曲成义：新形势下的信息安全的全局对策

曲成义：国家信息化专家咨询委员会委员、中国计算机学会网络与数据通信专委会副主任、中国航天工程咨询中心科技委委员。信息安全专家。

十七大上，总书记的报告提出：要推进信息化与工业化的融合。现在，信息化已经逐步渗透到国家政治、经济、文化及国民生活的各个领域，信息化与工业化融合正在不断深化，对工业化的发展起到了巨大的推动作用。可以说在工业化时代的现代制造业、现代服务业、现代农业等各个领域，信息化带来的是各领域的催化科技创新和效益的倍增效应。

国家信息化专家咨询委员会委员曲成义

新形势需要对信息安全进行顶层设计和建立全局对策

在信息化发展的今天，任何信息网络灾难事件的发生，都会给社会带来很大风险。因此在信息化对工业化融合、渗透、催化和倍增的背景下，加强信息化安全的全局对策建设是非常必要的。

2008年奥运年，在奥运的推动下，中国迎来了重要的发展机遇。在此背景下，加强信息安全保障就显得尤其重要。网络信息安全保障直接关系到国家机关和企事业单位的稳定运行，信息网络出现任何风险，都会对国家的发展带来损害。政府的业务中断，政府的执行力和公信力就会受到很大影响；企业的业务中断，企业的服务和利润就会受到很大影响。

如何在重大信息网络灾难发生的情况下，保障信息系统和服务的不中断，使国家部门和企业运行正常运转，是一个很重要的课题。

信息化已经在我国发展多年，我们已经走过了初创阶段，我们现在要站在全局规划的高度上，对信息安全的整体进行构想和实施。

信息安全总体规划四要点

其一，做好信息安全的等级保护制度的落实。

通俗地说，信息安全等级保护制度就是要在你的信息系统可能面临的风险和你的信息系统投入之间寻找到一个科学的平衡点。包括资金、人力、资源的各种投入都要形成一种优化配置状态。因为在中国目前的状态下，资源的投入一定是受到一些制约的，因此如何将钱用在刀刃上是非常重要的。

国家《信息安全等级保护管理办法》（公通字[2007]43号）根据信息安全的重要程度，将信息安全的级别分为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级等五个级别，根据每个级别国家将颁布相关的保护标准，不同等级有不同的投入。以此形成合理的投入和安全的保障。根据国信办、公安部、保密局、密码局等部门规定，首先要由主体部门自主定级，随后由主管部门审批确认，并向公安部门备案，然后按照要求和规定进行调整和优化，随后要进行第三方的检测和评估，最后是试运行。

其二，建立健全的信息安全保障体系。

信息安全保障体系的建立分为技术保障体系的建立和管理保障体系的建立。

先说技术保障体系的建立。

信息安全技术保障体系的建立要重视4个要点。

第一， 要做好纵深防御工作。这包括：要做好信息安全域的科学划分；要做好安全边界的防护和控制，这包括物理隔离和逻辑隔离两种手段；要做好信息安全设施在纵深多级上的合理部署；要做好公众信道的安全支撑工作。要使信息安全设施形成一个综合集成和协同的机制。

第二， 要建立动态防护策略。任何攻防都是一个过程，要在各环节部署有效的对策，要对外界的攻击有检测、预警、监控、诊断、抑制、恢复和容灾的动态机制，在整个的动态防御流程中，保证信息系统和服务的正常运营。在综合攻击情况下，任何单点和静态的防御效果都是不大的。

第三， 要加强基于密码技术的网络信任体系建设。国家相关文件有明确的规定，网络信任体系的建设，包括身份认证、授权管理、责任认定等几个环节。网络信任体系是要通过规范操作，保证身份和行为的可信性和可核查性。

第四， 强化信息系统内部审计（内控机制）。近些年来，企业或机构内部安全事件的数量已经超过外部病毒、黑客攻击等安全事件，这些内部安全事件包括误操作、违规操作和违法操作（内部人员和外部人员互相勾结，违法泄漏公司机密）等。所以强化内部审计，保护信息和系统的安全运行是非常重要的。

信息系统内部审计有事后审计、事中审计和事前审计。信息系统内部审计的发展方向是审计点前移，即从事后审计向事中审计甚至事前审计转化。

要构建全局范围的信息系统的审计系统。这包括网络审计、数据库审计、应用流程审计、主机审计、介质审计等。

审计记录要进行安全加固，这也是对于特权用户的一种控制，以防对审计记录进行篡改。

再谈一下信息安全管理保障体系（ISMS）的建设。

在信息安全管理体系建设方面，我们需要做的工作还很多。2006年国信办曾发文倡导从全局观的角度构建信息安全管理体系。

在信息安全管理体系方面，国际标准化组织研究了很多年，制定了一个叫ISO/IEC27001-2005的标准，我国是GB/T 20269-006。这一标准为我们提供了一整套信息安全管理体系建设的方法，其中的一个很重要的方法论就是PDCA环，PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母，PDCA循环就是按照这样的顺序进行信息安全管理，并且循环不止地进行下去的科学程序。后来，国际标准化组织又制定了ISO/IEC27002标准，该标准规定了需要进行安全控制的一些关键点，它包括11个控制领域、39个控制目标、133个控制措施。

2006年，国信办通过在国家六个部门进行信息安全管理体系的试点工作，发现安全效果非常明显。

总体上来说，在建立信息安全保障体系方面，我们不能单纯靠技术，也不能单纯靠管理。两者必须紧密结合，技术和管理并重，共同构建完善的信息安全保障体系。

其三，做好信息安全系统的风险评估工作。

风险评估包括检查评估、自评估和委托评估。检查评估是从领导层强制执行的检查，由国家机关的官方检测，自评估和委托评估则是业主自己发起的，评估的目的是发现问题和及时纠正，以强化系统的安全保障。

其四，及时应对网络突发事件和灾难，做好系统应急和灾备工作。

这类事件和灾难尽管发生概率较低，可一旦发生就是高风险，需要做好准备。

网络突发事件一般包括电子威胁类、物理威胁类和内容威胁类等几类。电子威胁类包括大规模病毒扩散等，比如冲击波等病毒事件；2005年病毒攻击东京航空系统，结果日本航空公司大批飞机无法起降。2000年美国8大网站遭到了拒绝服务攻击，有的停顿达3天之久，损失总额达到12亿美元。物理威胁类典型的例子就是“9·11”事件，当时世贸大厦共有一千多家公司，没有备份没有安全措施的公司受到惨重打击，其中800家公司完全不可恢复，从此破产，而有应急和灾备系统的企业基本能存活下来。内容威胁类事件则可能导致社会的不稳定，甚至会影响到国家的稳定。

“9·11”之前的10年，美国世贸大厦曾经发生过一次车库爆炸，为此，纽约证券交易所拿出了灾难备份对策，包括远程恢复系统，结果在“9·11”发生之后，它的运营很快在异地得到恢复。这就是灾备的重要性。因此，我们要建立应对信息系统灾难的灾备对策。

建立国家规范的应急预案很重要，目前国家的相关规范已经下发，同时要有应急资源的支撑，以及应急的控制联络手段的落实。

建立应急预案和灾备对策分系统目标、规划、对策、组织、保障、培训等，要全面进行。要对应急和灾备预案进行检验和演练，可包括呼叫演练、模拟模拟、实战演练等。重要的业务系统的应急和灾备实战演练，每年都需要做一次应急实战演练，以保证应急预案的可操作性和严谨性。

灾难备份最基础的是数据级灾备，有条件的应尽快建立应用级灾备，国家已出台了GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》，企事业单位可根据自身需求，选择合适的等级。

总之，构建信息安全的全局对策，是保证信息系统安全运行和业务持续性的重要抓手，这是政府部门和企业安全的需要，是国家和社会的需要，需要认真对待和实施。

（本文由许艺川和边缘根据对曲成义的采访整理而成）

相关文章

• (2008-08-21 16:56:00)·项立刚：无线城市是政府“政绩工程”
• (2008-06-17 17:27:00)·国外做SaaS卖到50美元一个月
• (2008-06-03 10:59:00)·中国电信1100亿收购价格并不高
• (2008-05-13 11:09:00)·拒绝展讯是凯明拒绝了最后的机会
• (2008-05-13 11:02:00)·合法免费软件安装不应计入盗版
• (2008-04-25 10:40:00)·王志东：平台化是下一代IM的DNA
• (2008-04-25 10:10:00)·信息化成功要素：完善推进体制