目前,我国国民经济和社会信息化进程全面加快,信息技术得到广泛应用,网络与信息系统的基础性、全局性作用进一步增强,成为国家的关键基础设施。随着信息化的发展,信息安全问题日益增加、日渐突出。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响网络的正常秩序,损害人民群众的利益;网上色情、暴力等不良和有害信息的传播,严重危害青少年的身心健康;针对网络和信息系统的破坏活动以及网络与系统自身的问题,严重影响着通信、金融、能源、交通等关键基础设施和基础产业的正常运转;境内外敌对势力利用网络与信息技术手段所进行的反动宣传、渗透和攻击,对社会政治稳定造成威胁。
总之,信息安全已经不仅是一个技术问题、业务工作问题,也不仅是信息化本身的问题,而且事关国家经济安全、社会稳定,是国家安全的重要组成部分。必须从促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,充分认识加强信息安全保障工作的极端重要性,增强做好这项工作的紧迫感、责任感和自觉性。
近年来,我省信息化步伐加快,互联网、电子政务发展较快,电子商务也已经起步,信息产品生产蓬勃发展。但是,在信息化的进程中,也存在重信息化建设、轻视信息安全,重发展、轻管理的问题。信息安全基础设施建设滞后,缺乏健全的信息安全领导和管理体制、运行机制,人们的信息安全意识还比较淡薄;一些地方的电子政务建设规划方案没有考虑信息安全设施,部分已经建成的重要信息网络没有安全保障设施和安全管理手段,长期处于“裸网”运行状态。由于信息安全问题没有得到较好解决,一些单位建成的网络也不敢广泛、深入使用,信息不敢上网,业务不敢在网上处理,网络之间拒绝互联,资源拒绝共享,形成一个个“信息孤岛”,造成大量资源浪费,降低信息网络使用效益,影响人们对信息网络发展前景的信心,制约着我省信息化的发展。做好信息安全保障工作势在必行。
正确处理信息化发展与信息安全的关系是前提。信息化与信息安全是相辅相成、相互促进的,如果信息安全得不到保障,有价值的信息不能上网,可以利用网络处理的业务不能用网络来处理,重要的资料不敢在网上传递,就难以发挥信息化巨大的效益,信息化发展就会受到严重制约。同时,信息安全也要有利于促进保障信息化发展,不能以牺牲信息化发展来换取信息安全。采取不上网、不共享、不互联互通,或者片面强调建设专用通信网等封闭的方式保安全,不仅仅严重影响信息化发展,而且也不可能从根本上解决信息安全保障问题。实践证明,只有大力发展信息化,才能为解决信息安全问题提供物质、技术保障和实践经验,才能有力推动我省信息安全保障工作;也只有高度重视和切实加强信息安全保障工作,才能促进信息化的健康发展。
建立健全信息安全领导和管理体制是重要保证。信息安全涉及管理、执法、技术等众多领域,必须建立由信息部门牵头,保密、公安、安全、密码等多个部门参加的领导和管理体制,综合协调全省信息安全工作。各地区也要根据自己的实际,建立相应的领导和管理体制,负责本地区信息安全保障的综合协调工作,建立并认真落实信息安全责任制。信息安全是一项系统工程,要根据系统的层次性,合理确定各个部门管理的职责范围,明确权限,减少交叉,使各个部门工作在不同的管理层面上,各司其职,勇于负责。同时搞好各层面的协调配合,避免推诿和扯皮,确实建成科学的决策机制、高效的运行机制。要加强信息安全制度建设,提高依法管理水平。信息安全是随着信息化发展而发展的,虽然过去我省在信息安全某些方面形成了一套行之有效的制度,但是有些已经不完全适应形势发展的需要,必须进行修改和清理。要加强管理。从长远看,解决信息安全问题要靠信息安全高技术和产品,这是信息安全保障的物质基础,也为信息安全管理提供手段和支持,从而大大降低管理成本,提高管理效率。要看到,科学管理是信息安全技术转化为信息安全保障能力的必要条件,是弥补技术不足的重要途径。必须充分发挥我们的政治优势、制度优势,通过科学管理,增强人们的信息安全意识,激发人们积极投身信息安全保障工作,把搞好信息安全变成大家的自觉行动,以堵塞信息安全漏洞,消除隐患,弥补技术上的不足。
实行等级保护是重要思想方法和工作方法。必须抓住重点。信息安全工作不但要讲安全效益,还要讲安全成本,这在经济欠发达地区显得尤为重要。涉密等级高的信息,安全资料配置少了,就会产生安全隐患;涉密等级低的或者根本不涉密的信息安全资源配置多了,就会增大建设成本,造成浪费,而且还会降低信息系统的可靠性,甚至降低系统工作效率。要认真研究安全与成本的关系,坚持从实际出发,保障重点,综合平衡建设成本和安全风险,区别不同情况,分级、分类、分阶段进行信息安全建设和管理,科学地配置安全资源,争取安全绩效最大化。当前,要抓紧制定我省的信息安全等级保护的管理办法和实施指南。
积极开展信息安全风险评估和检查,提高信息安全工作的针对性。信息系统的安全风险,是来自人为或者自然利用系统存在的脆弱性造成的安全事件。信息安全评估是根据国家有关信息技术标准对信息系统处理、传输和存储的信息的保密性、完整性和可用性等进行科学、公正综合评估的过程。主要评估信息系统的脆弱性面临威胁时产生的实际负面影响,发现隐患和漏洞,找出薄弱环节,从而有针对性地进行建设和管理。要根据国家的信息系统风险评估标准,结合实际,制定贵州省基础信息网络和重要信息系统风险评估规范,并对重要信息系统和网络的安全性进行评估,对重要信息网络和系统的建设方案的安全性进行审核。根据风险评估结果,进行相应的信息安全设施建设和加强相关方面的管理,特别是涉及国家秘密的信息系统,要按照党和国家的有关规定进行保护。对涉及国计民生的重要信息系统,要进行专项的信息安全检查,发现隐患,督促整改。
加快以密码技术为基础的信息保护和网络信任体系建设,为搞好信息安全保障奠定坚实基础。随着信息化和网络应用的发展,面向商用和公众服务的密码需求日益增多。密码管理工作必须适应经济全球化和进一步开放的大环境,适应信息化发展的客观要求,按照“满足需求,方便使用,加强管理”的原则,建立健全我省的密码管理体制和管理法规。当前,一是要按照国家密钥管理基础设施的总体布局和我省电子政务内网、电子政务外网、电子商务的发展规划,统筹规划和建设应用于电子政务内网的贵州省密钥管理中心(PKI)和数字认证中心(CA),应用于电子政务外网和电子商务的PKI和CA。要建立健全有关的规章制度,规范PKI和CA的管理和运行。二是要结合我省信息化发展规划,制定我省密码使用发展规划,优化密码资源配置,同时提高依法管理密码的水平,做好密码法规宣传工作,促进密码生产、销售、使用规范化、制度化。特别是要运用市场机制、政策引导、政府采购,推动密码科研、生产,推出更多可供选择的密码技术产品和信息安全技术产品。
建立应急处置机制是重要环节。信息安全是相对的,绝对的安全是不存在的。也就是说,信息安全工作做不到不出事,但应力求在发生信息安全事故或事件时最大程度减少损失,尽快使网络和系统恢复正常。这就需要建立信息安全应急处置机制。
作者:任忠伟
