1.1 网络安全概述
1.1.1 网络安全问题概览
目前越来越多的网络系统面临攻击和入侵的威胁。CERT(Computer Emergency Response Team)权威数据表明,从1988年起,CERT报告的安全事件每年以指数级增长。根据报告的事件类型统计,网络仿冒事件数量最多,占所有接收事件的35%,且2007年上半年事件的数量便超出2006年全年该类事件的总和(563件),共计645件。垃圾邮件的数量达452件,占25%。网页恶意代码事件也已超出2006年全年的数量(320件),达到360件。漏洞事件为186件,占10%。病毒、蠕虫或木马事件达157件,占9%。拒绝服务攻击事件为13件,占1%。2007年半年内所接收的网络安全事件大大超出了去年同期水平,而网络仿冒事件和网页恶意代码事件尤为突出,甚至超出2006年全年总数。通过这些数据我们可以明显看出网络安全问题变得日益严重。
在Internet初期,少数黑客仅仅出于好奇心或炫耀自己高深的技术进入未授权系统,而现在大量黑客因利益驱使盗用资源、窃取机密、破坏网络。同时由于网络的普及和黑客工具软件的流行,攻击网络所需的技术门槛降低,因而破坏性更大。图1-1所示为近几十年网络攻击复杂性和所需知识的关系。
图1-1 入侵攻击的复杂性与入侵者所需知识程度的关系
从图1-1可以看出,在20世纪80年代,入侵者一般是信息安全领域的专家,拥有深厚的专业知识和独特的入侵攻击手段,很少依靠专用入侵工具。他们一般手工编写入侵代码对目标系统进行攻击。但是由于现今大量的入侵工具能够从Internet上轻松获取,攻击者可以使用这些工具来攻击数以万计的系统。与此同时,攻击类型日益复杂,攻击手段趋向于多样化,入侵和破坏在瞬间完成,同时采取隐藏行踪的手段来逃避检测系统的跟踪。例如,20世纪80年代和90年代初期,DoS事件(拒绝服务攻击)较少报道,并未引起重视,而现在对于电子商务、在线证券交易等网络贸易,DoS攻击经常造成系统停止运作。另外,在攻击频率高速增长的同时,攻击者具备的专业知识总体在下降,攻击手段却日益复杂,各网络系统都面临着严峻的考验。据报道,世界上平均每20秒发生一起黑客入侵事件,在美国每年因此造成的经济损失高达100多亿美元,涉及政府机构、军事国防、科研院校、金融商业等各部门。计算机网络犯罪已严重干扰了人们的正常生活,造成巨大的经济损失,直接或间接地威胁着国家安全。
根据最新的国家计算机网络应急技术处理协调中心报告,目前网络攻击的动机逐渐从技术炫耀型转向利益驱动型,网络攻击的组织性、趋利性、专业性和定向性继续加强,从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流,瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势。根据已有资料分析,目前网络攻击从整体上呈现三个新的特点。
- 攻击组织严密化:黑客逐步形成较为严密的组织,致使网络攻击的效率有明显的提高。
- 攻击行为趋利化:针对商业竞争对手的攻击和用于窃取用户账号、密码等敏感数据的网络攻击逐步增多。随着网络行为同社会行为联系的进一步密切,网络攻击的最终目的越来越多地落在获取具体的经济利益上。
- 攻击目标直接化:网络黑客针对攻击目标的特点,设计特定的攻击代码,绕过网络防御体系,入侵有价值的目标主机,或者通过僵尸网络对目标发起直接的大规模网络攻击,使得针对特定目标的网络攻击具有更大的威胁和破坏性。
1.1.2 国际大气候
据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。
目前在信息安全技术领域处于领先的国家主要是美国、法国、以色列、英国、丹麦、瑞士等,一方面,这些国家在技术上,特别是在芯片技术上有着一定的历史沉积,另一方面,这些国家在信息安全技术的应用上(例如,电子政务、企业信息化等)起步较早,应用比较广泛。他们的领先优势主要集中在防火墙、入侵监测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。而在注重防内兼顾防外的信息安全综合强审计上,国内的意识理念早于国外,产品开发早于国外,目前在技术上有一定的领先优势。
9.11事件以后,国际网络安全学术研究受到国际大气候的影响,围绕“反恐”的主题展开了太多的工作,但工作的重心还是以防止外部黑客攻击为主。实际上,“恐怖分子”大多是在取得合法的身份以后再实施恶性攻击和破坏的。审计监控体系正是以取得权限进入网络的人的操作行为都是不可信任的为前提假设,对所有内部人的操作行为进行记录、挖掘、分析,从而获得有价值信息的一套安全管理体系。目前该体系在国际上具有领先地位。
构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施,已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家非常重视国家信息安全的管理工作,以确保信息安全沿着正确的方向发展。
美国的信息化程度全球最高,是信息超级大国,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在政府信息系统的信息安全体系建设以及政策支持方面也走在全球的前列。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,他们主要根据相应的方针和政策并结合自己部门的情况实施信息安全保障工作。
美国国防部(DOD)几乎影响了全世界的信息安全概念、观念和理念。1967年,DOD开始研究计算机安全问题,1977年提出了加强联邦政府和国防系统计算机安全的倡议,1983年提出了可信计算机系统评估准则(TCSEC),1987年对新发布的《计算机安全法》的执行情况进行了部门级评估,1997年发布了《国防部IT安全认证认可规程》(DITSCAP),该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》(NIACAP)。目前,美国已制定的有关信息安全的法律有信息自由法、个人隐私法、计算机安全法、电信法、联邦信息安全管理法案等,形成了较完备的信息安全保障体系。
2002年美国颁布的《联邦信息安全管理法案》(FISMA)试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性,是当前美国信息安全领域的一个重要发展计划。FISMA的实施分为三个阶段,分别为开发标准和指南(2003—2008)、形成安全能力(2007—2010)和运用自动化工具(2008—2009)。为了有效地实现FISMA目标,FISMA指定美国国家标准与技术研究所(NIST)开发和发布相关的标准、指导方针以及其他出版物,帮助联邦机构实现联邦信息安全管理法案,以保护其信息和信息系统。作为FISMA第一阶段的成果,NIST提供了一套有效的信息安全保障框架和机制,提供了保护信息与信息系统的有效方法和手段,促成了一套全面权威的信息安全标准体系,其中包括《IT系统安全自评估指南》(SP 800-26)、《IT系统风险管理指南》(SP 800-30)、《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最低安全控制推荐》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)、《IT产品国家配置清单项目-配置清单用户和开发者指南(草案)》(SP 800-70 Revision 1)(Draft)等多个文档,以风险管理思想为基础加强联邦政府的信息安全,对设计和实现有效的信息安全项目具有十分重要的意义。所有美国联邦政府机构以及承包商或其他代表联邦机构的组织所使用或者管理的信息系统都被强制要求遵循NIST发表的SP 800系列、联邦信息处理标准(FIPS)文件,以及其他联邦信息系统的相关法律条例。
FISMA第二阶段的工作目标是形成安全能力,通过评估拿出符合性凭据。美国国家标准技术委员会发布了若干个不同的标准,包括150、150-17和7328等,主要目标就是约束相关的信息安全测评机构,需要具备这样的服务能力和服务准则来为联邦相关机构的信息系统进行测评,以确认这些系统是否符合信息安全管理法案的要求。
FISMA最后一个阶段的工作重点是落地,其工作目标就是推动自动化工具的使用,从2009年向后的3~5年的时间里,尽可能地把一些规范和标准自动化、工具化,从而配合安全运维人员更好地工作。NIST推出了S-CAP协议(安全内容自动化协议),它是一种通过明确的标准化的模式使漏洞管理、安全监测和政策符合性能够与美国联邦信息安全管理法案一致的方法。它主要由6个不同的技术标准(CVE、CCE、CPE、XCCDF、OVAL和CVSS)作为支撑,6个不同的标准分别从漏洞、配制、系统脆弱性的统一命名,包括脆弱性、严重性的评分标准,安全检查的步骤,检查项目及检查报告等各个方面进行有效的设定,从而保证后期的工具、软件开发厂商能够有一个明确可落地的标准进行参考。在S-CAP的基础上由美国联邦政府牵头针对一些联邦政府的桌面主机开展了一个FDCC的安全项目,专门对Windows系统主机的安全漏洞和安全配置进行检查的标准,并由安全厂商开发了对应的FDCC Scanner设备进行自动化的检查,而FDCC也给通过FDCC认证的Scanner颁发证书。
2007年,美国IT投资650亿美元,安全投资59亿美元,占9.2%;2009年美国将加大政府信息系统安全的投入,IT支出达到709亿美元,其中的10.3%(总额约73亿美元)将用于提高IT的安全性。
除了美国之外,俄罗斯也十分重视信息安全的作用,时时处处以信息安全危机来鞭策、督促各单位把信息安全工作做得更好,从法令、机构人员、资金、技术、管理等角度全方位地给信息安全检查工作予以支持和保障。政府发布了许多有关信息安全的法律法规,例如,1995年,俄罗斯宪法把信息安全纳入了国家安全管理范围,颁布了《联邦信息、信息化和信息网络保护法》,强调了国家在建立信息资源和信息网络化中的责任,1997年的《俄罗斯国家安全构想》明确提出保障国家安全应把保障经济安全放在第一位,而信息安全又是经济安全的重中之重。2002年俄罗斯安全委员会通过了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容,对国家信息网络安全面临的问题及信息网络战武器装备现状、发展前景和防御方法等进行了详尽的论述,阐明了俄罗斯在信息网络安全方面的立场、观点和基本方针,提出了在该领域实现国家利益的手段和相关措施。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全所要采取的措施等。
随着全球信息化步伐的加快,俄罗斯对国家信息安全的重视程度日益提高,信息网络安全已纳入国家安全战略。前总统普京强调:“信息资源和信息基础设施已经成为争夺世界领先地位的舞台,未来的政治和经济将取决于信息资源。因此,解决这方面的问题对国家的前途、国家利益和国家安全至关重要。”
俄罗斯建立了完善的信息保护国家系统,通过执行俄罗斯联邦总统直管的国家技术委员会条例,保证信息保护领域的国家统一政策,同时兼顾国家、社会和个人利益的均衡。俄罗斯联邦政府从信息安全、经济安全、国防安全、生态安全和社会安全几个方面入手,将信息安全策略分为全权安全政策和选择性安全政策两类,提出了通过主客体分级访问的构想来控制存取访问,即只有当主体的现时安全能力不低于客体临界标记时,信息方可“向上”传输。
俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段——RGIN(Russian Government Internet Network)。他们在保障信息安全方面还做了大量的工作。首先建成了高效安全的“阿特拉斯”数据传输,以确保俄罗斯联邦各主体行政中心之间文件的安全传输,还在最高国家机关安装了保障加密数据交换的技术设备,解决了该系统与国内其他通信网协同的技术课题。然后他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时,他们还建立了联邦经济信息保护中心,负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。
俄罗斯在发展信息安全技术上坚持自主创新、自成体系,强调数学模型与论证发挥自动控制理论的作用,注重芯片和操作系统的研发。
此外,俄罗斯联邦政府在保障财政信贷和银行领域信息安全方面做了大量的工作。中央银行系统研究了保护信息处理技术设备的问题,积极推广使用有安全保护的信息技术和网络技术。在加密领域,密码学院从事着加密技术研究工作,着力加强光纤通信加密和量子加密方面的研究。
上面介绍的是美国和俄罗斯在信息安全方面所做的工作,下面介绍德国和日本。
德国通过制定和实施信息化发展战略,使信息化获得了较快的发展。德国在信息安全方面是欧洲的典范,其主要做法包括以下三方面。
一是有明确的责任部门。德国联邦经济和劳工部下属的联邦电信和邮政总局主要负责联邦电信基础设施的安全维护工作;内政部和其下属联邦信息安全署主要负责信息技术应用方面的安全问题,如互联网安全管理、防病毒入侵和应急处理计算机问题等。联邦安全署还负责对互联网进行内容监管,对需要跨部门协调的工作制定统一的方案。联邦内政部下属的联邦信息安全署设有计算机紧急反应小组,提供每天24小时的“应急服务”,解决互联网的安全问题,防止计算机病毒和网络攻击。联邦政府专门成立联邦信息安全办公室,负责处理信息安全方面的技术问题。
二是重视运用法律手段。德国联邦经济和劳工部下属的联邦电信和邮政总局在为德国联邦其他部门提供基础电信服务的同时,还负责起草和制定《电信法》和《数字签名法》等法律,并协调联邦政府各部门通过有效使用数字签名来保障信息安全。联邦政府制定了具体的计划和措施来加强互联网上的安全,包括颁布了《电子签名法》和《电子商务法》。
三是综合运用相关技术措施。德国联邦政府为加强信息安全,采取了一系列的措施,包括重大基础设施的保护,增强社会各界的信息安全意识,通过设立安全门户网站为企业和个人提供相关信息和安全工具,增强互联网上的信息安全,开展信息安全认证,推广新的安全技术,与IT企业合作开展安全技术趋势研究,大力研发和使用密码技术、安全可靠的构件和生物识别技术等。
日本自2001年1月颁布《IT基本法》以来,在根据该法制订的每一年重点发展计划中,对电子政府以及电子政务相关的具体内容都做出了规定,针对计算机网络信息安全对策的体制,专门制定了一套相应的规则。以制定-引入-运用-评价-修正的模式循环往复周期运行,针对风云变幻的计算机信息安全领域出现的新问题进行及时有效的应对,可以说是一个值得称道的运作模式。
日本中央政府各个部委基于对政府信息系统的安全问题考虑,要求结合本单位、本部门的具体特点考虑制定相应的规则和办法。
为了确保信息安全制度的有效实施,日本政府设立了相应的信息安全机构,明确了包括信息安全中心、政府各个部委在内的多个机构的职责。日本政府要求政府的各个部委应当依法加强对计算机信息安全的管理与控制,防止利用政府的计算机系统对其他的计算机系统进行恶意的攻击。为了进一步提高日本的计算机信息安全水平,要求政府不断加强与民间团体、企业研究机关之间的信息交换,建立官民紧密协作、联动的合作体制。
在计算机信息安全规则的制定中,从组织机构、基本方针的设定、风险的预测、对策基准的制定、信息的分类及管理、违反信息安全行为的应对措施几个方面提出了具体要求。对在业务中存在违反信息安全行为的情形,提出了有必要建立依据上级的指示,直接命令其停止使用网络终端机器的体制。
1.1.3 信息安全标准化组织及标准
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有以下4个。
(1)ISO(国际标准化组织)
ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。
(2)IEC(国际电工委员会)
IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等),并且制定相关的国际标准(如信息技术设备安全IEC60950等)。
(3)ITU(国际电信联盟)
ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定和安全通信服务。此外,SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究。
(4)IETF(Internet工程任务组)等
IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成8个工作组,分别负责Internet路由、传输、应用等8个领域,其著名的IKE和IPSec都在RFC系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。CITS成立于1984年,主要负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,目前下设24个分技术委员会和特别工作组,是国内最大的标准化技术委员会,也是具有广泛代表性和权威性的信息安全标准化组织。CCSA成立于2002年12月18日,是国内企事业单位自愿联合组织起来,经业务主管部门批准的开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组,负责研究有线网络中电话网、互联网、传输网、接入网等在内的所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。
当前,国际上著名的信息安全评估标准有如下几种,从而可以让读者和企业用户借鉴。
(1)可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)
它是由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,分别对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
(2)信息技术安全评估标准(ITSEC,欧洲白皮书)
它是20世纪90年代初由几个国家联合发布的,它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息;完整性就是保证没有经过授权的用户不能改变或者删除信息,从而使信息在传送的过程中不会被偶然或故意破坏,保持信息的完整和统一;可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,从而对国际信息安全的研究和实施产生了深刻的影响。
(3)信息技术安全评价的通用标准(CC)
它是于1996年由几个国家联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求,以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
(4)ISO13335标准
它首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性和可靠性6个方面含义,并提出了以风险为核心的安全模型,即企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露)会对资产的价值产生影响(包括直接和间接的影响);风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企业信息系统安全风险进行分析,就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险并抗击威胁。该模型阐述了信息安全评估的思路,对企业的信息安全评估工作具有指导意义。
(5)AS/NZS 4360:1999
它是由几个国家联合开发的风险管理标准,第一版于1995年发布。在AS/NZS 4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询7个步骤。AS/NZS 4360:1999是风险管理的通用指南,它给出了一整套风险管理的流程,对信息安全风险评估具有指导作用。
(6)BS7799
它是为了满足英国的工业、政府和商业共同需求而发展的一个标准,它分为两部分,第一部分为“信息安全管理事务准则”,第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
1.1.4 我国的实际情况
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪的案件逐年递增,尤其是以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。由于缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,有些集成商很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
我国已初步建成了国家信息安全组织保障体系,主要体现在以下几个方面。
①制定和引进了一批重要的信息安全管理标准,包括《计算机信息系统安全保护等级划分准则》(GB 17895-1999)、《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全管理实施细则》(ISO17799:2005)和《信息安全管理体系要求》(ISO27001:2005)等。
②制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起,为配合信息安全管理的需要,国家相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《电子签名法》等有关信息安全管理的法律法规文件。
③开展了信息安全风险评估工作,并作为信息安全管理的核心工作之一,由国家信息中心组织先后对50多家单位进行了深入细致的调查与研究,最终形成了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》,制定了《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)。
目前我国在信息安全方面存在的问题主要包括以下几个方面。
- 信息安全管理比较混乱,缺乏权威、统一的整体组织和策略,缺乏专门的组织、规划、管理和实施协调的立法管理机构,执法主体不明确,多头管理,规则冲突,可操作性差,执行难度较大。实际管理、政策执行和监督力度不够。
- 具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系尚未建立起来。为了推动等级保护工作的持续发展和深化落实,我们急需提出清晰的等级保护工作和标准体系,准备好评估检查的能力。
- 具有我国特点的信息安全风险评估标准体系有待完善,信息安全的需求过于抽象,缺乏系统、全面的信息安全风险评估和评价体系,以及全面、完善的信息安全保障体系。
- 信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。
- 专项经费投入不足,管理人才缺乏,基础理论和关键技术研究、标准制定能力薄弱,严重依靠国外,在国际上缺乏话语权。
- 整体安全防范技术水平低下,尤其是核心技术方面(如CPU和操作系统),技术创新不够,信息安全管理产品水平和质量不高。
- 缺乏支撑信息安全管理标准落地的有效手段。
总的来说,我国信息系统的安全现状不容乐观,信息系统存在很多安全隐患。与西方发达国家相比,我国的信息安全起步很晚,政府部门和民众对网络认识不深,政府部门对信息系统安全重视程度不够,安全意识淡薄,信息系统的网络与信息安全防护能力仍处于“初级阶段”,甚至许多外网网站处于“不设防”状态。