我国信息安全管理的现状、问题及其对策
摘要:信息安全是
国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状,并着重讨论了加强信息安全管理的策略。
关键词:信息安全;管理;现状;策略
信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中,一方面信息已经成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞, 以及大量存在于组织内外的各种威胁, 因此对信启、系统需要加以严格管理和妥善保护,信息安全管理也随之产生。
1、国内信息安全管理现状
1.1在国家宏观信息安全管理方面的问题
(1)
法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。我国已建立了法律、
行政法规与部门规章及
规范性文件等三个层面的有关信息安全的法律法规体系,对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷,一是现有的法律法规存在不完善的地方,如法律法规之间有内容重复交叉, 同一行为有多个行政处罚主体,有的规章与行政法规相互抵触,处罚幅度不�6�8一致;二是法律法规建设跟不上信息技术发展的需要,这主要涉及网络规划与建设、网络管理与经营、
网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、
风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问,要有明确的分工,以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度,即进行制度建设,以保证信息安全。如对人的管理,需要解决多人负责、责仔到人的问题,任期有限的问题,职责分离的问题,最小权限的问题等。有了组织机构和相应的制度,还需要领导的高度重视和群防群治,即强化人员的安全意识,这需要信息安全意识的教育和培训,以及对信息安伞问题的高度重视。
(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问,
国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目;2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求:电信产品软件商不能在软件上预留“后门”,外国供货商不能远程登录
中国电信商的操作系统,高级 管系统要用国内可靠机构开发的软件产品。
1.2我国在微观信息安全管理方面存在的问题主要表现
(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足,或者仅局限于IT方面的安全,没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息
安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。
(2)重视安全技术,轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统,以提高组织效碍暑与竞争能力,但相应的管理措施不到位,如系统的运行、维护和开发等岗位不清,职责不分,存在一人身兼数职现象。
(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法,出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。
2、国外信息安全管理现状
国际上信息安全管理近几年的发展主要包括以下几个方面。
(1)制订信息安全发展战略和计划。制订发展战略和计划是
发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。
(2)加强信息安全立法,实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站,美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美
参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月,俄罗斯实施了关于网络信息安全的法律。
(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用,系统管理的思想在其他管理领域也被借鉴与采用,信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,该标准于2000年被
国际标准化组织认可为国际标准ISO/IEC17799。现在该标准已引起许多国家与地区的重视,在一些国家已经被推广与应用;组织贯彻实施该标准可以对信息安全风险进行全面系统的管理,从而实现组织信息安全。与此同时,其他国家以及组织也提出了很多与信息安全管理相关的标准。
3、加强信息安全管理的策略
随着国民经济和社会信息化进程的全面加快,信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看,当前,我国的信息安全管理工作尚处于起步阶段,基础薄弱,水平不高,存在许多亟待解决的问题,我们要以全局性的眼光,加强信息安全的组织管理工作。
(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构,成立有高度权威的国家信息安全委员会,作为国务院信息化领导小组的常设委员会, 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状;二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;三是尽早建立省、市两级比较完善的信息安全领导管理体系, 以便积极调动各种资源主动配合和协调信息安全保障工作,形成纵横结合的信息安全协调与信息共享机制; 四是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;五是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息
安全员,把信息安全责任真正落实到人。
(2)加强信息安全法制建设,为信息安全管理提供执法依据。作为信息安全保障体系的重要部分,相关法律法规和标准体系的建设已经势在必行。下一步,应着力建立健全信息安全法律法规体系;同时,要注重和加强信息安全执法队伍的建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使权力和履行职责,保护企业和公民的合法权益,打击网络违法犯罪;各有关主管部门和运营单位要积极支持执法机关工作,履行应尽的义务;
社会团体、企业和个人要认真履行法律规定的信息安全责任和义务,在信息网络环境中依法开展活动。
(3)采取有效措施,积极推进
信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求,即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度,分级采取科学、合理的保护措施;对于涉及国计民生的国家
关键信息基础设施应分级加以重点保护;适度保护,效费合理,避免盲目和浪费。国家实行信息安全等级保护,必须从总体战略角度考虑,把握关键环节,建立长效保护机制。当前,信息安全等级保护的试点工作已积累了一定的经验,为推动信息安全等级保护工作的伞面开展,应着力做好以下几个方面的工作:明确信息系统等级保护各方责任;制定各项信息安全等级保护管理制度;制定、完善信息安全等级保护管理规范和技术标准体系;依托社会技术力量,组建技术支撑体系;研制开发信息安全等级保护备案、检测、评估信息系统和技术
工具;加强宣传、培训工作等等。
(4)努力探索,创立新形势下的信息网络违法犯罪防范打击体系。近年来,我国在打击网络违法犯罪方面做了大量的工作,也取得了很火的成绩,但是随着信息技术的不断发展,网络违法犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立健全信息网络违法犯罪防范打击体系, 以执法职能部门为主体,动员社会各方力量,运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系,提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设:一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。