做好信息防护,确保信息安全.pdfVIP

做好信息防护，确保信息安全 中国计算机用户协会理事长陈正清教授 (2006年11月28日) 一，信息安全是信息化的命脉 在信息化建设中，遇到的一个比较突出的问题，就是信息安全问题。计算机病毒、网络 攻击、垃圾邮件、系统漏洞、网络窃密，虚假有害信息和网络违法犯罪等问题日渐突出。这 些问题与现象出现在全球范围内，如应对不当，可能会给我国信息化建设乃至于经济社会 发展和国家安全带来不利影响。 如何认识信息安全的重要性，我认为信息安全是信息化的命脉，这样看也不算过。 国家信息化领导小组第二次会议指出：“要高度重视信息安全体系建设。坚持一手抓 信息化，一手抓网络信息安全。”两手抓，两手都要硬，这是常用的而且是行之有效的方 法。我们的中心思想是“以安全保发展，在发展中求安全”。 二，信息安全的灵魂是信息防护 信息安全问题在信息化建设中十分重要，不容置疑。但信息安全又是可以通过防护来获 得的，而且信息防护是信息安全的灵魂。当前大部分信息安全系统主要是由防火墙、信息 加密、入侵检测和病毒防范等组成。这是我们大家都熟悉的。防护工作的好坏，直接关系 到信息安全。国家信息化领导小组第二次会议指出要“坚持积极防御、综合防范的方针， 全面提高信息安全的防护能力”。 信息防护工作在我国电子政务网建设上是采用政务内网和政务外网两部分组成的方案。 政务外网为非涉密网，是政府的业务专网，主要运营政府部门面向社会的专业性服务和不 需要在内网上运行的业务。政务内网为涉密网，处理涉及国家机密的事务。政务外网与政 务内网实行物理隔离；政务外网与Internet网实行逻辑隔离。在这样的设置下，外部网络 的用户很难侵入到内部网络上来。 信息防护工作不仅要防外，也要防内。据2002年美国FBI统计，83％的信息安全事故为 内部人员或内外勾结所为。因此应该以“防内为主，内外兼防”的模式，从而提高使用节 点自身的安全着手，构筑积极、综合的安全防护系统。 三、信息防护的核心是改进技术手段和全面强化管理 如何实现信息防护?一靠技术，二靠管理。或者说：改进技术手段、全面强化管理，进 而建立健全信息安全保障体系和防范机制，这是信息防护的核心所在。 技术进步是社会向前发展的火车头，在加强信息防护过程中，我们首先要改进技术手段， 利用新技术手段，把信息防护建立在一个高的技术水准之上。前面提到的采用防火墙、信 息加密、入侵检测、病毒防范、网络隔离等都是目前常用的—些技术手段。为了解决Pc结 构上的不安全，从基础上提高其可信性，目前在世界范围内推行可信计算技术。从计算平 台体系结构上来增强安全性，具体是在计算和通信系统中广泛使用基于硬件安全模块支持． 下的可信计算平台，以提高整体的安全陛。可信计算平台基于可信平台模块(TPM)，以密码 技术为支持、安全操作系统为核心，而安全操作系统是可信计算平台的核心和基础。 可信计算平台具有以下功能： 19 确保存储、处理、传输的机密性／完整性； 确保用户唯一身份、权限、工作空间的完整性／可用性； 确保硬件环境配置、操作系统内核、服务及应用程序的完整性； 确保密钥操作和存储的安全； 确保系统具有免疫能力，从根本上阻止病毒和黑客等软件攻击。 做好信息防护工作我们也是做好两手抓，即一手抓技术，一手抓管术。有人说技术与管 理的关系是三分技术、七分管理，这是有一定道理的。国家信息化领导小组第二次会议上 提出要全面强化管理，建立健全信息安全保障体系和防范机制。强化管理及信息安全保 障体系、防范机制等内容非常丰富。我只想谈谈当今业界关心的一个焦点：信息安全风险 管理问题。信息化的风险主要指信息化可能或实际带来的消极威胁，具有全球|生、传染性、 复杂性和隐蔽性等特征。风险管理是对风险进行评估、确认、回应的过程。信息化自身的 无疆界、低成本、开放陛和匿名性特征决定了信息化风险基本原因在于内因，内因造成的 信息、数据的修改、丢失和内部泄密有关(如前所述，美国信息安全专家认为83％的信息安 全事故为内部人员或内外勾结所为)；而自然灾害，误操作和安全生产事故、病毒、蠕虫以 及网络攻击、信任体系不完善造成的欺诈行为等外部因素的存在，又造成了信息、数据的 泄密、篡改和丢失，加剧了信息化的风险。 信息安全风险管理主要有以下几项措施： l、降低风险：在考虑转嫁风险前，应首先