“作為國家信息安全保障體系來講,其包括積極防御、綜合防范等多個方面的多個原則。因此,要建立和完善信息安全等級保護(hù)制度就要加強(qiáng)和建設(shè)多個層面。”中國工程院院士方濱興指出,當(dāng)前國家信息安全的保障體系需要圍繞以下細(xì)節(jié)全面建設(shè),具體為:要加強(qiáng)密碼技術(shù)的開發(fā)與應(yīng)用、建設(shè)網(wǎng)絡(luò)信息安全體系、加強(qiáng)網(wǎng)絡(luò)信息安全風(fēng)險評估工作、建設(shè)和完善信息安全監(jiān)控體系、高度重視信息安全應(yīng)急處置工作、重視災(zāi)難備份建設(shè)。

  當(dāng)然了,要增強(qiáng)國家信息安全保障能力,還必須要掌握核心安全技術(shù)。此外還包括能力,如信息安全的法律保障能力、基礎(chǔ)支撐能力等等。

  簡而言之,方院士稱:“我們國家的信息安全保障體系可以從五個層面解讀,又可以稱之為‘一二三四五國家信息安全保障體系’”。

  方院士的解讀具體如下:

  一,即一個機(jī)制,就是要維護(hù)國家信息安全的長效機(jī)制。

  二,是指兩個原則:第一個原則是積極預(yù)防、綜合防范;第二個原則是立足國情,優(yōu)化配置。

  三,是指三個要素:人、管理、技術(shù)。

  四,是指四種能力:核心技術(shù)能力、法律保障能力、基礎(chǔ)支撐能力、輿情宣傳和駕馭能力、國際信息安全的影響力。顯然,在國際的信息安全斗爭或?qū)怪校挥羞@幾方面的能力具備了才能占有優(yōu)勢地位,當(dāng)然這背后實際上需要做很多的工作。

  五,是指五項主要的技術(shù)工作:風(fēng)險評估與等級保護(hù)、監(jiān)控系統(tǒng)、密碼技術(shù)與網(wǎng)絡(luò)信任體系、應(yīng)急機(jī)制、災(zāi)備。

  一、一個機(jī)制

  所謂的一個機(jī)制,是說機(jī)制一定是一個完善長效的機(jī)制,一方面是在組織協(xié)調(diào)性上,另一方面是在支撐力度上。這需要宏觀層面,包括主管部門予以支持。

  二、兩個原則

  第一個原則是積極防御、綜合防范。不難理解,綜合是表現(xiàn)在整個產(chǎn)業(yè)的協(xié)調(diào)發(fā)展,也就是說網(wǎng)絡(luò)信息安全與信息化的關(guān)系。在這個里面,積極當(dāng)然有多種含義,雖然我們并不提倡主動攻擊,但是掌握攻擊技術(shù)是信息對抗所需要的。但是值得注意的是,真正的積極是指一旦出現(xiàn)一個新的技術(shù),我們就立即要想到研究這個新技術(shù)會帶來什么安全性問題,以及這樣的安全性問題該怎么辦?比如說Web 2.0概念出現(xiàn)后,甚至包括病毒等等這些問題就比較容易擴(kuò)散,再比如說Ipv6出來之后,入侵檢測就沒有意義了,因為協(xié)議都看不懂還檢測什么……所以說這些信息化新技術(shù)的出現(xiàn)同時也都呼喚新的安全技術(shù)。

  另外技術(shù)解決不了的還得靠管理,比如說等級保護(hù),當(dāng)然等級保護(hù)主要是面向政府部門的。那么反過來管理做不了的也得靠技術(shù),你說有病毒,光嘴上說不行,還得有技術(shù)防范。再有就是強(qiáng)調(diào)了核心保障。

  第二個原則是立足國情,這里面主要是強(qiáng)調(diào)綜合平衡安全成本與風(fēng)險,如果風(fēng)險不大就沒有必要花太大的安全成本來做。在這里面需要強(qiáng)調(diào)一點就是確保重點的,如等級保護(hù)就是根據(jù)信息系統(tǒng)的重要性來定級,從而施加適當(dāng)強(qiáng)度的保護(hù)。此外,當(dāng)你在發(fā)展的時候必須要考慮到涉及到安全問題的時候該怎么辦,但你做安全也是為了促進(jìn)發(fā)展,而不是說限制發(fā)展,所以盡管我們現(xiàn)在覺得需要物理隔離的方式,但同時也在研究一系列的技術(shù)來替代這么一個簡單的方式,這個就是國情的需要。

  三、三個要素

  三個要素包括人、管理、技術(shù)。

  從人才角度來說強(qiáng)調(diào)了兩個方面,一個方面是培養(yǎng),培養(yǎng)你的人、才、水平,那么包括學(xué)歷教育、研究、以及學(xué)科層面,無論是培養(yǎng)研究生還是其他研究人才,都和社會服務(wù)人才不一樣。再有就是培訓(xùn)和網(wǎng)絡(luò)教育。還有加強(qiáng)信息安全宣傳工作和網(wǎng)絡(luò)文明建設(shè),也都需要相關(guān)的支持,基本上跟信息相關(guān)的底下都有這個。此外,就是論壇、媒體的努力。當(dāng)然,吸引和用好高素質(zhì)的信息安全管理和技術(shù)人才的機(jī)制也很有有用。

責(zé)任編輯:admin