關(guān)于信息保障(整理)

信息保障概念“信息保障”(informationassurance，IA)概念是美國(guó)國(guó)防部于20世紀(jì)90年代率先提出的，后經(jīng)多次修改、完善，已得到世界范圍的廣泛認(rèn)可。就其本質(zhì)來(lái)說(shuō)，信息保障是一種保證信息和信息系統(tǒng)能夠安全運(yùn)行的防護(hù)性行為，是信息安全在當(dāng)前信息時(shí)代的新發(fā)展。信息保障的對(duì)象是信息以及處理、管理、存儲(chǔ)、傳輸信息的信息系統(tǒng)；目的是采取技術(shù)、管理等綜合性手段，使信息和信息系統(tǒng)具備機(jī)密性、完整性、可用性、可認(rèn)證性、不可否認(rèn)性，以及在遭受攻擊后的可恢復(fù)性。隨著技術(shù)的不斷發(fā)展和認(rèn)識(shí)的不斷深入，美軍“信息保障”概念的內(nèi)涵和外延也在實(shí)踐中不斷擴(kuò)充和延伸，已經(jīng)從最初的一套簡(jiǎn)單的純技術(shù)防護(hù)措施，發(fā)展到現(xiàn)在由“人”、“技術(shù)”和“操作”三個(gè)范疇共同構(gòu)成的一個(gè)綜合體系，包括了政策管理、組織實(shí)施、運(yùn)行使用、基礎(chǔ)設(shè)施建設(shè)等方方面面的內(nèi)容，成了指導(dǎo)美軍構(gòu)建信息安全體系的重要戰(zhàn)略思想。發(fā)展演變信息安全問(wèn)題始終伴隨著信息技術(shù)的發(fā)展而發(fā)展，先后經(jīng)歷了早期的“通信保密”(COMSEC)、“信息系統(tǒng)安全”(1NFOSEC)和目前的“信息保障”三個(gè)階段。20世紀(jì)40、50年代，信息安全以通信保密為主體，要求實(shí)現(xiàn)信息的機(jī)密性。這一時(shí)期的信息安全需求基本來(lái)自軍政指揮體系方面的“通信保密”要求，主要目的是要使信息即使在被截獲的情況下也無(wú)法被敵人使用，因此其技術(shù)主要體現(xiàn)在加解密設(shè)備上。20世紀(jì)60、70年代，隨著小規(guī)模計(jì)算機(jī)組成的簡(jiǎn)單網(wǎng)絡(luò)系統(tǒng)的出現(xiàn)，網(wǎng)絡(luò)中多點(diǎn)傳輸、處理以及存儲(chǔ)的保密性、完整性、可用性問(wèn)題成為關(guān)注焦點(diǎn)；計(jì)算機(jī)之間的信息交互，要求人們必須采取措施在信息存儲(chǔ)、處理、傳輸過(guò)程中，保護(hù)信息和信息系統(tǒng)不被非法訪問(wèn)或修改，同時(shí)不能拒絕合法用戶的服務(wù)請(qǐng)求，其技術(shù)發(fā)展主要體現(xiàn)在訪問(wèn)控制上。這時(shí)，人們開始將“通信安全”與“計(jì)算機(jī)安全”合并考慮，“信息系統(tǒng)安全”(INFOSEC)成為研究熱點(diǎn)。進(jìn)入20世紀(jì)90年代，隨著網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，超大型網(wǎng)絡(luò)迫使人們必須從整體安全的角度去考慮信息安全問(wèn)題。網(wǎng)絡(luò)的開放性、廣域性等特征把人們對(duì)信息安全的需求，延展到可用性、完整性、真實(shí)性、機(jī)密性和不可否認(rèn)性等更全面的范疇。同時(shí)，隨著網(wǎng)絡(luò)黑客、病毒等技術(shù)層出不窮、變化多端，人們發(fā)現(xiàn)任何信息安全技術(shù)和手段都存在弱點(diǎn)，傳統(tǒng)的“防火墻+補(bǔ)丁”這樣的純技術(shù)方案無(wú)法完全抵御來(lái)自各方的威脅，必須尋找一種可持續(xù)的保護(hù)機(jī)制，對(duì)信息和信息（圖2深層防御戰(zhàn)略）如圖2所示，在深層防御戰(zhàn)略（DefenseinDepth）中，人、技術(shù)和操作是三個(gè)主要核心因素，要保障信息及信息系統(tǒng)的安全，三者不可或缺；從技術(shù)上講深層防御戰(zhàn)略體現(xiàn)為在包括主機(jī)、網(wǎng)絡(luò)、系統(tǒng)邊界和支撐性基礎(chǔ)設(shè)施等多個(gè)網(wǎng)絡(luò)環(huán)節(jié)之中如何實(shí)現(xiàn)預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)（WPDRR）這五個(gè)安全內(nèi)容。深層防御戰(zhàn)略的含義是多方面的，它試圖全面覆蓋一個(gè)層次化的、多樣性的安全保障框架。深層防御戰(zhàn)略的核心目標(biāo)就是在攻擊者成功地破壞了某個(gè)保護(hù)機(jī)制的情況下，其它保護(hù)機(jī)制依然能夠提供附加的保護(hù)。五、信息保障體系信息保障的目的是為保障對(duì)象提供可用性、機(jī)密性、完整性、不可抵賴性、可授權(quán)性的安全服務(wù)，它的實(shí)現(xiàn)不是僅僅依靠安全防護(hù)措施對(duì)保障對(duì)象（信息和信息系統(tǒng)）進(jìn)行安全防護(hù)就可以實(shí)現(xiàn)的，它的實(shí)現(xiàn)是基于信息保障體系，即安全循環(huán)體系和完整的實(shí)施體系，最終實(shí)現(xiàn)對(duì)于信息和信息系統(tǒng)持續(xù)安全性的保證。信息保障體系包括風(fēng)險(xiǎn)分析、安全防護(hù)、安全檢測(cè)、安全測(cè)試與評(píng)估、應(yīng)急響應(yīng)、恢復(fù)、實(shí)施體系。風(fēng)險(xiǎn)分析（Risk）：包括確定系統(tǒng)資源清單，進(jìn)行脆弱性評(píng)估，分析系統(tǒng)風(fēng)險(xiǎn)級(jí)別等。風(fēng)險(xiǎn)分析是了解信息系統(tǒng)各方面狀態(tài)的關(guān)鍵步驟。安全防護(hù)（Protect）：采用相關(guān)安全技術(shù)、安全機(jī)制、安全產(chǎn)品，實(shí)現(xiàn)安全防護(hù)方案。安全防護(hù)是保障信息安全性的重要靜態(tài)措施。安全檢測(cè)（Detect）：使用實(shí)時(shí)監(jiān)控、入侵檢測(cè)、漏洞掃描等技術(shù)，對(duì)系統(tǒng)進(jìn)行安全檢測(cè)，形成資源數(shù)據(jù)庫(kù)。測(cè)試與評(píng)估（TestandEvaluate）：定期對(duì)系統(tǒng)的安全機(jī)制、安全產(chǎn)品、安全狀態(tài)進(jìn)行測(cè)試和評(píng)估，及時(shí)發(fā)現(xiàn)其存在的安全脆弱性，并進(jìn)行公正的評(píng)估。測(cè)試評(píng)估與安全檢測(cè)是保障信息安全性的關(guān)鍵動(dòng)態(tài)措施。應(yīng)急響應(yīng)（React）：對(duì)突發(fā)事件進(jìn)行快速反應(yīng)，盡可能減少突發(fā)事件對(duì)系統(tǒng)的影響，保證系統(tǒng)安全的最小資源集合可用?；謴?fù)（Restore）：當(dāng)系統(tǒng)遭受毀壞時(shí)，評(píng)估系統(tǒng)損失情況，在最短時(shí)間內(nèi)恢復(fù)系統(tǒng)數(shù)據(jù)和系統(tǒng)服務(wù)，使系統(tǒng)迅速恢復(fù)基本的服務(wù)并重建。應(yīng)急響應(yīng)能力和恢復(fù)能力是信息系統(tǒng)生存性、抗毀性的重要衡量標(biāo)準(zhǔn)。IA實(shí)施體系：IA的實(shí)施體系是IA有效實(shí)施的有力保障和基礎(chǔ)，它包括相關(guān)組織機(jī)構(gòu)體系構(gòu)筑、相關(guān)政策頒布、相關(guān)標(biāo)準(zhǔn)制訂、資金支持、信息安全專家及相關(guān)人員的培養(yǎng)計(jì)劃、人員信息安全意識(shí)的提高、IA的實(shí)施與管理等。由此可見，信息保障是針對(duì)信息安全的一個(gè)多層次的體系結(jié)構(gòu)，通過(guò)信息保障的體系可以實(shí)現(xiàn)信息關(guān)鍵基礎(chǔ)設(shè)施、信息、信息系統(tǒng)的安全持續(xù)性提升，在一個(gè)風(fēng)險(xiǎn)、檢測(cè)、評(píng)估、響應(yīng)的循環(huán)體系和完備的實(shí)施體系中保證良好的安全性。六、我國(guó)關(guān)于加強(qiáng)信息安全保障工作的意見《關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)[2003]27號(hào)）》要求，加快推進(jìn)信息化，必須立足當(dāng)前，放眼長(zhǎng)遠(yuǎn)。要著力抓好四個(gè)方面：一是大力推廣應(yīng)用信息技術(shù)。抓緊在經(jīng)濟(jì)和社會(huì)發(fā)展的重要領(lǐng)域和關(guān)鍵環(huán)節(jié)率先應(yīng)用信息技術(shù)。積極運(yùn)用信息技術(shù)改造和提升傳統(tǒng)產(chǎn)業(yè)、調(diào)整和改造東北等老工業(yè)基地、加快企業(yè)信息化步伐。繼續(xù)促進(jìn)金融、財(cái)稅、商貿(mào)等領(lǐng)域信息化，推進(jìn)電子商務(wù)。加快農(nóng)業(yè)信息化步伐。大力發(fā)展互聯(lián)網(wǎng)，提高互聯(lián)網(wǎng)應(yīng)用水平。二是加強(qiáng)信息資源開發(fā)利用。以政府信息資源開發(fā)利用為突破口，帶動(dòng)全社會(huì)信息資源的開發(fā)利用。加快發(fā)展信息服務(wù)業(yè)。進(jìn)一步加強(qiáng)信息基礎(chǔ)設(shè)施建設(shè)，防止盲目投資和重復(fù)建設(shè)。三是抓緊推行電子政務(wù)。按照統(tǒng)一規(guī)劃、突出重點(diǎn)、整合資源、統(tǒng)一標(biāo)準(zhǔn)、保障安全的原則，逐步建成電子政務(wù)體系的基本框架。四是切實(shí)加強(qiáng)信息安全保障工作。堅(jiān)持積極防御、綜合防范的方針，在全面提高信息安全防護(hù)能力的同時(shí)，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制。七、我國(guó)電子政務(wù)的信息安全保障信息安全建設(shè)是電子政務(wù)建設(shè)不可缺少的重要組成部分。電子政務(wù)信息系統(tǒng)承載著大量事關(guān)國(guó)家政治安全、經(jīng)濟(jì)安全、國(guó)防安全和社會(huì)穩(wěn)定的數(shù)據(jù)和信息；網(wǎng)絡(luò)與信息安全不僅關(guān)系到電子政務(wù)的健康發(fā)展，而且已經(jīng)成為國(guó)家安全保障體系的重要組成部分。缺乏安全保障的電子政務(wù)信息系統(tǒng)，不可能實(shí)現(xiàn)真正意義上的電子政務(wù)。具體來(lái)講，應(yīng)做好：（一）正確界定涉密網(wǎng)絡(luò)，做好政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)的劃分。政府部門在建設(shè)電子政務(wù)時(shí)，普遍遇到的問(wèn)題是：對(duì)于本地區(qū)、本部門政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)的劃分難于把握。即涉密網(wǎng)（政務(wù)內(nèi)網(wǎng)）要不要建，要建多大才既有利于保密又方便工作。過(guò)去有一種誤區(qū)，認(rèn)為：網(wǎng)絡(luò)劃分是政務(wù)部門的事，只要你劃為涉密網(wǎng)了，保密工作部門再按涉密網(wǎng)的要求去管理。這樣的結(jié)果往往造成對(duì)上網(wǎng)的業(yè)務(wù)信息資源涉密程度界定不清，網(wǎng)絡(luò)劃分不夠合理，造成先天不足，增加了安全保密管理的難度。保密工作部門在電子政務(wù)建設(shè)的規(guī)劃階段，應(yīng)協(xié)助政務(wù)部門，結(jié)合實(shí)際需求，正確界定涉密網(wǎng)絡(luò)，做好政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)的劃分。（二）重點(diǎn)抓好政務(wù)內(nèi)網(wǎng)建設(shè)與應(yīng)用中的安全保密管理。政務(wù)內(nèi)網(wǎng)是涉密網(wǎng)，就要按照中央保密委員會(huì)以及國(guó)家保密局的一整套對(duì)涉密網(wǎng)的要求去管理。保密工作部門對(duì)電子政務(wù)安全保密管理