澳大利亚信息安全体系建设概况与启示.docVIP

澳大利亚信息安全体系建设概况及启示 2009-04-22 澳大利亚的电子政务建设是随着信息技术进步不断发展的，特别是20世纪90年代以来，澳大利亚联邦政府（以下简称“澳政府”）把信息网络技术作为国家经济和社会发展的重要推动力量，大力推进信息网络技术在政府行政管理和公共服务中的应用。从整体上看，澳大利亚电子政务建设先后经历了：出现零散的政府网站；政府站点增加，继而形成一个整体，实现信息发布的动态化；政府和市民通过电子政务达到信息互动；政府和市民通过电子政务实现在线交易的发展历程。目前，澳政府正在对政府各项服务进行整合，以期能够实现统一出口，提供“无缝政府”服务。 澳政府直面信息安全问题 在澳大利亚信息化快速发展的同时，信息安全问题不断出现，如由于管理不善或人为原因造成的信息失窃或损坏，计算机病毒、蠕虫、木马危害，未经授权的内容??取、情报窃取、网络诈骗等。澳政府把信息安全问题放在重要位置，从法律法规、管理体制、技术手段等方面采取了很多切实有效的措施。 1．健全法制，完善信息安全有关法规标准 澳政府及各部门制定了一系列与信息安全有关的法律、标准和指南，包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等，还发布了政府各部门必须遵循的信息安全最低标准，包括安全保护指南和信息网络技术安全等。 2000年，澳政府发布了信息安全风险管理指南，并在2004年进行了修订。2001年，澳政府发布了“保护国家信息基础设施政策”，即政府信息安全行动计划，对澳大利亚关键基础设施进行保护。针对近年来日益猖獗的网络恶意攻击，澳政府于2006年对政府信息安全行动计划进行了修订。 此外，澳大利亚标准局还制定和采纳了一系列信息安全标准，主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安全手册、信息安全风险管理指南、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准，执行情况由国家审计署进行审查。同时，澳政府建议国内企业也遵循以上标准。 2．理顺体制，政府部门协调配合各有侧重 澳大利亚对政府信息安全进行保护的政策和执行框架主要是：司法部负责政府信息安全保护的政策制定，国防部负责政府信息通信安全技术层面上的指导，政府各部门负责人负责本部门信息安全的保护，国家审计署负责各部门信息安全保护的监督和审计。 在各司其职的同时，澳大利亚还成立一些跨部门的委员会进行工作协调。在关键基础设施保护方面，由司法部下设的关键基础设施咨询委员会负责协调通信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等基础设施的信息安全防护；在防范网络恐怖袭击方面，澳大利亚成立了由联邦警察局、安全情报局、国防部信号局和澳大利亚安全和投资委员会组成的国家反恐委员会，负责协调处理。 此外，澳大利亚还成立了非政府、非盈利的国家计算机网络应急响应小组（工作资金来源于会员捐赠）：一是与其他外国政府相应的应急机构进行联系，负责对可能影响本国关键基础设施和商业部门的网络安全问题进行国际协调和调查；二是负责协调各政府部门制定关于国家信息基础设施的应急准备、响应和恢复工作的有关预案；三是负责对本国和全球网络威胁和脆弱性进行监控和分析，对网络恐怖事件进行及时应急响应；四是发布安全公报，为澳大利亚公众、商业部门和教育部门提供网络安全信息和建议。同时，该小组还面向公众、企业开展一系列的信息安全教育和培训工作。 3．围绕风险，系统全面解决信息安全问题 澳大利亚认为信息安全的核心是风险管理，信息安全不仅仅是技术工作，其主要目的是为有关组织的目标提供安全保障，这就需要对组织所面临的内部和外部风险进行认真分析，并根据风险发生的概率和可能造成损失的严重程度，采取管理和技术措施。 澳大利亚认为一个完整的风险管理流程由风险确认、风险评价、确定控制措施、实施控制措施、实施监控等步骤组成。在风险确认阶段，特别强调一个组织的信息安全风险来自组织的各个层级、各个部门，除了IT系统所带来的技术风险外，还包括管理、人员等内部风险以及政策、基础设施、供应链、自然灾害等外部风险。其中，管理问题和人为因素是造成大多数信息安全问题的主要原因。 4．突出重点，重视政府关键基础信息保护 澳大利亚在信息安全工作中贯彻重点防护的原则，即通过政策标准和政府支持，重点做好政府部门和国家关键基础设施的信息安全保障。澳大利亚安全情报局确定了国家关键基础设施的范围，主要包括：通信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等。 澳大利亚的国家关键基础设施均是私营的，关键基础设施的安全由运营公司负责，澳大利亚在政府信息安全行动计划中提出依靠私营部门来保护国家关键基础设施的策略。为此，澳政府制定了关键基础设施信息安全防护的法规和标准，要求关键基础设施所有者和运营者执行。同时，澳政府还通过计