关键词:政府信息系统 信息安全 安全标准 FDCC
一、 引言
政府信息系统是政府机构用于执行政府职能的信息系统。一方面,政务信息关系到党政部门、乃至整个国家的利益,比个人或商务信息更为敏感,需要更高的安全性;另一方面,电子政务行使政府职能的特点导致更容易受到来自外部或内部的攻击,包括黑客组织、犯罪集团和信息战时期的信息对抗等国家行为的攻击。
由政府信息系统性质决定了政府信息系统应当保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保证信息保密性、完整性、真实性、可用性和可控性的能力,从而确保政府部门能够有效地完成法律所赋予的政府职能。
随着信息技术的飞速发展和网络技术在政府部门的广泛应用,全球信息化步伐的不断加快,政府信息系统的网络化和政务的快速公开化,信息安全事件频繁发生,安全威胁越来越严重,信息系统自身暴露出越来越多的脆弱性,信息安全形势日显严峻,信息安全问题日益凸显,政府信息系统的信息安全问题已成为世界各国重点关注和亟待解决的问题。许多国家已开始和逐步投入大量的人力和资金开展相关工作,并取得了一定的成效,分析其经验和教训将会对我们的政府信息系统信息安全体系建设工作给以启示和帮助。
二、 国外政府信息系统安全体系建设现状及特点
政府信息系统关系到国家利益,各国都非常重视政府信息系统的信息安全保障,许多国家已经采取了大量的措施,保障信息系统安全有效的运行。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,非常重视国家信息安全的管理工作,如美、俄、德、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,他们在信息安全领域进行着积极有益的探索。
美国的信息化程度全球最高,是信息超级大国,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在政府信息系统的信息安全体系建设以及政策支持方面也走在全球的前列。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
美国国防部几乎影响了全世界的信息安全概念、观念和理念。1967年,DOD开始研究计算机安全问题,1977年提出加强联邦政府和国防系统计算机安全的倡议,1983年提出可信计算机系统评估准则(TCSEC),1987年对新发布的《计算机安全法》的执行情况进行部门级评估,1997年发布《国防部IT安全认证认可规程》(DITSCAP),该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》(NIACAP)。目前,美国已制定的有关信息安全的法律有:信息自由法、个人隐私法、计算机安全法、电信法、联邦信息安全管理法案等,形成了较完备的信息安全保障体系。
2002年美国颁布的《联邦信息安全管理法案》(FISMA),试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性,是当前美国信息安全领域的一个重要发展计划。FISMA的实施分为三个阶段,分别为开发标准和指南(2003-2008)、形成安全能力(2007-2010)和运用自动化工具(2008-2009)。为了有效地实现FISMA目标,FISMA指定美国国家标准与技术研究所(NIST)开发和发布相关的标准、指导方针以及其它出版物,帮助联邦机构实现联邦信息安全管理法案,以保护其信息和信息系统。作为FISMA第一阶段的成果,NIST提供了一套有效的信息安全保障框架和机制,提供了保护信息和信息系统的有效方法和手段,促成了一套全面权威的信息安全标准体系,其中包括《IT系统安全自评估指南》(SP 800-26)、《IT系统风险管理指南》(SP 800-30)、《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最低安全控制推荐》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)、《IT产品国家配置清单项目-配置清单用户和开发者指南(草案)》(SP 800-70 Revision 1) (Draft)等多个文档,以风险管理思想为基础加强联邦政府的信息安全,对设计和实现有效的信息安全项目具有十分重要的意义。所有美国联邦政府机构以及承包商或其他代表联邦机构的组织所使用或管理的信息系统都被强制要求遵循NIST发表的SP800系列、联邦信息处理标准(FIPS)文件,以及其他联邦信息系统的相关法律条例。
FISMA第二阶段的工作目标是要形成安全能力,通过评估拿出符合性凭据,美国国家标准技术委员会发布了若干个不同的标准,包括150,150-17和7328等,主要目标就是约束相关的信息安全测评机构,需要具备这样的服务能力和服务准则来为联邦相关机构的信息系统进行测评以确认这些系统是否符合信息安全管理法案的要求。
FISMA最后一个阶段的工作重点是落地,其工作目标就是,推动自动化工具的使用,从2009年向后的三到五年的时间里,尽可能地把一些规范和标准自动化、工具化,从而配合安全运维人员更好地工作。NIST推出了S-CAP协议(安全内容自动化协议),它是一种通过明确的标准化的模式使漏洞管理、安全监测和政策符合性能够与美国联邦信息安全管理法案一致的方法。主要由六个不同的技术标准(CVE、CCE、CPE、XCCDF、OVAL和CVSS)作为支撑,六个不同的标准分别从漏洞、配制、系统脆弱性的统一命名,包括脆弱性严重性的评分标准,安全检查的步骤,检查项目及检查报告等各个方面进行有效地设定,从而保证后期的工具、软件开发厂商能够有一个明确可落地的标准进行参考。在S-CAP的基础上由美联邦政府牵头针对一些联邦政府的桌面主机开展了一个FDCC的安全项目,专门对Windows系统主机的安全漏洞和安全配置进行检查的标准,并由安全厂商开发了对应的FDCC Scanner设备进行自动化的检查,而FDCC也给通过FDCC认证的Scanner颁发证书。
2007财年,美国IT投资650亿美元,安全投资59亿美元,占9.2%;2009年美国将加大政府信息系统安全投入,IT支出达到709亿美元,其中的10.3%,即总额约73亿美元将用于提高IT安全性。
俄罗斯十分重视信息安全的作用,时时处处以信息安全危机来鞭策、督促各单位把信息安全工作做得更好。从法令、机构人员、资金、技术、管理等角度全方位给信息安全检查工作予以支持和保障。政府发布了许多有关信息安全的法律法规,例如1995年,俄罗斯宪法把信息安全纳入了国家安全管理范围,颁布了《联邦信息、信息化和信息网络保护法》,强调了国家在建立信息资源和信息网络化中的责任,1997年的《俄罗斯国家安全构想》明确提出保障国家安全应把保障经济安全放在第一位,而信息安全又是经济安全的重中之重。2002年俄罗斯安全委员会通过了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容,对国家信息网络安全面临的问题及信息网络战武器装备现状、发展前景和防御方法等进行了详尽的论述,阐明了俄罗斯在信息网络安全方面的立场、观点和基本方针,提出了在该领域实现国家利益的手段和相关措施。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全所要采取的措施等。
随着全球信息化步伐的加快,俄罗斯对国家信息安全的重视程度日益提高,信息网络安全已纳入国家安全战略。普京总统强调:“信息资源和信息基础设施已经成为争夺世界领先地位的舞台,未来的政治和经济将取决于信息资源。因此,解决这方面的问题,对国家的前途、国家利益和国家安全至关重要。”
俄罗斯建立了完善的信息保护国家系统,通过执行俄罗斯联邦总统直管的国家技术委员会条例,保证信息保护领域的国家统一政策,同时兼顾国家、社会和个人利益的均衡。俄罗斯联邦政府从信息安全、经济安全、国防安全、生态安全和社会安全几个方面入手,将信息安全策略分为全权安全政策和选择性安全政策两类,提出了主客体分级访问的构想来控制存取访问,即:只有当主体的现时安全能力不低于客体临界标记时,信息方可“向上”传输。
俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段-RGIN(Russian Government Internet Network)。他们在保障信息安全方面还做了大量的工作。首先建成了高效安全的“阿特拉斯”数据传输,确保俄罗斯联邦各主体行政中心之间文件的网络传输,在最高国家机关安装了保障加密数据交换的技术设备,解决了该系统与国内其他通信网协同的技术课题。然后他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时,建立了联邦经济信息保护中心,负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。
(责任编辑:adminadmin2008)
