日前2005中国计算机网络安全应急年会刚刚落下帷幕,会上发布的报告显示,我国网络安全能力有待提高。信息与网络安全也面临着前所未有的严峻形势。网络安全问题不仅给广大网民带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。
只有构建适合中国技术土壤的计算机信息系统安全体系,才能有效提升政务信息安全的免疫力,做到防患于未然。
政务信息安全喜忧参半
互联网已经为商务与政务活动开辟了新的纪元。随着用户接入Inte.net后,互联网的开放性也使不少企业和政府的珍贵数据面临各种恶意的攻击,网络安全成为突出问题。国家计算机网络应急技术处理协调中心2004年共收到网络安全事件报告64686件,为2003年的近5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。调查数据显示,2004年面临的网络安全威胁最高的是使用自动化网络攻击工具,例如主动攻击并且传播恶意代码的蠕虫攻击,占67.3%;其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施,占15.4%。这表明有意识的主动攻击已经替代了小打小闹的“恶作剧”,我们的网络安全正面临严峻的挑战。
脆弱的身份鉴别机制,自主访问控制机制(DAC),层出不穷的操作系统/应用系统漏洞,使得网络安全领域面临日益严峻的挑战。如何有效地组织安全服务体系,并确保其完整性和适用性成为摆在政府与专业安全厂家面前的问题。
我国近期出台了多部相关法律法规,作为建设“数字边疆”的法理依据,如:4月1日实施的《电子签名法》,以及进入实质推广阶段的《国家计算机信息系统安全等级》标准等文件,充分体现了国家与社会对计算机信息系统安全的高度关注。这个标准的推广与实施将大大增加电子政务系统对主动攻击的“免疫”能力。
贯彻标准革新意识
《国家计算机信息系统安全等级》是中华人民共和国国家级标准。广泛适用于政府、军队、企业的信息安全建设与管理。标准规定了计算机系统安全保护能力的五个等级。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。随着安全保护等级的增高,信息系统安全保护能力也逐渐增强。
国家信息化领导小组也对贯彻《国家计算机信息安全等级保护》标准提出了具体指导意见。并指出,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险。抓紧贯彻实施信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
像“首都之窗”这样的政府网站和一些窗口单位已经意识到这个标准的重要性。定期举行网络安全的专题讲座,并且集中学习了《中华人民共和国计算机信息系统安全保护条例》。广电总局也非常重视网络安全管理,2004年广电总局,对全国各省市级监测台的总工程师,进行了网络安全及相关国家标准的培训。培训结束以后,广电总局北京某监测台等一批机要单位,率先实施了符合国家信息安全标准的TSOC解决方案。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073