第8章 构建信息安全保障体系
8.6 国家信息基础设施
8.7 信息安全保障体系的建设
8.6 国家信息基础设施
8.6.1 信息基础设施
信息基础设施是指能以交互方式传送话音、数据、文本、图像、视像和多媒体信息的高速通信网及相关设施。
信息基础设施包括电信网、广电网、计算机网、大型数据库、支持环境等。
信息基础设施分国家信息基础设施(NII)与全球信息基础设施(GII)。
8.6.2 国家信息基础设施
“国家信息基础设施”一词是在1993年9月15日美国政府发表的“国家信息基础设施行动动议”这一文件中正式出现的。
与此同时,还出现了NII的同义词——信息高速公路,并在全世界掀起了讨论信息高速公路的滚滚热潮。建设信息高速公路曾被美国政府认为是掌握未来世界竞争先机的枢纽。
NII要求建成通达全国各地的信息高速公路,也即一个由通信网、计算机、信息资源、用户信息设备与人构成互联互通、无所不在的信息网络,通过它,为每个人及他(她)所用的信息设备提供接入NII的能力,凭借这种能力,可以把人、家庭、学校、图书馆、医院、政府与企业一一关联起来,可以获得各种各样公用和专用的信息资源。
8.6.3 国家信息基础设施的内涵
NII把一系列不断扩展的仪器设备,例如,摄像机、扫描仪、键盘、电话、传真机、计算机、交换机、高密度磁盘和光盘、声像带、电缆、电线、通信卫星、光纤传输线路、微波通信网、电视、监视器、打印机等,集成并互连起来为信息时代的各种技术进步用于公众而奠定各项基础。
信息本身:通过科学或商业数据库、电视节目、影像、录音、传感器数据、个人移动终端信息、图书档案及其他各种形式体现。
各类应用程序和软件:用户能借助于这些程序和软件去访问、处理、组织和提炼那些由NII设施提供的、随时可用的大量信息。
各种网络标准和传输编码:依靠它们实现网络间的互连和互操作,确保个人秘密和网络的安全与可靠。
人:从事数据处理和信息挖掘,开发应用程序,以及组建设备并提供服务和培训的各类人员。
8.6.4 国家信息基础设施的特点
(1)与距离无关;
(2)与地点无关;
(3)与时间无关;
(4)通信个人化;
(5)突出交互性,按需提供服务;
(6)人与机器之间的交互动作变得更加自然化。
8.6.5 高水准的国家信息基础设施
高水准的NII连接政府、学校、工厂、企业、图书馆、博物馆、科研机构等的信息数据,使一个国家的人们可以共享资源,使任何人在任何地点、任何时间都可以把信息传输给世界上的另一个人,使人们通过信息的交流相互合作,为全民提供随时随地随意的信息服务。
8.6.6 国家信息基础设施的未来
《国家重大科技基础设施建设中长期规划(2012—2030年)》提出,在信息技术方面,建设未来网络研究设施,解决未来网络和信息系统发展的科学技术问题,为未来网络技术发展提供试验验证支撑;适时启动新一代授时系统建设,支撑超精密时间频率技术开发,逐步形成高精度卫星授时系统和高精度地基授时系统共同发展的格局。
《国家重大科技基础设施建设中长期规划(2012—2030年)》明确指出,三网融合、云计算和物联网发展对现有互联网的可扩展性、安全性、移动性、能耗和服务质量都提出了巨大挑战,基于TCP/IP协议的互联网依靠增加带宽和渐进式改进已经无法满足未来发展的需求。为突破未来网络基础理论和支撑新一代互联网实验,必须建设未来网络的研究和试验设施。
8.6.7 广东省信息化发展纲要
广东省政府2013年5月10日出台了《广东省信息化发展规划纲要(2013—2020年)》。
《纲要》从新一代信息基础设施建设、信息技术创新与产业发展、信息化和工业化深度融合、信息化和城镇化加快融合、社会建设信息化、电子政务建设和应用、信息安全建设等多个维度阐释了加快信息化发展工作。
根据《纲要》,到2015年,全省信息化总体达到中等发达国家水平,珠三角地区信息化水平迈进世界先进行列;到2017年,全省信息化成果进一步巩固提升,物联网、云计算、大数据等新一代信息技术实现规模化应用,信息化发展接近世界先进水平。到2020年,全省信息化迈入世界先进水平,并将基本建成“智慧广东”。
“智慧广东”建设目标的明确,对信息通信技术行业的发展无疑是历史性的机遇。
2012年广东基础电信运营企业完成电信业务总量1780亿元,约占全国的13.7%。
广东的基础电信运营商也纷纷制订了规模庞大的信息化建设规划。“十二五”期间,广东基础电信企业信息化建设中投资将超过2000亿元。
8.7 信息安全保障体系
在大力开展信息化建设,推进国家信息基础设施的同时,构建信息安全保障体系的必要性日益突出。
随着信息化建设的不断深入,各国纷纷重视信息安全保障工作,从战略、组织结构、军事、外交、科技等各个方面加强信息安全保障工作力度。
8.7.1 美国信息安全保障概况
(1)1998年5月,美国克林顿政府发布了第63号总统令:《对关键基础设施保护的政策》。
(2)2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了在21世纪之初若干年的网络空间安全发展规划。
(3)2001年10月,美国911时间之后,布什政府发布了《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会(PCIPB)”,代表政府全面负责国家的网络空间安全工作。
(4)2003年2月,美国政府又发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务。
(5)2008年1月2日,美国发布国家安全总统令54/国土安全总统令23,建立了国家网络安全综合计划(CNCI)。计划建立三道防线:第一减少漏洞的隐患,预防入侵;第二全面应对各类威胁;第三强化未来安全环境。
美国信息安全保障的重点对象
美国明确将关键基础设施作为其信息安全保障的重点。
关键基础设施定义为关系到美国生死存亡的物理和虚拟的信息系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全产生严重影响。
目前美国的关键基础设施和主要资源部门包括:(1)信息技术;(2)电信;(3)化学制品;(4)商业设施;(5)大坝;(6)商用核反应堆、材料和废弃物;(7)政府设施;(8)交通系统;(9)应急服务;(10)邮政和货运服务;(11)农业和食品;(12)饮用水和废水处理系统;(13)公共健康和医疗;(14)能源;(15)银行和金融;(16)国家纪念碑和象征性标志;(17)国防工业基地;(18)关键制造业。
美国信息安全保障的组织机构
美国联邦政府负责信息安全保障工作的最高官员是网络安全协调官,负责领导白宫“网络安全办公室”,制定和发布国家信息安全政策。
美国信息安全管理部门包括:国土安全部、国家安全局、国防部、联邦调查局、中央情报局、国家标准技术研究所等6个机构,执行不同的分管职责。
同时,美国重视公私合作机构,包括国家基础设施顾问委员会、信息共享和分析中心、网络安全全国联盟等。
8.7.2 俄罗斯信息安全保障概况
俄罗斯信息安全重点保护对象包括:经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾难响应等。
俄罗斯的信息安全管理机构有:俄罗斯联邦安全理事会;俄罗斯联邦安全局;俄罗斯技术和出口控制局;俄罗斯联邦保卫局、信息技术和通信部。
俄罗斯制定了《俄罗斯国家安全纲要》,将其作为国家信息安全战略,工作中注重安全测评和实施信息安全分级管理。
8.7.3 日本信息安全保障概况
1999年,日本开始制定国家信息通信技术发展战略,拟定了《21世纪信息通信构想》和《信息通信产业技术战略》。
日本成立了“综合安全保障阁僚会议”,旨在从安全保障的角度将信息、经济、外交等政策统一起来,协调各有关行政机构的工作。
2000年6月8日,日本邮政省公布了《信息通信网络安全可靠性基础》。
8.7.4 国际信息安全保障发展趋势
在战略方面,发布网络安全战略、政策评估报告、推进计划等文件;
在组织方面,通过设立网络安全协调机构、设立协调官,强化集中领导和综合协调;
在军事方面,陆续成立网络战司令部,开展大规模攻防演练,招募网络战精英人才,加快军事网络和通信系统的升级改造,网络战成为热门话题;
在外交方面,信息安全问题的国际交流与对话增多,美欧盟友之间网络协同攻防倾向愈加明显,信息安全成为国际多边或双边谈判的实质性内容;
在科技方面,各国寻求走突破性跨越式发展路线推进技术创新,力求在科技发展上保持和占据优势地位。
8.7.5 我国信息安全保障体系
2003年,国家颁布了《关于加强信息安全保障工作的意见》(中办发【2003】第27号文,简称“27号文”),提出“共同构筑国家信息安全保障体系”的理念。
“27号文”提出要在5年内建设中国信息安全保障体系。“27号文”的诞生标志着我国信息安全保障工作有了总体纲领。
信息安全保障的定义
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
信息安全保障的总体要求
“27号文”指出:信息系统安全保障的总体要求是坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
信息安全保障的主要任务
(1)实行信息安全等级保护;
(2)加强以密码技术为基础的信息保护和网络信任体系建设;
(3)建设和完善信息安全监控体系;
(4)重视信息安全应急处理工作;
(5)加强信息安全技术研究开发,推进信息安全产业发展;
(6)加强信息安全法制建设和标准化建设;
(7)加快信息安全人才培养,增强全民信息安全意识;
(8)保证信息安全资金;
(9)加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
信息安全保障的主要原则
(1)立足国情,以我为主,坚持技术与管理并重;
(2)正确处理安全与发展的关系,以安全保发展,在发展中求安全;
(3)统筹规划,突出重点,强化基础工作;
(4)明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
中国工程院院士、著名的信息安全专家方滨兴曾指出:“我们国家的信息安全保障体系可以从五个层面解读,又可以称之为一二三四五国家信息安全保障体系”。
(1)一即一个机制:就是要维护国家信息安全的长效机制。
(2)二是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,优化配置。
(3)三是指三个要素:人、管理、技术。
(4)四是指四种能力:核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力。
(5)五是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、容灾备份。
国家信息安全保障的四种能力
(1)有一系列国家层面的基础支撑,数字证书、密钥管理、访问控制、网络应急和灾难恢复体系等;
(2)有信息安全法,有了这个核心法才能做一系列的工作,包括制订相应的制度;
(3)有舆情驾驭能力,引导网络舆论,关注网上热点话题,提高处置网络的能力;
(4)有国际影响力,在国际信息安全较量中体现出一个国家的信息安全影响力。
健全信息安全保障体系
党的十八大报告有19处提及信息、信息化、信息网络、信息技术与信息安全,并且提出了“健全信息安全保障体系”的目标。
信息化的发展与信息安全保障是密切相关的,两者相辅相成、密不可分,要以安全保障发展,在发展中求安全,没有安全保障的信息化必定是不能长久的。
小结
- 国家信息基础设施的概念
- 国家信息基础设施的内涵
- 美国信息安全保障的重点对象
- 信息安全保障的总体要求
- 信息安全保障的主要任务