关于加强信息安全保障体系建设的建议
日期:2008-06-20 11:38:08  作者:王夏莲  来源:民建河南省委 

河南省电子产品质量监督检验所副所长  王夏莲    

 

 

随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为关系国家安全,社会稳定以及人民群众的切身利益的大事,成为信息化进程中的重大战略问题。中共中央关于构建社会主义和谐社会若干重大问题的决定中明确指出:增强国家安全意识,完善国家安全战略,健全科学、协调、高效的工作机制,有效应对各种传统安全威胁和非传统安全威胁,严厉打击境内外敌对势力的渗透、颠覆、破坏活动,确保国家政治安全、经济安全、文化安全、信息安全。近年来,国家相继出台了一些法规、规章、政策和标准,正在加强信息安全的监管,但信息安全形势依然严峻。

 一、信息安全所面临的形势和存在的问题

(一) 基础薄弱

我国信息技术产业基础相对薄弱,我们所面临的信息安全环境是:互联网是国际的,硬件、软件是进口的,甚至连包含“机密性、完备性、可用性、真实性和不可否认性”五大内涵的信息安全保障概念都是“舶来”的,国外少数发达国家还掌握了主要的信息技术产品和信息安全产品的核心技术,对我国形成技术优势和壁垒,使我国信息安全的主导权受到严重威胁。一些境外服务商在我进口的信息安全产品中安置技术后门,通过网络进行回传,以达到窃取情报的目的。很多技术网络、基础网络、服务网络的更新服务,远程服务,系统升级,现场维护,部件更换,风险评估等技术服务由外商提供,我方严重缺乏主动权和控制权,存在严重的安全漏洞和隐患。

(二) 网络犯罪活动愈演愈烈

1.病毒数量和种类持续增多

近年来,针对互联网络的犯罪活动愈演愈烈,各类病毒如勒索软件、网络银行盗号木马、蠕虫等等种类繁多,病毒的数量数以万计,并在不断增加。据国外统计,计算机病毒以10/周的速度递增,另据我国公安部统计,国内以4 -6/月的速度递增。根据江民病毒预警中心统计的数据,2006年全国共有19319658台计算机感染了病毒,感染计算机病毒种类为66606种。据瑞星全球反病毒监测网统计显示,2006年上半年具有盗取用户密码等隐私信息特征的病毒共计90,421个,占总病毒数量的75.7%

2.信用卡诈骗案不断增加

据公安部统计,2007年上半年,我国利用信用卡诈骗的案件立案数达到1171起,比去年同期上升了29%,涉及金额达到了4461.36万元,涉案金额比去年同期上升了9.9%

3.钓鱼网站层出不穷

在互联网设立假的金融机构、网站来骗取客户的银行卡号、密码,即俗称网络钓鱼。据“反网络钓鱼工作组(APWG)”统计,200510月至200610月,共收到“钓鱼”病毒报告266,469例。200610月我国的网络钓鱼网站占全球钓鱼网站的11.96%,名列全球第二位,位列美国之后。

4.黑客组织严密

黑客不光利用电子邮件和网站进行诈骗,还逐步形成了较为严密的组织,从恶意代码的制作,恶意代码的散布到敏感信息的窃取都有专人负责,网络攻击的针对性和定向性越来越强。

(三) 防御能力薄弱

随着政府电子政务工程的兴起,工作效率大幅提高的同时,也带来了网络安全问题。据信息产业部统计,2006年中国计算机病毒的感染率高达55%以上。根据美国CERT/CC统计,自1995年到2006年漏洞累计达到30,780个,2006年共报告漏洞8,064个,平均每天超过22个。据国家公安部调查结果显示,20055月至20065月,有54%的被调查单位发生过信息网络安全事故,其中,感染计算机病毒、蠕虫和木马程序的比例为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事故发生的最突出原因,占发生安全事件总数的73%

(四)灾难恢复体系不健全

自国务院信息化工作办公室出台《重要信息系统灾难恢复规划指南》以来,八大重点行业加强灾难恢复建设,各行业的灾难恢复建设陆续启动,然而,我国当前的灾难恢复体系基础仍然很薄弱,还存在一些亟待解决的问题,不仅有技术层面的缺陷,也有流程和人员方面的不足。据有关部门调查统计,我国仅有33%的企业为灾难恢复行动准备了预算;66%的组织定期检查备份数据的正确性;65%的业务连续计划(BCP)包含应对媒体的政策;1/3的计划没有考虑业务功能的恢复次序;75%的容灾环境配置没有与生产环境配置完全同步;在开发业务连续计划(BCP)和灾难恢复计划(DRP)的过程中普遍缺乏高层人员的参与,仅有25%的组织安排有针对全体员工的业务连续性培训等。这些问题可能导致的直接后果就是当发生灾难时,无法实现应用系统的快速恢复,甚至可能导致业务运转的长时间灾难性中断。

(五)信息安全知识缺乏、意识淡漠、管理不善

内部网和互联网界定不清,移动硬盘、笔记本电脑等移动载体管理不严,造成失密事件时有发生。有数据显示,高达63%的网络安全事故是因为人为错误所引起,而造成人为引起网络事故的根本原因,是网络使用者的知识和安全意识缺乏,有关部门管理缺失。

(六)信息安全法律体系和服务体系不完善

1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》,2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,国家和地方的一些法规规章和标准相继出台,测评认证组织相继出现,经多年探索,信息安全法律体系和测评、认证、监控服务体系正在逐步建立。我省虽制定有政府规章,但还不够完善,也没有得到有效落实,虽成立有测评认证组织,但没有发挥出应有的作用。

(七)信息安全技术从业人员欠缺

整个国家各个层面的信息安全人才培养的总体规划还不够健全和完善,对信息安全技术队伍建设和人员培训工作的开展上重视程度不够,信息安全领域中人才的培养偏重具体技术,对整个信息安全的基本理念、基本认识不足,系统性、全面性、层次性不够,信息安全管理和应用技术人才的数量严重欠缺,信息安全人才的培养内容和培养深度也不能满足当前需要。

二、加强信息安全保障体系建设的建议

(一) 进一步提高对信息安全工作重要性的认识

当今时代,信息化的发展,正在对经济、政治、社会、科技、文化、教育等产生日益深刻的影响,同时也对信息安全提出了新的要求。应该说,信息化发展越深入,对经济社会发展影响越大,对信息安全的要求也就越高。各级领导要站在深入贯彻落实科学发展观、构建和谐社会的高度,进一步提高对信息安全工作重要性的认识。坚持一手抓发展,推动信息化进程,一手抓管理,建立高效、安全可靠的网络体系。通过各种形式,教育、引导全民提高信息安全意识,特别是提高公务员和重要行业领域工作人员的信息安全意识,促进经济、政治、文化、社会健康协调发展。

(二) 加快信息安全法律体系建设

为使我省的信息安全工作规范有序、有法可依,根据国家法律法规和发展战略,结合河南实际,建立健全法律法规体系。制定《河南省信息化条例》,促进包括信息安全在内的信息产业的发展,建立教育、科技投入、规范运行的良性发展机制;制定《河南省党政机关计算机网络安全管理办法》,建立信息安全风险评估制度,完善信息安全措施;广泛推行信息安全等级保护制度,建立全社会信息安全防控体系。同时要确保法律法规在各个层面都得到有效实施。

(三)建立健全信息安全保障工作机制

加大信息安全投入,加强信息安全基础设施建设,加大基础工作力度。政府牵头建立网络信任体系、信息安全测评和风险评估体系、网络监控和应急响应体系、信息安全灾难恢复体系,为政府部门、企业和社会提供各类信息安全基础服务。

(四)加快信息安全人才队伍建设

加强信息安全保障工作,必须有一批高素质的人才。支持我省大专院校网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍,为加强信息安全管理提供坚实的人才保障和智力支持。采取积极措施,吸引和用好高素质的信息安全管理和技术人才。加强信息安全宣传教育和网络文明建设。尤其要重视对各级领导干部、公务员和关键岗位人员的信息安全培训,规范网络行为。

总之,要保证信息系统更好地为经济、政治、文化和社会发展服务,必须建立健全信息安全保障体系。