信息安全的理解和全局对策 -案例-ISO27001信息安全|内审员培训|内审员资格证|内审员考试|iso内审员|iso9000内审员--全国注册内审员培训网

面对信息化的高速发展，信息安全面临着极其严峻的形势。对此国家信息化专家咨询委员会曲成义老师，跟我们分享了他的见解：

(一)、要重视“信息安全”的四大特征和难点

1、被“信息安全”保护的对象(网络信息系统)是一个“复杂巨系统”，它包括了大量的软件和硬件的IT产品;一个跨部门和跨地域的网络通信系统;一套组织管理和标准规范的机制;一个机房、电力和安保的物理环境;一批运维、管理和应用的人群;大量珍贵和敏感的信息资源。这些都与部门业务紧密耦合，运作协调机制复杂。要保护这个“复杂巨系统”的安全，使其保证部门业务的可持续性，就带来了巨大的艰巨性。

2、社会正在对“网络信息系统”形成强烈的依赖，信息安全使命艰巨。随着信息化的快速发展，信息化已快速融入到政治、经济、文化、军事、社会的各个领域，如电子政务、电子商务、数字企业、数字社区、远程教育、网络银行等，使整个社会对网络信息系统形成了强烈的依赖，如果由于信息安全原因，使系统瘫痪不能提供服务，给社会造成的影响将是严重的，一些重要领域想恢复原手工操作模式已成为不可能，这种严重后果必须要有清醒的认识。

3、信息安全是一种高技术的对抗。

信息安全的威胁方(黑客、病毒、间谍软件……)正在利用高技术手段，对网络信息系统实施侵入、干扰、窃取和破坏，而其使用的高技术手段不断花样翻新和日新月异，如“病毒”利用系统的漏洞侵入和泛滥，十年前从寻找漏洞到病毒入侵系统和泛滥，需要几个月或一年的时间，而现在可能只需要一天，即称为“零日攻击”。“间谍软件”潜入系统窃密途径，DDOS拒决服务攻击方式等都在快速的利用高技术手段，因此防护者也必需要采用高技术手段，要高于它才能奏效，对于这场高技术对抗的艰巨性必须要有充份的认识。

4、信息安全的攻守双方严重的不对称，易攻难守。

网络信息系统是在为全社会各领域提供信息及其服务，其大部分资源和服务是暴露在明处，而攻击者是在暗处，它较易捕捉你的弱点，伺机侵入、潜伏、窃取和破坏，使信息安全保护者处于被动地位。

(二)、认真落实信息安全的重要使命

信息安全要创建“四种能力”：

1、构建完善的信息安全基础设施，为信息安全提供公共的支撑能力。如建立由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。

2、提升信息安全的防护与对抗能力。信息安全的攻与防是一个过程，要从预警、监测、防护、恢复、反击等过程中各个环节都要采取有效的对抗手段，才能奏效。

3、信息安全是一种高技术的对抗。

建立应对网络突发灾难事件的应急和容灾能力。当网络突然灾难事件来临时，要启动应急预警，采取灾难恢复机制，即使在全系统毁灭的情况下，也能在异地即时恢复信息系统的使命，保持业务的可持续性。

4、强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性，可靠技术手段是不能完全奏效的，必须要动用管理可控手段，双管齐下，所以信息安全的对策是技术与管理手段并用。

信息安全要保障信息及其服务具有“6性”：

信息的“保密性”、信息的“完整性”、系统及服务的“可用性”、信息内容及立体行为的“可核查性”、主客体身份的“真实性”，主体行为和信息内容的“可控性”。

(三) 、果断推进，信息安全的全局对策

1、落实信息安全的等级保护制度

认真落实国家的相关信息安全的等级保护制度文件，根据网络信息系统使命的重要性，信息系统资产价值和对社会的影响程度，确定信息系统相应的安全等级，其目的是在信息安全投入(资金、人力、资产……)与系统所能承受最小风险之间找一个科学的平衡点，保护国家、社会和业主的最大利益。

2、构建网络信息系统的“信息安全保障体系”

根据信息系统的安全等级，依据国家已发布的相关标准和规范，构建或者调整网络信息系统的信息安全保障体系，在信息安全保障体系建设或调整中，在作好信息系统安全需求分析的基础上，要重点抓好：①、网络纵深防御体系的设计，安全域的科学划分和安全边界的有效隔离。②、网络动态防护机制设计，安全机制能在安全对抗的全生命周期过程中有效协同和对抗。③、建设好基于密码技术的网络信任体系，包括身份认证，授权管理和责任认定。④、强化内部审计，从网络级、数据库级、系统级、主机级和介质级的全局审计入手，并逐渐使审计点前移。⑤、建设好信息系统的“信息安全管理体系”(ISMS)，遵从PDCA模型，不断优化ISMS。

3、抓好信息安全测评的风险评估工作

鉴于网络信息系统是一个“复杂巨系统”，其信息安全检测与风险评估就是一项“系统工程”，在重视培育自评估能力的同时，要重点通过专业的第三方(行政检查评估或服务委托评估)，即时发现隐患，采取对策，调整系统，提升强度，与所确定的安全等级相匹配。

4、重视应急预案建立与灾难恢复系统建设

国家已发布了网络信息系统应急与预案的相关文件，以健全在网络突发事件中网络信息系统的应急对策，提升系统的应急能力。作力应急恢复的最后一道防线，要对“灾难恢复”即早作好准备，有备无患。国家已出台了有关灾难恢复的相关文件和标准规范，在认真作好需求分析的基础上制定好应急预案，建设好灾难恢复系统，以保障系统业务的可持续能力。

总结

曲老师站在全局的高度，深刻的剖析了信息安全的特征和难点，点出了信息安全的重要使命，并从信息安全的顶层设计出发，总结出四项全局对策，值得我们认真品味和思索。曲老师认为：信息安全的最终目标，就是要使信息化更安全的融入到社会各行业和各领域中去，以保障国家信息化更健康快速的发展，推进国家的兴旺与强大。