今天的主题是电子政务深化应用,但如果安全问题搞不好,就深化不了。我今天讲一讲我们国家信息安全,当前的主要任务是要贯彻落实等级保护。等级保护对于我们国家所用的信息系统,按照它的重要性、等级的要求进行保护。这是非常重要的信息安全保障的基本制度。
电子政务我们最最关心的是处理一些核心业务,因为电子政务真正起到作用是一些核心领域。我们国家在信息安全保障建设过程中主要是重点保护,或者是要确保信息基础设施以及重要信息系统中的重要信息系统都要按照等级来,目前是三级以上。我主要讲一下三级以上的怎么办。
今天是CIO班的学员,你们都是信息官。信息安全出了问题是一票否决的,轻的官帽掉了,重的进监狱。有这么一句话,信息安全保官帽、保位置。领导干部是只听技术人员摆布,可是出了问题技术人员没事,领导要负责,所以说我们是坐在火山顶上,不知道哪天火山爆发。我们的信息安全,等级保护要解决这些问题。尤其要领导干部有主动的决策权,也有管理权。我讲讲领导干部怎么样才能有领导权、决策权、追查权。
最近对信息安全问题,又掀起了新的高潮,尤其是美国奥巴马上台以后采取了一系列的决策。美国对于信息安全问题非常重视,98年以后,就成立了国家的安全政策;911以后上升为国家的战略;2005年信息领域的顾问委员会提出了反面意见,认为美国那么多年来花那么多钱在信息安全保障上是失败的,不成功的,原因是修修补补打补丁,没有什么整体上的,根本上的解决问题。这个问题引起了很大的振动,因此布什总统采取了一系列的措施。布什下台以前感觉这届政府是解决不了问题的,07年成立了网络空间安全委员会,专门研究美国怎么搞好网络空间的安全。经过一年多时间的工作以后,奥巴马总统上台,马上公布了《第44届总统的保护网络空间安全的报告》。美国是怎么认识安全的呢?我们看过二次世界大战的电影,二战时期德国很厉害的,但最后密码被破译了。应该说密码破了是二战时期战略性的转变,这个事件被称作“阿尔发和英格玛”。破了以后诺曼底登陆的时候德国所有的兵力部署战略计划都被破解了,盟军以少数兵力战胜德国,使二战发生了战略性的变化。
美国的报告序言就以二战做标题来讲这个事,他们把美国目前比喻为德国的英格玛,所以提出网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一。
这条报告第一条原则是网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护。他们认为信息安全不能靠自发的实施保护,以前他们强调自发,自觉行动,政府应该按照空间的大小,按照等级来进行保护。这样看我们国家的等级保护又具有创造性和前瞻性。
5月29日,奥巴马公布了《网络空间政策评估--保障可信和强健的信息和通信基础设施》。他将网络安全威胁定位为“我们举国面临得罪严重的国家经济和国家安全问题之一”。他们认为目前美国所处的境地是十字路口。
英国最近又成立了信息安全办公室,任命了信息安全官。
大家觉得信息系统安全保护的等级很多,很乱。其实我们只有三大类,一个是GB17859,这是标准的基础。这个标准应该说是有它很好的思想,目前看来是对的。美国就不是从体系结构考虑问题,GB17859主要是以访问控制为核心,构建基本保护环境和相关安全服务。访问控制就是人的行为,行为要受限制,也就是说什么样的人能发送什么样的信息,控制住。刚才举了很多的例子,不能修改、不能公布、不能篡改。如果不按照访问控制委员去搞,实施网络分组不能保证问题。我们的网络系统已经领会到了,就是以访问控制为核心。低等级的你们自己办,高等级的处长、局长,你有权限,文件也要分等级。因此能保证什么样权限的人能干什么样的事。这样做是不是很烦?我们要构建环境,身为一个人在环境上,环境安全才能社会安全,人的自身安全,自身有免疫能力,才不容易得病,所以构建一个保护环境,但准则很粗犷,很抽象,我们必须要解释这个标准,也是物理环境,网络环境,应用环境,几个方面去解释、细化GB17859,这是很必要的。光提要求不行。 我们应该怎么做?怎么设计?这个问题一直没解决了。我们要整改了,整改以后怎么落实技术的保护?搞了一个工程,也就是说二级怎么样,三级怎么样,简化了, 这个标准马上就要发布。
(责任编辑:adminadmin2008)
