俄罗斯在发展信息安全技术上坚持自主创新、自成体系。强调数学模型与论证发挥自动控制理论的作用。注重芯片和操作系统的研发。俄罗斯的芯片设计技术独具风格,目前已达到世界领先水平。操作系统是俄罗斯大学和科研机构重点攻关的课题。如圣彼得堡技术大学已研制了自主安全内核的高安全等级操作系统,不受病毒和黑客的侵犯,是在安全的数学模型基础上进行开发的。在与国外产品兼容上只局限于外层的功能调用,内核是自己的。
此外,俄罗斯联邦政府在保障财政信贷和银行领域信息安全方面做了大量的工作。中央银行系统研究了保护信息处理技术设备的问题,积极推广使用有安全保护的信息技术和网络技术。在加密领域,密码学院从事着加密技术研究工作,着力加强光纤通信加密和量子加密方面的研究。
德国是欧洲头号经济大国,也是仅次于美国、日本的世界第三经济强国。通过制定和实施信息化发展战略,德国信息化获得了较快的发展。德国在信息安全方面是欧洲的典范,其主要做法包括三方面:
一是有明确的责任部门。德国联邦经济和劳工部下属的联邦电信和邮政总局主要负责联邦电信基础设施的安全维护工作;内政部和其下属联邦信息安全署主要负责信息技术应用方面的安全问题,如互联网安全管理、防病毒入侵和应急处理计算机问题等。联邦安全署还负责对互联网进行内容监管,对需要跨部门协调的工作制定统一的方案。联邦内政部下属的联邦信息安全署设有计算机紧急反应小组,提供每天24小时的“应急服务”,解决互联网的安全问题,防止计算机病毒和网络攻击。联邦政府专门成立联邦信息安全办公室,负责处理信息安全方面的技术问题。
二是重视运用法律手段。德国联邦经济和劳工部下属的联邦电信和邮政总局在为德国联邦其他部门提供基础电信服务的同时,还负责起草和制定《电信法》和《数字签名法》等法律,并协调联邦政府各部门有效使用数字签名来保障信息安全。联邦政府制定了具体的计划和措施加强互联网上的安全,包括颁布了《电子签名法》和《电子商务法》。
三是综合运用相关技术措施。德国联邦政府为加强信息安全采取了一系列的措施,包括重大基础设施的保护,增强社会各界的信息安全意识,通过设立安全门户网站为企业和个人提供相关信息和安全工具,增强互联网上的信息安全,开展信息安全认证,推广新的安全技术,与IT企业合作开展安全技术趋势研究,大力研发和使用密码技术、安全可靠的构件和生物识别技术等。
日本自2001年1月《IT基本法》颁布以来,在根据该法制订的每一年重点发展计划中,对电子政府以及电子政务相关的具体内容都做出了规定,针对计算机网络信息安全对策的体制,专门制订了一套相应的规则。以制订-引入-运用-评价-修正的模式,循环往复周期运行,针对风云变幻计算机信息安全领域出现的新问题,进行及时有效的应对,可以说是一个值得称道的运作模式。
日本中央政府各个部委基于对政府信息系统的安全问题考虑,要求结合本单位、本部门的具体特点,考虑制定相应的规则、办法。
为了确保信息安全制度的有效实施,日本政府设立了相应的信息安全机构,明确了包括信息安全中心、政府各个部委在内的多个机构的职责。日本政府要求政府的各个部委应当依法加强对计算机信息安全的管理与控制,防止利用政府的计算机系统对其他的计算机系统进行恶意攻击事件的发生。为了进一步提高日本的计算机信息安全水平,要求政府不断加强与民间团体、企业研究机关之间的信息交换,建立官民紧密协作、联动的合作体制。
日本总理府办公厅信息安全中心负责制订《政府机关关于信息安全的统一基准》,要求各个部委应当结合本部门计算机信息安全具体规则实施的情况、特点,对来自外部网络的计算机技术性的威胁等情况,进行持续不间断的研究、评价,在此基础上制定相应的规则。
在计算机信息安全规则的制订中,从组织机构、基本方针的设定、风险的预测、对策基准的制定、信息的分类及管理、违反信息安全行为的应对措施几个方面提出了具体要求。
对在业务中存在违反信息安全行为的情形,提出了有必要建立依据上级的指示,直接命令其停止使用网络终端机器的体制
三、 我国政府信息系统的安全现状
我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与信息安全领导小组,各省、市、自治州也设立了相应的管理机构。2003年9月中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(简称27号文),把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御,综合防范”的信息安全管理方针。2004年9月15日,由公安部、国家保密局、国家密码管理局和国信办联合下发的《关于信息安全等级保护工作的实施意见》(66号文件),明确了实施等级保护的基本做法。2007年6月22日又由四部委联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。2007年我国基本完成了重要信息系统和基础信息网络的等保定级,等级保护工作即将进入建设整改阶段。
制定和引进了一批重要的信息安全管理标准,包括:《计算机信息系统安全保护等级划分准则》(GB 17895-1999)、《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全管理实施细则》(ISO17799:2005)和《信息安全管理体系要求》(ISO27001:2005)等。
(责任编辑:adminadmin2008)
