《我看信息安全治理52》由会员分享,可在线阅读,更多相关《我看信息安全治理52(53页珍藏版)》请在金锄头文库上搜索。
1、我看信息安全治理,宁家骏 (国家信息中心) 2005。8,汇报提纲,背景 对信息安全治理的初步理解 信息安全治理的目标和原则 信息安全治理的具体实施设想,一、背景,近年来,我国信息产业持续快速发展,信息产业在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。 各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精
2、神文明建设的全局性问题。,信息化有力地推动我国经济与社会的进步,在基础电信网络和信息服务的支撑和拓展下,由数十万个网站、数亿通讯用户和和近亿网民构成的新兴网络社会形态雏形已显,并日益壮大。 政府主导的人民网、新华网等新闻网站和新浪、搜狐等商业性综合网站的设立和稳步发展,在传播重要信息、反映社情民意、引导社会舆论等方面发挥了积极重要的影响和作用。 在信息化迅猛发展的同时,我国信息网络安全事件和问题也日渐增多,技术与政治风险不断加大,引起党和政府高度重视与社会各界的普遍关注,确保国家信息安全已成为国家事务议程中的一个突出重要问题。,信息化风险日益为人关注,随着信息化的发展,信息化的风险与风险管理问
3、题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。,加强信息安全保障工作,落实27号文件,一手抓信息化,一手抓安全, 信息安全保障体系建设和逐步完善必须两手抓: 一手抓建设 一手抓治理,安全保障体系建设,安 全,成本 效率,安全 - 效率曲线,安全 - 成本曲线,要研究建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全不同的 电子政务应用系统,对于安全的要求不同,不是 “ 越安全越好”,信息安全的目标,信息安全的目标:“保护依靠信息的人、系统和传输信息的通讯系统不受损害,这
4、种损害来源于信息可用性、机密性和完整性的失效”。 可用性:信息在需要时可用和有用,提供信息的系统能适当地承受攻击并在失败时恢复; 保密性:信息只能被有相应权限的人看到,或透露给他们; 完整性:未经授权,信息不能被修改; 真实性和不可否认性:组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。 可用性、保密性、完整性、真实性和不可否认性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境的不同而不同,例如,当信息影响与战略相关的关键决策时,管理信息的完整性就特别重要。,信息安全治理的产生背景,当今的全球化环境中,信息的重要性被广泛接受,信息系统在政府、企业、社会公众中得到了广泛
5、的应用。 目前各种非法势力针对政府信息系统安全的攻击越来越普遍。 信息安全是政府和社会各界必须携手面对的问题。政府和企业管理执行层有责任确保为所有使用者提供一个安全的信息系统环境 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。,信息安全问题属于复杂巨系统范畴,信息安全问题具有复杂巨系统的下属特点: 系统内子系统巨多 系统演化及系统行为都呈现出具有复杂性。有的层次结构及运行规律尚不十分清楚,或很不清楚,系统的功能和行为不是各子系统功能和行为的简单叠加或复合 自组织特性:具有多层次,而且每个层次都呈现系统的复杂行为;甚至可能还有意识活动参与到系统中。 开放特性:任何系统只要符合协议规范
6、,就可以没有任何限制地任意连入全球网络系统。 进入21世纪,网络技术的高速发展,使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局,已经全面映射到开放的互联网体系中,由此形成了一个社会、技术一体化的复 杂巨系统,复杂巨系统的问题需要综合治理,面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动!在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题, 深入学习理论,回顾实际运作经验
7、,使我们意识到要在复杂巨系统中理清思路,提高应急响应水平的新方法。 “开放的互联网符合复杂巨系统的所有特征,我们要用综合集成的思维方式,考虑应急响应的管理方法。”,信息安全治理是落实解决信息安全问题方法论的重要途径,面对信息安全复杂巨系统,必须实施信息安全治理 由于目前的应急管理无法适应复杂巨系统的要求: 缺少知识层次上的应急响应的全生命周期管理; 做出的应急计划都是线性、彼此完全分割的,只有任务的分解而没有综合集成,基本无法完成有效的应急响应。 必需随着过程、环境的变化而不断变化各类应急处理预案 解决复杂巨系统在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合。 落实综合集成的方
8、法论就要综合治理, 不仅靠一个部门或一个企业信息安全应急预案,而需要一个全球相互协作的体系,在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。 我国必须要建立自己的体系,并与全球的相关组织紧密合作,实现人机的协调从定性到定量的协调。,信息安全必须综合治理,信息安全事关国家安全, 信息安全无小事 解决信息安全问题必须高屋建瓴, 不能就事论事 解决信息安全问题必须建立通力协作的新机制,信息安全必须服务于发展,信息安全治理必须服务于信息化建设与发展 信息安全要求全民强化防范意识,国家主导、社会参与、行业自律,切实保障网络与系统的安全。 建立专业化服务机构,加强信息安全的社会保障。 以核心技术
9、攻关为重点,加大信息安全技术研发力度。,信息安全问题的特点、趋势及战略评估,我国信息化进程势头良好,信息安全问题日渐凸显 对我国信息安全问题需要结合国情、冷静分析 对我国信息安全威胁与风险需要不断进行综合评估。 解决信息安全问题需要综合治理,我国信息化进程势头良好,去年,电子信息产业对全国工业增长的贡献率超过17%,拉动全国工业增长16.8个百分点中的2.6个百分点,在所有工业部门中位居前列,成为国民经济第一支柱性产业。 累计进出口总额超过3500亿美元,进出口额超过1400亿美元和1500亿美元,实现贸易顺差74.7亿美元。 电子信息产业完成工业增加值在GDP的比重上升到4%,对国民经济增长
10、9.1%中的贡献率由2002年的0.39%上升到0.64%。 全国固定和移动电话用户总数达到5.4亿户,互联网用户、上网计算机、域名、网站总数分别增加到7950万人、3098万台、340040个、595550个。 今年我国电话普及率将超过40%,联网计算机将超过4000万台,互联网用户将超过2亿,上网人口普及率超过15%。,我国信息安全问题日益突出,1、病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势 2、境外民运、民族分裂主义和功等敌对势力利用信息通讯网络造谣诽谤、组织动员、煽动闹事,大搞破坏活动;西方反华势力加大对我意识形态和文化渗透,鼓吹利用互联网推进中国的民主、自由和人权。
11、3、不良和有害信息屡禁不止,利用信息网络技术从事犯罪活动日益猖獗,网络群体层出不穷,网上舆论传播直接影响社会稳定。 4、通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府的管理效率和公众形象。,信息安全风险的主要特征,全球性 传染性 复杂性 隐蔽性,我国信息安全环境的特点,(1)我国虽是一个信息大国,但不是一个信息强国。人口总量巨大、资源相对不足的基本国情决定了我国信息网络基础设施规模和网民数量将位居世界首位。但是,目前及今后相当长一段时间里,我国信息核心技术自主研发、信息化应用创新能力和信息内容建设的总体投入等方面,在一定程度上将受国内外条件和环境的制约。 (2)我国信息化发展存在
12、极大的不均衡性。发达地区和中西部地区、城市与农村存在着较大差距,信息安全问题的严重程度和紧迫性也因这些差距而有所不同。 (3)在信息流量和信息资源上外强内弱。最新的统计数据显示,我国与发达国家的“数字鸿沟”问题愈益突出,现实生活中西方发达国家对我进行政治、思想、宗教、文化等信息渗透将有增无减,防范压力增大。 (4)我国信息安全问题具有现实的错综复杂性。网络的互联性、开放性和信息传播性使得信息安全问题的非传统性特征十分明显,日益紧密地与社会热点问题、与重大国际热点问题、与各种不稳定因素和与信息化发展的不确定性相交织。,我国信息安全问题的发展趋势,随着经济与社会发展对于信息化的依存度日益增长,我国
13、信息安全面临的威胁也日趋现实和扩大化,威胁的对象将是国家信息基础设施、政府部门、行业和企业信息网络数据和管理系统,威胁的范围将包括政治、经济、文化、社会、军事等领域,信息安全问题发展趋势,安全将从互联网络扩大到我国基础设施网络,如政府网、通讯网、广电网、金融网、电力网、交通网等其他行业网络。 攻击和破坏将从出于个别人的好奇、单独行为和单一目标进而发展成为更多有组织、有预谋、有目的、有针对性的、多样化的活动。 影响将从局部扩散到更大范围,并产生连环效应,造成的损失会越来越大。由于信息安全问题具有很强的“不对称”特性,解决其安全问题的政治和经济成本也将日渐高昂。 社会组织形态与信息网络化结合,使传
14、统的和新生的危害国家安全和社会稳定的个人、群体和组织将更多地借助于网络,能够形成远比传统等级制社会组织形态更大的扩散力、活动力和影响力,从而引发的安全问题、造成恶劣影响的安全事件会不断增多。 信息网络的“无国界性”使其安全问题成为一个全球性的普遍问题,信息网络治理的“国别差异性”又会使信息安全问题成为政治、文化冲突的特殊问题。因此,这是一种危害性愈来愈大的非传统安全威胁。同时,它也必将被纳入到综合国力竞争与国际政治斗争之中。,可能直接危害国家安全的威胁性事态,信息安全威胁突出表现 信息网络媒体内容 信息网络技术层面。 信息安全威胁: 网络及信息系统出现大面积瘫痪; 网上内容与舆论失控; 网上信
15、息引发社会危机;有组织的网络犯罪等。 敌对方全面掌控互联网内容传播,入侵并控制信息系统造成被攻击方基础设施全面瘫痪, 发动信息网络战摧毁被攻击方的所有网络设施。,我国面临的信息安全问题的性质,我国面临的信息安全问题已不再是一个局部性和技术性的问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。 它不仅是一个“不对称”的高技术对抗问题,而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。 确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。,结合国情、冷静分析,信息化势头迅猛、信息安全问题层出不穷、信息安全问题又与国际形势变化和国家安全需求密切相关,向我们提出了一个迫切需要
16、解决的重大战略性问题,即如何切实保障信息网络安全以确保我国信息化建设快速、平稳、健康发展的良好势头,避免信息网络安全问题导致重大政治、经济和社会危机的发生。它也要求我们结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。,信息安全治理的定义,信息安全的目标是“保护依靠信息的人、系统和传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效”。 在不断变化的技术环境中,今天最好的安全措施在明天可能过时。安全措施必须紧跟这些变化,必须被作为系统开发生命周期过程整体的一部分加以考虑,并在过程的每一阶段明确定位。有效的安全需要主动及时的制度安排。,信息安全治理需要全社会关注,信息安全经常被看作只是一个技术问题,很少有组织认为其是组织必需的并优先考虑它。 从安全性角度而言,高层关注的目标包括以下几方面: 商务运作中断 法律责任和潜在诉讼 竞争力下降 品牌资产被损害,信息安全治理是我国信息安全保障体系建设的战略需求,通过信息安全保障体系建设 缓
