不安全的信息化等于零
2013-07-01 10:54:32 来源:王博
A-
A+
电力18讯:
前言:
信息化越深入、越广泛,新的信息安全问题就暴露得越多,新的防护手段也会应运而生。这个过程没有终了,没有结局,还会随着信息化的发展而不断地延伸和深化。
不安全的信息化等于零
――访著名信息安全专家曲成义院士
1991年1月17日,海湾战争,指挥系统瘫痪/嵌入式病毒。恶梦似乎从此升级。2010年9月,伊朗第一座核电站Bushehr核电站的员工电脑遭到Stuxnet病毒的攻击,迫使该电站停止运营。从战场到电厂,离我们越来越近。
“未来战争将由物理空间扩展到虚拟空间,将“网络空间”与陆地、海洋、天空、太空等同为五大军事战略空间已成定局。把握信息化发展方向、维护国家在网络空间的安全和利益成为信息时代的重大战略课题。”,但“信息安全保障存在薄弱环节和严重隐患。内控脆弱,外防不严,难以应对重大灾害或国家行为。加强立法、认证、产品自主、引进可控,要重视自主与可控和防止分发式威胁。”著名信息安全专家,《2006―2020年中国信息化发展战略》起草人之一,国家信息化办公室专家委员会常务委员、国务院信息化办公室专家组成员、国家863信息安全发展战略专家组成员曲成义院士如是说。
2013年2月20日,本刊记者就构建信息安全保障体系的目的意义、策略及措施等热点话题,从国际形势、国家战略、行业实践等话题采访了曲成义院士。
信息安全是国家最重要的安全
“回想中国‘六十’年大庆时,海、陆、空军三军方阵在天安门前通过时,‘信息化’这个词被提及二十次。网络信息化,信息制导、信息导航、信息预警,海、陆、空、太空,各个军种谁能离开信息化?” 曲成义院士十分感概,“信息化确实已经深入到各行各业。”
“然而当前国际上网络空间的对抗形势非常严峻,我们一定要增加危机感和紧迫感。”他说,网络空间安全比信息安全更广义,网络空间的安全是国家最重要的安全。无论国防安全,还是信息安全,或者社会安全、经济安全,离开信息化就不能生存,因此李克强副总理讲信息安全是国家最重要的安全。
信息安全仍然脆弱,严重不协调性
在他看来,我国国家信息安全与发达国家相比距离很大,信息安全保障存在诸多薄弱环节和严重隐患,内控脆弱,外防不严,难以应对重大灾害或国家行为。“国家信息安全产业的发展规模有限,信息安全防护体系强度不够,信息安全人才培养、全民信息安全意识的普及和教育等都还存在一定问题”。曲成义院士认为:“从国家全局来说信息安全形势很严峻,但在信息安全的组织协调方面,国家的对策却越来越到位,从国家领导层到部门、人员,总的趋势还是好的。即便如此,信息化越深入、越广泛,新的信息安全问题就会暴露出来,新的防护手段也会应运而生。这个过程没有终了,没有结局,会随着社会国家各行各业的信息化发展不断地延伸、深化,因此十分需要加强立法、认证、产品自主、引进可控,重视自主与可控和防止分发式威胁。”
信息安全要有紧迫感、危机感
“信息化已经无孔不入,深入到了社会各行各业。” 正因如此,曲成义院士认为如果信息安全出现了问题,对国防、经济、社会、民生、产业等都会造成很大的影响。美国等发达国家领导人已经将网络空间与陆、海、空、太空四大空间列为并驾齐驱的第五大空间。“这五大空间的对抗和安全成为一个国家利益的制高点。”网络空间威胁具有情报站、系统战和心理战三大使命,与社会威胁、核威胁、恐怖主义并称四大威胁。“为防范网络威胁,美国搞风暴演习,甚至联合全社会企业、居民、产业以及政府,其目的就在于一旦信息威胁攻击社会和企业的时候大家能有思想准备和防范意识,防止给社会、给产业、给居民带来损失和破坏。” 曲成义院士说。
信息安全一定要从战略入手,从顶层设计
2003年,国家信息化领导小组发布国家信息化27号文件。文件在分析信息安全形势的基础上提出了一个很重要的思路,即构建国家的信息安全体系。“27号文件的发布是中国信息安全建设的里程碑式事件,构建信息安全保障体系这一思想在推进、治理和防范国家信息安全上发挥了很重要的作用。各省市、各个企业都在考虑构建本领域本行业的信息安全保障体系,从体系角度来治理安全”。
在他看来,“从顶层设计对保证体系安全发展是很重要的。国信办正在策划筹建国家信息安全战略研究中心,其目的便是从战略角度研究信息安全部署问题。” 曲成义院士认为:“面对严峻的信息安全国际形势及网络空间对抗,无论怎么防范或治理,信息安全都不再是一个局部的、孤立的、微小的安全事件,都应当从产业、民生、政务安全发展的角度入手,从全局战略入手,避免信息安全的威胁给社会民生及产业带来较大损失。”
信息安全保障体系要以组织体系为支撑
“构建国家信息安全保障体系的目标之一是增强信息网络的四种能力,即创建信息安全基础支撑能力,包括安全基础设施、技术与产业、人才与教育;提升安全防护与对抗能力;加强网络突发事件的快速反应能力;拥有安全审计与管控能力。其二要保障信息及其服务具有六性,即保密性、完整性、可用性、真实性、可核查性、可控性。”曲成义院士认为,“要构建本领域的保障体系,首先要有意识,有队伍,有一套管理机制。构建信息安全保障体系的几大要素中首当其冲的是组织领导,如国家有信息安全协调领导小组,民航有信息安全领导小组等,这一举措能让信息安全在组织上落对地落到人,很多政府部门电子政务中设三员即系统管理员、安全管理员、审计管理员。从政策和规范体系,国家出台过不少关于信息安全、灾难防护、应急演练、信息安全标准等相关文件,要求各单位按照标准执行,以保护国家的信息不至于非法泄露和被破坏。”
信息安全的核心思路是思维、技术、手段的创新
最近两三年信息技术的发展非常快。曲成义院士说:“云计算、互联网+、移动互联网、智能LBS信息系统、WEB2.0社交网络等新技术带来了非常大的好处,云计算能够提高效率、降低成本,节省能源百分之三十。”然而,“新技术的发展和应用不可阻挡,但它们同时也带来了新的安全隐患。资源虚拟化、集约化以后,用户怎么治理?如何保障作业安全?在业务交叉移动过程中,边界是否清楚、管理是否严格,信息是否保密等问题无疑给信息安全带来了十分尖锐的挑战。”他提出:“我们在尝试使用新技术的同时,还必须同步跟上新技术的应用安全,应用和安全要同步进行。”
曲成义院士说:“网络开放是社会发展的大势所趋。任何一个系统离不开社会,离不开用户,离不开跨部门之间的协调。”“如何有效治理网络边界,是当前网络发展的重要理念。”“既然没有绝对安全的边界,为减少边界泄露和损失,提升边界安全强度,就得采取创新的思维、创新的技术、创新的手段提升安全。这是信息安全的核心思路之一。”
闭环管理不可能做到绝对安全。
曲成义院士认为:“现在一般网络基本分三类。一类是对外界隔离的内部网络,第二类是完全面向社会的互联网。介于两者之间的第三类是政府处理内部事务的外网,一般与互联网相连接。”为保障内网的绝对安全,企业一般采取物理隔离或逻辑隔离方法。国家电网SG186工程曾经实施强逻辑隔离法,措施复杂,投资很大。“但外网和互联网之间连接边界的对抗会势必永远存在,所以闭环管理不可能做到绝对安全。”曲成义院士认为其祸于内。“在组织内部,造成信息破坏或泄露的三种人普遍存在:一种属于误操作,或因培训不够,或因操作不当,或因连接不当,因此造成信息泄露;第二种是违规操作者,他们为求自我方便而明知故犯,第三种则是故意进行违法操作者,内外勾结,盗取信息。”在这三类信息安全犯罪各有其因,误操作源于教育不够,违规操作源于防范不够,违法操作则须指向法律法规的不到位。另一方面,双网改造的为信息传递带来了一些不便,所以我们在信息化建设过程中需要考虑周全,努力平衡好便捷与安全的关系”。
采访结束时,曲成义院士对如何提高信息安全工作价值提出现实的建议。他说:“信息化在整个流程中已经发挥了不可或缺的重大作用,因此必须把信息安全提到日程,否则信息安全一旦出现问题,信息化就没法发挥作用。但对于信息安全工作也需要给予客观而清醒的理解,一定要从维护企业利益、保障企业正常运作、信息安全可能造成的损失等制高点上去理解。应用第一,但没有安全的应用同样达不到最终目的。”
来自: 电力信息化用户参考 王博
前言:
信息化越深入、越广泛,新的信息安全问题就暴露得越多,新的防护手段也会应运而生。这个过程没有终了,没有结局,还会随着信息化的发展而不断地延伸和深化。
不安全的信息化等于零
――访著名信息安全专家曲成义院士
1991年1月17日,海湾战争,指挥系统瘫痪/嵌入式病毒。恶梦似乎从此升级。2010年9月,伊朗第一座核电站Bushehr核电站的员工电脑遭到Stuxnet病毒的攻击,迫使该电站停止运营。从战场到电厂,离我们越来越近。
“未来战争将由物理空间扩展到虚拟空间,将“网络空间”与陆地、海洋、天空、太空等同为五大军事战略空间已成定局。把握信息化发展方向、维护国家在网络空间的安全和利益成为信息时代的重大战略课题。”,但“信息安全保障存在薄弱环节和严重隐患。内控脆弱,外防不严,难以应对重大灾害或国家行为。加强立法、认证、产品自主、引进可控,要重视自主与可控和防止分发式威胁。”著名信息安全专家,《2006―2020年中国信息化发展战略》起草人之一,国家信息化办公室专家委员会常务委员、国务院信息化办公室专家组成员、国家863信息安全发展战略专家组成员曲成义院士如是说。
2013年2月20日,本刊记者就构建信息安全保障体系的目的意义、策略及措施等热点话题,从国际形势、国家战略、行业实践等话题采访了曲成义院士。
信息安全是国家最重要的安全
“回想中国‘六十’年大庆时,海、陆、空军三军方阵在天安门前通过时,‘信息化’这个词被提及二十次。网络信息化,信息制导、信息导航、信息预警,海、陆、空、太空,各个军种谁能离开信息化?” 曲成义院士十分感概,“信息化确实已经深入到各行各业。”
“然而当前国际上网络空间的对抗形势非常严峻,我们一定要增加危机感和紧迫感。”他说,网络空间安全比信息安全更广义,网络空间的安全是国家最重要的安全。无论国防安全,还是信息安全,或者社会安全、经济安全,离开信息化就不能生存,因此李克强副总理讲信息安全是国家最重要的安全。
信息安全仍然脆弱,严重不协调性
在他看来,我国国家信息安全与发达国家相比距离很大,信息安全保障存在诸多薄弱环节和严重隐患,内控脆弱,外防不严,难以应对重大灾害或国家行为。“国家信息安全产业的发展规模有限,信息安全防护体系强度不够,信息安全人才培养、全民信息安全意识的普及和教育等都还存在一定问题”。曲成义院士认为:“从国家全局来说信息安全形势很严峻,但在信息安全的组织协调方面,国家的对策却越来越到位,从国家领导层到部门、人员,总的趋势还是好的。即便如此,信息化越深入、越广泛,新的信息安全问题就会暴露出来,新的防护手段也会应运而生。这个过程没有终了,没有结局,会随着社会国家各行各业的信息化发展不断地延伸、深化,因此十分需要加强立法、认证、产品自主、引进可控,重视自主与可控和防止分发式威胁。”
信息安全要有紧迫感、危机感
“信息化已经无孔不入,深入到了社会各行各业。” 正因如此,曲成义院士认为如果信息安全出现了问题,对国防、经济、社会、民生、产业等都会造成很大的影响。美国等发达国家领导人已经将网络空间与陆、海、空、太空四大空间列为并驾齐驱的第五大空间。“这五大空间的对抗和安全成为一个国家利益的制高点。”网络空间威胁具有情报站、系统战和心理战三大使命,与社会威胁、核威胁、恐怖主义并称四大威胁。“为防范网络威胁,美国搞风暴演习,甚至联合全社会企业、居民、产业以及政府,其目的就在于一旦信息威胁攻击社会和企业的时候大家能有思想准备和防范意识,防止给社会、给产业、给居民带来损失和破坏。” 曲成义院士说。
信息安全一定要从战略入手,从顶层设计
2003年,国家信息化领导小组发布国家信息化27号文件。文件在分析信息安全形势的基础上提出了一个很重要的思路,即构建国家的信息安全体系。“27号文件的发布是中国信息安全建设的里程碑式事件,构建信息安全保障体系这一思想在推进、治理和防范国家信息安全上发挥了很重要的作用。各省市、各个企业都在考虑构建本领域本行业的信息安全保障体系,从体系角度来治理安全”。
在他看来,“从顶层设计对保证体系安全发展是很重要的。国信办正在策划筹建国家信息安全战略研究中心,其目的便是从战略角度研究信息安全部署问题。” 曲成义院士认为:“面对严峻的信息安全国际形势及网络空间对抗,无论怎么防范或治理,信息安全都不再是一个局部的、孤立的、微小的安全事件,都应当从产业、民生、政务安全发展的角度入手,从全局战略入手,避免信息安全的威胁给社会民生及产业带来较大损失。”
信息安全保障体系要以组织体系为支撑
“构建国家信息安全保障体系的目标之一是增强信息网络的四种能力,即创建信息安全基础支撑能力,包括安全基础设施、技术与产业、人才与教育;提升安全防护与对抗能力;加强网络突发事件的快速反应能力;拥有安全审计与管控能力。其二要保障信息及其服务具有六性,即保密性、完整性、可用性、真实性、可核查性、可控性。”曲成义院士认为,“要构建本领域的保障体系,首先要有意识,有队伍,有一套管理机制。构建信息安全保障体系的几大要素中首当其冲的是组织领导,如国家有信息安全协调领导小组,民航有信息安全领导小组等,这一举措能让信息安全在组织上落对地落到人,很多政府部门电子政务中设三员即系统管理员、安全管理员、审计管理员。从政策和规范体系,国家出台过不少关于信息安全、灾难防护、应急演练、信息安全标准等相关文件,要求各单位按照标准执行,以保护国家的信息不至于非法泄露和被破坏。”
信息安全的核心思路是思维、技术、手段的创新
最近两三年信息技术的发展非常快。曲成义院士说:“云计算、互联网+、移动互联网、智能LBS信息系统、WEB2.0社交网络等新技术带来了非常大的好处,云计算能够提高效率、降低成本,节省能源百分之三十。”然而,“新技术的发展和应用不可阻挡,但它们同时也带来了新的安全隐患。资源虚拟化、集约化以后,用户怎么治理?如何保障作业安全?在业务交叉移动过程中,边界是否清楚、管理是否严格,信息是否保密等问题无疑给信息安全带来了十分尖锐的挑战。”他提出:“我们在尝试使用新技术的同时,还必须同步跟上新技术的应用安全,应用和安全要同步进行。”
曲成义院士说:“网络开放是社会发展的大势所趋。任何一个系统离不开社会,离不开用户,离不开跨部门之间的协调。”“如何有效治理网络边界,是当前网络发展的重要理念。”“既然没有绝对安全的边界,为减少边界泄露和损失,提升边界安全强度,就得采取创新的思维、创新的技术、创新的手段提升安全。这是信息安全的核心思路之一。”
闭环管理不可能做到绝对安全。
曲成义院士认为:“现在一般网络基本分三类。一类是对外界隔离的内部网络,第二类是完全面向社会的互联网。介于两者之间的第三类是政府处理内部事务的外网,一般与互联网相连接。”为保障内网的绝对安全,企业一般采取物理隔离或逻辑隔离方法。国家电网SG186工程曾经实施强逻辑隔离法,措施复杂,投资很大。“但外网和互联网之间连接边界的对抗会势必永远存在,所以闭环管理不可能做到绝对安全。”曲成义院士认为其祸于内。“在组织内部,造成信息破坏或泄露的三种人普遍存在:一种属于误操作,或因培训不够,或因操作不当,或因连接不当,因此造成信息泄露;第二种是违规操作者,他们为求自我方便而明知故犯,第三种则是故意进行违法操作者,内外勾结,盗取信息。”在这三类信息安全犯罪各有其因,误操作源于教育不够,违规操作源于防范不够,违法操作则须指向法律法规的不到位。另一方面,双网改造的为信息传递带来了一些不便,所以我们在信息化建设过程中需要考虑周全,努力平衡好便捷与安全的关系”。
采访结束时,曲成义院士对如何提高信息安全工作价值提出现实的建议。他说:“信息化在整个流程中已经发挥了不可或缺的重大作用,因此必须把信息安全提到日程,否则信息安全一旦出现问题,信息化就没法发挥作用。但对于信息安全工作也需要给予客观而清醒的理解,一定要从维护企业利益、保障企业正常运作、信息安全可能造成的损失等制高点上去理解。应用第一,但没有安全的应用同样达不到最终目的。”
来自: 电力信息化用户参考 王博
评论
最新评论(0)
相关新闻:
-
无相关信息
