前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全總體規(guī)劃主題范文,僅供參考,歡迎閱讀并收藏。
(1)物理安全防范較為重視。從物理安全的五項(xiàng)指標(biāo)來(lái)看,被調(diào)查的160家醫(yī)院都非常注重防盜、防水、防雷、防塵、防靜電及溫濕度控制等物理環(huán)境安全防范,絕大部分醫(yī)院對(duì)物理訪問(wèn)控制與物理監(jiān)控(機(jī)房設(shè)備管理)也都很重視,分別達(dá)到93%與85%,但僅有1/4的醫(yī)院注重設(shè)備檢測(cè),說(shuō)明中國(guó)絕大部分醫(yī)院設(shè)備或未做檢測(cè)即投入運(yùn)行,或缺乏定期進(jìn)行安全評(píng)估、安全加固等保護(hù),因而我國(guó)數(shù)字化醫(yī)院還存在著一定的物理設(shè)備安全風(fēng)險(xiǎn)。
(2)系統(tǒng)安全威脅嚴(yán)重。系統(tǒng)安全四項(xiàng)指標(biāo)中,采用了訪問(wèn)控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家,但實(shí)地調(diào)查顯示非授權(quán)訪問(wèn)的情況還大量存在。進(jìn)行系統(tǒng)日志審計(jì)的醫(yī)院不足50家,說(shuō)明我國(guó)醫(yī)院系統(tǒng)日志還基本流于形式,缺乏深度安全審計(jì),從而很難及時(shí)發(fā)現(xiàn)其中的安全隱患。進(jìn)行系統(tǒng)開(kāi)發(fā)與維護(hù)的醫(yī)院也僅54家,原因主要在于目前許多醫(yī)院由于受人員、設(shè)備、資金影響,或本身重視不夠,導(dǎo)致其信息系統(tǒng)缺乏運(yùn)營(yíng)維護(hù)或維護(hù)不及時(shí),因此其安全性和可靠性多數(shù)處于較差狀態(tài)。
(3)網(wǎng)絡(luò)通信安全較為脆弱。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中,網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面,醫(yī)院相對(duì)比較重視,比例分別達(dá)到94%與84%,但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)。實(shí)行網(wǎng)絡(luò)隔離與訪問(wèn)控制的醫(yī)院僅占30%,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問(wèn)隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪,信息流通和共享暢通無(wú)阻,這給醫(yī)院信息安全帶來(lái)極大的安全隱患。實(shí)行入侵檢測(cè)的醫(yī)院不到30%,說(shuō)明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段,遠(yuǎn)未達(dá)到主動(dòng)防御水平,同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高,由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實(shí)行密鑰管理的醫(yī)院則僅13%,說(shuō)明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無(wú)人監(jiān)管狀態(tài)。
(4)人員安全隱患重重。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂(lè)觀,尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%,說(shuō)明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人,隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng),未經(jīng)授權(quán)同時(shí)訪問(wèn)外網(wǎng)與內(nèi)網(wǎng),一些人員為了謀取個(gè)人私利,非法訪問(wèn)內(nèi)部網(wǎng)絡(luò),竊取、偽造、篡改醫(yī)療數(shù)據(jù)等,這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。
(5)組織管理安全有待加強(qiáng)。組織管理安全四項(xiàng)指標(biāo)中,160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu),說(shuō)明所有醫(yī)院都很重視信息安全管理工作,但安全管理制度完整的醫(yī)院僅114家,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺,而安全管理制度實(shí)施情況調(diào)查顯示,只有40%的醫(yī)院安全管理制度得到實(shí)施,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%,由于缺乏人力財(cái)力的保障,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述,中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。
2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析
面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì),動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,這些安全模型各有特點(diǎn),各有側(cè)重,已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐。環(huán)節(jié)。它強(qiáng)調(diào)在安全策略的指導(dǎo)下,綜合采用防火墻、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí),利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具,發(fā)現(xiàn)系統(tǒng)的異常情況,以及可能的攻擊行為,并通過(guò)關(guān)閉端口、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)。其中,安全策略是核心,防護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整、動(dòng)態(tài)的安全循環(huán),它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來(lái),由防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見(jiàn)圖2)。其核心思想是在安全策略的指導(dǎo)下,通過(guò)采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù),并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài),一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患,則馬上采取響應(yīng)措施,直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。與PPDR模型相比,PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力,即系統(tǒng)在被入侵后,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài),從而保障系統(tǒng)的信息安全。因此,PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密,是防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的有機(jī)結(jié)合。
3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建
結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范,本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心,以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即,在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí),我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu),并以此為中心,通過(guò)制定信息安全總體策略、加強(qiáng)信息安全管理,利用各項(xiàng)信息安全技術(shù),并將其貫徹在預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊6個(gè)環(huán)節(jié)中,針對(duì)不同的安全威脅,采用不同的安全措施,從而對(duì)系統(tǒng)物理設(shè)備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)。
(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素,在信息安全體系中處于核心地位。它由決策機(jī)構(gòu)、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成。其中,決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu),負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo),其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門(mén)主要負(fù)責(zé)人組成。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定,以及信息安全的日常管理工作,其成員主要來(lái)自于信息化工作部門(mén),也包括行政、人事等部門(mén)相關(guān)人員參與。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù),其成員主要由信息化工作部門(mén)相關(guān)技術(shù)人員及其他相關(guān)職能部門(mén)的信息安全員組成。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃,經(jīng)常進(jìn)行不定期的信息安全檢查、評(píng)估和應(yīng)急安全演練。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督,明確信息安全責(zé)任制,從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)。
(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策、法律法規(guī),遵循指導(dǎo)性、原則性、可行性、動(dòng)態(tài)性等原則,按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求,并結(jié)合醫(yī)院自身的具體情況來(lái)進(jìn)行,由總體方針與分項(xiàng)策略兩個(gè)層次組成,內(nèi)容涵蓋技術(shù)層、管理層等各個(gè)層面的安全策略,最終實(shí)現(xiàn)“進(jìn)不來(lái)、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在訪問(wèn)控制機(jī)制方面做到“進(jìn)不來(lái)”、授權(quán)機(jī)制方面做到“拿不走”、加密機(jī)制方面做到“看不懂”、數(shù)據(jù)完整性機(jī)制方面做到“改不了”、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”。
(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問(wèn)題:在安全管理中對(duì)人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識(shí)不強(qiáng)、員工接受的教育和培訓(xùn)不夠、安全管理中被動(dòng)應(yīng)付的較多等。因此,數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí),加大信息安全人員的引進(jìn)、教育與培訓(xùn)力度,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度,以規(guī)范與約束相關(guān)人員行為,保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施。
(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災(zāi)、數(shù)據(jù)加密、安全加固和緊急響應(yīng)等技術(shù)手段,它們貫穿于信息安全預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)與反擊六個(gè)環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量,確保其信息安全得以實(shí)現(xiàn),具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過(guò)部署系統(tǒng)監(jiān)控平臺(tái),實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器、存儲(chǔ)、加密機(jī)等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警,實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng),分析各種安全報(bào)警、日志信息,結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng),實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái),實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警。②保護(hù)。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)。對(duì)于中心機(jī)房、交換機(jī)、工作站、服務(wù)器等物理設(shè)備的安全防護(hù),主要注意防水、防雷、防靜電以及雙機(jī)熱備等安全防護(hù)工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等。為此,醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問(wèn)權(quán)限,并定期做好監(jiān)視、審計(jì)和事件日志記錄和分析。所有工作站應(yīng)取消光驅(qū)軟驅(qū),屏蔽USB接口,同時(shí)為各個(gè)客戶端安裝殺毒軟件,并及時(shí)更新,從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫(kù)安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此,需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置。對(duì)于關(guān)鍵數(shù)據(jù),應(yīng)進(jìn)行加密存儲(chǔ)。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作,如本地備份與異地備份、全量備份與增量備份等,以保證數(shù)據(jù)萬(wàn)無(wú)一失。對(duì)于網(wǎng)絡(luò)通信安全防護(hù),醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu),如果內(nèi)網(wǎng)確需開(kāi)展對(duì)外的WWW等服務(wù),應(yīng)單獨(dú)設(shè)置VLAN,結(jié)合防火墻設(shè)備,通過(guò)設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連。同時(shí),醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限,嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理,防止越權(quán)操作。③檢測(cè)。檢測(cè)是從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度,發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊、破壞活動(dòng),提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持,使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生,但是它不能阻止所有的入侵。因此安全策略的另一個(gè)重要屏障就是檢測(cè)。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控,并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志,可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過(guò)漏洞掃描工具,可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞,并針對(duì)漏洞掃描結(jié)果,對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固。④響應(yīng)。主要包括審計(jì)跟蹤、事件報(bào)警、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備,當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警,并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序,提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組,專門(mén)負(fù)責(zé)突發(fā)事件的處理,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí),能迅速做出響應(yīng),從而將各種損失和社會(huì)影響降到最低。其他事件處理則可通過(guò)咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決。⑤恢復(fù)。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)可通過(guò)系統(tǒng)重裝、系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來(lái)自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞、黑客攻擊、病毒感染、自然災(zāi)害或人為錯(cuò)誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān),數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù),這樣可提高信息恢復(fù)的效率。另外,恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù),需遵照機(jī)密系統(tǒng)的恢復(fù)要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動(dòng)備份技術(shù)、安全審計(jì)技術(shù)、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段,進(jìn)行證據(jù)收集、追本溯源,實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊。
4結(jié)束語(yǔ)
關(guān)鍵詞:信息安全;國(guó)家安全;防護(hù)
20世紀(jì)70年代以來(lái),以信息技術(shù)為核心的高技術(shù)群的迅猛發(fā)展及其在社會(huì)各領(lǐng)域中的廣泛應(yīng)用,將人類社會(huì)推進(jìn)到了信息社會(huì)。在信息社會(huì)里,信息網(wǎng)絡(luò)系統(tǒng)的建立已逐漸成為不可或缺的基礎(chǔ)設(shè)施,信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源、決策資源和控制戰(zhàn)場(chǎng)的靈魂,信息安全已成為國(guó)家安全的核心因素。無(wú)論是在平時(shí)還是戰(zhàn)時(shí),信息安全問(wèn)題都將是一個(gè)戰(zhàn)略性、全局性的重要問(wèn)題。謀求國(guó)家安全,必須高度重視信息安全防護(hù)問(wèn)題。
一、搞好信息安全防護(hù)是確保國(guó)家安全的重要前提
眾所周知,未來(lái)信息化戰(zhàn)爭(zhēng)將在陸、海、空、天、電多維空間展開(kāi),網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈。如果信息安全防護(hù)工作跟不上,在戰(zhàn)爭(zhēng)中就可能造成信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此,信息安全防護(hù)不僅是贏得未來(lái)戰(zhàn)爭(zhēng)勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭(zhēng)的全過(guò)程。據(jù)有關(guān)報(bào)道披露,海灣戰(zhàn)爭(zhēng)前,美國(guó)特工曾在伊拉克從法國(guó)購(gòu)買(mǎi)的打印機(jī)的引導(dǎo)程序中預(yù)埋了病毒,海灣戰(zhàn)爭(zhēng)一開(kāi)始,美國(guó)就通過(guò)衛(wèi)星激活病毒,導(dǎo)致后來(lái)伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣,政治、經(jīng)濟(jì)、文化、科技等領(lǐng)域也不例外。根據(jù)美國(guó)加利弗尼亞州銀行協(xié)會(huì)的一份報(bào)告,如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞,3天就會(huì)影響加州的經(jīng)濟(jì),5天就能波及全美經(jīng)濟(jì),7天會(huì)使全世界經(jīng)濟(jì)遭受損失。鑒于信息安全如此重要,美國(guó)國(guó)家委員會(huì)早在2000年初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào):執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置。俄羅斯于2000年6月討論通過(guò)的《國(guó)家信息安全學(xué)說(shuō)》,首次把信息安全正式作為一種戰(zhàn)略問(wèn)題加以考慮,并從理論上和實(shí)踐上加強(qiáng)準(zhǔn)備。
二、我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻
信息安全是國(guó)家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時(shí)也涉及到政治、經(jīng)濟(jì)、文化等各方面。當(dāng)今社會(huì),由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來(lái)越大,所以一旦信息系統(tǒng)遭到破壞,就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓、國(guó)防力量的削弱和社會(huì)秩序的混亂,其后果不堪設(shè)想。而令人擔(dān)憂的是,由于我國(guó)信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下,國(guó)防信息安全的形勢(shì)十分嚴(yán)峻。具體體現(xiàn)在以下幾個(gè)方面:首先,全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊。很多人對(duì)信息安全缺乏足夠的了解,對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足,信息安全觀念還十分淡薄。因此,在研究開(kāi)發(fā)信息系統(tǒng)過(guò)程中對(duì)信息安全問(wèn)題不夠重視,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài),具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性。其次,我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴進(jìn)口,大量進(jìn)口的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患。無(wú)論是在計(jì)算機(jī)硬件上,還是在計(jì)算機(jī)軟件上,我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低,而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過(guò)程中,又缺乏必要的信息安全檢測(cè)和改造。再次,在軍事領(lǐng)域,通過(guò)網(wǎng)絡(luò)泄密的事故屢有發(fā)生,敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大。最后,我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威,協(xié)調(diào)不夠,對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行。
三、積極采取措施加強(qiáng)信息安全防護(hù)
為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn),我們有必要從以下幾個(gè)方面著手,加強(qiáng)國(guó)防信息安全建設(shè)。
第一,要加強(qiáng)宣傳教育,切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)。在全社會(huì)范圍內(nèi)普及信息安全知識(shí),樹(shù)立敵情觀念、紀(jì)律觀念和法制觀念,強(qiáng)化社會(huì)各界的信息安全意識(shí),營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)任,一方面要經(jīng)常分析新形勢(shì)下信息安全工作形勢(shì),自覺(jué)針對(duì)存在的薄弱環(huán)節(jié),采取各種措施,把這項(xiàng)工作做好;另一方面要結(jié)合工作實(shí)際,進(jìn)行以安全防護(hù)知識(shí)、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。
第二,要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護(hù)。自國(guó)家《保密法》頒布實(shí)施以來(lái),我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段,層次不高,具備完整性、適用性和針對(duì)性的信息安全法律體系尚未完全形成。因此,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究,及早建立我國(guó)信息安全法律法規(guī)體系。
第三,要加強(qiáng)信息管理。要成立國(guó)家信息安全機(jī)構(gòu),研究確立國(guó)家信息安全的重大決策,制定和國(guó)家信息安全政策。在此基礎(chǔ)上,成立地方各部門(mén)的信息安全管理機(jī)構(gòu),建立相應(yīng)的信息安全管理制度,對(duì)其所屬地區(qū)和部門(mén)內(nèi)的信息安全實(shí)行統(tǒng)一管理。
第四,要加強(qiáng)信息安全技術(shù)開(kāi)發(fā),提高信息安全防護(hù)技術(shù)水平。沒(méi)有先進(jìn)、有效的信息安全技術(shù),國(guó)家信息安全就是一句空話。因此,我們必須借鑒國(guó)外先進(jìn)技術(shù),自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運(yùn)用。大力發(fā)展防火墻技術(shù),開(kāi)發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的防火墻。積極發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù),加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理,為保護(hù)國(guó)家信息安全打下一個(gè)良好的基礎(chǔ)。
參考文獻(xiàn):
1、俞曉秋.信息革命與國(guó)際關(guān)系[M].時(shí)事出版社,2002.
2、曉宗.信息安全與信息戰(zhàn)[M].清華大學(xué)出版社,2003.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤(pán)版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)