我看信息安全治理.pptVIP

我看信息安全治理 宁家骏 （国家信息中心） 2005。8 汇报提纲 背景 对信息安全治理的初步理解 信息安全治理的目标和原则 信息安全治理的具体实施设想 一、背景 近年来，我国信息产业持续快速发展，信息产业在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。 各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。 信息化有力地推动我国经济与社会的进步 在基础电信网络和信息服务的支撑和拓展下，由数十万个网站、数亿通讯用户和和近亿网民构成的新兴网络社会形态雏形已显，并日益壮大。 政府主导的人民网、新华网等新闻网站和新浪、搜狐等商业性综合网站的设立和稳步发展，在传播重要信息、反映社情民意、引导社会舆论等方面发挥了积极重要的影响和作用。 在信息化迅猛发展的同时，我国信息网络安全事件和问题也日渐增多，技术与政治风险不断加大，引起党和政府高度重视与社会各界的普遍关注，确保国家信息安全已成为国家事务议程中的一个突出重要问题。 信息化风险日益为人关注 随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。 加强信息安全保障工作 落实27号文件，一手抓信息化，一手抓安全， 信息安全保障体系建设和逐步完善必须两手抓： 一手抓建设 一手抓治理 信息安全的目标 信息安全的目标：“保护依靠信息的人、系统和传输信息的通讯系统不受损害，这种损害来源于信息可用性、机密性和完整性的失效”。 可用性：信息在需要时可用和有用，提供信息的系统能适当地承受攻击并在失败时恢复； 保密性：信息只能被有相应权限的人看到，或透露给他们； 完整性：未经授权，信息不能被修改； 真实性和不可否认性：组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。 ??? 可用性、保密性、完整性、真实性和不可否认性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境的不同而不同，例如，当信息影响与战略相关的关键决策时，管理信息的完整性就特别重要。 信息安全治理的产生背景 当今的全球化环境中，信息的重要性被广泛接受，信息系统在政府、企业、社会公众中得到了广泛的应用。 目前各种非法势力针对政府信息系统安全的攻击越来越普遍。 信息安全是政府和社会各界必须携手面对的问题。政府和企业管理执行层有责任确保为所有使用者提供一个安全的信息系统环境 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。 信息安全问题属于复杂巨系统范畴 信息安全问题具有复杂巨系统的下属特点： 系统内子系统巨多 系统演化及系统行为都呈现出具有复杂性。有的层次结构及运行规律尚不十分清楚，或很不清楚，系统的功能和行为不是各子系统功能和行为的简单叠加或复合 自组织特性：具有多层次，而且每个层次都呈现系统的复杂行为；甚至可能还有意识活动参与到系统中。 开放特性：任何系统只要符合协议规范，就可以没有任何限制地任意连入全球网络系统。 进入21世纪，网络技术的高速发展，使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局，已经全面映射到开放的互联网体系中，由此形成了一个社会、技术一体化的复 杂巨系统 复杂巨系统的问题需要综合治理 面对全球一体化的互联网环境，国家公共互联网应急体系的建立和应急处理能力的提高，并不能仅仅依靠政府的力量，而是需要世界各国相关组织在技术、资源、经验方面的共同合作，需要政府与企业、全社会每个人的互动！在互联网这样一个复杂的巨系统中，如何提高应急响应的处理水平确是摆在我们面前的巨大难题， 深入学习理论，回顾实际运作经验，使我们意识到要在复杂巨系统中理清思路，提高应急响应水平的新方法。 　　“开放的互联网符合复杂巨系统的所有特征，我们要用综合集成的思维方式，考虑应急响应的管理方法。” 信息安全治理是落实解决信息安全问题方法论的重要途径 面对信息安全复杂巨系统，必须实施信息安全治理 由于目前的应急管理无法适应复杂巨系统的要求: 缺少知识层次上的应急响应的全生命周期管理； 做出的应急计划都是线性、彼此完全分割的，只有任务的分解而没有综合集成，基本无法完成有效的应急响应。 必需随着过程、环境的变化而不断变化各类应急处理预案 解决复杂巨系统在方法学上提出了“综合集成”的思路，即自上而下、自下而上的结合。 落实