分享更多
字体:

贾力:如何做好信息安全的保障工作

http://msn.finance.sina.com.cn 2012-05-19 17:12 来源: 新浪财经
北京市经济和信息化委员会贾力 北京市经济和信息化委员会贾力

  新浪财经讯 5月19日,由中国证监会研究中心、北京证监局举办的“第7届中国(北京)期货暨衍生品市场论坛”在北京国宾酒店召开,新浪财经作为独家门户网络合作伙伴全程图文直播本次论坛。以下为北京市经济和信息化委员会贾力发言实录。

  贾力:大家下午好。非常高兴今天有这么个机会,跟咱们期货界的朋友交流一下信息安全的问题。我的发言分三个部分,第一,理解一下信息安全,第二,认识一下信息安全的重要性。第三,要跟大家交流一下在信息安全领会国家政策方面需要注意些什么问题。政策方面的东西可能比较枯燥。

  理解信息安全,为什么讲这个问题,这么多年在信息安全这个行业里,很多人对信息安全的理解不一致,不准确,有的人对信息安全的理解还产生一些误解。所以我想借这个机会把这个问题跟大家交流一下,以便于更好的领会国家有关信息安全的政策。

  首先什么是信息安全?

  在座的各位如果对信息安全能够回答,现在让大家回答,我估计有很多不同的答案,在称呼上就有很多不同,有叫网络安全的,有叫信息网络安全,有叫网络信息安全,不同的答案,就这个叫法就不一样。

  在互联网上大家可以搜一下,信息安全的定义也有很多。原因很多,每个人对信息安全的理解角度不同,可能有不同的理解。再一个从信息安全的产生到现在发展的不同历史阶段,人们对信息安全的认识也是不一样的。

  比如说我们以前没有网络,也没有信息系统,大家认识信息安全就是狭义的就认为是信息内容。现在有了信息系统,信息安全离不开网络和信息系统,现在再理解信息安全,那就跟网络,跟系统有密切的关系。

  所以说很多人问我什么是信息安全,我总结了这么一个公式,有三部分,一个是网络的安全,一个是信息系统的安全,还有一个就是信息内容的安全,当然信息内容的安全是最重要的。

  有时候一些朋友也问,信息安全到底是怎么回事,我也不是搞这个研究,不是做定义的,我找一种比较通俗的语言跟大家解释,我有时候把信息安全比喻成交通安全来比,交通安全大家都知道,也是三部分,路的安全,车的安全,还有车里的人和物的安全。正好交通安全这三部分跟信息安全的三部分一一一对应。我们经常把信息网络比喻成高速公路,信息系统就是高速公路上跑的车,有了这个大家理解信息安全就更容易一些了。这是讲的一个信息安全的概念和定义。

  还有一个就是信息安全的发展规律。很多人对信息安全的发展规律不是很了解,最后造成在工作中产生一些误解。比如说一个行业,一个部门,或者一个单位,信息安全问题很突出。另一个单位没什么信息安全的问题,或者很少,如果相比是不是能够得出一个简单的结论,信息安全问题突出的单位,他的工作做得就好,没什么问题的单位工作做得就没什么问题呢?有问题的单位做得不好?这个简单的结论不对。北京市搞电子政务绩效考评,同时也对信息安全做检查,每年对比,连着几年以后,发现凡是信息安全突出多的问题,恰恰是信息化做得好的,排在头几名的,都是一些信息安全做得不错的,他的应用也做得非常好。没什么问题的单位,往往是信息化落后的单位。

  这就说明一个问题,信息安全这个规律也是符合它的规律的,信息安全它是要跟我们信息化的依赖程度呈正本的,我们越离不开信息化,这时候信息安全的问题就会越多。这个规律要把握好的话,在我们的工作中就会避免很多的误会。

  这两个问题跟大家先交流一下,特别是信息安全问题,一旦有了以后,我们一定要辩证的看。这两个问题是比较重要的,在理解信息安全方面。

  其次再说一下认识的问题。从08年开始到去年,我们北京市发生的比较大的一些信息安全的事件,08年奥运会的票务网站瘫痪的事大家都知道了,09年和10年,是公务员招考的网站瘫痪的问题,大家也都知道。还有一个就是10年的百度域名被劫持了,大家在网上都炒得很热。这些事件,这里都是一些比较大的北京市的事件,从国家角度,从外省市来讲也能看出来这么一个趋势,它是跟信息安全的发展规律是相符的,我们越来越离不开信息化,自然信息安全的问题就越来越多,越来越突出。

  但是这些问题有了以后,自然事件就会越来越多。也说明了我们现在目前的信息安全保障这项工作,跟信息化的发展是不匹配的,滞后于信息化的发展,而且这种滞后的程度是越来越大。原因也有很多,但是我想有一个非常重要的原因,就是我们对信息安全重要性的认识还没达到一个应有的这么一个程度,假如说我们对信息安全重要性的认识到了应该有的程度,我相信很多的安全事件可能都可以避免了。

  主要还是和信息安全的发展规律是相一致的,信息化应用到什么程度,你信息安全重要到什么程度,你就要认识到什么程度,而这个程度它是要随着你应用不断的发展,信息安全问题的突出,你的认识要不断的提高,两三年之前你觉得我认识到位了,放到今天或者再过几年,可能这个认识程度就会落后。所以我要强调的是,要不断提高对信息安全重要性的认识。

  我们看一下国家方面的,04年国家提出,确保国家政治安全,经济安全,文化安全和信息安全,这是在中央文件里面第一次这么提。温总理提出,要从公众利益,社会稳定,经济发展和国家安全的高度充分认识信息安全的极端重要性。确确实实信息安全涉及到我们的方方面面。

  这是国家重视信息安全,02年当时国家成立了由黄菊同志任组长的国家网络与信息安全协调小组,08年经过改革以后,根据胡总书记的批示,由李克强同志任组长的协调小组,包括了两办共17个成员单位。这个月的9号,总理刚刚召开的国务院常务会议,研究部署的推进信息化发展,保障信息安全工作。会议强调的6点,前4点都讲的信息化的发展,最后两点是信息安全的保障工作,一个是健全安全的防护和管理,一个是加快信息安全领域的建设。

  近几年也出台了一些政策法规,有关信息安全的,我数了一下,大概将近40个。像非常有名的,这是04年加强信息安全保障工作的意见,还有94年国务院的一个灵,计算机信息系统安全保障条例,等级保护的管理办法等等,这些文件都是非常非常重要的。

  对信息安全这块,国家这么重视,我们也确实没有理由不重视,而且这个重视程度应该是在不断的提高,跟我们的业务和工作结合起来。

  最后我和大家交流一下需要注意的问题,一个是领会国家信息安全的政策法规精神方面,还有具体的落实,事实方面,这么两方面来讲。

  领会精神方面有三个点需要把握好,一个就是解决信息安全问题,一定要用体系的思路,因为信息安全它是一个系统工程,你不用体系的思路来解决,最后也无法解决这个问题。

  什么叫体系?国家的一些专家把信息安全的体系归纳了6个方面,当然也有归纳两个方面的,也有7个方面,8个方面的,目前为止这6个方面用得比较多,我就讲一下。一个是信息安全的组织领导,一个是信息安全的法制与标准化,还有信息安全的基础设施,信息安全的技术与产业,宣传教育,人才培养,资金保障。解决信息安全一定要成体系,这是一个木桶原理,这个木桶里面的水就比喻成信息安全,你水只要不流出来,就说明是安全的。我的木桶怎么让它放的水最多,取决于你最短的那块板。在我们的工作中一定要有桶的概念,还要有短板的概念,我们要不断的补短板,这样的话水才不至于流出来。这个水每年都在涨,我们的桶也要不断的涨,只有让它一致了,这个水才不至于流出来。之所以出了这么多的问题,就是因为桶增长的速度不如水的增长速度。

  第二点需要把握的就是要确保重点。这水还没流出来,还没到的时候,大家就要考虑把这个马桶把它加高。重点要找重点。国家的重点说的是基础信息网络和重要信息系统,从体系的角度来讲就是得找短板。

  第三个问题,在工作中是经常要碰到的,就是要处理好几个关系,一个是安全与发展的关系。我不知道大家是站在什么角度上,因为我是干安全的,经常碰到干建设和干应用的跟我说,说我的应用很重要,你得保证我,他说发展是硬道理,我说这个话没错,但是不全,不完整,我从我的角度来讲,给你加一句话,你光为了发展安全出了事也不成,所以还是要两手抓,两手都要硬,这里面真正的工作,不是简单的进行平衡处理这个关系,它是要根据你的实际情况来进行判断,进行取舍,有的时候你要取安全,有的时候你要舍安全,有的时候要取发展,有的时候要舍发展。

  在03年非典的时候,当时外界抨击咱们信息公布得不及时,不准确,不透明,很多原因,咱们医院有国家部委的,有部队的,有地方,本身信息就很难。再加上我们的手段不行,没有网络,当时非典的信息按照规定是涉密信息。当时我们北京市一个电子政务外网把这些信息汇总到技术中心,这样的话及时有效的公布,当时你不可能两个都保,你只能舍一个,保一个。这种梯子特别特别多。

  安全和发展的关系如果处理不好的话,肯定我们的工作就更难了。

  第二就是技术和管理的关系要处理好。信息安全发展到最后,实际上是一个高技术的对抗,在你发展过程中,工作中,到底是重技术,轻管理,还是重管理轻技术,这个之间也有一个平衡点,也是根据你实际的工作情况你要进行取舍。文件里说得很简单就是并重,但是怎么并重是很难把握的。

  要想解决风险需要花钱,安全没有绝对的,任何系统和网络都存在风险。假如说你花了99个亿你达到了99%的安全,还有1%的风险,要想解决这1%的风险,它不是简单的说我前面花了99亿,我再花10个亿,8个亿就能达到百分之百,不是这么简单的问题。

  奥运会的时候我们就有一个体会,领导要求万无一失,这最后的1%花的钱,可能是你前面99%的多少倍。这个我也没有研究过到底是一个什么倍数的关系,但是得有这么一个认识,最后越往后,剩那百分之零点几要解决掉,那个成本是非常高的。所以在我们工作中要平衡好这个问题。这个风险多大,多大的风险我能承受,多大的风险我能接受,花的钱多少,我要综合平衡成本和风险,最后选择我能接受的一个风险来投入。

  关于国家的精神领会的问题,有很多文件都有,但是光看文字可能很难领会。至少我觉得加强信息安全保障工作的意见,我觉得是要把它学好学透,对于我们领会国家的文件是非常有帮助的。

  这个文件它从总体要求,主要原则,包括9个具体的方面都强调到了,讲的就是主动,体系,重点,全都强调到了,但是怎么去领会这些文件的精神,还是得通过实际工作来认真领会这些精神。

  第二个方面,在具体实施方面。我把实施分成三个阶段,这里面有10点我认为是比较重要的,第一阶段在信息化化建设之前,一个是要健全组织领导,这里面主要是你单位也好,行业也好,或者部门也好,应该有一个主要的领导,至少是你们常务主管以上的,一个单位就是一把手,因为你安全的责任是一把手负责,你领导责任在这儿,你不管你的责任就没承担。

  再一个需要注意的,把机构要明确分工,特别常见的应该请一个专家顾问,你还要注意专家的结构,这个结构能够支撑你的业务。

  还有一个落实责任,国家的规定里明确的说法,谁主管谁负责,谁用谁负责,实际上就是权责统一。一般来讲我们都比较容易把责任层层落实,从领导到部门,最终落实到这个人,从纵向来讲大家都很容易理解。但是还有一个问题这个责任制的分类,在工作中经常有些人误解。还有将来出了事以后好像找不着谁负什么责,谁负管理责任,谁负监管责任。在建设之前,在分工的时候,在说权利的时候,一定要把责任落实了,横向,纵向的权利责任都要落实。这样的话他有意识,就可以避免很多的问题。

  第二阶段有四点,一个是方案设计,要考虑同步考虑,总理在5月9好开的会里,第五点专门强调同步的问题,研究部署推进信息化发展,保障信息安全工作,在信息安全保障方面强调,重要信息系统和基础信息网络要与安全防护设施同步规划,退步建设,退步运行。

  还有要准确定级,国家把信息系统分成五个等级,定级定在哪一级,你保护的强度是不一样的,它有国家的标准,你定级定低了不成,高也不成,低了欠保护,将来会出问题,过保护,要平衡成本的问题,过保护是要投入的,再一个你过保护的话,你的管理应用起来都会很麻烦。所以定级要准确。具体怎么定级我就不再细说了。同步和定级这是一个要点。

  再一个就是选择乙方,我们不可能做信息化工程的建设,肯定要外包,在选择外包的时候,选择第三方的时候也要需要要注意的问题。左面我列了一下外包的种类,一个是集成,监理,服务等等,这块在工作中确实很难把握,因为国家在这方面的政策很少。我在03年的时候当时给国家提这个意见,到现在为止也没什么进展,我认为这个事要从体系角度来讲,这就是国家的短板,用户在选择建设方的时候不知道怎么选,有很多空白的地方。像集成和监理目前还容易一些,因为国家对它有行政的许可,市场准入都好办,但是那几个方面都很难。我给大家提供这么一个表,就是供大家参考大家在选择的时候。

  再一个是产品,选产品也很难。这两个文件非常重要,一个是当时04年八个部门发的产品的认证体系的一个文件,接着发了一个广告,这两个文件奠定了我们国家信息安全产品的认证体系,规定了一个认证中心,所以大家在选择产品的时候要看是谁给你测的,谁给你做的认证。

  最后建设阶段在验收的时候一定要进行测评,一个是软件测评,一个是安全测评。我们北京市很多的系统在没测之前就上线了,结果就出事了。

  最后一个阶段就是运维阶段。你运维的时候你的系统每年还要不断的要维护,国家有规定,三级的要一年测一次,四级的半年测一次,五级的就更严了,不同的等级测评的周期是不一样的。

  最后一点就是监控、备份,应急东西都要考虑。

  时间的关系我就讲这么多,很多的东西我都没展开,如果大家感兴趣,我们会后再交流。谢谢各位。

分享更多
字体:

网友评论

以下留言只代表网友个人观点,不代表MSN观点更多>>
共有 0 条评论 查看更多评论>>

发表评论

请登录:
内 容: