计算机网络与信息安全所带来的行业问题--电子政务与行业封闭问题.pptVIP

1 计算机网络与信息安全所带来的行业问题---电子政务与行业封闭问题 刘春阳 博士后 国家计算机网络与信息安全管理中心 2001年5月19日 内容： 背景:所有观点均是在计算机网络与信息安全为前提；封闭认为是一种安全措施，表现出的方式可以认为是业务需求； 一、行业封闭与交互问题 二、 行业个性与共性问题 三、 面对问题应采取的对策 行业封闭与交互问题 行业封闭产生的危害 重复投资/资金浪费---过分封闭必然引起系统、环境的重复建设。 阻碍工作效率提高/信息共享---封闭必然加重系统负担、增加延时、增加信息共享代价。 形成安全错觉---实际上仅仅防止了系统外的安全隐患，而内部并没有解决，如边界节点安全控制，内部人员的可负责性等。 行业封闭问题的形成(1) 传统运营方式 由于长期封闭式运营造成相对独立系统，对外互连需要网络安全保障，要达到安全要求需要改造和周期升级的资金投入，在资金有困难情况下，必然改造推迟。 过分强调安全 扩大自己行业的安全特点，扩大安全事故发生灾难的不可控性，致使用户过分封闭或希望推脱责任，如物理隔断，希望主管部门解决所涉及到的安全问题等。 行业封闭问题的形成(2) 缺乏对对方的信任 不能正确定位和评估自己行业的安全需求和对方的安全措施，如银行之间互连，政府部门之间互连等。 行业个性所决定 目前工作范围、工作性质所决定，如部队和政府特殊部门。 知识结构所引起封闭 网络信息安全涉及到三个方面，虚拟空间、物理空间、管理空间，对网络安全的虚拟空间没有把握时，必然从物理和管理方面设置安全措施来解决所面临的安全问题。 行业交互需求形成(1) 业务的交叉性 同一种业务可能涉及到几个部门，在业务流程过程中需要资料的交接和传阅，如电子政务中，政府办公网与网站之间的资料传递（文件----通告、法规等对外发布，信息获取等，目前是手工操作，可否建立电子政务要求的安全发布平台）。 行业交互需求形成(2) 信息的共享性 根据行业需求提供规模化服务，目前网站等就是起的这样作用，但只对大众关心的内容进行规模化服务（有市场潜力的行业），还有许多特殊行业（如政府、金融、安全应急等）需要这种规模化服务，提高工作效率，优化结构，节省投资。它们的安全需求决定于服务对象和范围、信息内容，同时有些行业还要政府介入，加大管理和推动力度。如公安部、安全部支持的安全产品质量认证和测评等。 行业个性与共性问题 行业个性问题形成 安全需求的不对称性 用户所在行业的不同，对安全的需求有很大的差异。如金融、媒体、电子政务等。 安全损失不可估计性 行业发生安全事故时，不同行业评估事故损失程度有很大区别，有些行业是安全损失不可估计。如金融（事故的影响）、电子政务（信息价值的不可评估性）等。 业务范围的特殊性 一些特殊行业和部门需要。如涉及国家机密的部队和政府特殊部门。 行业共性形成 网络正常运行 显然！ 信息获取发布 网络是信息的载体，必然涉及信息获取，随着信息的积累必然对外发布（相对而言）。 身份与信息认证和保密， 对网络控制权和系统运行参数，以及信息本身需要认证和保密。 共性交叉的相对性 合理分析共性交叉特点，以及共性的相对性，充分把握主要共性安全需求特点。 面对问题应采取的对策(1) 面对问题应采取的对策(2) 正确对待问题(1) 问题的辨证性(问题的两个方面)---封闭与交互 个性与共性是问题的两个方面，是辨证统一关系，是互相依存的，过分强调某一方面都会产生安全隐患。 不把安全问题扩大化（范围和程度） 不要过分强调万一发生所产生的后果，而是分析安全强度，以及突破安全策略的代价与突破安全策略后所能获取信息的价值比。安全目标是尽可能降低安全发生后的损失。 正确对待问题(2) 需求与市场 行业封闭与交互性反映用户的安全需求，同时带来了市场机遇， 安全服务部门充分根据所反映的市场个性与共性特点开发服务项目和符合市场需求产品。 尺度的合理性 既然不能孤立看问题的某一方面，那么就需要平衡着两个方面，这就需要制定安全策略时，合理把握两个方面尺度分配。如电子政务中办公网与互联网的交互需要物理隔断，而物理隔断还有多种意义上的物理隔断----严格物理隔断、时序物理隔断、逻辑物理隔断等，不同隔断需要配有不同管理力度，这些就需要在设计安全模型中充分考虑并技术模型与管理制度配合。 正确认识安全(1) 安全产品与产品安全 在字面上理解是比较显然的，但在实际工作中很容易混淆和难以判断，如交换机---可以造成信息安全，担不是安全产品等。 安全的相对性和不可预测性 安全与时间（不同时间段）、应用对象（如金融与政务）、范围（内部办公人员与规模服务）等呈现出它的相对性；安全还有不可预测性，这就需要建立完备的灾难应急机制与组织。 正确认识安全(2) 没有证明安全就认为不安全与没有证明不安全就