提升信息安全保障能力的关键要素
2015-08-07后勤学院周聪武警8640部队指挥自动化站刘时二炮后勤部贾磊雷
后勤学院 周聪 武警8640部队指挥自动化站 刘时 二炮后勤部 贾磊雷
提升信息安全保障能力的关键要素
后勤学院 周聪 武警8640部队指挥自动化站 刘时 二炮后勤部 贾磊雷
信息安全保障能力建设要以提升国家信息安全保障能力为标准,着眼长远、抓住关键、突出重点,综合运用信息安全技术手段,整合信息安全保障力量,完善信息安全法规政策,保障信息内容、信息系统、信息基础设施、信息交互、信息认知等各个方面的安全。
构建可信网络应用基础
信息安全产业的根必须建立在发展信息安全关键技术,研制自主可控的各类信息安全保障技术手段,推广应用自主可控的芯片、操作系统、数据库管理系统、存储设备、网络协议等技术产品,建立密码密钥、身份认证、测评认证、容灾备份等安全基础设施,确立网络空间信任关系,实现网络空间统一的身份管理、授权管理和责任认定。
(1)要以自主可控能力为根本,开展信息安全技术研发。信息化建设正处在一个前所未有的快速发展时期,各种新型网络技术会不断融入内部网络系统建设。随着新技术的采用,必然会产生新的信息网络安全问题。因此,必须以自主可控能力为根本,开展信息安全技术研发。根据未来网络安全技术发展和系统建设的总体目标,选择重点领域和关键技术,确定有限目标和发展方向,有针对性地进行跟踪研究和系统研发,确保在建设新型网络的同时,高起点地同步进行网络安全系统建设。同时,要关注和积极参与具有我国自主知识产权的网络设备、系统软件、安全产品研发。加强密码理论、信息安全体系结构、信息安全系统工程理论等信息安全基础研究。加大保障平台、信息系统的安全保密技术攻关,提高嵌入系统和平台的能力。在信息网络系统建设中积极采用成熟先进具有自主知识产权的核心网络设备、安全设备和软件产品,逐步摆脱网络安全受制于人的被动局面。
(2)要以提高攻防水平为关键,增强网络主动防御能力。信息网络安全是一个攻、防对抗的过程,其中进攻一方藏在暗处主动捕捉安全漏洞进行预谋的点攻击,而防御一方却通常处于明处被动地进行防御。必须正视网络安全对抗中这种非对称性的客观现实,以提高攻防水平为关键,增强信息网络主动防御能力。要开拓新思路,探索新技术,由目前“垒墙、站岗、堵洞”式的被动防御型向主动防御型转变,积极发展适合网络特点的渗透性测试技术、网络侦察技术等网络安全性主动验证技术,研究并应用追踪定位技术、陷阱技术等入侵跟踪与反入侵技术,加强和丰富主动防御技术手段,逐步扭转网络安全防护的被动局面。
(3)要以安全可信应用为目的,建立信息网络信任体系。在越来越多的信息系统依托网络运行的情况下,信息系统往往要在不同密级的网络间进行数据交换。网络信任体系基本作用是确定网络实体身份的真实性和网上行为的合规性,即确定网络中的人员、设备、软件等实体“是谁、能做什么、做了什么”。其基本内涵包括:对网络实体身份进行识别;对网络实体使用信息系统和访问处理信息进行管理控制;对网络实体的操作行为和运行状态进行记录和审查。网络信任体系,是以解决网络空间和信息化系统中身份认证、授权管理和责任认定等为目的,由密码支撑、基础设施、网络信任应用等要素构成的完整体系。
整合各种信息安全保障力量
建立结构合理、规模适度的信息安全保障专业力量,确保每个环节都有专业力量担负安全保障任务。
一是要以能力素质要求为保证,建设信息安全人才队伍。人才队伍是信息安全保障体系的智力支撑,必须以高素质要求为保证,建设信息安全人才队伍。按照育引结合、以育为主的思路,重点培养和引进三类人才:一是既对信息安全理论和信息安全技术有很深造诣,又对信息化发展现状及趋势有较深了解的高级信息安全战略人才;二是既通晓相关信息安全法规制度,又有丰富实践经验的信息安全管理人才;三是既能熟练使用各种信息安全装备和设施,又能解决信息安全方面具体问题的信息安全技术人才。应依托院校教育,加大人才引进、培养力度,加强实践和训练环节促进人才成长,尽快形成信息安全保密的骨干力量。人才队伍建设是个系统工程,要把人才引进、使用、培养、保留各个环节的工作组织好,营造一个有利于人才成长的大环境,使人才队伍建设走上良性循环的轨道。
二是要以系统综合集成为核心,规划信息安全防护部署策略。信息安全系统,只有成体系配套建设、集成化整体部署,才能发挥最佳效能。因此,必须以系统综合集成为核心,规划安全防护部署策略。目前,信息网络安全防护系统基本上是由各种软、硬件安全产品简单堆叠构成的,系统横向各安全产品相互独立,缺乏互动性,纵向各级之间缺少安全信息交换和共享手段,造成系统各防护环节之间难以协同,对安全事件响应迟缓。安全信息孤立、分散,管理困难,也难以形成全网的宏观预警和联防机制。随着信息化进程的发展,一方面网络规模越来越大结构日趋复杂,另一方面网络攻击的种类、手段越来越多,安全危害的传播速度越来越快,这种由防火墙、防病毒软件、入侵检测工具等安全产品简单堆叠部署的安全防护系统,已难以适应网络安全防护的需要。要优化部署策略,逐步实现网络各种安全信息的交换、共享和融合,安全预警、监控、保护、响应和恢复一体化,安全业务处理自动化,安全管理综合化,并形成全网的宏观预警机制和协同联防机制,提高信息网络的整体防护水平。
三是要以薄弱环节防护为重点,强化信息网络终端管控。信息网络具有的互联、开放和共享特点,使得分布在网络上各台主机中的重要信息资源处于一种高风险状态,很容易受到来自系统内部和外部的非法访问。因此,必须以薄弱环节防护为重点,强化信息网络终端管控。内网安全事件统计表明,网络上发生的病毒侵袭、非法操作、入侵攻击等事件大多是从内部用户终端上发起的。由于缺乏统一有效的入网认证机制和对用户网络操作行为的监测能力,内部网络的边界维护、用户身份认证、操作行为监控等工作难以有效开展,使得终端成为信息网络安全防护的“短板”。要建立有效的网络终端设备认证、接入认证及用户身份认证机制,从技术上保证网络终端设备接入和用户身份的合法性、权限和资源的一致性,解决好数据授权访问控制问题。终端应具有安全自保护能力,安全中心能够对其实施远程管理和行为审计,实现网络终端可监、可控、可管、可信,从终端源头上控制网络的不安全因素。
完善法律环境规范网络环境
信息法规标准是安全防护体系的基础性工程。要积极贯彻执行国家有关信息安全防护的政策规定,结合实际,建立衔接配套的信息安全保障法规、规章、制度、标准,规范平时、战时信息安全保障工作,规划信息安全的长远发展,建立信息安全管理责任制和良好的监管机制。
一是要以国家法律法规为依据,确立信息系统安全法规框架。行政性法规包括法律、条例、纪律、规章、制度、规定等。如:《中华人民共和国计算机信息系统安全保护条例》、国家《信息安全等级保护管理办法》等。技术性法规包括体系框架、技术标准、产品规范、建设方案、配置细则等。总体上看,行政性法规比较健全,技术性法规还不够完善,缺少针对信息系统建设中分级防护的具体要求。要建立和完善信息安全法规体系,建立完善安全责任管理规章制度,制定信息化领域法规框架和文件,用于指导和规范单位网络接入和信息系统的安全防护管理,做到有法可依,有法必依。
二是要以安全责任要求为原则,明确信息系统安全的执法主体。系统有关网络信息安全防护的检查执法主要依靠保密部门,执法主体还不够完善,有关信息安全规定贯彻落实力度不够。按照权利与责任相一致的原则,建立责权明确、行为规范、监督有效、保障有力的执法体制。应立足目前的编制体制,调整人员,设立常设机构,负责信息系统安全执法职责。加强经常性检查,克服上级来检查时,采取临时措施,停用系统或更换硬盘,被动保安全的现象。解决因对网络信息安全的担心,不敢使用信息化手段的问题。要强化项目安全管理,严格执行项目立项安全审查制度,注重检查在建项目安全措施与国家统一规定是否一致,技术实现途径与相关技术体制是否一致。
三是要以规范网络应用为目的,增强信息安全法规的针对性。广域网络防护要依托公共防护基础。防护重点是信息系统和数据的安全,制定好操作层面的实施细则,增强信息系统安全防护的针对性。结合应用实际,贯彻落实信息安全等级防护制度,合理划分信息系统及处理信息的秘密等级,按照分级防护要求,保障互联互通和信息共享的安全。要健全法规标准,组织论证信息安全建设标准规范体系,制定统一的信息安全保障技术体系和编配标准,规范和限定用于信息安全环境建设中所涉及的安全设备配置,以及安全防护基本要求。集中采购安全设备和密码设备,建立统一的安全认证体系,采用标准的安全防护技术指标、编配定位、考核评估指标、基本技术要求和管理要求。搞好信息安全法规标准宣贯工作,科学界定信息密级,严格依法治密。