電子政務(wù)與行業(yè)封閉問(wèn)題課件

計(jì)算機(jī)網(wǎng)絡(luò)與信息安全所帶來(lái)的行業(yè)問(wèn)題---電子政務(wù)與行業(yè)封閉問(wèn)題劉春陽(yáng)博士后國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心2001年5月19日1國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心計(jì)算機(jī)網(wǎng)絡(luò)與信息安全所帶來(lái)的行業(yè)問(wèn)題---電子政務(wù)與行業(yè)封閉內(nèi)容：背景:所有觀點(diǎn)均是在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全為前提；封閉認(rèn)為是一種安全措施，表現(xiàn)出的方式可以認(rèn)為是業(yè)務(wù)需求；

一、行業(yè)封閉與交互問(wèn)題二、行業(yè)個(gè)性與共性問(wèn)題三、面對(duì)問(wèn)題應(yīng)采取的對(duì)策2國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心內(nèi)容：背景:所有觀點(diǎn)均是在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全為前提；封閉認(rèn)行業(yè)封閉與交互問(wèn)題信息的共享性業(yè)務(wù)交叉性行業(yè)個(gè)性所決定缺乏對(duì)對(duì)方的信任過(guò)分強(qiáng)調(diào)安全傳統(tǒng)運(yùn)營(yíng)方式重復(fù)投資、效率低、安全錯(cuò)覺(jué)封閉與交互是用戶業(yè)務(wù)安全的需求，根據(jù)不同的需求給出不同安全尺度，建立尺度標(biāo)準(zhǔn)，合理分配資源，達(dá)到最佳平衡。行業(yè)交互需求形成行業(yè)封閉問(wèn)題的形成行業(yè)封閉產(chǎn)生的危害3國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉與交互問(wèn)題信息的共享性業(yè)務(wù)交叉性行業(yè)個(gè)性所決定缺乏對(duì)行業(yè)封閉產(chǎn)生的危害重復(fù)投資/資金浪費(fèi)---過(guò)分封閉必然引起系統(tǒng)、環(huán)境的重復(fù)建設(shè)。阻礙工作效率提高/信息共享---封閉必然加重系統(tǒng)負(fù)擔(dān)、增加延時(shí)、增加信息共享代價(jià)。形成安全錯(cuò)覺(jué)---實(shí)際上僅僅防止了系統(tǒng)外的安全隱患，而內(nèi)部并沒(méi)有解決，如邊界節(jié)點(diǎn)安全控制，內(nèi)部人員的可負(fù)責(zé)性等。4國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉產(chǎn)生的危害重復(fù)投資/資金浪費(fèi)---過(guò)分封閉必然引起系行業(yè)封閉問(wèn)題的形成(1)傳統(tǒng)運(yùn)營(yíng)方式由于長(zhǎng)期封閉式運(yùn)營(yíng)造成相對(duì)獨(dú)立系統(tǒng)，對(duì)外互連需要網(wǎng)絡(luò)安全保障，要達(dá)到安全要求需要改造和周期升級(jí)的資金投入，在資金有困難情況下，必然改造推遲。過(guò)分強(qiáng)調(diào)安全擴(kuò)大自己行業(yè)的安全特點(diǎn)，擴(kuò)大安全事故發(fā)生災(zāi)難的不可控性，致使用戶過(guò)分封閉或希望推脫責(zé)任，如物理隔斷，希望主管部門解決所涉及到的安全問(wèn)題等。5國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉問(wèn)題的形成(1)傳統(tǒng)運(yùn)營(yíng)方式5國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安行業(yè)封閉問(wèn)題的形成(2)缺乏對(duì)對(duì)方的信任不能正確定位和評(píng)估自己行業(yè)的安全需求和對(duì)方的安全措施，如銀行之間互連，政府部門之間互連等。行業(yè)個(gè)性所決定目前工作范圍、工作性質(zhì)所決定，如部隊(duì)和政府特殊部門。知識(shí)結(jié)構(gòu)所引起封閉網(wǎng)絡(luò)信息安全涉及到三個(gè)方面，虛擬空間、物理空間、管理空間，對(duì)網(wǎng)絡(luò)安全的虛擬空間沒(méi)有把握時(shí)，必然從物理和管理方面設(shè)置安全措施來(lái)解決所面臨的安全問(wèn)題。6國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉問(wèn)題的形成(2)缺乏對(duì)對(duì)方的信任6國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信行業(yè)交互需求形成(1)業(yè)務(wù)的交叉性同一種業(yè)務(wù)可能涉及到幾個(gè)部門，在業(yè)務(wù)流程過(guò)程中需要資料的交接和傳閱，如電子政務(wù)中，政府辦公網(wǎng)與網(wǎng)站之間的資料傳遞（文件----通告、法規(guī)等對(duì)外發(fā)布，信息獲取等，目前是手工操作，可否建立電子政務(wù)要求的安全發(fā)布平臺(tái)）。7國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)交互需求形成(1)業(yè)務(wù)的交叉性7國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全行業(yè)交互需求形成(2)信息的共享性根據(jù)行業(yè)需求提供規(guī)?；?wù)，目前網(wǎng)站等就是起的這樣作用，但只對(duì)大眾關(guān)心的內(nèi)容進(jìn)行規(guī)模化服務(wù)（有市場(chǎng)潛力的行業(yè)），還有許多特殊行業(yè)（如政府、金融、安全應(yīng)急等）需要這種規(guī)?；?wù)，提高工作效率，優(yōu)化結(jié)構(gòu)，節(jié)省投資。它們的安全需求決定于服務(wù)對(duì)象和范圍、信息內(nèi)容，同時(shí)有些行業(yè)還要政府介入，加大管理和推動(dòng)力度。如公安部、安全部支持的安全產(chǎn)品質(zhì)量認(rèn)證和測(cè)評(píng)等。8國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)交互需求形成(2)信息的共享性8國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全行業(yè)個(gè)性與共性問(wèn)題共性交叉的相對(duì)性信息與身份認(rèn)證和保密信息獲取與發(fā)布網(wǎng)絡(luò)正常運(yùn)行業(yè)務(wù)與服務(wù)范圍的特殊性安全損失的不可估計(jì)性安全需求的不對(duì)稱個(gè)性與共性反映安全業(yè)務(wù)的屬性，根據(jù)不同的屬性給出不同安全對(duì)策，通過(guò)共性特點(diǎn)設(shè)計(jì)安全產(chǎn)品、并大規(guī)模生產(chǎn)降低產(chǎn)品成本，根據(jù)個(gè)性特點(diǎn)提出個(gè)性化服務(wù)；共性可以形成產(chǎn)業(yè)，個(gè)性形成服務(wù)行業(yè)。行業(yè)共性來(lái)源行業(yè)個(gè)性問(wèn)題形成9國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)個(gè)性與共性問(wèn)題共性交叉的相對(duì)性信息與身份認(rèn)證和保密信息獲行業(yè)個(gè)性問(wèn)題形成安全需求的不對(duì)稱性用戶所在行業(yè)的不同，對(duì)安全的需求有很大的差異。如金融、媒體、電子政務(wù)等。安全損失不可估計(jì)性行業(yè)發(fā)生安全事故時(shí)，不同行業(yè)評(píng)估事故損失程度有很大區(qū)別，有些行業(yè)是安全損失不可估計(jì)。如金融（事故的影響）、電子政務(wù)（信息價(jià)值的不可評(píng)估性）等。業(yè)務(wù)范圍的特殊性一些特殊行業(yè)和部門需要。如涉及國(guó)家機(jī)密的部隊(duì)和政府特殊部門。10國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)個(gè)性問(wèn)題形成安全需求的不對(duì)稱性10國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安行業(yè)共性形成網(wǎng)絡(luò)正常運(yùn)行顯然！信息獲取發(fā)布網(wǎng)絡(luò)是信息的載體，必然涉及信息獲取，隨著信息的積累必然對(duì)外發(fā)布（相對(duì)而言）。身份與信息認(rèn)證和保密，對(duì)網(wǎng)絡(luò)控制權(quán)和系統(tǒng)運(yùn)行參數(shù)，以及信息本身需要認(rèn)證和保密。共性交叉的相對(duì)性合理分析共性交叉特點(diǎn)，以及共性的相對(duì)性，充分把握主要共性安全需求特點(diǎn)。11國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)共性形成網(wǎng)絡(luò)正常運(yùn)行11國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(1)沒(méi)有證明安全就認(rèn)為不安全沒(méi)有證明不安全就認(rèn)為安全安全的相對(duì)性和不可預(yù)測(cè)性安全產(chǎn)品與產(chǎn)品安全尺度的合理性需求與市場(chǎng)不把安全問(wèn)題擴(kuò)大化問(wèn)題的辨證性正確認(rèn)識(shí)問(wèn)題正確對(duì)待問(wèn)題安全服務(wù)與服務(wù)安全正確處理好技術(shù)與管理的關(guān)系12國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(1)沒(méi)有證明安全就認(rèn)為不安全安全的相對(duì)面對(duì)問(wèn)題應(yīng)采取的對(duì)策(2)建立面向用戶的安全指南減輕服務(wù)對(duì)象的災(zāi)難恐懼心理提供科學(xué)、完整、可操作的安全策略安全企業(yè)采取的策略通過(guò)以上措施可以使用戶對(duì)網(wǎng)絡(luò)信息安全有一個(gè)客觀、科學(xué)的認(rèn)識(shí)，讓客戶根據(jù)自己的需求直接參與選擇安全策略，在安全系統(tǒng)運(yùn)行與維護(hù)、應(yīng)急與救援中，學(xué)會(huì)如何采取對(duì)策和知道請(qǐng)求幫助的渠道，只有這樣才能消除服務(wù)對(duì)象安全事故的恐懼心理，強(qiáng)化全民網(wǎng)絡(luò)與信息安全意識(shí)，進(jìn)一步擴(kuò)大市場(chǎng)規(guī)模和推進(jìn)信息化工作，盡快實(shí)現(xiàn)我國(guó)的信息化工作升級(jí)。13國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(2)建立面向用戶的安全指南減輕服務(wù)對(duì)象正確對(duì)待問(wèn)題(1)問(wèn)題的辨證性(問(wèn)題的兩個(gè)方面)---封閉與交互個(gè)性與共性是問(wèn)題的兩個(gè)方面，是辨證統(tǒng)一關(guān)系，是互相依存的，過(guò)分強(qiáng)調(diào)某一方面都會(huì)產(chǎn)生安全隱患。不把安全問(wèn)題擴(kuò)大化（范圍和程度）不要過(guò)分強(qiáng)調(diào)萬(wàn)一發(fā)生所產(chǎn)生的后果，而是分析安全強(qiáng)度，以及突破安全策略的代價(jià)與突破安全策略后所能獲取信息的價(jià)值比。安全目標(biāo)是盡可能降低安全發(fā)生后的損失。14國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確對(duì)待問(wèn)題(1)問(wèn)題的辨證性(問(wèn)題的兩個(gè)方面)---封閉與正確對(duì)待問(wèn)題(2)需求與市場(chǎng)行業(yè)封閉與交互性反映用戶的安全需求，同時(shí)帶來(lái)了市場(chǎng)機(jī)遇，安全服務(wù)部門充分根據(jù)所反映的市場(chǎng)個(gè)性與共性特點(diǎn)開(kāi)發(fā)服務(wù)項(xiàng)目和符合市場(chǎng)需求產(chǎn)品。尺度的合理性既然不能孤立看問(wèn)題的某一方面，那么就需要平衡著兩個(gè)方面，這就需要制定安全策略時(shí)，合理把握兩個(gè)方面尺度分配。如電子政務(wù)中辦公網(wǎng)與互聯(lián)網(wǎng)的交互需要物理隔斷，而物理隔斷還有多種意義上的物理隔斷----嚴(yán)格物理隔斷、時(shí)序物理隔斷、邏輯物理隔斷等，不同隔斷需要配有不同管理力度，這些就需要在設(shè)計(jì)安全模型中充分考慮并技術(shù)模型與管理制度配合。15國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確對(duì)待問(wèn)題(2)需求與市場(chǎng)15國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理正確認(rèn)識(shí)安全(1)安全產(chǎn)品與產(chǎn)品安全在字面上理解是比較顯然的，但在實(shí)際工作中很容易混淆和難以判斷，如交換機(jī)---可以造成信息安全，擔(dān)不是安全產(chǎn)品等。安全的相對(duì)性和不可預(yù)測(cè)性安全與時(shí)間（不同時(shí)間段）、應(yīng)用對(duì)象（如金融與政務(wù)）、范圍（內(nèi)部辦公人員與規(guī)模服務(wù)）等呈現(xiàn)出它的相對(duì)性；安全還有不可預(yù)測(cè)性，這就需要建立完備的災(zāi)難應(yīng)急機(jī)制與組織。16國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(1)安全產(chǎn)品與產(chǎn)品安全16國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息正確認(rèn)識(shí)安全(2)沒(méi)有證明安全就認(rèn)為不安全與沒(méi)有證明不安全就認(rèn)為安全持有這種觀點(diǎn)的用戶（特別是部門主管）很多，甚至于部分安全專家，系統(tǒng)和產(chǎn)品安全不能簡(jiǎn)單地從本觀點(diǎn)出發(fā)，首先具體問(wèn)題具體分析，如安全需求（有時(shí)需要對(duì)信息分層次管理保護(hù)）、安全策略保障程度是否滿足需求。17國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(2)沒(méi)有證明安全就認(rèn)為不安全與沒(méi)有證明不安全就正確認(rèn)識(shí)安全(3)安全服務(wù)和服務(wù)安全安全服務(wù)一般指安全評(píng)估、技術(shù)解決方案提供、安全培訓(xùn)、安全配套管理體系設(shè)計(jì)、甚至安全托管服務(wù)等；服務(wù)安全是指服務(wù)提供商所帶來(lái)的安全問(wèn)題，除了技術(shù)水平和服務(wù)質(zhì)量以外，還有通過(guò)利用自己對(duì)客戶安全策略的了解或在設(shè)計(jì)過(guò)程中有意或無(wú)意所留漏洞，進(jìn)行非法的活動(dòng)（對(duì)服務(wù)對(duì)象或以服務(wù)對(duì)象為跳板對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等進(jìn)行非法掃描、攻擊、竊取信息等），由于安全的特殊性，需要對(duì)服務(wù)企業(yè)進(jìn)行必要的資格認(rèn)證和有效的管理。18國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(3)安全服務(wù)和服務(wù)安全18國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息正確認(rèn)識(shí)安全(4)正確處理好技術(shù)與管理的關(guān)系我們堅(jiān)持三分技術(shù)、七分管理的指導(dǎo)原則，通過(guò)推廣管理結(jié)標(biāo)準(zhǔn)健全管理機(jī)制，從組織、機(jī)構(gòu)、制度上加強(qiáng)安全管理力度，并提出適合國(guó)情的、具有多層次的安全管理標(biāo)準(zhǔn)。技術(shù)模型主要對(duì)虛擬環(huán)境的管理，安全管理模型主要對(duì)現(xiàn)實(shí)物理環(huán)境的管理。虛擬與現(xiàn)實(shí)是問(wèn)題的兩個(gè)方面，虛擬是抽象環(huán)境、技術(shù)含量較高，所出現(xiàn)的安全問(wèn)題遠(yuǎn)比現(xiàn)實(shí)物理環(huán)境復(fù)雜，而麻煩制造者遠(yuǎn)沒(méi)有現(xiàn)實(shí)物理環(huán)境麻煩制造者多；特別是結(jié)合不同技術(shù)安全模型，配不同程度的安全管理制度。19國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(4)正確處理好技術(shù)與管理的關(guān)系19國(guó)家計(jì)算機(jī)網(wǎng)安全企業(yè)采取的策略提供科學(xué)、完整、可操作的安全策略減輕服務(wù)對(duì)象的災(zāi)難恐懼心理建立面向用戶的安全指南20國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心安全企業(yè)采取的策略提供科學(xué)、完整、可操作的安全策略20國(guó)家計(jì)提供科學(xué)、完整、易操作的安全方案科學(xué)性完整性可操作性21國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心提供科學(xué)、完整、易操作的安全方案科學(xué)性21國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信科學(xué)性認(rèn)真科學(xué)分析用戶實(shí)際需求和資金投入量，提出客觀、合理、可操作的安全方案，盡管投入資金量會(huì)直接影響安全強(qiáng)度、效率、服務(wù)項(xiàng)目等，但是在投入資金非常有限的情況下，合理使用資金，充分發(fā)揮現(xiàn)有的設(shè)備并通過(guò)加強(qiáng)安全管理制度的建設(shè)也能暫時(shí)達(dá)到一定的安全（如通過(guò)將重要信息集中管理、加強(qiáng)安全管理力度、減少安全服務(wù)項(xiàng)目、適當(dāng)?shù)貭奚\(yùn)行效率來(lái)降低投資量，并使得安全強(qiáng)度基本不變），要使用戶了解方案優(yōu)點(diǎn)和缺陷，并留有擴(kuò)展的余地，在有條件時(shí)將現(xiàn)有不足改進(jìn)（科學(xué)性體現(xiàn)在科學(xué)合理使用資金、現(xiàn)有條件、系統(tǒng)安全與效率平衡、保護(hù)對(duì)象與資金投入平衡等）；22國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心科學(xué)性認(rèn)真科學(xué)分析用戶實(shí)際需求和資金投入量，提出客觀、合理、完整性安全方案設(shè)計(jì)一定要充分析用戶需求和現(xiàn)有條件的基礎(chǔ)上，給出完整的安全策略和解決方案，以及根據(jù)投資情況提出逐步改進(jìn)和安全系統(tǒng)升級(jí)的內(nèi)容等，根據(jù)技術(shù)模型提出完整的、配套的安全管理機(jī)制（隨著科學(xué)發(fā)展和資金不斷投入，方案要具有可擴(kuò)容性和可升級(jí)性，技術(shù)模型與安全管理模型要緊密配套）；23國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心完整性安全方案設(shè)計(jì)一定要充分析用戶需求和現(xiàn)有條件的基礎(chǔ)上，給可操作性盡可能模塊化設(shè)計(jì)、界面具有層次性結(jié)構(gòu)、根據(jù)網(wǎng)絡(luò)重要性分類、安全強(qiáng)度分級(jí)、并給出幾種安全強(qiáng)度等級(jí)（從網(wǎng)絡(luò)物理機(jī)構(gòu)上--可物理隔離、并可采用其他方式接入，系統(tǒng)安全監(jiān)控上--起用備用的安全功能如探測(cè)器個(gè)數(shù)、系統(tǒng)狀態(tài)參數(shù)掃描周期等升級(jí)，密碼技術(shù)選擇上—密碼強(qiáng)度升級(jí)考慮）的安全策略模型，只有這樣才能使安全系統(tǒng)機(jī)構(gòu)更清晰、界面更友好、在網(wǎng)絡(luò)不正常時(shí)有備用安全策略體系（根據(jù)安全系統(tǒng)設(shè)計(jì)中所遺留的缺陷，以及網(wǎng)絡(luò)在異常狀態(tài)下最可能發(fā)生的故障設(shè)計(jì)出可操作的應(yīng)對(duì)策略，同時(shí)在特殊情況下起用特殊手段確保安全）。24國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心可操作性盡可能模塊化設(shè)計(jì)、界面具有層次性結(jié)構(gòu)、根據(jù)網(wǎng)絡(luò)重要性減輕服務(wù)對(duì)象的災(zāi)難的恐懼心理恐懼心理的產(chǎn)生與后果培訓(xùn)與預(yù)防應(yīng)急與救援25國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心減輕服務(wù)對(duì)象的災(zāi)難的恐懼心理恐懼心理的產(chǎn)生與后果25國(guó)家計(jì)算恐懼心理的產(chǎn)生與后果一方面媒體對(duì)網(wǎng)絡(luò)信息安全的報(bào)道與宣傳多數(shù)是基于災(zāi)難事件與其損失，以及萬(wàn)一發(fā)生安全事故的后果渲染報(bào)道對(duì)用戶產(chǎn)生了恐懼心理；另一方面用戶在對(duì)安全技術(shù)沒(méi)有充分了解的情況下，往往感到虛擬環(huán)境離現(xiàn)實(shí)物理環(huán)境很遙遠(yuǎn)，也很神秘，使其對(duì)網(wǎng)絡(luò)信息安全沒(méi)有任何把握和信心，從賈略諳實(shí)物理環(huán)境內(nèi)采取極端措施；26國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心恐懼心理的產(chǎn)生與后果一方面媒體對(duì)網(wǎng)絡(luò)信息安全的報(bào)道與宣傳多數(shù)培訓(xùn)與預(yù)防只有通過(guò)對(duì)用戶特別是主管領(lǐng)導(dǎo)的培訓(xùn)，使其建立對(duì)網(wǎng)絡(luò)信息安全有正確和客觀認(rèn)識(shí)，同時(shí)提出與現(xiàn)實(shí)物理環(huán)境緊密相連安全預(yù)防措施（大部分可以通過(guò)預(yù)防消除安全隱患），在一定程度上解除用戶對(duì)安全恐懼心理；27國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心培訓(xùn)與預(yù)防只有通過(guò)對(duì)用戶特別是主管領(lǐng)導(dǎo)的培訓(xùn)，使其建立對(duì)網(wǎng)絡(luò)應(yīng)急與救援要使用戶明白沒(méi)有絕對(duì)的安全，只有相對(duì)安全（包括現(xiàn)實(shí)物理環(huán)境），可見(jiàn)發(fā)生安全事故再所難免，關(guān)鍵是將事故損失將到最底程度，這樣需要從技術(shù)上、軟硬件上、組織機(jī)構(gòu)上、管理制度上建立應(yīng)急與求援機(jī)制或進(jìn)程，通過(guò)培訓(xùn)與預(yù)防、應(yīng)急與求援等扎實(shí)的基礎(chǔ)工作才能使用戶消除恐懼睦恚建立對(duì)網(wǎng)絡(luò)信息安全的正確認(rèn)識(shí)，積極參與到國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全應(yīng)急保障體系的建設(shè)中。28國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心應(yīng)急與救援要使用戶明白沒(méi)有絕對(duì)的安全，只有相對(duì)安全（包括現(xiàn)實(shí)建立面向用戶的安全指南安全需求與建設(shè)指南災(zāi)難應(yīng)急與求援指南29國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心建立面向用戶的安全指南安全需求與建設(shè)指南29國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與安全需求與建設(shè)指南建立面向客戶的安全需求與安全策略，目前有BSI7799—安全管理模型、CC標(biāo)準(zhǔn)—安全技術(shù)模型、公共數(shù)據(jù)平臺(tái)—集成環(huán)境模型都是面向安全專家，急需建立面向用戶的安全需求與建設(shè)指南，根據(jù)安全需求特點(diǎn)對(duì)安全需求分類，并提出完整、統(tǒng)一的安全模型，通過(guò)建立安全基本單元，對(duì)每一安全基本單元分級(jí)（系統(tǒng)數(shù)據(jù)交換單元、邊界客戶端、身份與信息認(rèn)證單元、數(shù)據(jù)庫(kù)單元、線路傳輸單元、系統(tǒng)監(jiān)控單元等），并配上與安全基本單元的安全級(jí)相對(duì)應(yīng)的安全管理規(guī)則（如系統(tǒng)數(shù)據(jù)交換單元可分為嚴(yán)格物理隔斷、時(shí)序物理隔斷、邏輯隔斷、信息內(nèi)容數(shù)據(jù)交換、訪問(wèn)控制數(shù)據(jù)交換、非限制數(shù)據(jù)交換等，它們組合可分出安全等級(jí)，對(duì)不同等級(jí)配上響應(yīng)的安全管理規(guī)則），用戶根據(jù)資金、現(xiàn)有條件、需求選擇適合自己的安全策略（保護(hù)范圍、方式和安全強(qiáng)度）形成安全方案；另一方面用戶也要根據(jù)自己的經(jīng)濟(jì)實(shí)力和現(xiàn)有條件選擇合適的軟硬件設(shè)備、以及建設(shè)經(jīng)濟(jì)實(shí)惠的物理環(huán)境，這樣需要建立現(xiàn)實(shí)物理環(huán)境的集成商指南。30國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心安全需求與建設(shè)指南建立面向客戶的安全需求與安全策略，目前有B災(zāi)難應(yīng)急與求援指南建立完備的應(yīng)急組織與機(jī)構(gòu)，通過(guò)這些機(jī)構(gòu)開(kāi)展預(yù)防性安全警告，以及發(fā)生災(zāi)難后的應(yīng)急處理，如救援，數(shù)據(jù)恢復(fù)，查找安全原因并研發(fā)補(bǔ)救措施等。建立信息溝通渠道如CERT網(wǎng)站、電話，發(fā)布安全服務(wù)企業(yè)指南，建立安全專家會(huì)診中心與應(yīng)急體系組織結(jié)構(gòu)等。安全系統(tǒng)運(yùn)行與維護(hù)指南---建立標(biāo)準(zhǔn)故障或漏洞分類術(shù)語(yǔ)，建立定期發(fā)布安全產(chǎn)品的渠道如網(wǎng)站、專業(yè)刊物等，最新安全產(chǎn)品介紹，以及在網(wǎng)上升級(jí)安全系統(tǒng)。31國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心災(zāi)難應(yīng)急與求援指南建立完備的應(yīng)急組織與機(jī)構(gòu)，通過(guò)這些機(jī)構(gòu)開(kāi)展TheEnd謝謝32國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心TheEnd謝謝32國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心計(jì)算機(jī)網(wǎng)絡(luò)與信息安全所帶來(lái)的行業(yè)問(wèn)題---電子政務(wù)與行業(yè)封閉問(wèn)題劉春陽(yáng)博士后國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心2001年5月19日33國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心計(jì)算機(jī)網(wǎng)絡(luò)與信息安全所帶來(lái)的行業(yè)問(wèn)題---電子政務(wù)與行業(yè)封閉內(nèi)容：背景:所有觀點(diǎn)均是在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全為前提；封閉認(rèn)為是一種安全措施，表現(xiàn)出的方式可以認(rèn)為是業(yè)務(wù)需求；

一、行業(yè)封閉與交互問(wèn)題二、行業(yè)個(gè)性與共性問(wèn)題三、面對(duì)問(wèn)題應(yīng)采取的對(duì)策34國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心內(nèi)容：背景:所有觀點(diǎn)均是在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全為前提；封閉認(rèn)行業(yè)封閉與交互問(wèn)題信息的共享性業(yè)務(wù)交叉性行業(yè)個(gè)性所決定缺乏對(duì)對(duì)方的信任過(guò)分強(qiáng)調(diào)安全傳統(tǒng)運(yùn)營(yíng)方式重復(fù)投資、效率低、安全錯(cuò)覺(jué)封閉與交互是用戶業(yè)務(wù)安全的需求，根據(jù)不同的需求給出不同安全尺度，建立尺度標(biāo)準(zhǔn)，合理分配資源，達(dá)到最佳平衡。行業(yè)交互需求形成行業(yè)封閉問(wèn)題的形成行業(yè)封閉產(chǎn)生的危害35國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉與交互問(wèn)題信息的共享性業(yè)務(wù)交叉性行業(yè)個(gè)性所決定缺乏對(duì)行業(yè)封閉產(chǎn)生的危害重復(fù)投資/資金浪費(fèi)---過(guò)分封閉必然引起系統(tǒng)、環(huán)境的重復(fù)建設(shè)。阻礙工作效率提高/信息共享---封閉必然加重系統(tǒng)負(fù)擔(dān)、增加延時(shí)、增加信息共享代價(jià)。形成安全錯(cuò)覺(jué)---實(shí)際上僅僅防止了系統(tǒng)外的安全隱患，而內(nèi)部并沒(méi)有解決，如邊界節(jié)點(diǎn)安全控制，內(nèi)部人員的可負(fù)責(zé)性等。36國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉產(chǎn)生的危害重復(fù)投資/資金浪費(fèi)---過(guò)分封閉必然引起系行業(yè)封閉問(wèn)題的形成(1)傳統(tǒng)運(yùn)營(yíng)方式由于長(zhǎng)期封閉式運(yùn)營(yíng)造成相對(duì)獨(dú)立系統(tǒng)，對(duì)外互連需要網(wǎng)絡(luò)安全保障，要達(dá)到安全要求需要改造和周期升級(jí)的資金投入，在資金有困難情況下，必然改造推遲。過(guò)分強(qiáng)調(diào)安全擴(kuò)大自己行業(yè)的安全特點(diǎn)，擴(kuò)大安全事故發(fā)生災(zāi)難的不可控性，致使用戶過(guò)分封閉或希望推脫責(zé)任，如物理隔斷，希望主管部門解決所涉及到的安全問(wèn)題等。37國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉問(wèn)題的形成(1)傳統(tǒng)運(yùn)營(yíng)方式5國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安行業(yè)封閉問(wèn)題的形成(2)缺乏對(duì)對(duì)方的信任不能正確定位和評(píng)估自己行業(yè)的安全需求和對(duì)方的安全措施，如銀行之間互連，政府部門之間互連等。行業(yè)個(gè)性所決定目前工作范圍、工作性質(zhì)所決定，如部隊(duì)和政府特殊部門。知識(shí)結(jié)構(gòu)所引起封閉網(wǎng)絡(luò)信息安全涉及到三個(gè)方面，虛擬空間、物理空間、管理空間，對(duì)網(wǎng)絡(luò)安全的虛擬空間沒(méi)有把握時(shí)，必然從物理和管理方面設(shè)置安全措施來(lái)解決所面臨的安全問(wèn)題。38國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)封閉問(wèn)題的形成(2)缺乏對(duì)對(duì)方的信任6國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信行業(yè)交互需求形成(1)業(yè)務(wù)的交叉性同一種業(yè)務(wù)可能涉及到幾個(gè)部門，在業(yè)務(wù)流程過(guò)程中需要資料的交接和傳閱，如電子政務(wù)中，政府辦公網(wǎng)與網(wǎng)站之間的資料傳遞（文件----通告、法規(guī)等對(duì)外發(fā)布，信息獲取等，目前是手工操作，可否建立電子政務(wù)要求的安全發(fā)布平臺(tái)）。39國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)交互需求形成(1)業(yè)務(wù)的交叉性7國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全行業(yè)交互需求形成(2)信息的共享性根據(jù)行業(yè)需求提供規(guī)?；?wù)，目前網(wǎng)站等就是起的這樣作用，但只對(duì)大眾關(guān)心的內(nèi)容進(jìn)行規(guī)?；?wù)（有市場(chǎng)潛力的行業(yè)），還有許多特殊行業(yè)（如政府、金融、安全應(yīng)急等）需要這種規(guī)?；?wù)，提高工作效率，優(yōu)化結(jié)構(gòu)，節(jié)省投資。它們的安全需求決定于服務(wù)對(duì)象和范圍、信息內(nèi)容，同時(shí)有些行業(yè)還要政府介入，加大管理和推動(dòng)力度。如公安部、安全部支持的安全產(chǎn)品質(zhì)量認(rèn)證和測(cè)評(píng)等。40國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)交互需求形成(2)信息的共享性8國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全行業(yè)個(gè)性與共性問(wèn)題共性交叉的相對(duì)性信息與身份認(rèn)證和保密信息獲取與發(fā)布網(wǎng)絡(luò)正常運(yùn)行業(yè)務(wù)與服務(wù)范圍的特殊性安全損失的不可估計(jì)性安全需求的不對(duì)稱個(gè)性與共性反映安全業(yè)務(wù)的屬性，根據(jù)不同的屬性給出不同安全對(duì)策，通過(guò)共性特點(diǎn)設(shè)計(jì)安全產(chǎn)品、并大規(guī)模生產(chǎn)降低產(chǎn)品成本，根據(jù)個(gè)性特點(diǎn)提出個(gè)性化服務(wù)；共性可以形成產(chǎn)業(yè)，個(gè)性形成服務(wù)行業(yè)。行業(yè)共性來(lái)源行業(yè)個(gè)性問(wèn)題形成41國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)個(gè)性與共性問(wèn)題共性交叉的相對(duì)性信息與身份認(rèn)證和保密信息獲行業(yè)個(gè)性問(wèn)題形成安全需求的不對(duì)稱性用戶所在行業(yè)的不同，對(duì)安全的需求有很大的差異。如金融、媒體、電子政務(wù)等。安全損失不可估計(jì)性行業(yè)發(fā)生安全事故時(shí)，不同行業(yè)評(píng)估事故損失程度有很大區(qū)別，有些行業(yè)是安全損失不可估計(jì)。如金融（事故的影響）、電子政務(wù)（信息價(jià)值的不可評(píng)估性）等。業(yè)務(wù)范圍的特殊性一些特殊行業(yè)和部門需要。如涉及國(guó)家機(jī)密的部隊(duì)和政府特殊部門。42國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)個(gè)性問(wèn)題形成安全需求的不對(duì)稱性10國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安行業(yè)共性形成網(wǎng)絡(luò)正常運(yùn)行顯然！信息獲取發(fā)布網(wǎng)絡(luò)是信息的載體，必然涉及信息獲取，隨著信息的積累必然對(duì)外發(fā)布（相對(duì)而言）。身份與信息認(rèn)證和保密，對(duì)網(wǎng)絡(luò)控制權(quán)和系統(tǒng)運(yùn)行參數(shù)，以及信息本身需要認(rèn)證和保密。共性交叉的相對(duì)性合理分析共性交叉特點(diǎn)，以及共性的相對(duì)性，充分把握主要共性安全需求特點(diǎn)。43國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心行業(yè)共性形成網(wǎng)絡(luò)正常運(yùn)行11國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(1)沒(méi)有證明安全就認(rèn)為不安全沒(méi)有證明不安全就認(rèn)為安全安全的相對(duì)性和不可預(yù)測(cè)性安全產(chǎn)品與產(chǎn)品安全尺度的合理性需求與市場(chǎng)不把安全問(wèn)題擴(kuò)大化問(wèn)題的辨證性正確認(rèn)識(shí)問(wèn)題正確對(duì)待問(wèn)題安全服務(wù)與服務(wù)安全正確處理好技術(shù)與管理的關(guān)系44國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(1)沒(méi)有證明安全就認(rèn)為不安全安全的相對(duì)面對(duì)問(wèn)題應(yīng)采取的對(duì)策(2)建立面向用戶的安全指南減輕服務(wù)對(duì)象的災(zāi)難恐懼心理提供科學(xué)、完整、可操作的安全策略安全企業(yè)采取的策略通過(guò)以上措施可以使用戶對(duì)網(wǎng)絡(luò)信息安全有一個(gè)客觀、科學(xué)的認(rèn)識(shí)，讓客戶根據(jù)自己的需求直接參與選擇安全策略，在安全系統(tǒng)運(yùn)行與維護(hù)、應(yīng)急與救援中，學(xué)會(huì)如何采取對(duì)策和知道請(qǐng)求幫助的渠道，只有這樣才能消除服務(wù)對(duì)象安全事故的恐懼心理，強(qiáng)化全民網(wǎng)絡(luò)與信息安全意識(shí)，進(jìn)一步擴(kuò)大市場(chǎng)規(guī)模和推進(jìn)信息化工作，盡快實(shí)現(xiàn)我國(guó)的信息化工作升級(jí)。45國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心面對(duì)問(wèn)題應(yīng)采取的對(duì)策(2)建立面向用戶的安全指南減輕服務(wù)對(duì)象正確對(duì)待問(wèn)題(1)問(wèn)題的辨證性(問(wèn)題的兩個(gè)方面)---封閉與交互個(gè)性與共性是問(wèn)題的兩個(gè)方面，是辨證統(tǒng)一關(guān)系，是互相依存的，過(guò)分強(qiáng)調(diào)某一方面都會(huì)產(chǎn)生安全隱患。不把安全問(wèn)題擴(kuò)大化（范圍和程度）不要過(guò)分強(qiáng)調(diào)萬(wàn)一發(fā)生所產(chǎn)生的后果，而是分析安全強(qiáng)度，以及突破安全策略的代價(jià)與突破安全策略后所能獲取信息的價(jià)值比。安全目標(biāo)是盡可能降低安全發(fā)生后的損失。46國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確對(duì)待問(wèn)題(1)問(wèn)題的辨證性(問(wèn)題的兩個(gè)方面)---封閉與正確對(duì)待問(wèn)題(2)需求與市場(chǎng)行業(yè)封閉與交互性反映用戶的安全需求，同時(shí)帶來(lái)了市場(chǎng)機(jī)遇，安全服務(wù)部門充分根據(jù)所反映的市場(chǎng)個(gè)性與共性特點(diǎn)開(kāi)發(fā)服務(wù)項(xiàng)目和符合市場(chǎng)需求產(chǎn)品。尺度的合理性既然不能孤立看問(wèn)題的某一方面，那么就需要平衡著兩個(gè)方面，這就需要制定安全策略時(shí)，合理把握兩個(gè)方面尺度分配。如電子政務(wù)中辦公網(wǎng)與互聯(lián)網(wǎng)的交互需要物理隔斷，而物理隔斷還有多種意義上的物理隔斷----嚴(yán)格物理隔斷、時(shí)序物理隔斷、邏輯物理隔斷等，不同隔斷需要配有不同管理力度，這些就需要在設(shè)計(jì)安全模型中充分考慮并技術(shù)模型與管理制度配合。47國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確對(duì)待問(wèn)題(2)需求與市場(chǎng)15國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理正確認(rèn)識(shí)安全(1)安全產(chǎn)品與產(chǎn)品安全在字面上理解是比較顯然的，但在實(shí)際工作中很容易混淆和難以判斷，如交換機(jī)---可以造成信息安全，擔(dān)不是安全產(chǎn)品等。安全的相對(duì)性和不可預(yù)測(cè)性安全與時(shí)間（不同時(shí)間段）、應(yīng)用對(duì)象（如金融與政務(wù)）、范圍（內(nèi)部辦公人員與規(guī)模服務(wù)）等呈現(xiàn)出它的相對(duì)性；安全還有不可預(yù)測(cè)性，這就需要建立完備的災(zāi)難應(yīng)急機(jī)制與組織。48國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(1)安全產(chǎn)品與產(chǎn)品安全16國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息正確認(rèn)識(shí)安全(2)沒(méi)有證明安全就認(rèn)為不安全與沒(méi)有證明不安全就認(rèn)為安全持有這種觀點(diǎn)的用戶（特別是部門主管）很多，甚至于部分安全專家，系統(tǒng)和產(chǎn)品安全不能簡(jiǎn)單地從本觀點(diǎn)出發(fā)，首先具體問(wèn)題具體分析，如安全需求（有時(shí)需要對(duì)信息分層次管理保護(hù)）、安全策略保障程度是否滿足需求。49國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(2)沒(méi)有證明安全就認(rèn)為不安全與沒(méi)有證明不安全就正確認(rèn)識(shí)安全(3)安全服務(wù)和服務(wù)安全安全服務(wù)一般指安全評(píng)估、技術(shù)解決方案提供、安全培訓(xùn)、安全配套管理體系設(shè)計(jì)、甚至安全托管服務(wù)等；服務(wù)安全是指服務(wù)提供商所帶來(lái)的安全問(wèn)題，除了技術(shù)水平和服務(wù)質(zhì)量以外，還有通過(guò)利用自己對(duì)客戶安全策略的了解或在設(shè)計(jì)過(guò)程中有意或無(wú)意所留漏洞，進(jìn)行非法的活動(dòng)（對(duì)服務(wù)對(duì)象或以服務(wù)對(duì)象為跳板對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等進(jìn)行非法掃描、攻擊、竊取信息等），由于安全的特殊性，需要對(duì)服務(wù)企業(yè)進(jìn)行必要的資格認(rèn)證和有效的管理。50國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(3)安全服務(wù)和服務(wù)安全18國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息正確認(rèn)識(shí)安全(4)正確處理好技術(shù)與管理的關(guān)系我們堅(jiān)持三分技術(shù)、七分管理的指導(dǎo)原則，通過(guò)推廣管理結(jié)標(biāo)準(zhǔn)健全管理機(jī)制，從組織、機(jī)構(gòu)、制度上加強(qiáng)安全管理力度，并提出適合國(guó)情的、具有多層次的安全管理標(biāo)準(zhǔn)。技術(shù)模型主要對(duì)虛擬環(huán)境的管理，安全管理模型主要對(duì)現(xiàn)實(shí)物理環(huán)境的管理。虛擬與現(xiàn)實(shí)是問(wèn)題的兩個(gè)方面，虛擬是抽象環(huán)境、技術(shù)含量較高，所出現(xiàn)的安全問(wèn)題遠(yuǎn)比現(xiàn)實(shí)物理環(huán)境復(fù)雜，而麻煩制造者遠(yuǎn)沒(méi)有現(xiàn)實(shí)物理環(huán)境麻煩制造者多；特別是結(jié)合不同技術(shù)安全模型，配不同程度的安全管理制度。51國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心正確認(rèn)識(shí)安全(4)正確處理好技術(shù)與管理的關(guān)系19國(guó)家計(jì)算機(jī)網(wǎng)安全企業(yè)采取的策略提供科學(xué)、完整、可操作的安全策略減輕服務(wù)對(duì)象的災(zāi)難恐懼心理建立面向用戶的安全指南52國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心安全企業(yè)采取的策略提供科學(xué)、完整、可操作的安全策略20國(guó)家計(jì)提供科學(xué)、完整、易操作的安全方案科學(xué)性完整性可操作性53國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心提供科學(xué)、完整、易操作的安全方案科學(xué)性21國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信科學(xué)性認(rèn)真科學(xué)分析用戶實(shí)際需求和資金投入量，提出客觀、合理、可操作的安全方案，盡管投入資金量會(huì)直接影響安全強(qiáng)度、效率、服務(wù)項(xiàng)目等，但是在投入資金非常有限的情況下，合理使用資金，充分發(fā)揮現(xiàn)有的設(shè)備并通過(guò)加強(qiáng)安全管理制度的建設(shè)也能暫時(shí)達(dá)到一定的安全（如通過(guò)將重要信息集中管理、加強(qiáng)安全管理力度、減少安全服務(wù)項(xiàng)目、適當(dāng)?shù)貭奚\(yùn)行效率來(lái)降低投資量，并使得安全強(qiáng)度基本不變），要使用戶了解方案優(yōu)點(diǎn)和缺陷，并留有擴(kuò)展的余地，在有條件時(shí)將現(xiàn)有不足改進(jìn)（科學(xué)性體現(xiàn)在科學(xué)合理使用資金、現(xiàn)有條件、系統(tǒng)安全與效率平衡、保護(hù)對(duì)象與資金投入平衡等）；54國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心科學(xué)性認(rèn)真科學(xué)分析用戶實(shí)際需求和資金投入量，提出客觀、合理、完整性安全方案設(shè)計(jì)一定要充分析用戶需求和現(xiàn)有條件的基礎(chǔ)上，給出完整的安全策略和解決方案，以及根據(jù)投資情況提出逐步改進(jìn)和安全系統(tǒng)升級(jí)的內(nèi)容等，根據(jù)技術(shù)模型提出完整的、配套的安全管理機(jī)制（隨著科學(xué)發(fā)展和資金不斷投入，方案要具有可擴(kuò)容性和可升級(jí)性，技術(shù)模型與安全管理模型要緊密配套）；55國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心完整性安全方案設(shè)計(jì)一定要充分析用戶需求和現(xiàn)有條件的基礎(chǔ)上，給可操作性盡可能模塊化設(shè)計(jì)、界面具有層次性結(jié)構(gòu)、根據(jù)網(wǎng)絡(luò)重要性分類、安全強(qiáng)度分級(jí)、并給出幾種安全強(qiáng)度等級(jí)（從網(wǎng)絡(luò)物理機(jī)構(gòu)上--可物理隔離、并可采用其他方式接入，系統(tǒng)安全監(jiān)控上--起用備用的安全功能如探測(cè)器個(gè)數(shù)、系統(tǒng)狀態(tài)參數(shù)掃描周期等升級(jí)，密碼技術(shù)選擇上—密碼強(qiáng)度升級(jí)考慮）的安全策略模型，只有這樣才能使安全系統(tǒng)機(jī)構(gòu)更清晰、界面更友好、在網(wǎng)絡(luò)不正常時(shí)有備用安全策略體系（根據(jù)安全系統(tǒng)設(shè)計(jì)中所遺留的缺陷，以及網(wǎng)絡(luò)在異常狀態(tài)下最可能發(fā)生的故障設(shè)計(jì)出可操作的應(yīng)對(duì)策略，同時(shí)在特殊情況下起用特殊手段確保安全）。56國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心可操作性盡可能模塊化設(shè)計(jì)、界面具有層次性結(jié)構(gòu)、根據(jù)網(wǎng)絡(luò)重要性減輕服務(wù)對(duì)象的災(zāi)難的恐懼心理恐懼心理的產(chǎn)生與后果培訓(xùn)與預(yù)防應(yīng)急與救援57國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心減輕服務(wù)對(duì)象的災(zāi)難的恐懼心理恐懼心理的產(chǎn)生與后果25國(guó)家計(jì)算恐懼心理的產(chǎn)生與后果一方面媒體對(duì)網(wǎng)絡(luò)信息安全的報(bào)道與宣傳多數(shù)是基于災(zāi)難事件與其損失，以及萬(wàn)一發(fā)生安全事故的后果渲染報(bào)道對(duì)用戶產(chǎn)生了恐懼心理；另一方面用戶在對(duì)安全技術(shù)沒(méi)有充分了解的情況下，往往感到虛擬環(huán)境離現(xiàn)實(shí)物理環(huán)境很遙遠(yuǎn)，也很神秘，