[摘要]“十一五”期间,电子政务和社会信息化建设带动了企业信息化发展。工商、税务、社保、医保和金融等部门的互联互通,使得电子商务成为其代表性的应用领域。信息安全问题已成为了我们在每天工作和生活中必须面对的和不容忽视的问题。塑造安全金刚身在较高的信息安全保障需求下,安全的金刚之身如何塑造?在高技术与强对抗安全
“十一五”期间,电子政务和社会信息化建设带动了企业信息化发展。工商、税务、社保、医保和金融等部门的互联互通,使得电子商务成为其代表性的应用领域。
在较高的信息安全保障需求下,安全的金刚之身如何塑造?在高技术与强对抗安全策略中,终端隔离、信道隔离、网络与服务器隔离等多种技术已被运用于政务内外网的构建过程中。
对于政务内网,即政府部门内部的关键业务管理系统和核心数据应用系统,需要采用包括身份鉴别、访问控制、特殊协议和通讯技术、数据保密、数据完整、数据校验、防止否认、审计管理、可用性和可靠性等安全措施。
对于政务外网,即政府部门内部以及部门之间的各类非公开应用系统,需要CA认证、加密传输、防火墙技术、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等安全技术,包括公钥管理基础设施(PKI)、密钥管理基础设施(KMI)和授权管理基础设施(PMI)。
对于与互联网相连的外网,主要负责面向社会提供一般应用服务及信息发布。在安全技术方面,以防火墙、代理服务器、入侵检测等手段进行逻辑隔离,阻止黑客和内部用户的入侵和破坏,满足信息安全要求。但是,这样的安全防范措施也面临着难以解决进口计算机核心软硬件的后门和漏洞等问题。
管理与技术向来是信息安全防护体系不可偏废的两方面。具体表现在电子政务的建设过程中,对技术理论的过分关注导致了目前信息安全管理乏力的局面,其系统化有待加强完善,管理效力有待加强。
目前我国的信息安全管理,依靠传统的管理方法和手段来实现,缺乏现代的系统管理技术,手段有限。
国际标准BS7799和ISO/IEC17799是目前流行的信息安全管理体系标准,对于我国加强信息安全工作有重要的积极意义。该标准的管理目标为数据的保密性、完整性和可用性要求,具有自组织、自学习、自适应、自修复、自生长的能力和功能,保证持续有效性。通过“计划、实施、检查、措施”四个阶段周而复始的循环,应用于其整体过程、其他过程及其子过程,为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便,在模式和方法上都兼容,成为统一的内部综合管理体系。这一管理体系标准按照可信网络架构方法,编制信息安全解决方案,实现多层防范、多级防护、等级保护、风险评估和重点保护。
当前,信息安全面临着诸多的问题。首先,信息安全建设资产金额的投入力度不够。信息化投入占总资产的0.75%,与国外大企业一般8%至10%相差甚远。
其次,国内IT产业和信息安全技术的产品结构不合理、基础薄弱、技术水平低,不能够满足信息化建设需求,很多高端技术和产品受控于国外企业。
当安全系统建设开始从网络层面向应用层内容建设过渡时,内容安全市场迎来了新的增长点。通过内容安全设备,如互联网控制网关,用户都能够降低安全风险、杜绝不良信息、节约网络资源、提升工作效率,从而约束和管理人们的网上行为,抵达安全效果。
信息安全问题也是信息产业的安全问题。除了需要在计算机网络的应用层研发和推广网络安全产品以外,需要在网络层和协议层等技术底层研发具有自主知识产权的关于管理和通信等协议的网络安全产品,构建基于TCP/IP等协议构架上的Internet/Intranet网络安全体系,研发具有自主知识产权的基础软件,建立信息安全的(软件)产业基础。鼓励和发展具有自主知识产权的软件产业和集成电路产业,建立信息安全的基础产业。
网络的应用使得信息安全问题成为了迫切地需要解决的复杂:具体且现实的问题。健全政策法规、建设网络环境、净化网络行为、规范安全标准、搭建产业基础、推进基础产业、强化技术保障、完善信息安全基础设施等方面工作,将成为今后信息化建设和信息安全保障工作的基础性因素。