信息安全保障体系建设分析.docxVIP

PAGE 1 PAGE 1 信息安全保障体系建设分析  美国首先提出“信息保障”概念，并已经建成比较完善的国家信息安全保障体系。经过几年的努力，我国的信息安全保障体系建设也初俱规模。但是，仅仅依靠技术防备措施还不够，需要从整体的角度把握国家信息安全保障体系框架，从人员体系、技术体系和管理体系三方面入手，建立立体的信息安全保障体系。尤其需要侧重关注两方面内容：一是要落实基于风险评估的等级保护制度，二是国家经济信息安全体系的建设亟待加强。  一、国内外信息安全保障体系建设现状  1.1美国信息安全保障体系建设现状  美国信息安全保障体系建设比较完善。1998年5月22日颁发《保护美国关键基础设施》总统令(PDD-63)，首次提出“信息保障”概念。1998年1月国防部制定了《国防信息保障纲要》。1998年5月国家安全局制定了《信息保障技术框架》（IATF），提出“深度防备策略”的思想；2002年9月颁布了IATF3.1版。2002年10月24日和2003年2月6日，国防部颁布了信息保障训令8500.1和8500.2，信息保障已成为美军组织实施信息化作战的指导思想。2002年7月16日公布了《国土安全国家战略》，并于2003年2月14日配套出台《保护网络空间的国家战略》，以实现“保护美国关键基础设施免遭网络攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏和恢复时间”三大战略目标。2005年3月美国国防部公布《国防战略报告》，明确将网络空间和陆、海、空及太空定义为同等重要的、需要美国维持打算性优势的五大空间。  1.2我国信息安全保障体系建设现状  2003年9月，中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》（27号文件），提出要在5年内建设中国信息安全保障体系。2006年上半年，公安部会同国务院信息办在全国范围内开展了等级保护基础调查。2006年下半年，在13个省区市和3个部委联合开展了等级保护试点工作。2007年7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开，标志着信息安全等级保护工作在全国范围内的开展与实施。2006年9月，科技部的《国家科技支撑计划“十一五”发展纲要》提出科技“支撑发展”的重要思想，要攻克一批关键技术，推动以我为主的相关国际标准、行业技术标准的制定，初步形成国家技术自主创新支撑体系，提高我国信息产业核心技术自主开发能力和整体水平，初步建立有中国特色的信息安全保障体系。  二、信息安全保障体系框架  信息安全保障体系框架分人员体系、技术体系和管理体系三个层面，通过纵深防备的多层防护，多处设置保护机制，抵挡对手通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降到可以接受的程度。  2.1人员体系  人是信息系统的主体，也是信息系统安全管理的对象，打算了安全管理的效率和效果。人员的安全意识及对安全管理的重视程度，会对安全产生极大的影响。无论拥有多么完善的信息安全保障体系，只要人为的一时疏忽，就会功亏一篑。在纵深防备策略中，涉及到人员体系的方面有许多，如安全保障策略和程序的制定、信息安全意识和培训、信息系统安全管理等。因此，加强人员体系建设是信息安全保障体系建设的重要环节。与信息系统直接相关的人员，包括各级安全组织、各级管理人员、安全人员、网络管理员、系统管理员、业务操作人员和第三方人员等，要定职定责，严格管理。  2.1.1安全人员的岗位和职责  在硬件安全岗位上，警卫保安类人员负责机房周边环境的安全、机房安全类人员负责机房内的安全与管理。在软件安全岗位上，各级系统安全员负责网络等各种操作系统的安全与管理、各级网络安全员负责网络系统的安全保密工作、各级防毒安全员负责各自网络系统的病毒、木马及各类恶意代码的防护。在数据安全岗位上，各级信息安全员负责信息网络系统的信息安全和保密信息的管理、数据库安全员负责数据库管理系统的安全及维护管理工作、数据安全员负责网络中运行数据的安全等。  2.1.2全体工作人员的安全管理  安全人员的使用必需经过严格的把关，不但要考核其业务能力，还要进行严格的政审，尤其是涉及关键岗位的人员。建立信息安全培训机制，依据组织建立的信息安全培训制度与计划，对不同的工作人员，开展多层次、多方位、有重点、有针对性的信息安全宣传、技能培训和考核，持续增加全体人员的安全防范意识、安全防护能力、道德品质和政治觉悟。  2.2技术体系  技术体系不是安全产品的简洁积累，而是结合信息系统的特点，从本地计算环境、区域边界、网络基础设施和支撑性基础设施四个层面，分别分析存在的威逼和风险、确立不同的安全需求，从而保障信息的机密性、