信息安全保障體系三層結(jié)構(gòu)的設(shè)計(jì)

李智勇 李蒙 周向明 劉珣

（解放軍信息安全測(cè)評(píng)認(rèn)證中心，北京 100016）

一、引言

2003年8月，中共中央辦公廳、國(guó)務(wù)院辦公廳下發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)），以促進(jìn)信息化建設(shè)健康發(fā)展，提高信息安全保障工作能力和水平。2012年7月，國(guó)務(wù)院辦公廳發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》，重點(diǎn)提到要“健全信息安全保障體系，切實(shí)增強(qiáng)信息安全保障能力”。上述文件是綜合、全面的指導(dǎo)性文件，既站在國(guó)家戰(zhàn)略的高度對(duì)我國(guó)信息安全的宏觀發(fā)展給出了方向和指導(dǎo)方針，也對(duì)一些具體領(lǐng)域的信息安全防護(hù)提出了細(xì)化的要求。兩文件中皆提到信息安全保障工作的重要地位。

信息安全保障工作涉及到社會(huì)的各個(gè)層面，主要包括國(guó)家層面、行業(yè)層面（主要包括金融、電力、能源、交通、電信等行業(yè)）和個(gè)體層面（主要包括中小型企事業(yè)單位、個(gè)人）等。從安全保障實(shí)踐角度分析，針對(duì)不同層面，信息安全保障工作的內(nèi)容也不盡相同，國(guó)家層面的信息安全保障工作要站在國(guó)家信息安全戰(zhàn)略層面，從維護(hù)國(guó)家的根本利益出發(fā)，建立國(guó)家級(jí)的信息安全保障體系，建立健全信息安全法規(guī)制度，提升網(wǎng)絡(luò)與信息安全保障水平；行業(yè)層面的信息安全保障工作應(yīng)依據(jù)行業(yè)特點(diǎn)和行業(yè)信息系統(tǒng)的運(yùn)行模式，建立行業(yè)的信息安全保障框架，實(shí)施網(wǎng)絡(luò)與信息安全防護(hù)措施；個(gè)體層面的信息安全保障工作應(yīng)從本單位的網(wǎng)絡(luò)與信息安全防護(hù)角度出發(fā)，防止信息系統(tǒng)遭受破壞和信息泄漏等。

綜上所述，針對(duì)不同層面的信息安全保障工作，其工作重點(diǎn)及內(nèi)容也不相同，歸根結(jié)底信息安全保障工作應(yīng)進(jìn)行“量身定制”，實(shí)施切實(shí)可行的信息安全保障策略和機(jī)制，使得信息安全保障工作各個(gè)環(huán)節(jié)互相協(xié)作，發(fā)揮最大的作用。下面就不同層面的信息安全保障工作分別進(jìn)行詳細(xì)敘述。

二、國(guó)家信息安全保障工作

目前各國(guó)都非常重視信息安全保障工作，許多國(guó)家紛紛采取措施，保障信息系統(tǒng)安全有效的運(yùn)行。構(gòu)建可信網(wǎng)絡(luò)，建設(shè)有效信息安全保障體系，實(shí)施可行的信息安全保障措施，已經(jīng)成為世界各國(guó)信息化發(fā)展的主要需求。

（一）國(guó)家信息安全保障的目標(biāo)

保證國(guó)民經(jīng)濟(jì)基礎(chǔ)設(shè)施的信息安全，抵御有關(guān)國(guó)家、地區(qū)、集團(tuán)可能實(shí)施“信息戰(zhàn)”的威脅，打擊國(guó)內(nèi)外的高技術(shù)犯罪，保障國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展。

（二）國(guó)家面臨的信息安全威脅

國(guó)家層面面臨的信息安全威脅一方面是有組織地針對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng)的網(wǎng)絡(luò)攻擊；另一方面是各國(guó)加快網(wǎng)絡(luò)空間軍備競(jìng)賽，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的威脅日益加劇。

（三）國(guó)家信息安全保障的對(duì)象

國(guó)家層面的信息安全保障對(duì)象應(yīng)包括涉及國(guó)計(jì)民生的重要信息系統(tǒng)，如電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)、重要領(lǐng)域的工業(yè)控制系統(tǒng)等。

（四）國(guó)家信息安全保障的內(nèi)容

1、建立完善的信息基礎(chǔ)設(shè)施。國(guó)家信息基礎(chǔ)設(shè)施的內(nèi)容包括：國(guó)家信息源、國(guó)家基礎(chǔ)信息傳輸網(wǎng)絡(luò)和國(guó)家核心信息應(yīng)用系統(tǒng)、信息技術(shù)及產(chǎn)業(yè)、信息人力資源和信息軟環(huán)境（包括信息政策、法規(guī)、標(biāo)準(zhǔn)和規(guī)范）等。

2、建立信息安全組織、管理體系。建立國(guó)家信息安全組織管理體系，主要是加強(qiáng)國(guó)家職能，建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)價(jià)體系。

3、建立信息安全測(cè)評(píng)認(rèn)證體系。信息安全測(cè)評(píng)認(rèn)證體系中應(yīng)包括測(cè)評(píng)認(rèn)證管理委員會(huì)、測(cè)評(píng)認(rèn)證實(shí)體和技術(shù)測(cè)評(píng)機(jī)構(gòu)。

4、建立網(wǎng)絡(luò)信任體系。要建立有效的網(wǎng)絡(luò)信任體系，需要制定國(guó)家級(jí)的證書策略體系，實(shí)現(xiàn)證書分類分級(jí)管理；建立國(guó)家級(jí)證書互認(rèn)平臺(tái)，實(shí)現(xiàn)證書互認(rèn)和技術(shù)監(jiān)管；建立國(guó)家級(jí)的證書備份庫，實(shí)現(xiàn)電子認(rèn)證業(yè)務(wù)連續(xù)性保證。

5、建立國(guó)家級(jí)應(yīng)急響應(yīng)、災(zāi)難恢復(fù)機(jī)制。建立國(guó)家級(jí)的信息安全應(yīng)急響應(yīng)機(jī)制，首先應(yīng)建立國(guó)家級(jí)的信息安全應(yīng)急響應(yīng)組織機(jī)構(gòu)；其次是制定國(guó)家級(jí)的應(yīng)急響應(yīng)預(yù)案體系；第三做好信息安全監(jiān)測(cè)和預(yù)警工作。建立國(guó)家信息系統(tǒng)災(zāi)難恢復(fù)體系，這個(gè)體系主要是指全國(guó)所有信息系統(tǒng)的災(zāi)難恢復(fù)設(shè)施及其相關(guān)資源、規(guī)則的總和，由實(shí)體體系、支撐體系和規(guī)則體系構(gòu)成。

三、行業(yè)信息安全保障工作

國(guó)家層面的信息安全保障工作是基礎(chǔ)性的工作，是不同行業(yè)開展信息安全保障工作的依據(jù)。在此基礎(chǔ)上，各行業(yè)應(yīng)根據(jù)網(wǎng)絡(luò)與信息安全現(xiàn)狀、業(yè)務(wù)特點(diǎn)以及信息系統(tǒng)的應(yīng)用模式開展行業(yè)的信息安全保障工作。

（一）行業(yè)信息安全保障的目標(biāo)

在行業(yè)的信息安全保障工作中，應(yīng)建立本行業(yè)的信息安全保障框架，出臺(tái)本行業(yè)的信息安全總體策略、標(biāo)準(zhǔn)、規(guī)范和制度等，制定適合于本行業(yè)的網(wǎng)絡(luò)與信息安全防護(hù)措施等。

（二）行業(yè)面臨的信息安全威脅

各個(gè)行業(yè)在信息化社會(huì)中，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的依賴程度日益增強(qiáng)，越來越多行業(yè)的信息和重要數(shù)據(jù)資源存儲(chǔ)傳輸于網(wǎng)絡(luò)中，特別是基于國(guó)際互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)廣泛應(yīng)用，各個(gè)行業(yè)都將面臨網(wǎng)絡(luò)攻擊、數(shù)據(jù)破壞、信息系統(tǒng)異常和敏感信息泄露等諸多的安全問題，有的安全問題會(huì)關(guān)系到公眾的利益甚至是國(guó)家的利益。

（三）行業(yè)信息安全保障的對(duì)象

行業(yè)層面信息安全保障對(duì)象應(yīng)該是一個(gè)行業(yè)的基礎(chǔ)通信網(wǎng)絡(luò)、信息基礎(chǔ)設(shè)施、覆蓋全國(guó)的信息系統(tǒng)和全國(guó)集中的災(zāi)難備份系統(tǒng)等。

（四）行業(yè)信息安全保障的內(nèi)容

建立行業(yè)的信息安全保障體系框架。行業(yè)的信息安全保障體系框架是規(guī)范實(shí)施一個(gè)行業(yè)信息安全保障的法制、組織、管理和技術(shù)等層面有機(jī)結(jié)合的整體，是一個(gè)行業(yè)信息安全的基本組成部分，是保證一個(gè)行業(yè)信息化順利進(jìn)行的基礎(chǔ)。

建立行業(yè)的政策法規(guī)與標(biāo)準(zhǔn)規(guī)范支撐體系。政策法規(guī)與標(biāo)準(zhǔn)規(guī)范支撐體系是整個(gè)行業(yè)信息安全體系框架的根基，是指導(dǎo)一個(gè)行業(yè)進(jìn)行信息安全建設(shè)、組織管理、人才教育與培訓(xùn)等全部工作的總綱領(lǐng)。

建立行業(yè)的信息安全管理保障體系。行業(yè)的信息安全管理保障體系應(yīng)包括組織管理體系和人才保障體系兩大核心內(nèi)容。建立組織管理體系的目標(biāo)是管理行業(yè)內(nèi)部的信息安全，在行業(yè)內(nèi)部開展和控制信息安全的管理實(shí)施，為行業(yè)信息安全管理工作的深入開展提供組織保障。人才保障體系是指在行業(yè)內(nèi)部建立信息安全組織領(lǐng)導(dǎo)人才、技術(shù)管理人才和專家人才的培養(yǎng)機(jī)制等。

建立行業(yè)的信息安全技術(shù)保障體系。信息安全技術(shù)保障體系是指實(shí)施安全的技術(shù)防護(hù)措施，該體系主要以行業(yè)的信息安全目標(biāo)為依據(jù)，旨在技術(shù)上保障行業(yè)信息的可用性、完整性和機(jī)密性等信息安全基本要素，確保行業(yè)信息系統(tǒng)的持續(xù)可靠運(yùn)行，需要在信息系統(tǒng)的全生命周期內(nèi)從技術(shù)、管理、工程實(shí)施、運(yùn)行等方面進(jìn)行安全保障。行業(yè)的信息安全技術(shù)保障體系主要包括行業(yè)的信息安全基礎(chǔ)設(shè)施和行業(yè)的信息安全技術(shù)保障措施等。

建立行業(yè)的業(yè)務(wù)應(yīng)用保障體系。確立應(yīng)用系統(tǒng)的安全目標(biāo)；規(guī)范應(yīng)用系統(tǒng)的結(jié)構(gòu)類型；確定信息系統(tǒng)安全等級(jí)保護(hù)要求；建立應(yīng)用系統(tǒng)安全體系架構(gòu)。

四、個(gè)體信息安全保障工作

個(gè)體信息安全保障工作面向中小型企事業(yè)單位及個(gè)人，其具體的工作內(nèi)容應(yīng)在依據(jù)國(guó)家層面和行業(yè)層面信息安全保障工作內(nèi)容的基礎(chǔ)上，進(jìn)一步進(jìn)行細(xì)化和延伸，建立本單位的信息安全組織機(jī)構(gòu)，制定出適合本單位的信息管理規(guī)范和操作性較強(qiáng)的信息安全防護(hù)措施。

（一）個(gè)體信息安全保障的目標(biāo)

中小企事業(yè)單位應(yīng)從制度、管理和技術(shù)角度，對(duì)本單位的網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行運(yùn)行維護(hù)，形成網(wǎng)絡(luò)訪問控制、用戶操作審計(jì)、安全事件可追溯的完整信息安全保障機(jī)制，大幅提高單位及個(gè)人對(duì)信息安全風(fēng)險(xiǎn)的預(yù)警和響應(yīng)能力。

（二）個(gè)體面臨的信息安全威脅

中小企事業(yè)單位和個(gè)人面臨的安全威脅主要包括網(wǎng)絡(luò)攻擊、內(nèi)部人員操作失誤以及惡意代碼傳播等。由于中小企事業(yè)單位的業(yè)務(wù)辦公網(wǎng)與互聯(lián)網(wǎng)多采用邏輯隔離，其信息系統(tǒng)將面臨更多的外部威脅，這些威脅對(duì)象主要來自黑客和惡意犯罪的攻擊，可以分為個(gè)體的、群體的甚至利益集團(tuán)的攻擊。

（三）個(gè)體信息安全保障的對(duì)象

中小企事業(yè)單位的信息安全保障對(duì)象主要包括業(yè)務(wù)辦公網(wǎng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)、個(gè)人使用的辦公計(jì)算機(jī)和移動(dòng)存儲(chǔ)介質(zhì)等。

（四）個(gè)體信息安全保障的內(nèi)容

1、建立信息安全管理保障機(jī)制。信息安全管理保障機(jī)制主要包括以下內(nèi)容，建立信息安全組織機(jī)構(gòu)；做好人員的安全管理工作；建立信息安全管理制度和規(guī)范；加強(qiáng)信息系統(tǒng)建設(shè)管理；建立信息系統(tǒng)運(yùn)維管理手段等。

2、加強(qiáng)信息系統(tǒng)安全生命周期管理。信息系統(tǒng)安全生命周期管理應(yīng)包括信息系統(tǒng)安全規(guī)劃與定級(jí)階段管理、信息系統(tǒng)安全設(shè)計(jì)與實(shí)施階段管理、信息系統(tǒng)安全運(yùn)行與維護(hù)階段管理和信息系統(tǒng)終止階段管理等。

3、建立信息安全技術(shù)保障措施。信息安全技術(shù)保障措施主要包括以下內(nèi)容：通信網(wǎng)絡(luò)安全保障技術(shù)；網(wǎng)絡(luò)區(qū)域邊界的安全保障技術(shù)；信息系統(tǒng)計(jì)算環(huán)境安全保障技術(shù)；信息系統(tǒng)公鑰基礎(chǔ)設(shè)施及應(yīng)用；終端環(huán)境安全保障技術(shù)措施；信息系統(tǒng)安全管理中心技術(shù)平臺(tái)；信息系統(tǒng)應(yīng)急響應(yīng)及災(zāi)難恢復(fù)等。

五、結(jié)論

本文從國(guó)家層面、行業(yè)層面和個(gè)體層面對(duì)信息安全保障的目標(biāo)、面臨的信息安全威脅、信息安全保障的對(duì)象以及信息安全保障工作的內(nèi)容分別進(jìn)行了論述。提出國(guó)家層面的信息安全保障工作應(yīng)站在信息安全戰(zhàn)略層面，以維護(hù)國(guó)家穩(wěn)定、保障國(guó)民經(jīng)濟(jì)健康發(fā)展為目標(biāo)；行業(yè)層面的信息安全保障工作應(yīng)在遵循“國(guó)家層面信息安全保障工作內(nèi)容”的基礎(chǔ)上體現(xiàn)出行業(yè)特點(diǎn)，建立適于本行業(yè)的信息安全保障體系；個(gè)體層面的信息安全保障工作應(yīng)在繼承“行業(yè)信息安全保障工作”特點(diǎn)的基礎(chǔ)上立足現(xiàn)實(shí)、強(qiáng)化落實(shí)。

綜上所述，信息安全保障工作不能一概而論，不同層面的信息安全保障工作應(yīng)依據(jù)自身的安全目標(biāo)、特點(diǎn)和范圍等因素進(jìn)行“量身定制”，做好信息安全保障工作的規(guī)劃、設(shè)計(jì)和實(shí)施，切忌盲目追求不切實(shí)際的信息安全目標(biāo)而進(jìn)行過度的安全保護(hù)，造成資源的浪費(fèi)，甚至造成安全保障措施之間相互抵觸；也應(yīng)避免由于安全意識(shí)欠缺和資金不到位等因素，不能全面落實(shí)信息安全保障工作的內(nèi)容甚至存在較大的信息安全隱患。

總之，各個(gè)層面都應(yīng)全面貫徹“積極防御、綜合防范”的方針，逐步構(gòu)建完善的信息安全保障體系，全面提升信息安全綜合防護(hù)能力，保障國(guó)民經(jīng)濟(jì)和社會(huì)信息化健康穩(wěn)定發(fā)展。

[1]國(guó)務(wù)院辦公廳.關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見[EB/OL].http://www.gov.cn/zwgk/2012-07/17/content_2184979.htm,2012-07-17.

[2]吳世忠等.信息安全保障基礎(chǔ)[M].北京：航空工業(yè)出版社，2009.6.

[3]盧新德等.構(gòu)建信息安全保障新體系[M].北京：中國(guó)經(jīng)濟(jì)出版社，2007.5.