三阶段实现安全管理

在我国，信息安全已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安全策略。它不仅是一个高技术问题，而且是一个直接影响国计民生的现实问题。

确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题，即:如何切实保障信息网络安全，以确保我国信息化建设快速、平稳、健康发展，避免信息网络安全问题导致社会危机的发生。

同时，它也要求我们必须结合国情，从“发展是硬道理”出发看待和把握信息安全问题，对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断，制定科学、务实、有效的安全保障战略。

提升应急能力

面对全球一体化的互联网环境，国家公共互联网应急体系的建立和应急处理能力的提高，并不能仅仅依靠政府的力量，而是需要世界各国相关组织在技术、资源、经验方面的共同合作，需要政府与企业、全社会每个人的互动。

在互联网这样一个复杂的巨系统中，如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题，我们在方法学上提出了“综合集成”的思路，即自上而下、自下而上的结合（如图1所示）。

要落实综合集成的方法论就要综合治理，不仅靠一个部门或一个企业制定信息安全应急预案，而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下，达到体系的高度灵活性。

同时，我国也必须要建立自己的体系，并与全球的相关组织紧密合作，实现从定性到定量的协调机制。在不断变化的技术环境中，今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化，必须作为系统开发生命周期中的一重要组成部分加以考虑，并在每一阶段明确其定位。

信息安全常被看作是一个技术问题，少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。

避免误区

在评估和把握我国信息安全形势的走向时，要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下，对信息安全问题的演变趋势估计不足、重视不够，给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高，把技术与管理不健全而造成的安全问题视为战略问题，造成人力、财力的浪费，给国家管理和社会进步增添负担。

思路和原则

抓住我国综合实力进一步增强和加入WTO的机遇，统筹我国信息安全保障体系建设，在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验，在15～20年时间内，坚持与时俱进、求真务实的精神，通过统一规划、分步实施，政府引导、全民参与的方式，通过信息安全治理，建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:

坚持风险管理原则完全避免风险是不现实的，要对关键领域的信息安全风险进行识别和评估，采取必要的保护措施和应急措施来降低风险，使之控制在可承受的范围内。

明确统筹兼顾原则在实施策略方面，要明确国家、企业和个人在信息安全方面的责任和义务，充分发挥各方面的积极性;要统筹城乡信息安全建设，协调区域化信息安全建设与全国信息安全建设。

重视经济实用原则切忌空谈和夸大，量力而行，突出重点。以我国信息安全领域最急需开展的工作作为突破点，扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点，技术上要采用综合集成思想，逐步完善关键基础设施的安全保障，切实提高信息安全防护能力。

遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应，采取统一规划、分步实施，以及短期和中长期目标相结合的方式进行。

治理三阶段

国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全，实现国家对信息化环境与内容的治理（如图2所示）。

第一阶段，打基础、保重点，初步建立我国信息安全防护体系。

战略重点是保障“3＋7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。

保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。

保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系，实现对信息内容安全监控，对有害信息内容进行过滤，减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。

通过立法，将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管，增强信息犯罪取证调查能力。

第二阶段，重体系、促发展，形成较强的国家信息安全保障能力。

战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展，形成良好网络秩序。

政务网络安全保障重点是保证关键指令和信息的有效上传下达，政务资源的有效整合和利用。为此，要加快安全保障体系与安全支撑平台建设，这是政府在信息安全上的法律职责和义务。

第三阶段，实现对信息网络的有效治理，初步具备信息反制能力。

战略重点是有效维护信息空间领域国家利益，大幅提高全民在信息化进程中生活质量和福利。

战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。

在政策法规方面，建立完善的信息安全法律法规体系。在技术方面，依据信息安全技术战略，在关键领域取得突破性进展。在产业方面，通过政策倾斜和市场竞争，孵化出信息安全“航空母舰”型企业，信息安全主要核心技术基本实现自主化。

五大安全治理规范（供参考）

一、经济合作和发展组织，《信息系统安全指南》（1992）

《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。

这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆，通过此标杆测量进展。

二、国际会计师联合会，《信息安全管理》（1998）

信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人（机密性）;数据和信息保护不受未经授权的修改（完整性）;信息系统在需要时可用和有用（可用性）。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外，业务依赖性（依靠第三方通信设施传送信息，外包业务等等）也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织，《ISO 17799国际标准》（最新版是2005）

ISO 17799（根据BS 7799第一部分制定）作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至最小，使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会，《信息和相关技术的控制目标》（CoBIT）

CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域（计划和组织，获取和实施，交付和支持，监控），共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例，以形成一个可控和逻辑结构内的活动。

五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则V20》（2001）

SysTrust服务是一种保证服务，用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个基本方面评估和测试系统是否可靠。

SysTrust定义在特定环境下及特定时期内，没有重大错误、缺陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定，但必须包括基础设施、软件、人、程序和数据这几个关键部分。SysTrust的框架可升级，企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断，不是对系统整体可靠性的判断。