❶ 信息安全的隱患有那些
希望我的回答能幫助你
從大的方面講,信息安全主要包括:運行安全(主要是由網路和計算機構成的平台)、交易安全(傳輸過程中的數據安全)、內容安全、個人或單位隱私保護。幾年前,談論信息安全還僅限於政府部門內部,而且所涉及的也大多是內容安全、防止泄密等。但近幾年,在新經濟的環境下,所有人的生活已與網路形成了非常緊密的聯系,隨著安全問題越來越引起政府和企業的關注,各種安全技術和產品也不斷涌現出來。但值得思考的是,為什麼在強大的防禦技術的保護下,信息的安全問題反而越來越多,入侵與反入侵技術總是在上演「道高一尺,魔高一丈」的活劇?在中國,信息安全應用的最大隱患到底在哪裡?其症結究竟是什麼?
管理:信息安全應用的最大漏洞
據統計,在美國被中國黑客攻擊的網站中,政府網站佔3%,而在中國遭到美國黑客攻擊的網站中,政府網站竟佔37%還多。這個數字充分說明,中國的政府網站應該進行的管理沒有到位。其實,美國人所採用的攻擊手段並不高明,其中許多技術漏洞都是被中國人最早發現並公布的,但正是由於在管理上沒有得到足夠的重視,才讓別人利用簡單的技術鑽了空子。
提高安全管理意識已刻不容緩。中國國家計算機網路與信息安全實驗室主任白碩先生在接受記者采訪時說:「目前,中國的信息安全在技術上的最大隱患是,操作系統、微電子晶元、路由器等核心技術都掌握在別人手裡,這是一個極為嚴重的問題。像中國這樣一個大國,沒有自己的核心技術,就好像所有的信息系統都建築在沙灘上一樣,稍有風吹草動,我們就會失去平衡。盡管不久前中國國防科技大學推出了自主研製的核心路由器,中科院軟體所也有了相應的安全操作系統軟體推出,但這些剛剛起步的技術離可用還有一段距離,況且面對著如此具大的應用市場,這一點突破仍然是杯水車薪。」
那麼,如何解決當前的問題?在只能採用國外產品的情況下如何保證信息的安全?怎樣在現有條件下,對一些疑點進行修補呢?白碩先生認為,一個最直接、最有效的方法就是拉緊管理這根線,用嚴密的制度彌補技術上的不足。近幾年,我國的政府機構為了加強對信息安全的保障,實行了內網與外網分離的策略,但這種隔離從嚴格意義上講只能防外而不能防內。事實上,不管多麼先進的安全技術,都抵擋不住從內部攻破,先進技術解決不了人的問題,「家賊難防」是盡人皆懂的道理。北京郵電大學信息安全中心楊義先生曾說過,信息安全在管理方面還存在幾個問題:一是CA(數字證書認證中心)的建設,目前全國共建立了不下20個CA認證機構,其實有一個就足夠了;二是目前的安全問題,包括病毒、網路安全、加密等,也分屬很多部門管理,各有各的標准。建議設立一個統一的部門,把認證及所有安全問題統一管起來,以保證擁有一個標準的控制手段。
投資失衡:信息安全應用的隱患之一
信息安全在技術與管理上的比重失調還明顯地體現在投入上。目前在中國,大多數企、事業單位在建立信息系統時,安全建設方面的投入均不足整個系統的5%,而國外在這方面的投入一般都在10%~15%。如果對這5%的投入進行具體分析,其中用於購買硬體設備的投資已基本接近發達國家的水平,而購買服務和管理的投資幾乎為零,因而從信息系統建設一開始就已經給安全帶來了極大的隱患。
那麼,企、事業單位在IT投資時,安全管理方面的資金應該投到哪些方面呢?在一個信息化系統中,屬於管理的問題有很多,在某些情況下,與信息化配套的管理機制不可能自發地產生,這時安全管理就必須進行購買,也就是花錢買管理。企業或事業單位應該與一些專業從事安全管理的公司進行合作,共同建立起一套管理體系,包括質量管理體系、文檔管理體系、組織體系、監督檢查機制等,要根據各單位具體的安全需求配置安全級別。單位中需要管理的事務很多,如果管理機製得不到很好的慣徹,安全是無從談起的。
另一個資金投向應該是安全服務。信息技術在不斷地發展,安全問題也將隨著網路應用的不斷深化而變化出更多的新內容,安全漏洞防不勝防。然而,目前對於中國的許多企、事業單位來說,最為困難的還是缺少能夠全面承擔起各種安全系統管理重任的人才,在這種情況下,唯一的變通方法就是花錢買服務。但是,目前在中國,各單位在安全服務方面的投入也基本為零。
技術分布失衡:信息安全應用的隱患之二
白碩先生認為,目前在國內市場上,保障網路安全的產品不是太少,而是太多了。但從分布上看,少數類型的產品又過於集中。例如防火牆,現在許多廠商都在做防火牆,已經造成一種水平不高的重復,從宏觀上看這並不是一種理想的技術格局。網路安全保障具有非常多的環節,包括預防(漏洞掃描、風險評估等)、實時檢測、審計、記錄取證、災難恢復以及對於攻擊的響應手段等,但目前這些安全環節在產品開發上並沒有得到合理的分布,如安全中的必要環節審計、取證、備份和災難恢復等產品數量偏少,而且沒有過硬的技術。
作為政府的信息安全管理部門,信息產業部計算機網路與信息安全中心目前非常關注安全產品和服務的標准及立法等問題(即對於安全產品及服務的合格認證)。不久他們將召開一次關於網路安全服務試點選擇的會議,並將出台一系列具有長遠規劃的安全法規和政策,力圖讓人們看到國家信息安全發展的脈絡。而對於標准,他們希望改變現有的工作模式。過去的方法是,由國家下達一個標准化研究任務,一些專門從事標准研究的機構就開始制定工作,現在看來這種方式已經不適應時代的發展,因為專職研究機構距離研製安全產品的第一線還有相當大的距離,因此對於一些策略的理解還存在很大差距。信息產業部希望,將這種研究方式轉化成以企業為主的標准研究方式,把一些真正有實力的大型企業聯合起來,共同承擔標準的制定工作。
追求安全不應該制約發展
安全問題是現代經濟發展的最大障礙,但是不是因為安全問題得不到很好的解決,國家和企業就必須放慢發展的步伐呢?在討論安全與發展的關系之前,我們需要搞清楚的是,什麼樣的系統是安全的系統。一個商業系統,永遠也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說:「在商業系統內部,安全是一個相對的概念,因為我們無法追求絕對安全。什麼叫相對安全?首先,安全問題所帶來的損失是商業企業能夠承受的。例如信用卡業務,它的風險很大,但是銀行仍然在大規模地開展這項業務,這是由於信用卡風險大同時利潤也很大,招商銀行大約30%的利潤都來自信用卡;第二,一定要確保不給客戶造成損失,這是在任何銀行系統中都必須遵循的一個硬指標。一旦出現問題,只要有證據顯示責任不在客戶,銀行必須承擔損失。有了這兩條原則,銀行就可以求發展。」
信息安全是一個綜合性的問題,從政府部門的角度看,安全與發展也是一個辯證的關系。政府機構對於安全的需求也是分等級、分層次的,只要不突破安全底線,還是要邊發展邊完善。目前保障安全的技術已經很多了,其中用戶的身份識別就是一個極為重要的方面,此外還有伺服器端的管理,如安裝監測軟體、防火牆等等。但最關鍵的一點還是如何使用這些技術,使系統既安全又好用。總的來說,一個系統是不是安全,絕不是單純的技術問題,對於業務的管理已影響到了信息安全應用的方方面面,如事後監督、實時監控等。如果從管理和技術兩方面都能夠做到萬無一失,我們就可以得到一個相對安全的環境。
❷ 我國網路信息安全現狀有哪九個方面問題
我國網路信息安全現狀九個方面問題
(1)法律法規和管理不完善
(2)企業和政府的側重點不一致
(3)網路安全規范和標准不統一
(4)網路安全技術和手段滯後
(5)系統漏洞及復雜性。
(6) 網路協議及共享性。
(7) 網路開放性, 傳輸路徑與結點不安全。
(8)身份認證難。
(9)信息聚集度高。
摘自 網路安全技術與實踐 高等教育出版社
賈鐵軍主編 2014.8上海精品課程教材
❸ 簡述中國信息安全主要存在哪些問題
1、網路與信息系統防護水平不高、應急能力不強
2、信息安全管理和技術人才缺乏、關鍵技術上整體比較落後、長夜缺乏核心競爭力
3、信息安全法律法規和標准不完善
4、全社會的信息安全意識不強
5、信息安全管理薄弱
6、網路行為的道德規范尚未形成。
想要更具體的,搜索安標委、信安評測中心這些大牛們的報告、PPT
❹ 我國信息安全管理的現狀、問題及其對策
我國信息安全管理的現狀、問題及其對策
摘要:信息安全是國家安全的基礎和關鍵。在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。理解並重視管理對信息安全的關鍵作用,對於真正實現信息安全目標來說尤其重要。本文分析了信息安全管理的現狀,並著重討論了加強信息安全管理的策略。
關鍵詞:信息安全;管理;現狀;策略
信息安全管理是隨著信息和信息安金的發展而發展的。在信息社會中,一方面信息已經成為人類的重要資產,在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用,另一方面由於計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由於信息具有易傳播、易擴散、易損毀的特點,信息資產比傳統的實物資產更加脆弱,更容易受到損害,這樣將使組織在業務運作過程巾面臨巨大的風險。這種風險主要來源於組織管理、信息系統、信息基礎設施等方面的固有薄弱環節和漏洞, 以及大量存在於組織內外的各種威脅, 因此對信啟、系統需要加以嚴格管理和妥善保護,信息安全管理也隨之產生。
1、國內信息安全管理現狀
1.1在國家宏觀信息安全管理方面的問題
(1)法律法規問題。健全的信息安 法律法規體系是確保國家信息安全的基礎,是信息安全的第一道防線。我國已建立了法律、行政法規與部門規章及規范性文件等三個層面的有關信息安全的法律法規體系,對組織與個人的信息安全行為提出了安全要求。但是我國的法律法規體系還存在缺陷,一是現有的法律法規存在不完善的地方,如法律法規之間有內容重復交叉, 同一行為有多個行政處罰主體,有的規章與行政法規相互抵觸,處罰幅度不�6�8一致;二是法律法規建設跟不上信息技術發展的需要,這主要涉及網路規劃與建設、網路管理與經營、網路安全、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法律法規缺乏。
(2)管理問題。管理包括三個層次的內容:組織建設、制度建設和人員意識。組織建設是指有關信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證等多方面的內容,因此只靠一個機構是無法解決這些問題的。在各信息安全管理機構之問,要有明確的分工,以避免「政出多門」和「政策拉車」現象的發生。需要建立切實可行的規章制度,即進行制度建設,以保證信息安全。如對人的管理,需要解決多人負責、責仔到人的問題,任期有限的問題,職責分離的問題,最小許可權的問題等。有了組織機構和相應的制度,還需要領導的高度重視和群防群治,即強化人員的安全意識,這需要信息安全意識的教育和培訓,以及對信息安傘問題的高度重視。
(3)國家信息基礎設施建設問題。目前構成我國信息基礎設施的網路、硬體、軟體等產品幾乎完全是建立在外國的核心信息技術之上的。關於國家信息基礎設施方面存在的問題已引起國家的高度重視。如「十五」期問,國家863計劃和科技攻關的重要項目就有「信息安全與電子政務」和「金融信息化」兩個有關信息安全的研究項目;2002年1月1日開始實施的《電信業務經營許可證管理辦法》明確要求:電信產品軟體商不能在軟體上預留「後門」,外國供貨商不能遠程登錄中國電信商的操作系統,高級 管系統要用國內可靠機構開發的軟體產品。
1.2我國在微觀信息安全管理方面存在的問題主要表現
(1)缺乏信息安全意識與明確的信息安全方針。大多數組織的最高管理層對信息資產所面臨威脅的嚴重性認識不足,或者僅局限於IT方面的安全,沒有形成一個合理的信息安拿方針來指導組織的信息安全管理工作,這表現為缺乏完整的信息安全管理制度,缺乏對員工進行必要的安全法律法規和防範安全風險的教育與培訓,現有的安全規章組織未必能嚴格實施等。
(2)重視安全技術,輕視安全管理。目前組織普遍採用現代通信、計算機和網路技術來構建信息系統,以提高組織效礙暑與競爭能力,但相應的管理措施不到位,如系統的運行、維護和開發等崗位不清,職責不分,存在一人身兼數職現象。
(3)安全管理缺乏系統管理的思想。大多數組織現有的安全管理模式仍是傳統的管理方法,出現了問題才去想補救的辦法,是一種就事論事、靜態的管理,不是建立在安全風險評估基礎上的動態的持續改進管理方法。
2、國外信息安全管理現狀
國際上信息安全管理近幾年的發展主要包括以下幾個方面。
(1)制訂信息安全發展戰略和計劃。制訂發展戰略和計劃是發達國家一貫的作法。美、俄、日國家都已經或正在制訂自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展。
(2)加強信息安全立法,實現統一和規范管理。以法律的形式規定和規范信息安全工作是有效實施安全措施的最有力保證。制訂網路信息安全規則的先鋒是各大門戶網站,美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。2000年1O月5日美參議院通過了《互聯網網路完備性及關鍵設備保護法案》。2000年9月,俄羅斯實施了關於網路信息安全的法律。
(3)步入標准化與系統化管理時代。隨著2O世紀8O年代IS09000質量管理標準的出現及隨後在全世界的推廣應用,系統管理的思想在其他管理領域也被借鑒與採用,信息安全管理也同樣在2O世紀9O年代步入了標准化與系統化管理的時代。1995年英國率先推出了BS7799信息安全管理標准,該標准於2000年被國際標准化組織認可為國際標准ISO/IEC17799。現在該標准已引起許多國家與地區的重視,在一些國家已經被推廣與應用;組織貫徹實施該標准可以對信息安全風險進行全面系統的管理,從而實現組織信息安全。與此同時,其他國家以及組織也提出了很多與信息安全管理相關的標准。
3、加強信息安全管理的策略
隨著國民經濟和社會信息化進程的全面加快,信息安全管理工作面臨著越來越嚴峻的形勢和挑戰。從總體上看,當前,我國的信息安全管理工作尚處於起步階段,基礎薄弱,水平不高,存在許多亟待解決的問題,我們要以全局性的眼光,加強信息安全的組織管理工作。
(1)建立集中統一、分工協作、各司其職的信息安全管理機制。信息安傘保障的關鍵在於組織領導,要從根本上加強我國的信息安全保障工作,必須建立全國集中統一、分工協作、各司其職的信息安全管理機制。一是國家應建立能夠協調維護各種安全利益的綜合職能機構,成立有高度權威的國家信息安全委員會,作為國務院信息化領導小組的常設委員會, 以改變目前在維護國家信息安全中各部門條塊分割、職責不清、多頭管理、協調不力和政出多門的現狀;二是各個職能部門要形成一個分工明確、責任落實、相互銜接、有機配合的組織管理體系,按照「誰主管、誰負責」的原則,共同履行信息安全管理的職責;三是盡早建立省、市兩級比較完善的信息安全領導管理體系, 以便積極調動各種資源主動配合和協調信息安全保障工作,形成縱橫結合的信息安全協調與信息共享機制; 四是充分調動政府、企業和個人的積極性,實現有機聯動,形成合力,共同構築國家信息安全保障體系;五是健全和完善信息安全責任體系,要求各部門、各單位明確信息安全工作負責人,配備相應的信息安全員,把信息安全責任真正落實到人。
(2)加強信息安全法制建設,為信息安全管理提供執法依據。作為信息安全保障體系的重要部分,相關法律法規和標准體系的建設已經勢在必行。下一步,應著力建立健全信息安全法律法規體系;同時,要注重和加強信息安全執法隊伍的建設;各信息安全職能部門的執法活動必須嚴格按照法律規定的許可權和程序進行,正確行使權力和履行職責,保護企業和公民的合法權益,打擊網路違法犯罪;各有關主管部門和運營單位要積極支持執法機關工作,履行應盡的義務;社會團體、企業和個人要認真履行法律規定的信息安全責任和義務,在信息網絡環境中依法開展活動。
(3)採取有效措施,積極推進信息安全等級保護工作的順利開展。實行信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是信息系統的社會價值和經濟價值保護的客觀要求,即按信息的敏感和重要程度、系統應用性質和資嚴價值、部門重要程度,分級採取科學、合理的保護措施;對於涉及國計民生的國家關鍵信息基礎設施應分級加以重點保護;適度保護,效費合理,避免盲目和浪費。國家實行信息安全等級保護,必須從總體戰略角度考慮,把握關鍵環節,建立長效保護機制。當前,信息安全等級保護的試點工作已積累了一定的經驗,為推動信息安全等級保護工作的傘面開展,應著力做好以下幾個方面的工作:明確信息系統等級保護各方責任;制定各項信息安全等級保護管理制度;制定、完善信息安全等級保護管理規范和技術標准體系;依託社會技術力量,組建技術支撐體系;研製開發信息安全等級保護備案、檢測、評估信息系統和技術
工具;加強宣傳、培訓工作等等。
(4)努力探索,創立新形勢下的信息網路違法犯罪防範打擊體系。近年來,我國在打擊網路違法犯罪方面做了大量的工作,也取得了很火的成績,但是隨著信息技術的不斷發展,網路違法犯罪的形式更加多樣化,技術手段更加先進,這就要求我們不斷建立健全信息網路違法犯罪防範打擊體系, 以執法職能部門為主體,動員社會各方力量,運用網路技術手段在信息網路領域建立系統、完整、有機銜接的預防、控制、偵查、懲處信息網路違法犯罪的行政執法和刑事執法體系,提高對信息網路違法犯罪的防範、控制和偵查、打擊能力。重點要做好以下四方面機制建設:一是全社會防範控制機制。二是統一指揮、快速反應的偵查機制。三是有關部門、單位的支持、配合機制。四是公檢法三機關的協調、協作機制。