《祖國(guó)》/楊晨

曲成義

當(dāng)前，信息化已經(jīng)遍布國(guó)家社會(huì)的方方面面，網(wǎng)絡(luò)信息安全關(guān)乎國(guó)家政治、經(jīng)濟(jì)、軍事、文化乃至國(guó)民生活的各個(gè)領(lǐng)域，信息化的融合發(fā)展在各個(gè)領(lǐng)域、各條戰(zhàn)線不斷深化，信息化與工業(yè)的融合越發(fā)緊密，對(duì)工業(yè)化的發(fā)展起到了巨大的催化作用?？梢哉f工業(yè)化時(shí)代的各個(gè)領(lǐng)域，信息化帶來的是各領(lǐng)域的倍增效應(yīng)。筆者曾帶著相關(guān)話題專訪著名信息安全專家、國(guó)家信息化專家咨詢委員會(huì)委員曲成義，他認(rèn)為：在信息化不斷加強(qiáng)的當(dāng)今社會(huì)，任何信息化危機(jī)的發(fā)生，都會(huì)對(duì)社會(huì)造成很大風(fēng)險(xiǎn)。因此需要進(jìn)一步加強(qiáng)信息化的全局和安全規(guī)劃。

網(wǎng)絡(luò)安全的保障直接決定國(guó)家機(jī)關(guān)的穩(wěn)定運(yùn)行，國(guó)家的電子政務(wù)一旦出現(xiàn)任何風(fēng)險(xiǎn)，都會(huì)對(duì)國(guó)家的發(fā)展帶來很大的損害。例如：民航受到攻擊，則飛機(jī)無法起飛；核電站受到攻擊，則可能產(chǎn)生重大的核泄漏風(fēng)險(xiǎn)；政府機(jī)關(guān)的政務(wù)受到攻擊，則可能造成大量國(guó)家機(jī)密文件的泄密事件發(fā)生，甚至造成政府的業(yè)務(wù)中斷，政府的公信力就會(huì)受到重大影響……

如何在重大風(fēng)險(xiǎn)甚至是災(zāi)難發(fā)生的情況下，保障信息不中斷的傳輸，使國(guó)家部門企業(yè)運(yùn)行正常運(yùn)轉(zhuǎn)，是一個(gè)很重要的課題。信息化已經(jīng)在我國(guó)發(fā)展多年，我們要站在全局規(guī)劃的高度上，對(duì)信息安全建設(shè)進(jìn)行完整的構(gòu)想和實(shí)施。

信息安全總體規(guī)劃四要點(diǎn)：

其一，做好信息安全的等級(jí)保護(hù)制度的落實(shí)。

通俗地說，信息安全等級(jí)保護(hù)制度就是要在你的信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)和你的信息系統(tǒng)的投入之間尋找到一個(gè)平衡點(diǎn)。包括資金、人力、資源的各種投入都要形成一種平衡狀態(tài)。因?yàn)樵谥袊?guó)目前的狀態(tài)下，資金的投入一定是受到一些限制的，因此我們需要在業(yè)務(wù)信息系統(tǒng)的構(gòu)建和資金投入之間找到合適的點(diǎn)。

其二，建立健全信息安全保障體系。

信息安全保障體系的建立分為技術(shù)保障體系的建立和管理保障體系的建立。先說技術(shù)保障體系的建立。信息安全技術(shù)保障體系的建立包括4 個(gè)要點(diǎn)。

第一， 要做好縱深防御工作。這包括4 點(diǎn)：做好信息安全域的科學(xué)劃分；要做好安全邊界的防護(hù)和控制，這包括物理隔離和邏輯隔離兩種手段；要做好信息安全設(shè)施在縱深多級(jí)上的部署；要做好公眾信道的安全保障工作。要使信息安全機(jī)制形成綜合集成的安全管理和聯(lián)動(dòng)。

第二， 要建立動(dòng)態(tài)防護(hù)策略。任何攻擊都是一個(gè)過程，要在各環(huán)節(jié)部署有效的對(duì)策，要對(duì)外界的攻擊有檢測(cè)、預(yù)警、監(jiān)控、抑制、診斷、恢復(fù)和容災(zāi)的動(dòng)態(tài)機(jī)制，在整個(gè)的動(dòng)態(tài)防御流程中，保證信息傳輸?shù)恼＿\(yùn)營(yíng)。在綜合攻擊情況下，任何單點(diǎn)的靜態(tài)的防御效果都不大。

第三， 要加強(qiáng)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系建設(shè)。網(wǎng)絡(luò)信任體系的建設(shè)，要讓每個(gè)人都能夠證明自己的身份。其中包括身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等幾個(gè)環(huán)節(jié)。網(wǎng)絡(luò)信任體系是要通過規(guī)范操作，確認(rèn)責(zé)任，防止違規(guī)。

第四， 強(qiáng)化系統(tǒng)內(nèi)部審計(jì)（內(nèi)控機(jī)制）。近些年來，企業(yè)或機(jī)構(gòu)內(nèi)部安全事件的數(shù)量已經(jīng)超過外部病毒、黑客攻擊等安全事件，這些內(nèi)部安全事件包括誤操作、違規(guī)操作和違法操作（內(nèi)部人員和外部人員互相勾結(jié)，違法泄漏公司機(jī)密）等。所以強(qiáng)化內(nèi)部審計(jì)，控制內(nèi)部員工對(duì)于內(nèi)部文件的接觸掌控是非常重要的。

內(nèi)部審計(jì)有事后審計(jì)、事中審計(jì)和事前審計(jì)。內(nèi)部審計(jì)的發(fā)展方向是審計(jì)點(diǎn)前移，即從事后審計(jì)向事中審計(jì)甚至事前審計(jì)轉(zhuǎn)化。

要形成全局范圍的審計(jì)系統(tǒng)。這包括網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)（數(shù)據(jù)庫(kù)和日志需要進(jìn)一步細(xì)化），系統(tǒng)流程和應(yīng)用的審計(jì)、主機(jī)審計(jì)、介質(zhì)審計(jì)等。

審計(jì)記錄要進(jìn)行安全加固，這也是對(duì)于系統(tǒng)管理員的一種控制，以防管理員對(duì)審計(jì)記錄進(jìn)行篡改。

總體上來說，在建立信息安全保障體系方面，我們不能單純搞技術(shù)，也不能單純搞管理。兩者必須緊密結(jié)合，技術(shù)和管理并重，共同構(gòu)建完善的保障體系。

其三，做好信息安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作。

風(fēng)險(xiǎn)評(píng)估包括檢查評(píng)估、自評(píng)估和委托評(píng)估。檢查評(píng)估是從領(lǐng)導(dǎo)層強(qiáng)制執(zhí)行的檢查，由國(guó)家機(jī)關(guān)的官方檢測(cè)，委托評(píng)估則是委托第三方進(jìn)行評(píng)估。

其四，及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件和災(zāi)難，做好系統(tǒng)應(yīng)急和災(zāi)備工作。

這類事件和災(zāi)難盡管發(fā)生概率較低，可一旦發(fā)生就是高風(fēng)險(xiǎn)。需要做好準(zhǔn)備。

網(wǎng)絡(luò)突發(fā)事件一般包括電子威脅類、物理威脅類和內(nèi)容威脅類等幾類。電子威脅類包括大規(guī)模病毒擴(kuò)散等，比如沖擊波等病毒；多年前病毒攻擊東京航空系統(tǒng)，結(jié)果日本航空公司大批飛機(jī)無法起降；美國(guó)8 大網(wǎng)站遭到了拒絕服務(wù)攻擊，結(jié)果CNN等網(wǎng)站受到很大損害。有的停頓達(dá)3 天之久，損失總額達(dá)到12 億美元。物理威脅類典型的例子就是“9·11”事件，當(dāng)時(shí)世貿(mào)大廈共有2200家公司，沒有備份沒有安全措施的公司受到慘重打擊，其中800家公司完全不可恢復(fù)，從此破產(chǎn)，而有應(yīng)急系統(tǒng)的企業(yè)基本都存活了下來。內(nèi)容威脅類事件則可能導(dǎo)致社會(huì)的不穩(wěn)定，甚至可能會(huì)影響到國(guó)家的穩(wěn)定。

“9·11”之前的10 年，美國(guó)世貿(mào)大廈曾經(jīng)發(fā)生過一次車庫(kù)爆炸，為此，紐約證券交易所拿出了災(zāi)難備份對(duì)策，包括遠(yuǎn)程恢復(fù)系統(tǒng)，結(jié)果在“9·11”發(fā)生之后，它的信息很快得到恢復(fù)。這就是災(zāi)備的重要性。因此，我們要建立關(guān)于災(zāi)難的網(wǎng)絡(luò)災(zāi)備對(duì)策。

建立國(guó)家規(guī)范的應(yīng)急預(yù)案很重要，目前國(guó)家的相關(guān)規(guī)范已經(jīng)下發(fā)，同時(shí)要有應(yīng)急資源的支撐，以及應(yīng)急的控制聯(lián)絡(luò)手段的落實(shí)。

應(yīng)急和災(zāi)備要系統(tǒng)目標(biāo)、有規(guī)劃、有對(duì)策、有組織、有保障、有培訓(xùn)。要對(duì)應(yīng)急和災(zāi)備工作進(jìn)行檢驗(yàn)和演練，這包括呼叫演練、模擬、實(shí)戰(zhàn)演練等。重要的業(yè)務(wù)應(yīng)急和災(zāi)備工作，每年都需要做一次應(yīng)急系統(tǒng)操作演練。

在制定應(yīng)急預(yù)案方面，最后一道環(huán)節(jié)就是遠(yuǎn)程備份。應(yīng)急要有異地備份系統(tǒng)，防止單點(diǎn)被徹底摧毀的重大災(zāi)難發(fā)生的時(shí)候無計(jì)可施。