我国和西方发达国家之间一直以来存在的信息技术的不对称性和我国对西方发达国家先进信息技术的依赖性让我们越来越有一种危机感,这种危机感源于在当今信息时代,信息安全直接牵涉到国家的政治、经济、社会稳定和长治久安的事实。在互联网诞生初期,由于安全意识的淡薄,人们没有充分认识到计算机信息安全的重要性,但伴随着国际互联网的蓬勃发展和移动互联技术的突飞猛进,频繁爆发的信息安全事故和潜在的隐患唤起了国际间各个国家、机构和人们的共识。在这一章我们就带领大家来了解一下各个国家是通过采用什么样的形式和措施来维护信息安全的,尤其是我国,这个曾经在信息技术方面落后的国家,怎样通过自身的努力实现自主创新,摆脱对国外关键信息技术的依赖。
5.1信息安全的国际共识与防范措施
5.1.1信息安全的重要性从20世纪末到21世纪初,人类文明进入了以电子通信、计算机科学和互联网为代表的信息领域高速发展的黄金时期,人们生活中越来越多地使用微型嵌入式信息数据处理终端,这些终端通过有线或无线的方式连接到互联网这张目前为止人类造就的最大的信息网络上,从而实现彼此的互通。每一分每一秒,人与人之间、人与机器之间、机器与机器之间都在无声无息地进行着信息的传输、处理或存储。
然而,也正是由于当今人们更加依赖于高速发展的电子信息传递工具,一些诸如推动国家经济增长的商业活动、关键的产品研发信息、商业战略计划、客户的隐私资料等背后都蕴藏着非常丰富的价值,甚至牵涉到成千上万甚至更多的消费者和企业的利益,而一旦这些敏感的信息被别有用心的不法者窃取,那么原本规范的商业市场环境将被打破,带来的是恶意的利益威胁、无序的商业竞争、丑恶的市场垄断。
美国“棱镜”丑闻事件所造成的影响是巨大的,本来应该用来维护国家和平与人民生活幸福安康的政治举措,却被演变成利用信息安全技术盗取他国机密信息、监控他国一举一动、适时进行政治威胁和敲诈、不惜一切手段保证自身利益最大化的肮脏下流的霸权行为。这样的后果必定是人与人、国家与国家之间失去自由和信任,彼此充满猜忌与怀疑。我们本应该充分去享受信息科技带来的精神平等和沟通自由,却反而被迫去花费大量的人力、物力和财力去构筑精神围墙、阻止信息流通。
日益凸显的信息安全问题在世界各国引起广泛担忧,很多国家采用了立法和建立法规的形式来加强信息安全意识的普及、提高对信息安全隐患的防范措施,帮助和保护自己的国民在享受数字信息带来的便捷的同时免受侵害。
5信息安全与防范1990年,英国议会颁布了《计算机滥用法》,其中规定利用计算机犯罪(比如黑客行为)是一种刑事犯罪。这部法律很快成为加拿大和爱尔兰等国家关于制定信息安全法律的蓝本。英国在1998年进一步推行了《数据保护法案》,这部法律对在处理个人信息时发生的活动,比如获得、持有、使用或公布方面做出了规定。它的诞生是为了符合欧盟数据保护指导(EUDPD)的要求,EUDPD要求每个成员国都必须采取相应的国家规定来标准化国民数据隐私的保护工作。
1999年,美国国会通过了《金融服务现代化法案》,希望利用这部法律来保障金融服务行业在收集、持有和处理个人金融信息时涉及的个人隐私和安全。2002年,美国国会通过了《萨班斯-奥克斯利法案》,此法案要求交易公司在每个财年年终上交的年度报告中必须评估自己内部金融管理的时效性。首席信息官员必须对管理和报告金融数据的系统的安全性、准确性和可靠性负责。
2000年加拿大议会颁布了《个人信息保护和电子文件法》,这部法律给予在一定情况下,通过使用电子手段收集、使用和公布个人信息,以达到对沟通、信息记录和交易为目的的电子商务的支持和推动。
由于东西方文化的差异,中国向来对个人隐私保护、信息安全保密的意识相对薄弱,再加上中国是在20世纪90年代才第一次接触了互联网,国家在网络普及、配套法律法规建设方面更是相对落后。随着最近十几年我国在信息科学方面的大力发展和参与国际事务的日益频繁,中国已经认识到信息安全对国家长期发展战略起着举足轻重的作用。近年来,西方发达国家对我国网络信息的监控和窃取活动逐渐浮出水面,其所涉及的范围无所不包,从政治、军事领域到经济、科技和文化,其所涉及的深度和精确程度更是难以想象。因此中国开始逐步从法律法规的层面采取措施,通过制定相关法律来维护信息安全,预防信息犯罪。
1994年,中华人民共和国国务院颁布了我国第一部保护计算机信息系统安全的专门条例《中华人民共和国计算机信息系统安全保护条例》,它在我国信息安全立法方面从无到有地迈出了历史性的第一步。我国公安部也在本条例的基础上组建了中国第一代网络警察。1997年5月,国务院颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定(修正)》,旨在加强对计算机信息网络国际联网的管理,规范了计算机用语的含义,明确了管理部门的职责以及对违规者的处罚标准。1997年12月,国务院颁布了《计算机信息网络国际联网管理暂行规定实施办法》和《中华人民共和国计算机信息网络国际联网安全保护管理办法》,目的是为了加强对计算机信息网络国际联网的安全保护,维护公共秩序,健全管理制度。1999年,《商用密码管理条例》由国务院颁布,其目的是为了加强商用密码的管理,保护信息安全,保护公民和组织的合法权益,确立了商用密码责任制。2000年,国务院出台了《中华人民共和国电信条例》和《互联网信息服务管理办法》,这两部条例办法的颁布是为了规范电信市场秩序,保障电信网络和信息的安全,规范互联网信息服务活动,促进互联网信息服务健康有序发展。2002年,《互联网上网服务营业场所管理条例》颁布。2006年,国务院颁布《信息网络传播权保护条例》。
除此之外,我国也从不同部门、不同地方出发颁布了具有针对性的规章和规范文件,比如公安部于1998年颁布了《金融机构计算机信息系统安全保护工作暂行规定》,国家保密局推出《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》。1999年原铁道部发布了《铁路计算机信息网络国际联网保密管理暂行规定》。教育部在2001年发布了《高等学校计算机网络电子公告服务管理规定》。文化部于2002年发布了《文化部关于加强网络文化市场管理的通知》,同年原国家广播电影电视总局推出了《有线广播电视传输覆盖网安全管理办法》。2005年,信息产业部出台了《互联网电子邮件服务管理办法》,国务院新闻办公室和信息产业部联合出台了《互联网新闻信息服务管理规定》,随后银监会在2006年出台了《电子银行安全评估指引》。北京市在2005年经市人民政府第45次常务会议审议通过了《北京市公共服务网络与信息系统安全管理规定》。此外还有重庆市、黑龙江省、辽宁省、山东省等各级各地政府相继推出信息安全规定或条例,由此可见,由政府部门牵头的,带动人民增强信息安全意识的活动正在有条不紊、循序渐进地展开。
5.1.2信息安全的保障
除了借助法律法规和行政措施来保障信息安全外,我们还从技术层面来完善信息安全的保障体系。理论上现有的信息安全技术主要包括两个方面:计算机安全技术和信息保障技术。
计算机安全技术主要是指适用于计算机系统的相关信息安全技术。这里的计算机不是狭隘定义的个人电脑,而是指每个具有独立运算处理能力的信息处理设备。随着计算机的普及和电子政务的推广,几乎所有大型企业和主要政府机构都有自己的IT部门负责计算机的安全工作来保障日常工作的开展。IT部门通过监控企事业单位内部与外部信息交换的内容来防止外部恶意网络攻击对内部信息系统的侵害和控制。
信息保障技术就是要确保当重大事件发生时,比如自然灾害、计算机终端或服务器工作异常、计算机终端被盗等,保存在计算机或服务器存储器上的数据不丢失或不被没有授权的人盗取。
其实在历史上,人们早在电子信息时代到来之前就已经意识到书信交往中对信息保密的重要性,由于书信的传递往往经过数日,在不同的人和机构间传递,这样重要信件难免不被别有用心的人偷窥。于是人们就采用了一些技术手段来防止此类信息盗取的行为。例如公元前50年,罗马共和国末期军事统帅、政治家恺撒被誉为“恺撒密码”的发明人,他发明的密码可以用来防止他所写的机密信息落入到敌人的手中,即便敌人获取了信息也不能读出内容,也就是说不能被破译,当然在落入敌人手中之前,恺撒还发明了一整套处理和控制的方法,尽可能通过信件处理程序来防止信件被敌人截获。随着邮政系统的扩展,各个国家开始成立专门的政府机构来截获、破译、阅读和重新封装信件,例如英国于1653年成立的秘密机构和破译分支。在19世纪中期,政府采用了更为复杂的分类系统,可以根据信息敏感性的不同来进行分类管理。英国政府在1889年还编撰了《政府机构机密法律》。在第一次世界大战中,多层次的分类系统被政府用来加密用于通信的信息。1919年,英国专门成立了“政府代码和密码学校”,至此,编码在参战国之间被大量使用来打乱和重组信息,而且变得越来越复杂,成为一种有效的保护信息安全的科技手段。可以说战争的爆发让人们意识到信息的重要性,又在很大程度上促使信息加密技术的发展和成熟。
现代信息安全学中把信息安全分成几个关键要素:机密性、完整性、可用性、真实性、不可否认性和风险管理等。
机密性指的是防止信息泄露给没有授权的个人或机构。比如在消费者使用信用卡进行网络消费时,信用卡密码在从消费者端到商家再到银行交易处理中心这一过程中不被泄露给第三方。一旦有泄露发生,最直接的后果就是信用卡信息被盗用,信用卡被盗刷。我们通常所采用的技术手段来阻止此类情况的发生是将信用卡信息在网络传递过程中进行加密,比如个人在电脑终端上输入时掩盖密码,在通过网络传输中使用HTTPS加密传输协议传输信用卡信息,在网络服务中心数据库里使用编码对要储存的信息加密等。
完整性指的是数据信息从诞生到销毁整个生命过程中我们需要维护和保障信息的准确性及统一性。也就是说在没有授权情况下不能有对信息改动的任何行为发生。
可用性指的是信息必须在使用者需要的时候能被访问,这就要求存储和处理信息的计算机系统、信息安全系统和传输媒介能时刻正常工作,其中任何一个环节出现问题就会导致信息不能被及时访问。这里面最常见的黑客攻击就是“拒绝服务式攻击”,它会导致信息正常使用用户因为电源停止供电、计算机软硬件逻辑错误等故障而不能访问网络系统或计算机系统中存储的数据。
真实性指的是确保数据信息储存、数据交易、数据通信中的信息是真实的,同时我们还需要认证信息交流的双方要真正是他们宣称的人。有时信息安全系统还会使用“数字签名”机制来证明数据的真实性和数据的持有者是否拥有签名密钥。
不可否认性指的是一个人必须要履行合约的义务,也就是说合约双方任何一方都不能对收到交易而否认或者否认发送过交易。
5.1.3信息安全的风险
风险管理也是信息安全中所采用的技术手段之一。风险管理是一个帮助人们识别信息漏洞和威胁的过程,信息使用机构会根据分析结果来采取相对应的措施来减少风险或将风险降低到可以接受的程度。风险评估通常是由一组具有专业领域知识的人组成的团队来完成。在ISO/IEC27002:2005信息安全标准中,信息安全管理实施规则对风险评估所应该考察的内容做出了以下建议:安全政策、信息安全组织结构、资产管理、人力资源安全、物理和环境安全、通信和运营管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、商业持续管理和法规遵从。风险管理的流程主要由以下几个部分组成:
资产识别和估价:这包括人、房屋、硬件、软件、数据等。
威胁评估:这包括自然因素、战争因素、各个事故、发起于组织内部或外部的恶意行为。
风险概率评估:针对每一种风险计算出它出现的概率。
风险危害性评估:使用定性和定量的方法计算出每一种威胁对每一份资产的危害性。
风险控制:使用适当的风险控制,并采用相对应的反应措施。
风险控制主要有三种类型:
第一种是行政管理控制。行政管理控制包括了核实的书面政策、程序、标准和指导,它为商业运行和人力资源管理提供了一个框架,常见的有很多公司会为了保障信息安全而制定安全政策、密码政策、雇佣政策和处罚政策。
