传输与使用过程的安全性,同时能够控制文档访问权限。由安全策略服务器进行授权分配和管理。在对网络的重要文件加密的同时,根据用户在企业内的级别和权限,不同程度的开放给其使用。做到部分用户只拥有对文件操作的部分权限。具体的权限设计依赖于管理者或文件拥有者的设置。这样既达到了防止文件泄密的功能,也达到了公司知识积累和文件的共享。管理者从使用者下载文档操作开始,控制使用者的读取、存储、复制、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。杜绝使用优盘、软盘、光盘,电子邮件等方式窃取企业的机密技术文件、事业计划书、设计图稿、会计帐目、战略计划书、研究论文等文档。解决了电子文档安全共享的,防止信息在发布共享后产生二次传播泄密,保护了电子文档的安全性。
2.2.2 重要文档动态加密保护
从信息泄密角度来看,只要是明文文件在硬盘上保存,无论是从访问控制、设备监控、安全审计等手段都无法从根源上彻底解决信息的安全。最有效的手段就是对存储信息进行主动加密保存,能够根据用户的不用需求设置不同的安全加解密策略,对不同的文件类型、各种网络外设、移动设备进行强制性的透明地动态加密解密,又不影响企业的正常工作。
2.2.3 采用全面的日志审计
日志审计一方面可以为企业和机构的安全事件追踪提供有力依据,同时为安全审计提供有效安全的数据来源。日志功能可以记录产品部署中所有相关信息及操作记录。实时采集在系统运行过程中产生的日志、消息等各种状态信息,在审计模块分析的基础上,监测各种软硬件系统的运行状态,发现各种异常事件并发出实时告警,并提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和动、静态报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高安全等级。
2.2.4 建立完善的安全管理制度
三分技术七分管理,任何技术都无法保障信息完全的安全,因此企业首先需要建立完善的内部安全管理制度,然后通过先进的技术手段,有效的实施并执行制度,从而达到真正意义的安全。
综合考虑以上所述从不同方面、不同层次解决了内网信息安全的一部分问题,但完整地内网安全需要从用户身份认证、数据安全存储、文件分级权限管理、安全日志审计、内网监控管理、终端安全管理、数据安全备份等多方面入手。如何能够使每一种产品都能够发挥出最大的优势,还需要从资源整合做起,就如同木桶定律,因此内网安全这桶水也同样需要建立完善的安全平台,核心的加解密技术如同捅底那一块关键的木板,而其他内网安全技术如同桶壁。只有当每一块木板发挥最大的优势,才能够达到最优效果,从根源上彻底防止信息泄密。
现在信息安全产业正处于一个非常好的历史发展时期。国家从总体上为信息安全的发展创造了良好的政策环境,信息化发展对安全的强劲需求,为我们产业的发展带来了一个难得的发展机遇,这是我们发展信息安全的极为有利的条件。众所周知,信息安全是一个技术性非常强的高技术对抗,我们要确保我国的信息安全,必须不断加大技术研发和自主创新的力度,特别是应当着力于关键领域的技术攻关,加强信息安全技术平台的建设。在这方面,我们应当多一些战略的眼光,从长远出发,不断完善,健全和发展壮大自己。
信息安全问题是必须进行扎扎实实的投资,但与其他投资不同的是,它的效益显示在出了问题后所避免的损失上,但是如果不出事,钱可能就白花了。那么,就必然存在认识上的问题,花这个钱值不值?如何花?此外,我国信息化发展情况异常复杂,尤其是东西部地区的经济发展差异巨大,导致了信息化程度也完全不同,东部某些地区已经在网络上开始了实打实的电子商务交易和电子政务办公,而西部地区的信息化才刚刚开始,如果统一发展信息安全,则可能引发其他问题,比如某些地方本来就没有钱搞信息化,如果还要拿出钱来搞信息安全,可能会制约信息化的发展。针对这些不同的情况,解决信息安全的思路显然不一样。因此,必须用发展的思路解决信息安全问题,从发展中求安全,以安全保发展。
主流的观点认为,按照“木桶”原理,保障信息安全的任何一个环节出了问题,都将引起整个系统的崩溃。因此,保障国家信息安全是一个系统工程,其中包括技术研发、法律法规建设、资金保障、人才培训、领导重视、建立应急响应、建立网络信任体系、等级保护制度等多方面的内容,因此,对信息安全必须进行“综合防范”。
“世上没有100%的安全”,这一道理谁都清楚,那么,为了将损失降到最低,建立安全紧急响应机制就成为保护信息安全的一道必不可少的补救措施。即使这样,仍然不可能保证关键系统的数据绝对不受到破坏。那么一旦发生这类安全事故,该由谁承担责任?目前没有法律或规章能解决这一问题。
事实上,国家信息安全的目的之一是重点保障关键部门的信息安全,因此,各关键部门应该是信息安全的责任主体。此外,个人应该普遍提高信息安全意识,才能提高整个国家的信息安全保障水平。
3 结语
目前,在信息安全领域,还存在许多亟待解决的问题,不可能在短时期内解决所有的问题并一劳永逸,如何做到动态的调整并对可能出现的安全问题做出及时快速的反应,尽最大可能把所有潜在的危险消灭于萌芽前,这就需要我们必须构建一套完善信息系统安全保障体系。体系的构建依赖于对信息系统整体安全以及细节安全做全面的量化和把握,并根据业务类型制定相应的安全等级制度,明确安全的重心,从而做到有的放矢。
(1)加强领导,突出重点,做好规划,建立健全信息系统安全保障管理责任制。目前要重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境。要提高应急处理能力,按照已有的信息安全保障应急框架,完善细化各项信息安全保障应急方案。
(2)建立信息安全等级保护制度。从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点,建立信息安全等级保护制度。要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、保护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。
(3)建设和完善信息系统安全监控能力。信息安全监控是及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护的重要手段。
(4)完善信息系统安全应急处理协调机制。建立健全指挥调度机制和信息系统安全通报制度,加强信息系统安全事件的应急处置工作。重要信息系统建设要充分考虑抗毁性与灾难恢复,制定信息系统安全应急处置预案。灾难备份建设要从实际出发,提倡资源共享、互为备份。要加强信息安全应急支援服务队伍建设,提倡社会力量参与灾难备份设施建设和提供技术服务,提高信息系统安全应急响应能力。
(5)加强队伍建设。进一步加强对专业技术人员的培训,提高专业技术人员的技术水平和专业技能;进一步充实技术力量、调整人员结构。信息系统安全保障工作,关系到信息安全和保密,信息安全即国家安全,必须建立一支政治可靠、技术精湛、作风优良的技术人员队伍,为确保信息系统安全提供人才保证。
(6)确保信息系统安全资金投入。信息系统安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。
(7)加强制度建设,进一步健全和完善有关信息网络安全保障的规章制度,在信息安全技术相对落后、安全保障设施投入不足的情况下,充分发挥管理和制度等非技术手段的作用,将信息安全渗透到网络的各个环节,以政策法规和规章制度保障信息系统安全。
参考文献
[1] 中办发,2006—2020年国家信息化发展战略,2006
(责任编辑:)
