日本防卫省信息安全报告书.docxVIP

日本防卫省信息安全报告书　　前言　　2011年发生了不少针对日本防卫企业的网络攻击事件。防卫省的信息系统虽然具有防范攻击破坏的能力，这些事件还是给我们敲响了警钟，促使我们认真考虑如何强化日本遭网络攻击时的应对措施。　　为保卫国家和平和保障国民生活的安全稳定，防卫省和自卫队必须圆满顺利地遂行各种任务，其中，实现指挥命令迅速准确传达以及信息共享的信息系统在这里发挥着不可替代的作用。必须清醒认识到，防卫省和自卫队信息系统的安全直接关系到国家安全，确保该系统的信息安全极为重要。　　2007年，在防卫省的《防卫省关于信息保障的训令》（译者注：文件日文名为「防衛省の情報保証に関する訓令」，按照该训令将“情報保証”定义为“对信息系统以及信息系统中处理数据的机密性、完整性、可用性、识别认证性和不可否认性的确保”，这里将其翻译为“信息保障(Information Guarantee)”。在本报告中，所谓“情報保証（信息保障）”，其实多指 “情報セキュリティ（信息安全保障）”，故在本报告译文中，除《防卫省关于信息保障的训令》文件及该文件中定义的“XX信息保障官”名称外，其他地方一般处理为“信息安全保障”）文件中，对如何综合系统地管理相关信息系统及其处理的数据，如何根据一定规范有组织地实施管理等基本事项做了明确规定。其中管理措施上，主要包括以下方面的内容：　　①在对信息系统进行整备时，应设置验证、访问控制和证迹管理等各种功能，同时还应对这些功能妥善地加以运用和管理。（译者注：“证迹管理”或后文中的“监查证迹”为日文表达，中文尚无对应含义，英文比较接近的是log（日志）或trail（痕迹），但都无法完整确切反映日语语境中“调查某事件相关证据所用的信息系统访问或使用等操作记录”的含义，故沿用日文说法）　　②防卫省对移动存储介质进行集中保管，从工作场所将移动存储介质带出时需经过许可，在防卫省的信息系统上严谨使用私人移动存储介质　　③为应对网络攻击，应确定有关联络机制、应急处置程序和信息的收集、分析和分发程序　　对防卫省在2011年实施的信息安全保障活动的具体措施和成果，本报告书进行了归纳总结。　　防卫省在2011年采取的增强信息安全的措施主要有：自查信息安全保障措施的实施情况；对工作人员强化教育；重点检查信息系统公用网络服务器和电子邮件服务器信息安全保障措施的实施情况；进行包括个人物品检查在内的各种特别检查。检查结果表明，各种信息安全保障措施总体上得到了落实，但依然存在一些不足之处，还需今后继续加以改善。　　2011年，防卫省还对各机关的业务信息系统和电子邮件服务器等进行了精简整合，希望藉此提高信息安全保障效率并降低使用管理成本。　　今后，为了不辜负国民大众对防卫省和自卫队的期待，我们将继续努力，强化信息安全保障措施，确保对防卫省和自卫队活动发挥基础保障作用的信息系统的安全。　　首席信息保障官　　（防卫省运用规划局局长）　　桥本隆太郎　　2012年5月　　一、2011年的总结　　（一）对2011年的评价　　1．2011年的重点事项　　2011年度，防卫省将此前一直使用的中央网络办公系统和防卫监察本部使用的业务计算机进行了整合，形成九大机关可在共同业务中使用的新中央网络办公系统，此外，防卫省还对电子邮件服务器进行了精简。通过这一举措，防卫省减少了包括电子邮件服务器在内各种硬件数量以及各种类型版本软件数量。防卫省希望通过对信息系统进行精简整合，提高信息安全保障措施的效率并降低使用管理成本。　　在2010年的信息安全自我检查中，防卫省发现其内部信息系统和计算机管理方面存在诸多信息安全保障方面漏洞，因此决定对所属人员进行相关教育，内容涉及如何进行备份以及如何设定访问权限，此外还重点介绍了病毒经由移动存储介质传播的危害以及如何对移动存储介质进行管理等内容。　　2．信息安全保障措施实施情况自查结果　　防卫省工作人员对自身遵守信息安全相关规则方面进行了自我检查，以确认安全措施是否得到彻底落实。　　3．对信息系统的安全情况进行逐一检查　　防卫省对信息系统中的公开网络服务器和电子邮件服务器的信息安全保障措施实行情况逐一进行重点检查，确认在这些服务器中的采取了充分的安全措施。　　4．信息安全教育　　防卫省将每年2月定为“防卫省将信息安全月”。在2011年，防卫省向所属各机关下发了关于处置可疑邮件的教材，并按照教材对所属工作人员开展信息安全教育。　　此外，2011年11月至12月，防卫省还在工作人员中进行了可疑邮件处置训练，并向工作人员讲授收到可疑邮件时的操作处理程序。　　通过这些教育，防卫省工作人员在信息安全知识的掌握和意识方面得到了提高。　　5．采购和外包　　一直以来，在信息系统的采购和外包生产有关的信息安全保障措施方面，防卫省参照的规范是《关于确保装备及劳务采购中信息安