(这条文章已经被阅读了 5 次) 时间:2001-06-18 16:48:33 来源:鸣琴 (mingqin) 收藏
信息安全:三分技术,七分管理
——倾听来自国信安办“计算机网络与信息安全”培训班的声音
与众不同的培训班
如果2001年2月12日到2月17日中的某一天,你“凑巧”在北京电信教育培训中心,那么你肯定会看到一批特殊的学生:他们来自信息产业部、公安部、国家安全部、外经贸部、文化部、国防科工委、解放军保密委等机关和部门,他们大都是处级或更高级别的领导干部,他们的工作都非常繁重,他们都不只一次地给别人上过课……然而这一次,他们却都在百忙之中抽出一个星期,专程赶来重做学生。
假如你的观察力够敏锐,你同时也会注意到一批与众不同的教师:从国家863专家组的曲成义研究员到号称“中国反黑客第一人”的许榕生研究员,再到国家计算机网络与信息安全管理中心的方滨兴总工,还有在信息安全领域鼎鼎大名的王贵驷研究员、白硕博导、元晓春主任、陈钟博导、杨义先教授、马宁处长、张健主任、严望佳博士、刘建伟博士、段海新博士、刘宝旭博士等,都是我国网络与信息安全界的资深学者,阵容可谓是超级豪华,空前强大。
其实最引人注目的还是本次培训班的课程:从网络基础知识、黑客攻击与入侵防范、病毒防范、密码与安全认证到网络与信息安全的法律问题、网络信息安全管理等方面内容全部涵括,并且还有有关计算机安全的实验和演示,涉及到信息安全的方方面面,其中网络与信息安全的法律方面问题方面的讲座在全国更是独一无二的。
看到这里你一定会问了,是谁有这么大的魄力,把这么多特殊的学生和教师组织在一起参加这么一个特殊的培训班?他们组织这个培训班又是基于一种什么样的目的,希望达到什么样的效果?带着这些问题,记者采访了国家信息化工作领导小组计算机网络与信息安全管理工作办公室(以下简称“国信安办”)的白硕处长。
白硕是国信安办技术组织处的处长,他年愈不惑,正当壮年,目光犀利,说话声音不大但极富条理,一说到本次培训班的事情,他更显得兴致勃勃。他告诉我们,其实国信安办早在2000的8月份就开始酝酿举办这个培训班了,国信安办的领导一直就对这个培训班极为重视。
白硕处长说,抓管理、抓人员素质是我们的职责所在。
国信安办是负责我国计算机网络与信息安全管理工作方面总体协调和宏观指导的办事机构,承担着组织研究、(3)拟定计算机网络信息安全战略和总体规划、根据授权草拟计算机网络信息安全法律和行政法规、组织协调相关的管理政策、规章、技术标准制定工作和计算机网络安全应急工作等项重要的职责。
白硕处长踌躇满志地告诉我们,目前,国信安办正在积极组织制定和推进《保障国家网络空间安全计划》。该计划涉及到法制建设、组织体系、标准与资质认证、信息资产评估、技术平台、人力资源、科研支撑、技术装备等八个层面。“人力资源”是八个层面的重中之重,因为保障国家网络空间的安全,是一项涉及到高技术的工作,其中人是决定的因素。各管理部门如果都能掌握必要的网络与信息安全知识,定会对改善我国的网络与信息安全状况产生深远的积极影响。
白硕处长接着向我们介绍了我国信息安全的形势。
据信息产业部估计,1999年中国电脑病毒的感染率高达55%以上,6成多的行政事业单位的网站不难进入。1999年公安部对某部委8个部门的计算机系统进行检测,发现存在安全漏洞的达846个,对某部委17台服务器抽查中发现帐号都可以从网上获得,对银行证券系统的1546个营业部门23万台计算机检测中发现全部有安全漏洞。
与此同时,各部委相关的主管人员普遍存在所学专业用不上,知识匮乏、过时的等问题,因此对于学习最新的网络与信息安全知识有着极其迫切的需求,本次培训班也正是为了满足社会各界特别是国家各部委对于网络与信息安全知识的迫切需求,普及网络信息安全知识,提高网络信息安全意识,为各部委今后的网络与信息安全工作打好基础而办。
这次的培训班以免费的形式连续举办四期,每期一个星期,首期从2月12日到2月17日。白导告诉我们,只要看看报名的情况就知道现在各部委对普及网络与信息安全的需求有多强烈。通知一公布,就立即得到了各部委的热烈响应,首批的四期培训班名额早在元旦以前就已经全部报满,并超过了原定名额的20%,不少单位自己出钱也愿意参加。
培训班卓有成效
费了这么大的力气,请了这么多知名的学者,那么本次培训班的效果究竟如何呢?白硕听了记者的问题后建议记者去参加周四晚的讨论会,听听与会人员自己的声音。记者于晚7点准时到达讨论会现场,看到平时难得聚在一起的各部委领导们正在就目前信息安全的重要性交流看法。
当今社会最显著的特征莫过于互联网的出现和发展了,信息化水平已经成为衡量一个国家现代化和综合国力的重要标志。网络在为人们提供便利和带来效益的同时,也使人类面临着信息安全方面的巨大挑战。全球网上攻击事件每年以10倍速度增长,平均20秒就会有一次,美国网络安全造成损失高达每年170亿美元。
来自解放军保密委的同志先发言,她对国信安办组织这样一个培训班表示了感谢。她表示,经过培训班此次系统的学习,已经对网络信息安全问题有了系统的认识和了解。文化部办公厅的同志指出随着信息化的步伐日益加快,政府部门的机要档案保密、文件运转等工作均与信息安全密切相关,因此目前各政府部门对信息安全的需要非常紧迫,而由于大部分部门主管人员并非此专业,所以有关信息安全与保密知识的培训是十分必要的。
国防科工委的同志认为此次“扫盲”意义重大,国信安办开了一个好头,提议针对主管人员专业用不上,知识匮乏过时的问题,能有专门的部门与院校、研究所合作举办定期的在职培训。目前安全市场上产品很多,在选择时往往不知哪个是真正符合要求的,主管部门是否应考虑加强宣传及推荐。国家档案局的负责人认为,需要建立权威的检测部门,使各相关部门、企业及时了解国内的较好的产品、技术及应用。
公安部的同志强调说,目前信息安全问题在社会上宣传力度不大,防范意识不强,一些早已出现的计算机病毒之所以仍能大规模的传播,关键还是在于安全的意识不够。外经贸部办公厅的同志提出,“机器好管人难管”,只有将人的素质提高,才能真正降低安全隐患中的不确定因素。决策部门的规划很重要,这样才能有效地避免资源浪费问题和预防及解决危机的发生。
谈到信息安全管理问题的时候,与会人员对这个问题几乎都达成了一致的看法:网络信息安全——三分技术,七分管理。
网络信息安全:三分技术,七分管理
“三分技术、七分管理”这句话,信息产业部的张春江副部长多次在不同的场合强调过的。而不谋而合的是,BISS 98年公布出的数据正好可以为张副部长的结论提供依据。根据BISS 98年公布的数据,造成信息安全事故的因素如下:57%由于疏忽,24%来自外部恶意攻击,18%因为电源故障,17%由于用户误操作,17%局域网故障,14%外来病毒……其中超过70%的信息安全事故,如果事先加强管理,都是可以得到避免的。微软内部系统的被侵入已经被证明是因为工作人员疏于防护,最近一个著名的黑客在美国参议院做证说,在他所有成功的入侵中90%是利用了组织内部人员的不经心和缺乏安全意识,可见当前网络安全防线中最薄弱的环节是人,网络安全最可靠的保证也是人。
你机器上的安全隐患你了解多少,你的工作环境有无潜在的威胁,你的不良习惯有无潜在的威胁?讨论会上有人举了一个很简单的例子:移动办公的安全问题,也就是笔记本电脑的防护工作,就在很大程度上没有引起大家足够的注意。很多部门已经建立了自己的网络办公系统和安全体系,使用防火墙构筑自己的安全屏障,但是,在办公网外部,领导在外地办公的的情况下,笔记本一旦使用了别的网络系统,那么笔记本上所有的信息都有可能泄密,如果笔记本在外面使用拨号系统上了公司的局域网,那么很有可能被人查到拨号密码,然后上到公司的局域网上面。
人员素质问题是引起安全缺陷的关键:法律靠人去执行,管理靠人去实现,技术靠人去掌握。人是各个安全环节中最重要的因素。全面提高人员的安全意识是网络安全与保密的当务之急。网络信息安全与保密是一个涉及面很广的问题。要想达到安全与保密的目的,必须同时从法律、管理、技术这三个层次上采取有效的措施。高层的安全功能为底层的安全功能提供保护。任何单一层次上的安全措施都不可能提供真正的全方位的安全与保密。
在信息安全这个方面,绝对不可以把技术等同于管理,因为:人如果不重视不积极参与,再好的技术也是没有用的;其次,整体是大于部分的。技术只适用于解决某个部门甚至是某台具体机器的安全问题,一旦涉及到整个部门整个公司,就需要一把手亲自出面来协调加强各部门之间的联系;再次,决策层必须参与。这是至关重要的,没有一把手的出面,没有一套从上到下的信息安全管理方针,很难真正调动起每个部门每个人对信息安全足够的重视和行动。当然,这并不是说技术就不重要,相反,技术也是十分重要和关键的一个因素,信息安全管理必须在体系、制度建设中充分考虑技术的因素,才能更好的做到信息安全,但只有体系、制度和技术的合理结合才能真正发挥作用,取得效果。
信息安全管理,就是指通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理、使用信息的人整合在一起,以此确保整个组织达到预定程序的信息安全。培训人员在会上提出了一些关于信息安全管理的措施,如:管理层的承诺、从上到下贯彻的信息安全管理方针、一致认同的信息安全管理适用范围、教育和培训、控管措施、监督检查机制等,最好要让全体职工知道管理蹭做出了信息安全管理的承诺,一把手亲自出面等等。
比在人员控管方面,要做到签署保密合同、人员的分级与分类、调离人员的处理、权限的授予和管理、信息管理人员的持证上岗等,会上就有人说,现在各部内部都有自己的局域网,由此引出了一个问题:有的部门里面在任何一台机器上面都可以看到本部门几乎所有的资料和信息,实际上这是不允许的,这涉及到一个权限的问题,有的资料即使是在部门的内部也是需要保密的。还有在审计方面,要做到:与安全有关的事件,要有记录;信息管理员应定期对审计信息进行备份;单位应定期请专业人士对审记信息进行分析,由此评估信息安全状况;审记文件应严格保护,禁止任何人私自改动等。讨论激烈,大家发言都很踊跃。
大家都希望把信息安全管理和信息安全技术课程分开举行,给领导干部和主管上不同的课程;最好由国信安办做一个内部通报,每个月一期,把近期的信息安全动态以及相应的政策告知大家,长期坚持下去办;本次培训班课程当中防外攻击的多,防内破坏的少,应适当地增加一些如何处理内部破坏的措施的讲座。
普及信息安全,永无止境
在未来的计划中,国信安办作为国家政府的协调部门,有责任有义务将此有意义的活动继续开办下去。据悉,他们还将有针对金融、电信行业、企业的有关信息安全管理和信息安全技术标准的培训班举办。国信安办领导表示愿同有意支持这项活动的各界人士积极地合作,同时也希望各部委、各地区党政部门主管信息化工作的领导和各级信息主管领导踊跃参加这一培训活动,真正有效地保障国家网络空间的安全,切实加强信息安全管理的意识,本次培训活动所做的工作仅仅只是一个开始,路漫漫其修远兮,众人齐上下而求索。