1 引言 随着信息化进程的持续深入和互联网的快速发展,信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时,其所带来的安全隐患也在日益显现。闻名全球的美国政府“维基泄密”、伊朗核设施遭“震网”病毒袭击等安全事件充分说明由于政府部门信息事关国计民生,其重要性和高度敏感性使得政府部门信息系统已成为国内外敌对势力、敌对分子进行网络渗透、数据窃取和攻击破坏等活动的重点目标。如何保障信息化建设成果以及如何防范物联网、云计算、社交网络、三网融合等新兴IT技术发展所带来的新的安全风险已经成为各级政府部门信息化建设与发展过程中的重要课题。
2 信息安全保障要求
面对日益严峻的信息安全形势,网络信息安全问题越来越引起我国政府的高度重视。从1994年开始,国家相继制定了一系列的法律、法规和条例,以切实做好全国信息安全保障工作。1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)颁布,条例规定“计算机信息系统实行安全等级保护”。2003年,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),把信息安全提到了关乎国家安全的高度,并提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),明确了信息安全等级保护制度的原则和基本内容,并陆续出台了信息安全等级保护管理办法、基本要求、实施指南等一系列等级保护政策、规范和标准。同年,中共中央保密委员会下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号),同样出台了相关管理办法、技术要求、管理规范、测评指南、方案设计指南等保密标准,用于指导涉密信息系统的建设、使用和管理。
当前,信息安全已成为国家安全的重要组成部分。各级政府在不断完善信息安全规章制度的同时,每年以多种形式重申和强化信息安全工作要点,部署专项安全保密措施,监督检查信息安全落实情况,并把培养信息安全人才作为发展和建设我国信息安全保障体系必备的基础和先决条件。
3 信息安全人才队伍建设现状
(1) 信息安全人员数量
从事信息安全管理工作人员较少,主要开展基于区域边界、网络传输和计算环境的安全管理,在主机、应用和数据方面较为缺乏,对于重要信息系统所需配备的系统管理员、安全管理员和安全审计员,普遍存在根据业务需要临时任命现象。
(2) 信息安全人员结构
信息安全人员多数为其他岗位人员兼任且非信息安全专业,是在进入岗位后根据职能要求逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
4 面临的信息安全隐患
由于相对固化的信息安全人力数量、知识结构和运行机制,管理部门难以有效承接来自政府主管部门的信息安全保障要求,信息安全隐患逐渐显现。
(1) 信息系统建设缺乏总体安全规划
信息系统建设的承建主体多数为政府业务管理部门或技术支撑部门,在信息系统规划中他们更多的是注重业务应用功能的实现和不同信息技术的实现方式,而对系统信息安全缺乏全盘考虑和统一规划,导致信息系统在建设过程中没有充分考虑网络、主机、数据和应用的安全策略、安全技术措施以及信息安全管理要求,仅在系统竣工前或安全测评阶段,根据相应的检查指标需要,临时、被动地针对信息系统实施一定的安全防护措施,造成了安全建设与信息系统建设相分离。虽然达到了某阶段要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。事实上,缺乏真正来自业务管理目标的信息安全需求,临时建立的信息安全策略也在信息系统变更、优化和升级中因缺乏动态的改进和完善而逐步缺失,使信息系统基本处于不设防状态。
(2) 信息安全技术应用滞后
在信息技术广泛应用和新兴IT技术快速发展的同时,信息安全技术也发展得越来越专业。信息安全产品也根据不同的专业领域划分为主机安全、网络安全、应用安全、数据安全等多个类别,涉及防火墙、恶意代码防护、入侵检测、安全隔离与信息交换、网站防护、加密机、数字证书、安全审计等专业技术。了解、熟悉并且科学合理地使用这些专业化安全产品需要信息安全管理人员既要熟悉业务应用和系统信息技术实现方式,又要了解当前系统面临的安全风险和所需的信息安全技术与管理需求。然而,当前信息安全人员知识结构和业务涉及面不具备这些基本要求,造成信息安全技术应用滞后或部分处于缺失状态。
(3) 信息安全产品未能充分发挥作用
当前,信息安全已经从传统的网络层上升到应用层,并已深入到业务行为关联和信息内容语义范畴,越来越多的信息安全技术已经和应用相结合。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自业务应用需要和明确的策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是多数信息系统在软件开发时缺乏明确的安全需求,在系统运行中对访问主体的授权认证、数据传输、应用服务端口等缺乏相应的安全控制措施。应用安全需求说不清造成了信息安全产品安全策略权限开放过大或无安全控制,安全告警无法有效判断。所以,信息安全产品未能充分发挥其应有的作用,部分产品形同虚设。
(4) 难以规范执行保密技术管理
信息化进程不断深入的同时,保密工作也越来越依赖于信息技术,保密管理已超越了传统的范围、内容、方法和要求,在高技术窃密频发的情况下,保密技术防护手段已成为保密管理工作的重要环节。但是信息技术人员由于缺乏保密培训、经验积累以及保密工作环境氛围的熏陶,难以满足保密管理工作的规范性和强制性要求。
(5) 信息安全意识薄弱
人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。由于信息安全管理人员的专业性不强,在日常安全管理活动中,缺乏开展面向网络用户的信息安全宣传、引导和培训以及即时、足够的安全提示,造成用户信息安全意识淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。
5 存在问题分析
(1) 信息安全组织架构不健全,缺乏人才培养
信息安全是在信息化进程中逐步发展起来的,信息安全技术也是随着信息技术从无到有,从简单到复杂。但是,在信息技术快速发展与信息安全知识快速更新的情况下,由于信息安全组织架构不健全,未能完成信息安全人才的培养与储备,造成当前信息安全人才与实际信息安全工作技能要求的脱节以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
(2) 缺乏激励机制,信息安全工作价值得不到体现
由于缺乏有效的激励机制与人才评价机制,信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而受到的评价不高,挫伤了人才的积极性。
6 信息安全人才队伍建设发展探索
随着新兴IT技术的快速发展,信息安全的内涵及其外延不断地深化和扩大,信息安全成为一个动态的、发展的、全局性、长期性和战略性的问题。传统的单兵作战不仅不能解决信息安全问题,反而蕴藏了更大的安全风险和隐患。信息安全保障工作需要建立一支懂技术、会管理、熟悉业务应用的信息安全人才队伍,并构建相应的信息安全保障体系(如图)。
信息安全保障体系
(1) 建立健全信息安全组织架构,培养高层次信息安全人才
信息安全是建立在信息化和业务的基础上,涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高层次技术与管理人才。
(2) 构建信息安全治理体系,优化信息安全人才队伍
在建立、完善信息安全组织架构体系,理顺业务关系的同时,构建信息安全治理体系成为确保各项规范、标准和制度落地的重要保障。信息安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确了各部门在信息安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据信息安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。应针对不同岗位要求选择合适的人员,同时,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人力数量与结构的不足。
(3) 充分体现工作价值,激发工作积极性
信息安全特别是保密安全需要实施准军事化的管理,信息安全管理人员需要高度责任心和政治敏感性。客观、全面地评价工作绩效,充分体现信息安全管理人员的工作价值,落实奖惩措施,激发工作积极性,是信息安全人才队伍建设发展的重要保证。
7 总结
随着信息化进程的加快,信息安全已成为维护国家安全、社会稳定、促进信息化建设发展,构建和谐社会的重要保障。信息安全人才是实施信息安全工作的必备条件,建立并完善信息安全人才队伍建设意义重大。
参考文献
[1]GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》[S].
[2]GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》[S].
[3]BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》[S].
[4]周俐军,王冬梅,宋皓.政务内网信息安全风险分析及对策[J].电子政务,2008,5(8):64-67.
[5]ISO/IEC 17799:2005《信息安全管理实施指南》[S].