信息系统安全保障能力建设-广东省农业农村厅

　　如何推进信息系统安全保障能力建设，首先应对信息系统、信息系统安全、信息系统安全保障能力、信息系统安全保障能力建设四个概念有进一步的认识和理解。对概念的深入理解，有利于明确信息系统安全保障能力建设的内容和任务，有利于确定工作范围、方略、思路、方法，有利于制定有关政策和出台有关措施。

　　1、信息系统：是一个集成的系统，一个组织中信息流动的总和，是根据一定的需要进行信息接收、选择、处理、存储与传递等活动而涉及到的所有因素的综合体。它支持与改善组织的日常业务运作，满足管理人员解决实际问题和制定决策的各种信息需求。这里所提的信息系统，是基于计算机与通信技术等现代信息技术方法之上的、集组织的各种信息流为一体、并为组织管理提供信息服务的系统。

　　2、信息系统安全：是信息系统的免疫系统。如果免疫系统不健全，总系统将是无能的，甚至是有害的。目前，人们对信息系统安全的概念认识进一步加深，即在保证信息系统信息的保密性、完整性和可用性概念的基础上，增加了保证信息和系统的可控性、信息行为的毋庸置疑性。

　　3、信息系统安全保障能力：是指对整个信息系统和信息进行保护和防御的能力，最重要的包含对信息系统的预警、保护、检测、应急和恢复五个能力。

　　4、信息系统安全保障能力建设：建设在新华字典里的解释是，创立新事业或增加新设施。这里对建设概念的理解，是指实现和提高信息系统安全保障能力，因此它不单单是依靠技术单一因素，是人、政策和技术三大因素的结合，它们共同作用于整个信息系统安全保障五个能力环节中，其中人是主体，技术是具体的解决手法，而政策是两者之间的桥梁。

　　1、预警能力建设。是指根据所掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。首先要分析威胁来源和方式，信息系统有几率存在的脆弱性。其次对信息系统做资产评定估计，划分信息系统安全等级。“预则利”，分析面临着什么风险，用什么强度的保护可以消除、避免、转嫁这个风险，划分信息系统安全等级。

　　2、保护能力建设。是采用一切技术和管理手段保护信息系统的保密性、完整性、可用性、可控性和毋庸置疑性。根据已划分的信息系统安全等级完善系统的安全功能、安全机制，对系统来进行保护。

　　3、检验测试能力建设。是检查系统存在的脆弱性。如可能提供黑客攻击、病毒泛滥等系统存在的漏洞等。因此，要求具备相应的技术方法，建立检测的策略和制度，形成报告协调机制。

　　4、应急能力建设。就是对危及安全的事件、行为、过程，及时做出响应处理，杜绝危害逐步扩大，保证信息系统提供正常的服务。

　　5、恢复能力建设。是指通过容错、冗余、替换、修复和一致性保证等恢复技术，对被非法破坏的信息系统和信息进行迅速恢复运转。

　　自2003年以来，我国的信息系统安全保障工作加快速度进行发展。2003年9月，[2003]27号文《关于加强信息安全保障工作的意见》，提出建立国家信息安全的十大任务；2004年1月，中央召开全国信息安全保障会议，明确了今后一段时间我国信息安全保障工作的主要内容和工作重点；2004年8月28日，十届人大第十一次会议通过了《中华人民共和国电子签名法》，并于2005年4月1日起实施，标志我国信息安全建设的法制化进程向前迈出了重要一步；2004年9月，国家四部委联合下发公通字[2004]66号《关于信息安全等级保护的意见》；同年，由国家认监委牵头，联合国家八部委签发国认联[2004]57文《关于建立国家信息安全产品认证认可体系的通知》，提出对信息安全产品将逐渐实行3C认证（中国强制认证）；2005年4月，国家信息安全产品认证管理委员会在京成立；目前，《信息安全条例》正在起草，《信息安全法》也正在筹备中。

　　农业部近几年加大了信息系统安全保障能力建设的力度。2003年按照[2002]17号文的要求，进行了政务内网和政务外网的改造建设，在网络构架上，内网和外网严格实行了物理隔离。先后制定了《农业部计算机信息系统保密管理规定》（农办发[1999]10号）、《农业部信息上公共信息网保密审查规定》（农办发[2000]5号）、《农业部关于加强信息安全保障工作的意见》（农市发[2003]19号）、《中国农业信息网信息发布保密审查实施办法》、《中国农业信息网网上不良信息应急处理预案》、《农业部联网计算机及网络安全管理办法》、《信息中心信息采编处工作制度》、《信息安全保障应急处理总体预案》等文件和规章制度，建立了7*24小时信息系统安全保障的值班制度，加强了信息系统安全保障工作。通过技术方法对信息系统安全现状、系统运作时的状态进行监控，采用传输加密、防火墙、入侵监测、漏洞扫描、防杀病毒、存储备份等技术，基本实现了集中统一的信息系统安全保障管理模式。

　　但从总体上看，农业部及全国农业信息系统安全保障能力建设方面还是相对薄弱：

　　2、信息安全管理和技术人才缺乏，关键技术整体上还比较落后，安全保障预警和检验测试方面的工作基本没开展，保护、应急和恢复等方面的工作还不够深入与完善；

　　4、资产金额的投入不足，保障信息系统安全的必要设施、设备有所欠缺，如漏洞扫描系统、反垃圾邮件设备还没有配备，网络系统安全评估、信息系统资产评定估计、信息系统区别划分安全等级工作均没有开展；

　　6、信息安全保障管理机构和组织队伍不健全，制约着信息安全保障工作的进一步开展，也制约着信息安全保障能力的进一步提升。

　　信息系统是动态的，对应的安全也应该是动态的。怎么样才能做到动态的调整并对也许会出现的安全问题做出及时快速的反应，尽最大可能把所有潜在的危险消灭于萌芽前，这就要求我们必须构建一套完善信息系统安全保障体系。体系的构建依赖于对信息系统整体安全和具体细节安全做全面的量化和把握，并依据业务类型制定相应的安全等级制度，明确安全的重心，从而做到有的放矢。

　　1、加强领导，突出重点，做好规划，建立完整信息系统安全保障管理责任制。目前要重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境。要提高应急解决能力，按照已有的信息安全保障应急框架，完善细化各项信息安全保障应急方案。要认真贯彻落实《关于加强信息安全保障工作的意见》（[2003]27号）和《农业部关于加强信息安全保障工作的意见》（农市发[2003]19号）文件精神，研究和制定关于农业部信息系统安全保障工作的规划和管理责任制度。

　　2、建立信息安全等级保护制度。从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点，建立信息安全等级保护制度。要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、保护的方法等做多元化的分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。

　　3、建设和完善信息系统安全监控能力。信息安全监控是及时有效地发现和处置网络攻击，防止有害信息传播，对网络和系统实施保护的重要手段。我部要建设和完善集中统一的信息系统安全监控能力。

　　4、完善信息系统安全应急处理协调机制。建立健全指挥调度机制和信息系统安全通报制度，加强信息系统安全事件的应急处置工作。重要信息系统建设要最大限度地考虑抗毁性与灾难恢复，制定信息系统安全应急处置预案。灾难备份建设要从实际出发，提倡资源共享、互为备份。要加强信息安全应急支援服务队伍建设，提倡社会力量参与灾难备份设施建设和提供技术服务，提高信息系统安全应急响应能力。

　　5、加强队伍建设。逐步加强对专业方面技术人员的培训，提高专业方面技术人员的技术水平和专业技能；进一步充实技术力量、调整人员结构。信息系统安全保障工作，关系到信息安全和保密，信息安全即国家安全，必须建立一支政治可靠、技术非常精湛、作风优良的技术人员队伍，为确保信息系统安全提供人才保证。

　　6、确保信息系统安全资产金额的投入。信息系统安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。我部各单位在信息化建设中，要同步考虑信息系统安全建设，保证信息系统安全设施的运行维护费用。信息系统建设必须与信息安全建设同步规划和实施建设。上报信息系统建设项目时，要按照部有关法律法规使安全保障方面的投资不低于项目总投资的15%。

　　7、加强制度建设，进一步健全和完善有关信息网络安全保障的规章制度，在信息安全技术相对落后、安全保障设施投入不足的情况下，充分的发挥管理和制度等非技术方法的作用，将信息安全渗透到网络的所有的环节，以政策法规和规章制度保障信息系统安全。