吕诚昭-进一步完善国家信息安全长效工作机制.ppt

进一步完善国家信息安全长效工作机 制的探索与思考 首届中国信息安全行业应用高峰论坛 吕诚昭 2007年10月12日 上海 十六届四中全会决定 针对传统安全威胁和非传统安全威胁 的因素相互交织的新情况，提出： 要增强国家安全意识， 完善国家安全战略， 抓紧构建维护国家安全的科学、协 调、高效的工作机制。 主要内容 一、信息安全问题特点分析 二、信息安全问题特点对长效工作机制 的影响 三、目前国家信息安全工作机制所面临 的问题 四、加强信息安全等级保护制度建设， 进一步完善国家信息安全长效工作机制 一、信息安全问题特点分析 信息安全属于非传统安全范畴。 从非传统安全的特点出发，研究国 家信息安全战略和国家信息安全科学 、协调、高效的工作机制。 非传统安全问题的特点 目前关于非传统安全问题文献中主要涉及到 以下特点： 跨国性、 非对称性、 不确定性、 转化性、 动态性、 主权性、 协作性等。 信息安全问题的特点 除了以上非传统安全问题的特点，信 息安全问题还具有以下特点： 相对独立性、 （互）依赖性、 多重性、和 多层性等。 网络空间与物理世界的关系 网络空间（信息系统）既是物理世界的组成 部分，又与物理世界存在着影射甚至镜像关 系 一个重要信息系统既是物理世界的基础设施 ，而同时又与所支撑的物理基础设施存在镜 像关系 互联网的应用一方面正在形成（信息）虚拟 社会，而同时互联网又与物理社会也存在着 影射关系 信息系统的独立性和依赖性 信息系统是物理世界中的独立组成部分 ，并且信息可能形成虚拟社会，显示了 信息系统的独立性 同时存在物理基础设施对信息系统的依 赖性 源于物理基础设施间的相互依赖，信息 系统间存在互依赖性 信息安全问题的相对独立性 和（互）依赖性 由于信息系统的独立性和依赖性 信息安全问题就必然存在相对的独立性（包 括虚拟世界的信息安全）、依赖性（物理设 施对信息系统的安全依赖）以及互依赖性（ 信息系统之间的相互安全依赖） 信息安全与物理世界安全客观上存在着影射 （镜像）和依赖关系，信息安全的重要性在 于基础设施和社会对信息系统的依赖性，信 息安全威胁直接构成了对基础设施和社会的 安全威胁 信息安全问题的多层性 由于信息及信息技术的渗透性，信 息及信息技术无处不在 在现代社会中，从国家、法人和其 他组织及公民等各个层面都离不开信 息和信息技术，从而也都在不同程度 上面临着信息安全问题 形成了从国家、行业管理、运营单 位、建设者到使用者等多层面的信息 安全问题 信息安全问题的多重性 信息安全问题的多层性直接导致信息安全问 题的多重性。 从战略角度看，信息安全工作服从于国家安 全和信息化发展的需求，国家安全战略和信 息化发展战略是信息安全的双重上位战略。 从工作机制层面上看，一个具体的信息安全 威胁可能影响不同层面的安全。 某个关键基础设施的信息系统所出现的一 个特定的信息安全问题，可以看成是行业层 面的运行安全问题，也可以看成是国家层面 的安全问题 二、信息安全问题特点 对长效工作机制的影响 相对独立性以及（互）依赖性 对长效工作机制的影响 信息安全问题的相对独立性以及（互） 依赖性特点对信息安全工作机制的构成 有直接的影响。 要保证维护国家信息安全工作机制的科 学性、协调性、高效性，在构建过程中 就必须充分考虑到信息安全问题的相对 独立性和依赖性。 相对独立性以及（互）依赖性 对长效工作机制的影响 过分地强调信息安全问题的独立性而忽略其 依赖性，就会要求在国家层面设立专门完全 独立的信息安全管理机构，统一管理所有的 信息安全问题。 由于客观存在的依赖性，这个机构要直接指 挥和协调社会所有的部门和机构，对这种机 制的指挥和协调能力要求非常高，因而可能 存在工作效率的问题。 相对独立性以及（互）依赖性 对长效工作机制的影响 过分强调信息安全的依赖性而忽略其相对独 立性，就可能极端地取消所有层面上独立的 信息安全管理机构。 由于信息安全问题的相对独立性，并且许多 信息安全工作需要特殊的机构、方法和人才 才能有效地处理，这种机制将同样严重缺乏 指挥和协调能力而不能有效工作。 相对独立性以及（互）依赖性 对长效工作机制的影响 忽略任何一方面都会使工作机制缺少科学性 从1996年以来我国的信息安全工作在执行过 程中一直存在着“指挥”权的问题 兼顾相对独立性和（互）依赖性两个方面， 国家层面的信息安全协调管理机构的粒度应 当在一个适中的范围 多重性和多层性 对长效工作机制的影响 国家、行业管理、运营单位、建设者到使用 者等不同层面信息安全的区别及其相互关系 直接影响国家信息安全工作机制的构建。 依据信息安全具有多层性和多重性的特 点，国家信息安全长效工作机制应当具 有多层结构 多重性和多层性 对长效工作机制的影响 我国的信息安全等级保护制度就是适应了信 息安全问题的多层性和多重性的特点 信息安全等级是客观存在的并且是无处不在 的 信息安全所有方面的都工作应该在等级保护 制度的框架下进行，也就是说，信息安全等 级保护是信息安全工作的基本制度。 信息安全问题的非传统安全特点及其相对独 立性、（互）依赖性、多重性和多层性等特 点，决定了信息安全工作机制的构建是一项 复杂的任务。 十几年来，我国在信息安全工作方面的不断 探索就说明了这个问题 三、目前国家信息安全工作机制 所面临的问题 1、法律法规所构建的国家信息安全 工作机制 中华人民共和国计算机信息系统保护条例 （ 147号令） 中华人民共和国警察法、 关于加强信息安全保障工作的意见 （27号文 件） 关于信息安全等级保护工作的实施意见 （66 号文件）等 明确规定了公安部门作为国家信息安全工作的主管 部门依法担负国家信息安全保护工作的职责。 1、法律法规所构建的国家信息安全 工作机制 国家层面的信息安全管理部门： 公安机关负责信息安全等级保护工作的 监督、检查、指导； 国家保密工作部门负责等级保护工作中 有关保密工作的监督、检查、指导； 国家密码管理部门负责等级保护工作中 有关密码工作的监督、检查、指导。 1、法律法规所构建的国家信息安全 工作机制 由于信息安全等级保护制度是我国信息安 全工作的基本制度，66号文件对相关部门的 管理职能分工可进一步表述为： 公安机关负责信息安全保护工作的监督、检 查、指导； 国家保密工作部门负责信息安全保护工作中 有关保密工作的监督、检查、指导； 国家密码管理部门负责信息安全保护工作中 有关密码工作的监督、检查、指导。 1、法律法规所构建的国家信息安全 工作机制 66号文件对“主管”做了进一步明确界定为 “监督、检查、指导” 进一步重申了147号令对公安机关“监督、 检查、指导计算机信息系统安全保护工作” 的授权， 对国家保密工作部门和国家密码管理部门也 规定了类似的职能。 2、国家层面和行业层面之间的“边 界模糊”是目前需要解决主要问题 我国信息安全工作机制所面临的主要矛盾是 不同层面之间，特别是国家层面和行业层面 之间所出现的纵向“边界模糊”，是目前所 亟待解决的关键问题。 2、国家层面和行业层面之间的“边 界模糊”是目前需要解决主要问题 从信息安全问题的相对独立性、（互）依赖性、多 层性和多重性等特点分析 我国目前法定的信息安全工作机制是不完善的 法定的信息安全工作机制主要涉及了国家层面的 工作，而对其它层面的工作特别是对多层面之间关 系缺少科学有效的设计和构建 由于没有从多层面有效地设计信息安全工作机制 ，在具体工作中就出现了一些不协调的现象 行业层面的“谁主管谁负责” 需要进一步明确 各行业层面的主管部门或行业组织按职能分 工 负责相关行业的信息安全保障工作， 依法负责与国家层面的信息安全保障工作协同配 合， 组织行业信息安全自律。 行业管理部门往往强调第一个“负责”而轻 视甚至忽略第二个“负责”职能。 行业层面的“谁主管谁负责” 需要进一步明确 产生这个问题的主要原因是目前的信息安全 工作机制没有明确清晰地界定信息安全工作 的国家层面和行业层面之间的关系； 需要进一步明确各个层面的工作及层面之间 的关系。 信息安全工作中出现“指挥”不明确的 问题 目前事实上存在着两种信息安全工作机制： 法定的信息安全工作机制 以信息化协调机构为主的信息安全工机制 从信息安全的特性出发，这两种工作机制都 不完善 在一些具体信息安全工作中，就出现究竟是 由国家层面的相关专职安全部门还是信息化 协调机构指挥的问题。 国家层面的安全需求有时不能正常有 效地体现 今年所发生的电信海底光缆因地震断裂的事件不仅 仅是一个简单的孤立事件 首先，它揭示了我国基础电信网络存在着严重的 脆弱性，即便是海底光缆修复了，网络结构本身存 在严重的问题仍然没有解决 第二，恢复时间超出了可以接受的界限，我国基 础电信网的应急恢复能力应当受到严重的质疑 第三，基础电信网建设时重点考虑了建设成本而 忽略了国家安全的需求 国家层面的安全需求有时不能正常有 效地体现 国家层面和行业层面在信息安全需求方面并不完 全一致，工作的重点客观上也存在区别 国家信息安全工作中存在需要进一步理顺的问题 ，国家相关安全管理部门的监督、检查和指导作用 需要进一步明确和发挥。 存在行业与国家层面安全管理不协同 配合的现象 在一些具体工作中也出现了一些行业部门不 能有效地与国家层面管理部门协同配合的现 象，比如： 在信息安全应急处置过程中不保留威胁的证 据而妨碍了对违法犯罪的惩处 在信息安全事件通报等其他信息安全工作方 面也有类似协同配合的问题 普遍存在对国家层面和行业层面管理 职能的模糊认识 对国家层面和行业层面管理职能的模糊认识主要 表现在将国家层面的专职负责安全的部门与行业层 面的管理部门完全并列在同一层面 虽然都是国务院的部门，但在安全管理上并不在 一个层面上，否则就将使信息安全管理的边界更加 模糊 在具体工作方面，相关部门有权代表国家在所管 辖的方面行使操作指挥的职能 如果把部门之间的指挥边界搞模糊了，也就可能 把“国家”架空了 四、加强信息安全等级保护制度 建设 进一步完善国家信息安全 长效工作机制 1、在信息安全等级保护基本制度框 架下，规范各项信息安全工作 信息安全等级保护的目的是保护，核心是国 家对关键基础设施和重要资源实行重点保护 。信息安全等级保护制度是我国信息安全工 作的基本制度，各项信息安全工作如信息安 全风险管理、信息安全产品和信息技术产品 安全管理（包括安全漏洞分析和控制）、信 息安全应急处理（包括灾难备份与恢复）、 网络信任体系等都应当有机地适应等级保护 的总体要求。 1、在信息安全等级保护基本制度框 架下，规范各项信息安全工作 如果除了等级划分外的其他工作基本都脱离 等级保护制度，就会使信息安全等级保护的 实施形成“两张皮”，相关工作的有效落实 增加难度。 在信息安全等级保护基本制度框架下规范各 项信息安全工作是信息安全等级保护制度建 设深入发展的必然结果，同时也是进一步完 善国家信息安全长效工作机制的必要前提。 2、认真解决国家层面与行业层面在信息 安全管理工作中的“边界模糊”问题 在信息安全管理工作中，各国都面临着共同的主 要难题之一是政府和企业的关系问题。这是信息安 全与传统安全的典型区别，各国都投入了很多力量 来解决这个问题。 由于各国的情况不同，政府和企业的关系表现的 方式也不尽相同 美国85%以上的关键基础设施是私营的，政府和企业的关系更多 地表现为政府部门和私营部门之间的关系 我国主要的关键基础设施是国营的，政府和企业的关系更实质上 表现为国家层面信息安全管理部门和行业管理部门之间的关系 2、认真解决国家层面与行业层面在信息 安