信息安全保障體系是實施信息安全保障的法制、組織管理和技術(shù)等層面有機結(jié)合的整體,是信息社會國家安全的基本組成部分,是保證國家信息化順利進行的基礎(chǔ)。2011年3月,工業(yè)和信息化部組織“信息安全保障體系建設(shè)高級培訓(xùn)班”赴澳大利亞進行了為期20天的培訓(xùn)和考察。培訓(xùn)班由工業(yè)和信息化部、部直屬單位、部分省市工業(yè)和信息化主管部門以及國家發(fā)改委、中國人民銀行、國家稅務(wù)總局、中國保監(jiān)會等部門負責(zé)信息安全的人員組成。通過課堂授課和現(xiàn)場交流訪談,我們對澳大利亞網(wǎng)絡(luò)與信息安全的法律法規(guī)、政策標(biāo)準(zhǔn)、組織管理等情況有了全面的了解。

  制定國家信息安全戰(zhàn)略

  信息安全關(guān)系到國家安全,必須得到強有力的國家保障。

  2009年11月23日,澳大利亞政府發(fā)布了《信息安全戰(zhàn)略》。此份戰(zhàn)略報告詳細描述了澳大利亞政府將如何保護經(jīng)濟組織、關(guān)鍵基礎(chǔ)設(shè)施、政府機構(gòu)、企業(yè)和家庭用戶免受網(wǎng)絡(luò)威脅?!缎畔踩珣?zhàn)略》明確提出信息安全政策的目的是維護安全、恢復(fù)能力強和可信的電子運營環(huán)境,從而促進澳大利亞的國家安全并從數(shù)字經(jīng)濟中最大限度地獲取收益。

  《信息安全戰(zhàn)略》的指導(dǎo)原則包括以下幾個方面:網(wǎng)絡(luò)安全的復(fù)雜性要求強有力的國家保障;所有的用戶應(yīng)該采取合理的步驟以確保其個人系統(tǒng)的安全,并且有義務(wù)尊重其他用戶的信息和系統(tǒng);在澳大利亞各級政府、私營部門和更廣泛的澳大利亞社區(qū)間形成一種合作伙伴關(guān)系是至關(guān)重要的;鑒于互聯(lián)網(wǎng)的跨國界特點,澳大利亞必須在網(wǎng)絡(luò)安全國際參與方面采取一種積極的、多層次的方式;所有接入互聯(lián)網(wǎng)的系統(tǒng)都受到潛在的攻擊威脅,而且這種網(wǎng)絡(luò)攻擊難以偵查,因此必須采取基于風(fēng)險的方法評估網(wǎng)絡(luò)安全;澳大利亞必須推行網(wǎng)絡(luò)安全政策,從而在保證澳大利亞人的隱私權(quán)及其他基本價值觀和自由不受侵犯的同時,加強個人及集體安全。

  澳大利亞政府的信息安全戰(zhàn)略目標(biāo)主要是:讓澳大利亞所有公民都意識到網(wǎng)絡(luò)風(fēng)險,確保其計算機安全,并采取行動確保其身份信息、隱私和網(wǎng)上金融的安全。讓澳大利亞企業(yè)能利用安全、靈活的信息和通信技術(shù),確保自身操作和客戶身份信息與隱私的完整性。讓澳大利亞政府能確保其信息與通信技術(shù)是安全的且對風(fēng)險有抵抗力。

  澳大利亞政府的信息安全戰(zhàn)略保障重點包括:增強針對網(wǎng)絡(luò)威脅的探測、分析及應(yīng)對,重點關(guān)注政府、關(guān)鍵基礎(chǔ)設(shè)施和其他國家系統(tǒng)的利益。對澳大利亞公民提供相關(guān)教育,并提供相應(yīng)的信息、信心和工具以確保其網(wǎng)絡(luò)安全。與商業(yè)伙伴合作,以促進基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、產(chǎn)品和服務(wù)的安全與靈活性。保持政府ICT系統(tǒng)的最佳運行狀態(tài),包括與政府進行網(wǎng)上交易的系統(tǒng)。促進全球電子運作環(huán)境的安全性、靈活性與可信度,以支持澳大利亞的國家利益。維護法律框架和執(zhí)行力的有效性,從而確定并起訴網(wǎng)絡(luò)犯罪。培養(yǎng)具有網(wǎng)絡(luò)安全技能的人才,使之具備研發(fā)能力以開發(fā)出創(chuàng)新的解決方案。

  建設(shè)信息安全保障體系

  法律法規(guī)、管理體制、技術(shù)手段等是保障信息安全的關(guān)鍵因素。

  在澳大利亞信息化快速發(fā)展的同時,信息安全問題也不斷出現(xiàn),澳大利亞政府把信息安全問題放在重要位置,從法律法規(guī)、管理體制、技術(shù)手段等方面采取了很多切實有效的措施。

  (一)健全法制,完善信息安全有關(guān)法規(guī)標(biāo)準(zhǔn)

  澳大利亞政府及各部門制定了一系列與信息安全有關(guān)的法律、標(biāo)準(zhǔn)和指南,包括《電信傳輸法》、《反垃圾郵件法》、《數(shù)字保護法》、《信息安全手冊》等。2000年,澳政府發(fā)布信息安全風(fēng)險管理指南,2001年,發(fā)布“保護國家信息基礎(chǔ)設(shè)施政策”,即政府信息安全行動計劃,對澳大利亞關(guān)鍵基礎(chǔ)設(shè)施進行保護。此外,澳大利亞標(biāo)準(zhǔn)局還制定和采納了一系列信息安全標(biāo)準(zhǔn),主要包括信息安全管理體系標(biāo)準(zhǔn)、澳大利亞和新西蘭信息安全管理標(biāo)準(zhǔn)、澳大利亞聯(lián)邦政府IT安全手冊、IT安全管理的信息技術(shù)指南等。政府部門都被要求遵循這些標(biāo)準(zhǔn),執(zhí)行情況由國家審計署進行審查。

  (二)理順體制,政府部門協(xié)調(diào)配合各有側(cè)重

  司法部負責(zé)政府信息安全保護的政策制定,國防部負責(zé)政府信息通信安全技術(shù)層面上的指導(dǎo),政府各部門負責(zé)人負責(zé)本部門信息安全的保護,國家審計署負責(zé)各部門信息安全保護的監(jiān)督和審計。在各司其職的同時,澳大利亞還成立一些跨部門的委員會進行工作協(xié)調(diào)。在關(guān)鍵基礎(chǔ)設(shè)施保護方面,由司法部下設(shè)的關(guān)鍵基礎(chǔ)設(shè)施咨詢委員會負責(zé)協(xié)調(diào)通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、供水及應(yīng)急設(shè)施等基礎(chǔ)設(shè)施的信息安全防護;在防范網(wǎng)絡(luò)恐怖襲擊方面,澳大利亞成立了由聯(lián)邦警察局、安全情報局、國防部信號局和澳大利亞安全和投資委員會組成的國家反恐委員會,負責(zé)協(xié)調(diào)處理。

  (三)突出重點,重視政府關(guān)鍵基礎(chǔ)信息保護

  澳大利亞在信息安全工作中貫徹重點防護的原則,即通過政策標(biāo)準(zhǔn)和政府支持,做好政府部門和國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保障。澳大利亞安全情報局確定了通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、供水及應(yīng)急設(shè)施等為國家關(guān)鍵基礎(chǔ)設(shè)施。澳大利亞的國家關(guān)鍵基礎(chǔ)設(shè)施均是私營的,關(guān)鍵基礎(chǔ)設(shè)施的安全由運營公司負責(zé),澳大利亞在政府信息安全行動計劃中提出依靠私營部門來保護國家關(guān)鍵基礎(chǔ)設(shè)施的策略。

  (四)加強教育,增強全民信息安全保護意識

  澳政府重視全民信息安全意識的建立,將提高中小企業(yè)和家庭用戶信息安全防護能力列入政府信息安全行動計劃,并在宣傳、培訓(xùn)方面予以經(jīng)費支持。如通過培訓(xùn)提高安全意識,安裝反病毒軟件并進行更新,安裝防火墻防止非法入侵,提醒企業(yè)和市民不要打開有害郵件等。

  (五)培養(yǎng)人才,建立安全專門人才認證體系

  近年來,澳大利亞信息安全人才的需求不斷上升,但供給短缺。針對該問題,澳政府在IT教育學(xué)科中增加信息安全教育課程,協(xié)助建立信息安全專業(yè)人員認證體系。目前,在澳大利亞普遍采用的主要有6種商業(yè)認證項目,分別是信息系統(tǒng)安全專業(yè)人員認證、系統(tǒng)安全專業(yè)認證、全球信息保證認證、信息安全認證審計師、信息安全工程師和安全工程師。

  (六)重視測評,完善信息產(chǎn)品測評認證體系

  澳大利亞堅持預(yù)防為主的原則,認為外國的軟件、硬件中可能留有“后門缺陷”,要求在購買IT產(chǎn)品和安全系統(tǒng)時進行嚴(yán)格審查。1994年,引入信息產(chǎn)品測評認證制度。1995年前,信息產(chǎn)品的有關(guān)測評工作均由國防部信號局完成,1995年以后,該項工作委托給信息安全測評實驗室(獨立第三方),國防部對測評機構(gòu)和測評人員進行嚴(yán)格管理。

責(zé)任編輯:admin