評認證體系。負責對國內外信息安全產品和信息技術進行測評和認證、對國內信息系統和工程進行安全性評估和認證、 對提供信息安全服務的組織和單位進行評估和認證、對信息安全專業人員的資質進行評估和認證。目前建有上海、東北、西南、華中、華北五個授權評認證中心機構和兩個系統安全與測評技術實驗室 。
(2) 制定和引進了一批重要的信息安全管理標準
為了更好地推進我國信息安全管理工作,公安部主持制定、國家質量技術監督局發布的中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》,并引進了國際上著名的《ISO 17799:2000:信息安全管理實施準則》、《BS 7799-2:2002:信息安全管理體系實施規范》、《ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術安全性評估準則》、《SSE-CMM:系統安全工程能力成熟度模型》等信息安全管理標準。信息安全標準化委會設置了10個工作組,其中信息安全管理工作組負責對信息安全的行政、技術、人員等管理提出規范要求及指導指南,它包括信息安全管理指南、信息安全管理實施規范、人員培訓教育及錄用要求、信息安全社會化服務管理規范、信息安全保險業務規范框架和安全策略要求與指南。
(3) 制定了一系列必須的信息安全管理的法律法規
從上世紀九十年代初起,為配合信息安全管理的需要,國家、相關部門、行業和地方政府相繼制定了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《商用密碼管理條例》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機病毒防治管理辦法》、《互聯網電子公告服務管理規定》、《軟件產品管理辦法》、《電信網間互聯管理暫行規定》、《電子簽名法》等有關信息安全管理的法律法規文件。
(4) 信息安全風險評估工作已經得到重視和開展
風險評估是信息安全管理的核心工作之一。2003年7月,國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標準的編制工作,國家鐵路系統和北京移動通信公司作為先行者已完成了的信息安全風險評估試點工作,國家其它關鍵行業或系統(如電力、電信、銀行等)也將陸續開展這方面的工作。
二、 我國信息安全管理目前存在的一些問題
1、信息安全管理現狀仍還比較混亂,缺乏一個國家層面上的整體策略。實際管理力度不夠,政策的執行和監督力度不夠。部分規定過分強調部門的自身特點,而忽略了在國際政治經濟的大環境下體現中國的特色。部分規定沒有準確地區分技術、管理和法制之間的關系,以管代法,用行政管技術的做法仍較普遍,造成制度的可操作性較差。
2、具有我國特點的、動態的和涵蓋組織機構、文件、控制措施、操作過程和程序以及相關資源等要素的信息安全管理體系還未建立起來。
3、具有我國特點的信息安全風險評估標準體系還有待完善,信息安全的需求難以確定,要保護的對象和邊界難以確定,缺乏系統、全面的信息安全風險評估和評價體系以及全面、完善的信息安全保障體系。
4、信息安全意識缺乏,普遍存在重產品、輕服務,重技術、輕管理的思想。
5、專項經費投入不足,管理人才極度缺乏,基礎理論研究和關鍵技術薄弱,嚴重依賴國外,對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和技術改造。
6、技術創新不夠,信息安全管理產品水平和質量不高,尤其是以集中配置、集中管理、狀態報告和策略互動為主要任務的安全管理平臺產品的研究與開發還很落后。
7、缺乏權威、統一、專門的組織、規劃、管理和實施協調的立法管理機構,致使我國現有的一些信息安全管理方面的法律法規,法階層次不高,真正的法律少,行政規章多,結構不合理,不成體系;執法主體不明確,多頭管理,政出多門、各行其是,規則沖突,缺乏可操作性,執行難度較大,有法難依;數量上不夠,內容上不完善,制定周期太長,時間上滯后,往往無法可依;監督力度不夠,有法不依、執法不嚴;缺乏專門的信息安全基本大法,如信息安全法和電子商務法等;缺乏民事法方面的立法,如互聯網隱私法、互聯網名譽權、網絡版權保護法等;公民的法律意識較差,執法隊伍薄弱,人才匱乏。
8、我國自己制定的信息安全管理標準太少,大多沿用國際標準。在標準的實施過程中,缺乏必要的國家監督管理機制和法律保護,致使有標準企業或用戶可以不執行,而執行過程中出現的問題得不到及時、妥善解決。
三、對我國信息安全管理的一些對策
(1)在領導體系方面,建議建立 “國家信息安全委員會”,作為國家機構和地方政府以及私營部門之間合作的主要聯絡人和推動者,負責對跨部門保護工作做全面協調,盡快建立具有信息安全防護能力、隱患發現能力、網絡應急反應能力和信息對抗能力的國家信息安全保障體系。
(2)以開放、發展、積極防御的方式取代過去的以封堵、隔離、被動防御為主的方式,狠抓內網的用戶管理、行為管理、內容控制和應用管理以及存儲管理,堅持“多層保護,主動防護”的方針。加強信息安全策略的研究、制定和執行工作。國家信息安全主管部門和標準委員會應該為組織制定信息安全策略提供標準支持,保證組織能夠以很低的費用制定出專業化的信息安全策略,提高我國的整體信息安全管理水平。
(3)進一步完善國家互聯網應急響應管理體系的建設,實現全國范圍內的統一指揮和分工協作,全面提高預案制定水平和處理能力。在建立象SARS一樣的信息分級匯報制度的同時,在現有公安系統中建立一支象現在的“110”和“119”一樣的“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。對關鍵設施或系統制定好應急預案,并定期更新和測試信息安全應急預案。
(4)加快信息安全立法和實施監督工作,建議成立一個統一、權威、專門的信息安全立法組織與管理機構,對我國信息法律體系進行全面規劃、設計與實施監督與協調,加快具有我國特點的信息安全法律體系的建設,并按信息安全的要求修補已頒布的各項法律法規。盡快制定出信息安全基本法和針對青少年的網上保護法以及政府信息公開條例等政策法規。尤其是為配合《電子簽名法》的實施和落實《國務院辦公廳關于加快電子商務發展的若干意見》,應抓緊研究電子交易、信用管理、安全認證、在線支付、稅收、市場準入、隱私權保護、信息資源管理等方面的法律法規問題,盡快提出制定相關法律法規;推動網絡仲裁、網絡公證等法律服務與保障體系的建設。
(5)加快信息安全標準化的制定和實施工作,盡早制定出基于ISO/IEC 17799國際標準的、并適合我國的信息安全管理標準體系,尤其是建立與完善信息安全風險評估規范標準和管理機制,對國家一些關鍵基礎設施和重要信息系統,如經濟、科技、統計、銀行、鐵路、民航、海關等,要依法按國家標準實行定期的自評估和強制性檢查評估。
(6)堅持“防內為主,內外兼防”的方針,通過各種會議、網站、廣播電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強組織或企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。在國家關鍵部門和企事業單位中,明確地指定信息安全工作的責職,建議由黨政一把手作為本單位信息安全工作責任人,在條件允許的企業里增設 CSO(首席安全官)職位,形成縱向到底、橫向到邊的領導管理體制。
(7)建議政府制定優惠政策,設立信息安全管理專項基金,鼓勵風險投資,提高信息安全綜合管理平臺、管理工具、網絡取證、事故恢復等關鍵技術的自主研究能力與產品開發水平。
(8)重視和加強信息安全等級保護工作,對重要信息安全產品實行強制性認證,特定領域用戶必須明確采購通過認證的信息安全產品。
(9)加強信息安全管理人才與執法隊伍的建設工作,特別是加大既懂技術又懂管理的復合型人才的培養力度。
(10) 加大國際合作力度,尤其在標準、技術和取證以及應急響應等方面的國際交流、協作與配合。(作者系貴州大學信息工程學院國家信息安全有關課題負責人)
開始組織實施國民經濟信息化工程建設。現在,以“三金”工程為代
表的“金”系列工程取得了實質性進展。
興建全球互聯的電腦信息網絡涉及到“路”(網絡)、“車”
(應用軟件)和“貨”(數據庫、多媒體產品等知識形態的商品)的
制造維護和管理。以網絡技術、數字技術和多媒體技術裝備的信息高
速公路的興建和運營,以及由此產生的信息新產品和服務對現有的知
識產權制度本身提出了嚴峻的挑戰。其中最具代表性的是信息網絡內
部運行與服務所衍生的知識產權問題這個問題解決得不好,就有可能
使信息網絡出現“道路”盡管四通八達,但“車輛”寥寥無幾或者有
“車”無“貨”的局面,從面阻礙信息高速公路的發展。因此,如何
調整完善現行的知識產權制度,使之適應國家信息基礎設施的需要,
已引起發達國家和有關國際組織的高度重視。
1995年9月5日,美國信息基礎設施專門工作組(IITF)下屬的知
識產權工作小組( WGIPR)在綠皮書的基礎上,提交了一份關于“知
識產權和國家信息基礎設施”的白皮書。主要論述了著作權法及其對
信息調整公路的應用與影響。參加白皮書起草的除美國專利與商標局、
美國版權局外,還包括美國商務部、國防部、教育部、能源部、財政
部、國家科學基金會等26個國家部門和機構*1。可見其重視程度。
歐洲委員會于1995年 7月19日公布了題為“信息社會的著作權與
相關權”的綠皮書*2,主要提出著作權和相關權在信息社會的新產品
與服務中的應用問題兇手與著作權有效行使密切相關的某些法律與技
術概念,但沒有論及信息網絡內部運行以及網絡服務引起的著作權問
題。與美國政府白皮書不同的是,歐委會綠皮書未將工業產權保護列
入其討論討論范圍中。
受法國文化部長委托,以西里內利(Sirinelli )教授為主席的
一個委員會于1994年 7月提交了一份題為“工業文化與新技術”的報
告(亦稱西里內利報告),*3詳細闡述了瓦解有多媒體領域的組成及
多媒體未來的發展趨勢,分析了這種趨勢對著作權和工業產權的影響。
由于多媒體具有關于信息媒體和傳播手段的雙重含義,與信息高
速公路有著異曲同工之妙,所以當美國人以信息高速公路描述正在興
起的信息革命時,日本人則大肆宣揚多媒體革命。1993年,日本通產
省所屬的知識產權研究所提交了關于“知識產權對多媒體新影響的提
案”的臨時報告,著重討論了建立負責多媒體著作權合并與授權的著
作權清算中心的可能性以及作品完整性的問題。日本文部省則于1993
年11月和1995年2月分別就多媒體和著作權保護提出兩分報告。*4
加拿大和澳大利亞的有關機構受各處政府委托,分別提交了“著
作權與信息高速公路”*5和“在新的通訊環境下的著作權”的專題報
告。*6
俄羅斯于1995年2月22日頒布了《關于信息、信息化和信息安全》