面對資訊化的高速發展,資訊安全面臨著極其嚴峻的形勢。國家資訊化專家咨詢委員會曲成義站在全域的高度,深刻剖析了資訊安全的四大特征和難點,指出了資訊安全需創建的四種能力和“六性”,并從資訊安全的頂層設計出發,總結出四項全域對策。
一、資訊安全要創建“四種能力”
1.構建完善的資訊安全基礎設施,為資訊安全提供公共的支撐能力:如建立由數字認證、安全測評、網路監控、事件通報、應急支援、災難恢復、輿情治理等資訊安全基礎支撐平臺和支撐體系。
2.提升資訊安全的防護與對抗能力:資訊安全的攻與防是一個程序,要在預警、監測、防護、恢復、反擊等程序的各個環節都采取有效的對抗手段,才能奏效。
3.建立應對網路突發災難事件的應急和容災能力:當網路突然災難事件來臨時,要啟動應急預警,采取災難恢復機制,即使全系統毀滅,也能在異地即時恢復資訊系統的使用,保持業務的可持續性。
4.強化資訊安全管理可控能力:鑒于資訊系統的復雜性和使用行為的多樣性,單靠技術手段是不能完全奏效的,必須動用管理可控手段,雙管齊下,所以資訊安全的對策是技術與管理手段并用。
二、資訊安全要保障資訊及其服務具有“六性”
這“六性”包括:資訊的“保密性”、資訊的“完整性”、系統及服務的“可用性”、資訊內容及主體行為的“可核查性”、主客體身份的“真實性”,主體行為和資訊內容的“可控性”。
三、果斷推進資訊安全的全域對策
1.落實資訊安全的等級保護制度
在資訊安全投入(資金、人力、資產等)與系統所能承受的最小風險之間找到科學的平衡點,保護國家、社會的最大利益。
2.構建網路資訊系統的“資訊安全保障體系”
根據資訊系統的安全等級,依據國家已發布的相關標準和規范,在作好資訊系統安全需求分析的基礎上,構建或者調整網路資訊系統的資訊安全保障體系,重點抓好:①網路縱深防御體系的設計、安全域的科學劃分和安全邊界的有效隔離;②網路動態防護機制設計,安全機制能在安全對抗的全生命周期程序中有效協同和對抗;③建設好基于密碼技術的網路信任體系,包括身份認證、授權管理和責任認定。④強化內部審計,從網路級、資料庫級、系統級、主機級和介質級的全域審計入手,并逐漸使審計點前移;⑤建設好資訊系統的“資訊安全管理體系”(ISMS),遵從PDCA模型,不斷優化ISMS。
3.抓好資訊安全測評的風險評估作業
鑒于網路資訊系統是一個“復雜巨系統”,其資訊安全檢測與風險評估是一項“系統工程”,在重視培育自評估能力的同時,要重點通過專業的第三方(行政檢查評估或服務委托評估),即時發現隱患,采取對策,調整系統,提升強度,與所確定的安全等級相匹配。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/81985.html
標籤:網絡通信