信息安全保障体系在渐进中成熟.doc
《信息安全保障体系在渐进中成熟.doc》由会员分享,可在线阅读,更多相关《信息安全保障体系在渐进中成熟.doc(21页珍藏版)》请在咨信网上搜索。
1、信息安全保障体系在渐进中成熟212020年4月19日文档仅供参考,不当之处,请联系改正。信息安全保障体系在渐进中成熟-本刊专访陈晓桦博士转载时间: -06-10 从 中央颁发的第27号文件国家信息化领导小组关于加强信息安全保障工作的意见开始算起,至今已逾七载。俗语常说“7年之痒”,7年的时间往往意味着曾经的一腔热血在经历了瓶颈之后,渐渐忘记初衷,变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后,是否依然坚定当初的决心和发展信念呢?最初设定的那些目标和任务,完成情况如何?下一步工作如何开展?当前中国信息安全形势又是怎样? 新年伊始,带着对中国信息安全领域这一路走来的种种困惑,记者采访到
2、了中国信息安全认证中心副主任陈晓桦博士。她不但是中国信息安全保障体系逐步形成的见证人,更是一直奋战其中的建设者。在采访中,陈博士既谈到了国家信息安全保障工作取得的成绩,也谈到了对工作中有关问题的反思。她对中国信息安全形势发展的思考,有更多源自产业现实的感悟,虽然这次采访内容覆盖面有限,但正是从她所探究的这些细节上,业内人士能够见微知著,得到启发。用她本人的话来讲,信息安全工作涉及面非常广,从政策法规建设到政府指引、从战略规划到实施方案,从产业规模到技术专利、从标准制定到人才培养,方方面面都需要加以总结,汲取经验和教训,作为中国十二五甚至更长远工作规划的出发点。认证工作成绩斐然陈晓桦博士告诉记者
3、,建立并完善信息安全认证认可制度,是建设中国信息安全保障体系工作当中的一项重要任务。几年来,在国家相关部门的坚强领导和大力支持下,这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力,但信息安全认证中心还是克服了重重困难,积极配合相关领导部门,应对国外的种种质疑与不合理要求,为制度的实施做了大量的技术性支撑工作。 4月底,根据国内外形势的发展,国家对该项制度的实施范围作了调整,即调整到了在政府采购法所规定的范围,首先对13类信息安全产品强制要求认证,并把实施的时间推迟了一年。 5月前,财政部、工信部、质检总局和认监委联合发布了财库48号文件关于信息安全产品实施政府采购的
4、通知,这标志着国家信息安全产品认证制度终于在经历曲折和重复后顺利实施和运行。记者了解到,截止到 11月30日,信息安全认证中心共颁发国家信息安全产品认证证书158张,国家强制性产品(无线局域网产品)认证证书105张,信息安全产品认证的覆盖面有了长足提高,信息安全产品认证的把关作用得到了体现。多角度延伸认证服务不但如此,陈晓桦博士透露,前些年,国内的信息安全管理体系认证几乎被外资机构垄断,其潜在安全风险不可低估。而信息安全认证中心积极服务于国家重要信息系统的安全保障,在强化认证质量和服务的基础上,积极开展ISMS认证,得到了众多关系到国计民生重要行业客户的普遍认同。另外,继 年为服务奥运安保工作
5、推出应急处理服务资质认证后,信息安全认证中心还开展了信息安全风险评估服务资质认证,国家信息中心等18家从事风险评估的企事业单位在 6月获得了首批认证证书。“风险评估服务资质认证业务的推出,顺应了社会的需求,得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。在培训业务方面,信息安全认证中心不但开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作,还根据市场需求启动了信息安全保障从业人员认证,培训覆盖面进一步拓宽,影响力逐步显现。信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作,并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别经过了验收和中期检查;国家
6、发改委信息安全专项、电子产业发展基金重点项目顺利经过了中期检查;“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作;参与制定的一批行业标准已经发布实施,若干国家标准制定项目已完成征求意见工作,或已经进入报批阶段。“从事这项制度的建立工作,我们深感任务艰巨,责任重大,使命光荣。我们清醒地认识到,在机构和队伍建设、核心业务拓展、基础设施建设等方面还有待进一步加强,我们的服务能力和水平,还有待进一步提高。我们当前的建设进度和成效,离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记者表示,“我们在 底已初步完成了中心发展的十二五战略规划的制定和论证工作,希望能够指导今后5
7、年相关工作的开展,大力推进各项建设工作,充分发挥信息安全认证在国家信息安全保障体系中的基础性作用,努力开创信息安全认证工作新局面。”启示一:信息安全需要从国家层面制定整体发展战略陈晓桦观点:信息安全不是一支“独舞”,需要各个部门相互配合开展工作。可是由于缺乏国家层面的战略指导,很多情况下,信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势,制定国家信息安全总体发展战略已经迫在眉睫。采访中,记者得知,以前相关部门开展信息安全工作,职责分工不够清晰,可谓纵横交织,既有必要的互补,也有太多的重复,缺乏有效的沟通协调机制,工作比较被动,经常依靠领导批示和安全事件的驱动。陈晓桦
8、博士认为,虽然以前这种工作方式也解决了许多信息安全问题,但从法律法规和制度的完善度来看,还远远不够。而且,即使到了现阶段,信息安全与保密工作在相当大的程度上还带有应急处理的特点。“当然,这和信息安全工作的性质有关,即使制定了一些法律法规和管理制度,采取了一些技术手段,也不能完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言,由于还缺乏来自国家层面的战略规划和设计,没有健全的法律法规整体的指导,更没有先进、强大的科技手段,这就导致信息安全工作在推动时面临不少困难,很多时候依然依靠事件驱动,或者依靠首长批示开展工作,工作方式也不是一种制度化、常态化的方式。缺乏整体规划带来的另一个后果,就是协调制度
9、不完善,虽然相关部门也各司其职,可是容易出现各行其是的局面。由于信息化建设的高速发展,新技术新应用层出不穷,信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说,“救火还是需要的,但不要总是在救火。应急机制是必要的,但更重要的是建立信息安全工作的长效机制。”她告诉记者,其实早在 ,中国就成立了国家网络与信息安全协调小组,这是中国信息安全工作的最高领导机构,其办公室设在原国信办,成立的初衷是领导中国信息安全相关部门开展工作,并协调各个部门之间工作。由于 机构改革,原国信办的职责并入了工业和信息化部。 底国务院又重新批准成立国家网络与信息安全协调小组,制定国家信息安全总体发展战略的工作,已经
10、提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重点工作是什么?有哪些保障措施?这可能是国家信息安全战略亟待明确的内容。”启示二:健全法律法规需集思广益;落实相关政策需科技支撑陈晓桦观点:过去有些部门规章的要求,都是一刀切,但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年,已经取得了很多经验和教训,需要加以认真总结,并需要与时俱进,用科学的手段保障政策法规的严格执行。据公开报道,关于国内信息安全立法工作,相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名法、全国人民代表大会常务委员会关于维护互联网安
11、全的决定以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用,但也存在内容分散、相互交叉甚至抵触的现象,影响了立法效力和执法严肃性,对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估,包括清理和制修订。 11月,工信部已完成了信息安全条例报送稿。国家今后将以该条例为基础,提出综合性的立法方案,解决当前缺乏互联网法律规范的问题。“适当的时候,能够扩大征集意见范围,听取更多国内各界人士的意见或建议。有了信息安全条例,中国的信息安全工作就能够更加有序地依法开展,有利于排除外界干扰,有利于界定各方责任,厘清关系。”陈博士如是说。当然,信息安全问题,不但仅是互联网安全
12、问题,从立法程序来看,信息安全条例正式出台,可能还需要假以时日。随着国家信息化工作的推进,对信息安全保密工作越来越重视。新修订的保守国家秘密法于 10月1日实施,总结了多年来保密工作和立法工作的经验,为适应信息化时代的需要,提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是,今后,即便是违规把涉密设备或涉密计算机接入互联网,也要依法给予处分;如果再发生互联网泄密事件,就要当作泄露国家秘密罪论处,要依法追究刑事责任,而不再仅仅是给予通报批评、降级等行政处分。“新保密法提出的这些新要求,非常及时、非常必要。近些年,国内侦破的互联网窃密和失泄密案件时有发生,造成的危害极大,影响极为恶劣。
13、必须加大法律的威慑和惩处作用,尽量杜绝此类案件继续发生。”保障信息安全,管理和技术并重。除了法律法规和相关管理制度,还需要科技手段的支持。陈博士说,现在有的部委信息化程度很高,已经建成了3个甚至4个相互独立的网络,比如,与互联网相连接的办公网,能够上网浏览、检索互联网信息、收发邮件等;物理上相互隔离的政务外网、政务内网;有的机构还有自己特殊的业务网络。“对涉密网提出的物理隔离的强制要求,在中国当前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术与产品,满足不同网络之间信息交换的现实合法需求,用先进的技术手段来保障信息安全,进一步发挥信息系统的作用,降低
14、信息化建设的成本。”启示三:信息安全解决方案要开“药方”而不是开“药房”陈晓桦观点:某些信息安全企业的产品解决方案缺乏针对性,往往是以不变应万变,显然行不通。我们要开妙手回春的药方,而不是开一应俱全的药房,最好的“药引子”就是安全企业主动提升创新水平。中国现有的信息安全技术、产品和服务,或许已经基本上满足中国信息安全的需求,但在骨干、高端、高性能方面,还缺乏自主创新性的产品。“有的企业由于紧跟用户需求,在产品设计中有了几项小小的创新,最终成功中标某个项目,这恰恰说明用户需求的重要性。”陈晓桦博士认为,当前国内信息安全产品大多数都不是基于国内原创的安全理念,一些企业提供的行业安全解决方案也缺乏针
15、对性,似乎放之四海而皆准,不是开“药方”,更像是在开“药房”!当然,陈晓桦博士也认为,在信息安全应用领域,用新产品新技术去引导市场,完全实现“技术引领、技术驱动”还是很困难的,经常有厂商面向市场推广产品时会遇到不了解用户需求的现象。“这和国家整体发展现状有关,例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件,甚至包括安全防护产品都不是国内自主开发的。本土企业的产品在进入现有系统时,可能会出现自主产品与国外产品不兼容等现象,影响国内信息安全解决方案的推广。有些外国公司的产品中,大量使用非标准或私有协议,对其它企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为,虽然
16、面临种种困难,但针对用户需求、突破国外产品的技术壁垒,用创新技术积极参与竞争,依然是中国产业发展、人才发展的长远目标,未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主或可控。在国内安全企业自主创新的道路上,往往也会出现另外一个误区。陈晓桦博士介绍道,现在有一个现象,很多厂商都在推出第几代升级产品,更新换代十分频繁,甚至刚成立几年的公司,都已经开发出了第四代第五代产品,其实这大多只是该公司产品型号的变化,并没有真正实现技术的换代。让人担忧的是,这样的行为说明这些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究,把一些基本原理和技术搞清楚,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 保障体系 渐进 成熟
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。