1. 談談你是怎樣理解信息對我們學習的幫助
信息安全綜論
《現代國際關系》雜志,2005年第4期
[編者按]
全球信息化方興未艾,我國信息化進程勢頭良好。信息化發展迅猛的同時,信息安全問題也日益增多。信息網路覆蓋面的擴大,信息安全問題所造成的影響和後果也隨之增大。信息安全在維護國家安全中地位日益突出,是國家安全的重要組成部分。各國信息化發展階段與特點不同,面臨的信息安全問題也有所不同,分析研究別國信息安全保障的經驗與做法,對促進我國信息化健康發展和加強信息安全保障具有有益的借鑒作用。本次對談就信息安全概念、信息安全在國家安全中的地位、信息安全重大問題和外國及我國信息安全保障問題展開探討,其中的觀點與看法供讀者參考。
主持人:俞曉秋,中國現代國際關系研究院安全與戰略研究所副所長,研究員
參與者:張 力,安全與戰略研究所危機管理研究中心主任,副研究員
唐 嵐,安全與戰略研究所信息與社會研究室副主任
張曉慧,安全與戰略研究所
張 欣,安全與戰略研究所
李 艷,安全與戰略研究所
一、重要性凸顯
俞:各位好!今天我們一起來探討有關國家信息安全研究中的一些基本問題,譬如為什麼要高度重視國家信息安全保障;如何理解信息安全概念及其演變;信息化發達國家是怎樣認識和保障其國家信息安全的;當前信息安全最突出的問題以及信息安全領域國際合作的難點主要有哪些;我國應如何加強信息安全保障等等。
張:我先說幾句。大家都看到,近年來我國信息化進程不斷加快,基礎網路與重要信息系統等基礎設施基本建成;信息產業成為國民經濟第一大支柱產業,對經濟增長的貢獻率位居其他行業首位;固定與移動通信用戶達到5億多,互聯網用戶攀升至1億多;電子商務和電子政務建設正在扎實推進;下一代互聯網Ipv6試驗網已開通,通訊網、有線電視網和互聯網走向「三網融合」乃大勢所趨。這些表明,我國信息化進程已從全面推進基礎設施建設階段,開始轉向大力加強信息資源開發利用的發展新階段。一方面信息化發展勢頭迅猛,另一方面信息安全問題也在逐年增多。
俞:究其根源,可以這樣說,沒有信息化,就沒有信息安全問題,兩者相隨相伴。另一方面,信息安全的特點、問題和造成的影響也會隨著信息化發展的不同階段而有所不同。總的趨勢是:信息化發展進程加快,信息化覆蓋面擴大,信息安全問題也就會隨之日益增多復雜,其造成的影響和後果也會不斷擴大和更加嚴重。信息化發達國家對此已有深刻的認識和經驗教訓。因此,在信息化加快發展的進程中,我們應高度重視、深入研究並切實解決國家信息安全面臨的一些重大問題,這對於保障我國國民經濟與社會信息化健康、穩步發展,促進社會主義政治文明與精神文明建設,逐步實現小康社會發展目標,十分重要。
張欣:與我國信息化發展進程加快相應的是,當今全球信息化進程方興未艾。1993年9月,美國副總統戈爾正式提出建設「國家信息基礎設施」計劃(NII)。翌年9月,他又提出將各國NII聯結起來、實現全球信息共享的「全球信息基礎設施」建設的倡議(GII)。1995年2月,歐盟在布魯塞爾主持召開主持西方「七國集團信息社會部長級會議」,支持GII倡議,共同討論「全球信息社會」(GIS)議題,並成立「全球信息基礎設施委員會」。1996年5月,又在南非召開了後續會議,即「信息社會與發展大會」部長級會議,不少發展中國家與會。2000年7月,「八國集團」首腦沖繩會議發表《全球信息社會沖繩憲章》,主張促進全球信息通訊技術發展,縮小國家間、地區間信息技術發展差距。2003年12月,在聯合國支持下,經過事先在全球舉行了3次預備會議和6次區域會議基礎上,國際電信聯盟在日內瓦主辦了全球「信息社會世界峰會」(WSIS)第一階段會議,就如何推進全球信息化發展及活動規則通過了《原則宣言》和「行動計劃」,今年11月還將在突尼西亞召開第二階段會議,審議《原則宣言》和「行動計劃」的落實情況。在第一階段會議通過的文件中,已經明確提出加強信息安全與信息安全文化的重要性。唐:是的。從經歷過去10多年全球信息基礎設施建設之後,國際社會已將關注的重點開始轉向「全球信息社會」建設的原則、標准、規則及治理上來。其中,全球信息化進程中的安全問題倍受重視。如第55屆聯大第三委員會第81次全體會議以「打擊非法濫用信息技術」為題通過了第63號決議,第56屆聯大第一委員會第68次全體會議上又以「從國際安全形度來看信息與電信領域的發展」為題通過了533號決議,呼籲會員國在多邊各級層次上審議信息安全面臨的現存威脅與潛在威脅,並採取行動遏制和消除威脅,加強全球信息與電信系統安全,防止為犯罪與恐怖主義目的利用信息資源或技術。2003年12月召開的「信息社會世界峰會」《原則宣言》中也明確提出,加強包括信息安全和網路安全及保護隱私和消費者信任框架,是發展信息社會和增強用戶信心的先決條件,要促進、發展和落實一種全球性的網路安全文化。至於信息化發達國家如美國和日本等對其國家信息安全的重視程度,大家都很清楚,這里就不多說了。
張力:信息安全問題發展到今天,已直接涉及和影響到政治、經濟、軍事、文化等各個方面。由於信息技術發展的不平衡,信息強國與信息弱國之間的「數字鴻溝」正在不斷擴大。處於弱勢的國家在政治、經濟、軍事乃至文化等方面都面臨著前所未有的沖擊、挑戰和威脅,信息技術已經成為信息強權在新世紀謀求霸權的利器。信息時代,一國的信息獲取能力以及在社會生產生活領域中的「信息制控權」(或者說是「制信息權」),成為這個國家在生存與發展競爭中能否占據主動的關鍵。信息安全問題也逐漸受到世界許多國家政府和企業等的高度關注。俞:轉過來看看我國的情況。近年來,針對我國信息化進程加快、信息化發展進入新階段,黨和政府也開始日益重視信息安全問題。十六屆四中全會《決定》報告中明確指出,堅決維護國家安全,確保國家的政治安全、經濟安全、文化安全、信息安全和國防安全。在改革開放以來歷屆黨代會的重要文件中,這樣的表述乃屬首次。我理解,這一表述有兩層含義:一個是它第一次把國家安全內容劃分為相互並列的「五大安全」,即政治安全、經濟安全、文化安全、信息安全和國防安全,「信息安全」是國家安全的重要組成部分。另一個是它從國家發展與安全的戰略高度強調認識和重視維護國家信息安全的重要性。可見,黨和政府十分重視我國的信息安全問題。
張欣:我認為,從我國信息化發展和全球信息化趨勢看,信息安全將成為國家安全的重要「基石」和「命脈」。信息資源是重要的戰略資源,信息網路和系統正在成為一切經濟與社會活動的「基礎平台」、「聯系中介」。信息網路技術應用從工商業領域已逐漸擴展到國家政治與社會生活的各個領域,信息網路安全也從技術和產業的問題上升為事關國家政治、經濟、社會、科技、文化等各領域安全的重大戰略性問題。以信息技術為核心的新軍事革命已在改變現代與未來戰爭的形態,信息網路及信息系統成為一種新攻擊武器、作戰平台和打擊目標,網路空間正在成為攸關國家安全的重要戰場。「信息戰威懾」成為與「核威懾」、「導彈防禦威懾」、「太空戰威懾」並列的第四種「戰略威懾」。此外,信息流動與傳播的高速性、廣泛性和人們對它的嚴重依賴性,以及信息武器攻擊手段、目標和過程的多樣化、遠程化、自動化,使國家安全面臨著「瞬間的」現實與潛在威脅。因而,展開對信息安全的廣泛深入研究是非常必要的,具有非常重要的現實意義。
二、如何理解信息安全
俞:人們對「信息安全」概念含義的理解,從不同的認識角度和信息化發展的不同階段出發,是有所不同的,有好多種說法。大家能不能就這個問題談談自己的看法。
張力: 「信息安全」這一名詞,是近20多年來才被人們使用的。有關「信息安全」(Information security)的定義,一直存在爭議。這里有一個佐證:2001年11月,第56屆聯大會議在通過的決議中,呼籲所有會員國就「有關信息安全的各種基本概念的定義」等向秘書長及時通報,其目的就在於要消除概念上的混亂,更好地促進信息安全國際合作。然而時至今日,國際上仍沒有一個權威、公認的有關「信息安全」的標準定義,國內也如此。
俞:說到「信息安全」這個詞,英文是Information Security 和Cyber Security。這兩個英文詞有無區別,曾請教過美國戰略與國際研究中心的信息安全專家,他們的解釋是:前者是一個含義較廣的詞,它包括網路和知識產權與數據兩個內容的安全,後者是用於網路安全的一個更恰當的詞,它的含義比較狹窄。在美國,多數人把二者視為是同義詞。布希政府公布的《保護網路空間國家安全戰略》報告中使用「網路安全」(Cyber security)而沒有使用「信息安全」(Information Security)一詞,是認為用「網路安全」一詞更恰當一些,它也反映了一種認識,即政府的作用在於保護信息網路基礎設施,而不是在於人們或企業如何處理他們個人的信息中發揮作用。這一解釋對我們理解信息安全概念是有幫助的。翻閱20世紀60、70年代有關美軍通信保密與作戰的文獻,當時使用的就是Information Security這個詞,後來隨著互聯網的普及,Cyber security一詞應運而生。美國現已是一個網路化的國家,近年來美國許多的新聞報道、學者文章和研究專著中大多使用了Cyber security一詞。中國學者談論的「信息安全」一詞,對應的英文詞顯然是Information Security。這也體現出中美信息化發展階段不同,學者對信息安全關注的側重點也不同。中國還不是一個網路化國家,我們目前更多關注的是信息內容、信息系統運行和資料庫的安全。就信息安全概念的含義,大家接著發表看法。
李:我們簡單回顧一下,二戰前,一般常見的稱謂是,通信保密和通信安全。圍繞著納粹德國製造的著名的密碼機「Enigma」展開的那場較量令人印象深刻。後來增加了電子安全的含義。50年代,歐美國家將上述兩者合稱為信號安全。60年代末,美國率先提出了計算機安全。20世紀80年代中期,美國和歐洲先後開始使用信息安全和信息系統安全的概念,主要包括通信安全、計算機安全、發射安全、傳輸安全、物理安全和相關人員安全等。在世界范圍,直到1988年才開始對信息安全問題引起重視,起因是美國康乃爾大學研究生莫里斯利用計算機病毒,使美國國防部等聯接互聯網的6000台計算機癱瘓數日,這個數字已佔當時上網總數的十分之一,造成上億元損失。接著是1989年,美國和當時的西德聯手破獲了前蘇聯收買的西德大學生計算機間諜案。這兩件事的出現,才使西方乃至全球開始高度重視信息安全問題。這也證明了一點,就是信息安全的概念是不斷演進而來的。從單純的通信保密、信號安全,到後來的計算機安全,信息安全。一般意義上而言,信息安全主要是指信息從產生、製作、傳播、收集、處理直到選取等一系列信息傳播與使用過程中信息資源的安全,其中目前對信息安全的最主要的關注點集中在信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容安全等三方面。需要進一步深化理解的是,信息安全問題更重要的是要關注信息在使用過程中,由於一系列安全疏漏給小到個人隱私、企業利益,大到社會安定、國家安全等重大問題帶來的安全隱患,所以,正是從這個角度說,我們認為信息安全包括兩層含義。另外,在對信息安全的理解中,還需要特別指出的一點是,隨著信息技術的日新月異,信息安全所涉及的領域與問題或者說重點內容也並不是一成不變的。因此,信息安全本身是一個動態的而非靜態的概念。
俞:信息安全概念的含義是一個演進的過程,有關信息安全定義一直存有爭議,眾說紛紜。除李艷談到的一種定義外,還有哪些呢?
張力:信息安全的定義多種多樣。例如,一種定義認為,信息安全就是計算機安全的延伸。另一種定義是從國家安全形度出發,認為信息安全是指一個國家的社會信息化狀態不受外來的威脅與侵害和一個國家的信息技術體系不受外來的威脅與侵害。強調的是社會信息化帶來的信息安全問題一方面是指具體的信息技術系統的安全;另一方面則是指某一特定信息體系(如國家的金融信息系統、作戰指揮系統等)的安全。還有一種定義是重在強調手段,不僅包括技術手段,還包括管理等方面。如美國國家安全電信和信息系統安全委員會(NSTISSC)定義信息安全是對信息、系統以及使用、存儲和傳輸信息的硬體的保護,是所採取的相關政策、認識、培訓和教育以及技術等必要的手段。
唐:第四種說法是將「信息安全」所涉及的內容具體化,認為信息安全是確保儲存或傳送中的數據,不被他人有意或無意的竊取及破壞。它把信息安全分解為:(1)信息設施及環境安全:包括建築物與周遭環境的安全,如門禁管制、信息線路管制、消防設備及災害應變計劃、定期維護硬體降故障機率等安全保護措施。(2)數據安全:確保數據不會被非法入侵者讀取或破壞,如設定及不定期更新密碼、數據備份、檔案區分機密等級、制定使用許可權、加裝加密及解密裝置、記錄上線使用者的使用情形。(3)程序安全:重視軟體開發過程的品質及維護,如確保程序執行無誤、使用手冊及文件說明、加強程序存取數據的安全管理、定期評估程序執行效能、嚴格限制非法軟體的使用、重要或機密之程序應有特殊得的保護措施。(4)系統安全:維護計算機系統正常運作,如操作人員或使用者的訓練、明確劃分操作人員的工作職責、各種定期作業之執行與管理、制定系統各種作業程序之操作流程及手冊說明。也有觀點認為信息安全包括操作系統安全、資料庫安全、網路安全、病毒保護、訪問控制、加密與鑒別七個方面。
張欣:第五種定義的著眼點是強調信息安全與計算機安全密不可分。如美國學者就指出,信息安全的歷史起源於計算機安全的歷史。再如我國1994年頒布的「中華人民共和國計算機信息系統安全保護條例」中指出,計算機信息系統安全保護是指:保障計算機及相關配套設施(含網路)安全,運行環境安全,信息安全,計算機功能正常發揮,以維護計算機信息系統的安全運行。從這一法律規定看,計算機信息系統安全應當包括實體安全、信息安全、運行安全和人的安全。其中的信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制,即確保信息的保密性、完整性、可用性、可控性。這個定義與第一個定義相似,但略有區別。
張力:從以上大家談到的六種不同定義可以看出,它們各有側重和特點,也有相互涵蓋的內容。另外,在研究信息安全的同時,我們還會遇到了「網路安全」的概念。在20世紀80年代後期,尤其是90年代互聯網的發展,網路成了計算機應用的重要形式。網路安全強調在整個網路環境中,尤其在互聯網環境中的安全。通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。我們無需去判定上述定義誰是誰非,但值得指出的是,如今國內許多媒體和網民眼中的信息安全實際上多指網路安全,這有點片面。其實,信息安全的概念比網路安全要大得多。僅以內容安全為例,報紙、雜志、廣播、電視、教科書等都會涉及到內容安全,這難道不是信息安全的范疇?再回到「什麼是安全」這個問題上,國外學者認為,安全是免於危險的一種狀態。國內學者進一步將其釋為「客觀上不存在威脅,主觀上不存在恐懼」。那麼「客觀上存在威脅,主觀上存在恐懼」就是信息安全面臨的形勢。
李:信息安全的概念和內涵是在不斷變化、完善、發展的。從起初的軍事領域和軍隊等特定群體迅速地擴展到了信息化時代社會生活的方方面面,涉及到了每一個人。信息安全的目標從最初的作戰信息保密發展到了信息在各環節的完整性、可用性、可控性和不可否認性;由最初的「防止泄密」轉而發展為防範、監測、管理、評估、控制、攻擊等多方面的基礎理論和實施技術。目前正在向鑒別、授權、訪問控制、抗否認性以及個人隱私、知識產權等的保護等方向不斷擴展。信息安全的研究也由原來的密碼學擴展到了包含計算機科學、管理信息系統、法學、心理學、社會學等諸多學科領域。
唐:國內有專家對信息安全的發展階段作了這樣的概括:第一個發展階段是數據安全,這是計算機的基本安全要求,依賴的基本技術是密碼;第二個發展階段是網路安全,這是網路時代最基本安全要求,依賴的基本技術是防護技術;第三個發展階段是交易安全;這是網路電子交易時代最基本的安全要求。以可信性為主,實施的是自願型保障策略。美國學者把信息安全通常劃分為幾個不同的發展階段:即通信保密、信息安全和信息保障(即Information Assurance)。所謂的信息保障,其內涵是在原來信息安全的基礎上,加入了保護、監控、反應、恢復這幾個環節。也就是說,除了保護以外,還需要有對攻擊進行檢測和評估的理論、技術和工具,實施信息系統靜態和動態的檢測報警,並做出迅速的反應,以減少損失,一旦有損失也可以盡快恢復正常的服務。
三、他山之石
俞:我們知道,像美國等信息化發達國家政府高度重視本國的信息安全,並採取了一系列的保障措施。它們採取了哪些主要的措施,做法上各自有什麼樣的特點,近來又有什麼新的動向,大家可否談談?
張力:一個國家抓好信息安全主要是三方面:其一是在信息安全方面採取的戰略措施及有關政策、法規;其二是強有力的技術手段及有關技術裝備;其三是要有一支人才隊伍。前者反映了一個國家在信息安全方面的重視程度、決心和意志;後兩者則反映了一個國家在信息安全方面的實力,而保障信息安全的前提和基礎則是一國的信息化發展程度。信息安全在不同的時期要有不同的側重點。從實踐來看,各國信息安全重點抓了這幾個方面:個人隱私、密碼技術、互聯網管理、相關執法、網路恐怖和信息戰,還有一些其它相關的社會經濟問題。而信息安全的保障層面是放在了在家庭與個人、企業、政府各部門、國家乃至全球這五個層面上的,換言之,國家的信息安全戰略也應該涵蓋這些不同層面。「9.11」之後,反恐成為美國國家安全戰略的重心。在這一背景下,美國明確了信息技術領域的三個反恐議題:確保信息和網路安全、滿足緊急反應人員對信息技術的需要、信息整合。從此,反恐成為美國當前維護信息安全的重要內容。
唐:美國早在1996年就提出"保護關鍵基礎設施"的重大計劃,2000年1月又提出了一項"保護信息國家計劃"。美國信息安全戰略的重點是保護國家關鍵信息基礎設施的安全,政府在信息安全管理方面的定位主要是兩個方面:一是要保護公民在信息網路中的合法權益;二是要為社會發展提供一個健康、有序的信息化網路環境,包括個人隱私、密碼政策、執法、網路恐怖、信息戰、國際經濟等問題。"911"後,美國政府又出台了十大緊急安全舉措:1、啟動國家信息安全新戰略的研製工作;2、大幅度增加對信息安全的投入;3、提高產業界的信息安全的意識和社會責任;4、改善互聯網服務狀況,加大執法力度;5、加強信息安全各部門間的協調和配合;6、推動信息安全方面的人才培養工作;7、實行信息安全情況通報和社會告警機制;8、提出政府專用網路的建議,引導信息安全產業的發展;9、提出建立信息基礎設施模擬中心的設想;10、加強全社會的網路安全宣傳,提高全民的信息安全意識。最近,美國政府又公布了國家網路安全計劃,美將依靠各公司的志願行動防禦足以造成嚴重損失的潛在攻擊,以確保網路安全。另外,美國和俄羅斯都設有國家信息安全委員會,由總統親自掛帥。"911"後,美國政府很快就成立了"總統關鍵基礎設施保護辦公室",特設"總統網路安全顧問"一職。
張欣:在維護信息安全方面,從戰略認識和政策上,美國始終走在各國的前列,現已建立起一個以法律、政策、技術和管理相互配套的網路安全保護體系。從1984年至今,美先後出台了近20部維護關鍵基礎設施保護和信息安全的國家政策、通告、總統行政命令和國家計劃及戰略,它們均對如何保護關鍵基礎設施和信息系統安全提出了具體的要求。其中有:1995年頒布的第63號總統令(PDD-63)、2000年1月的《信息系統保護國家計劃》、2003年2月的《網路空間國家安全戰略》等。PDD-63和《信息系統保護國家計劃》側重保護美通訊、能源、交通、電力、供水、銀行和金融機構等關鍵基礎設施及政府設施信息網路的安全,而後者更是成為美21世紀信息安全保障的行動指南。《網路空間國家安全戰略》則將信息安全看作為一個所有公民都有責任和義務參與的「整體安全」工程,它推動實現國家信息安全的「社會化」,並強調信息安全戰略應根據網路威脅新變化隨時進行調整。
李:的確,美國的這種憂慮在發達國家中極具代表性。美國是世界上對信息技術運用最充分和廣泛的國家,換句話說,美國對信息技術的依賴性更強。特別是在國際政治斗爭和經濟競爭日趨復雜化、多樣化的大背景下,未來網路恐怖主義攻擊的可能性大大增加。一旦國家重要基礎設施受到攻擊,可以導致社會動盪甚至癱瘓。例如2003年,美國東部、英國倫敦、義大利和美國加州等地就先後因基礎設施出現故障,導致多起重大的電網大面積癱瘓事故,使公眾對這類事故的危害性和基礎設施自動化、網路化後所帶來的脆弱性和安全風險有了切身的體會。「9·11」以來,非傳統威脅日益進入網路世界。這對於信息化程度較高的西方國家來說,防止恐怖分子發動網路攻擊將成為重點防範的對象。
唐:自1999年以來,歐盟委員會每年都推出《通過打擊全球網上非法及有害信息以推動更安全地使用互聯網多國行動計劃》,最新一個版本是2003年的《2005—2008年網路安全補充計劃》。該計劃面向信息網路的所有開發商和使用者,動員全社會「參與抵制非法、有害內容和垃圾郵件的斗爭」。2001年還通過了《互聯網安全綜合計劃》,其首要目的是教育民眾正確認識互聯網的潛在危險性,並計劃建立歐洲預警信息系統,把各成員國的計算機突發事件處理小組(CERTS)聯合起來,統一行動。俄、日等國也不甘落後。日本在2001年公布「電子日本2002」(e-Japan2002計劃)中,將「確保信息安全」作為五大主要方針之一,主張建立「對付網路恐怖資料庫」,收集網路恐怖活動信息,著手開發信息安全評估等基礎技術。歐、俄、日等其他信息發達國家在參考和借鑒美國的基礎上,其做法各有側重,也取得了較好的效果。總體說來,這些國家的信息安全措施有一些共同之處,值得借鑒。
俞:信息化發達國家維護信息安全的一個通行做法,就是制訂和完善相關的法律、法規。美國信息安全法律的細化、專門化在全球獨領風騷,迄今為止,它是世界上唯一一個信息安全相關法律最全面、最完善的國家。其法律涉及計算機安全、個人隱私保護、電子簽名、反黑客等信息領域的各個方面。另外,美還不斷根據形勢的發展和變化,先後修改了《偽造訪問設備和計算機欺騙濫用法》、《計算機欺詐和濫用法》、《計算機安全法》、《網路安全增強法案》等。如2002年7月,美眾院通過修改後的《網路安全增強法案》,將從事黑客攻擊或其他網路罪犯的最高處罰從10年徒刑改為終身監禁。又如,為加大政府對信息通訊網路監管力度,2004年3月美聯邦調查局與聯邦通訊委員會攜手修訂了《通訊司法協助法》。
張欣:歐盟的法律主要側重於個人數據保護和打擊非法及有害信息。1996年的《電子通訊資料保護指令》、1998年的《數據保護指令》、1999年的《網際網路上個人數據保護的一般原則》、《信息公路上個人數據收集處理過程中個人權利保護指南》等,對收集、儲存、利用、傳播以及對參與各種涉及個人信息的活動做出了明確規定。其中,《數據保護指令》的效力還波及澳大利亞、加拿大及東歐國家,迫使它們修改本國法律以與歐盟保持一致。1999年的《推動更安全地使用互聯網多國行動計劃》明確界定了非法及有害信息的打擊范圍。英國《通信管理條例》、《通信數據保護指導原則》、《垃圾郵件法案》,德國《公共場所青少年保護法》和針對網吧管理的《經營法》等均明令禁止在網路上製作和傳播的「極端言行,納粹主義、恐怖主義、種族歧視、兒童色情」等非法及有害信息。
唐:美國信息安全保障機構種類齊全、分工明確。如國土安全部是美信息安全的核心部門,其下屬的網路安全局則負責制訂和協調全國的信息安全計劃,在發生攻擊關鍵基礎設施的襲擊事件時實施危機管理;司法部專門負責網路欺詐等犯罪的調查;聯邦調查局負責對社會互聯網進行監控,掌握恐怖分子的動態,同時還以保護美免遭網路襲擊和制止高科技犯罪作為其今後工作的十大重點之一;國家安全局則只對聯邦政府專用信息網路的安全負責;國會總審計署檢查和監督各政府部門的信息安全工作,並對其發表的敏感性報告加以標識,決定能否公開在網路上,等等。
張欣:2003年2月,歐盟成立了「歐洲網路及信息安全局」,匯集了來自各成員國的安全專家,其職責是向歐洲委員會提供信息安全政策建議,推動各成員國的協調與合作,協助歐洲委員會制定、完善和推廣信息安全標准及認證體制。歐洲各國也都有在相應的主管部門和專門的管理機構,如英警察部門的「網路警察」小組,德國內政部的「信息和通信技術服務中心」和類似「網上巡警」的調
2. 奧巴馬政府是怎麼推動網路安全的
當地時間2月9日,美國總統奧巴馬向國會提交2017年政府財務預算,其中190億美元的網路安全預算以及新推出的《網路空間安全國家行動計劃》得到了安全行業乃至整個社會的矚目。
「我確信我們能夠釋放美國全部的創新潛力,確保我們下一代的繁榮和在線安全。」——奧巴馬
由於共和黨主權參眾兩院,實際上奧巴馬的預算提議被通過的可能性很小。不過,我們可以藉此了解奧巴馬政府長期以來對美國網路安全的重要想法和關鍵部署,以作為參考和借鑒。
美國當前的網路安全威脅狀況
從奧巴馬就任美國總統伊始,就明確指出網路空間安全是國家面臨的最為重要的挑戰之一。
犯罪分子、恐怖分子和敵對國家都越來越傾向於利用網路空間,這種實施容易、成本較低的手段來發動攻擊。而且隨著越來越多的敏感數據存儲在網上,安全事件的影響也越來越大。如,身份信息盜竊已經成為全美增長最快的犯罪行為,重大數據泄露事件更是層出不窮。「科技進步帶來的利益是否有可以能被隨之帶來的風險成本所蓋過」的聲音開始出現。
奧巴馬認為這些新威脅的出現是必然的,而且是在政府的掌控之中的。但是需要對數據時代的安全防護作一個大膽的重新評估,並且投以巨大的資金來貫徹實施最佳的安全戰略。說白了就是,既然互聯時代不可避免,那麼就必須加強安全。此次最新推出的《網路空間安全國家行動計劃》(CNAP, Cybersecurity National Act Plan)也是圍繞著這一主題而展開。
《網路空間安全國家行動計劃》的核心要點
CNAP堪稱集七年來奧巴馬政府網路安全工作的頂尖成果,包括了短期的行動措施和需要實施的長期戰略等方面內容,以確保美國聯邦政府、私營企業和美國公民個人,能夠更好的掌控各自的安全問題。下面是CNAP的四個核心內容:
一是建立「國家網路空間安全強化委員會」。從政府之外引進頂尖的戰略、商業和技術專家,在如何保護個人隱私和公共安全的解決方案和最佳實踐方面,作出關鍵性的推薦。
二是徹底改變美國政府管理網路空間安全的工作模式。提議成立一個31億美元的「信息技術現代化基金」和任用一名「聯邦首席信息安全官」,以幫助淘汰、替換所有政府中使用的陳舊IT系統和軟硬體設備。
三是賦予美國人民保護個人在線賬戶安全的權力。包括使用多因子驗證和其他身份保護措施等安全工具和手段,以及與谷歌、臉譜、DropBox、微軟、Visa、貝寶和Venmo等企業合作,以保護在線賬戶和金融交易的安全。
四是將超過190億美元的網路安全投資做為奧巴馬政府預算的一部分。該筆預算與去年相比增長了35%,主要用於三個方面:保護美國公民在線身份的安全工具;保護企業的運營和數據,防範黑客攻擊;保護聯邦政府更好的為公民提供利益和服務。
(編者註:CNAP的詳細內容見https://www.whitehouse.gov/the-press-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan)
如何保護美國公民的在線個人信息
美國是一個尤其注重個人隱私的國家,奧巴馬政府在此方面實施了大量的安全措施和相關工作。
2014年10月,奧巴馬簽署了保護消費者金融交易安全的總統行政令,推動企業使用微晶元而不是磁條、PIN碼進行更安全的支付,此為奧巴馬「采購安全計劃」的一部分。奧巴馬還呼籲美國大眾改變傳統的在線登錄方式,轉而使用多因子認證。
基於這些機制,美國至今為止已經提供了超過250萬張高安全級別的晶元支付卡,並將在新的計劃中為140萬家小型企業提供網路安全培訓服務。此外,奧巴馬正在著手建立一個「聯邦隱私委員會」以確保政府更好的保護在線個人隱私。
如何保護依賴於互聯網的系統和設備
這個問題事關國家安全和經濟安全,為此奧巴馬分別在2013年和2015年簽署了保護關鍵基礎設施和信息共享方面的兩項總統行政令。
此次發布的CNAP更是強調了幾個關鍵步驟來加強這些系統的抗攻擊能力。如,建立國家網路安全防禦中心。使公司和各領域的機構能夠在一個可控的環境中測試系統的安全性,甚至能提供一個電網的復製品來應對網路攻擊。同時,CNAP還確保了美國政府和工業夥伴開發「網路安全保障計劃」,以測試和認證物聯網系統中的設備是否符合安全標准。
人才方面,CNAP把網路安全預算中的6200萬美元用於網路安全人才建設。包括通過提供獎學金的形式建立網路部隊的預備力量;開發一套網路安全核心課程,以保證希望進入政府的安全專業畢業生具備相關知識和技能;增加安全學術機構及其人員的數量,增加專業知識。
如何打擊網路罪犯和破壞分子
2015年4月,奧巴馬簽署了一項防止全球范圍的網路罪犯破壞美國網路基礎設施、劫持網路,盜取美國企業和危害公民個人信息的行政令。
基於該行政令,奧巴馬政府將把美國司法部與網路安全相關活動方面的資金提高23%,以改善執法機構識別、打擊和逮捕網路罪犯和破壞分子。同時,建立一支6200人的網路部隊(Cyber Mission Force),大力支持美國政府在各個領域內的網路行動。該網路部隊將於2018年全面投入運轉。
奧巴馬還強調了網路犯罪的無國界特徵,因此必須與美國在全球的盟友和合作夥伴聯手打擊網路犯罪和惡意活動。在2015年的G20峰會,美國及G20成員國確認了重要的准則,包括國際法之於網路空間的適用性,國家間不能發起竊取知識產權以獲得商業利益的網路活動,推動國際合作,防範攻擊,以及支持應急響應小組等。奧巴馬政府將通過進一步的雙邊和多邊對話及承諾,將這些准則制度化並實施。
通過以上的內容概括可以看出,這是奧巴馬政府正在設計和實施的,一張未來幾十年美國網路空間安全的藍圖。
3. 歐盟25個成員國成立迷你北約要干什麼
「歐盟啟動防務聯盟!」奧地利12日報道稱,歐盟周一批准了25個成員國簽署的防務領域「永久結構性合作」。該合作框架下的多個項目明年年初將正式啟動。
德國11日稱,「永久結構性合作」機制的目標是讓歐洲更加獨立於北約,其原因是特朗普政府在防務上追求孤立主義,讓歐洲不放心。據稱,該機制將獲得歐洲防務基金的資金支持,以用於采購防務裝備和引進技術、支持研究項目。
「迷你北約」,德國11日這樣稱呼「永久結構性合作」機制,指其還沒有成為防務聯盟,因為歐盟還沒有真正從美國主導的北約中脫離出來。但歐盟已經逐漸把安全政策命運掌握在自己手中。路透社則指出,英國2019年脫歐後,歐盟將失去最強大的軍隊之一。近期歐洲家門口的危機促成了這種更密切的防務合作。
4. 歐盟峰會三大議題進展不一還存在哪些困難
為期兩天的歐盟冬季峰會15日閉幕。會議在「脫歐」談判和歐洲防務一體化兩個問題上取得一定成果,但在歐元區改革問題上未能凝聚足夠共識。分析人士認為,無論此次進展如何,歐盟未來在這些問題上均面臨困難或不確定性。
開啟第二階段「脫歐」談判
除英國以外的歐盟27國領導人15日宣布,英國「脫歐」第一階段談判已在「分手費」、愛爾蘭與英國北愛爾蘭地區間的邊界、公民權利等核心議題上取得「足夠進展」,可以開啟第二階段談判。這被認為是本次峰會的最大成果。
歐盟委員會本月6日發布深化歐洲經濟貨幣聯盟的行動路線圖和具體措施,希望通過將金融危機期間建立的主權援助基金「歐洲穩定機制」變為擁有更廣泛權力的「歐盟貨幣基金」來強化單一貨幣區域,同時向處於經濟困難中的成員國提供更多支持。
這一路線圖得到馬克龍的支持,默克爾也表態積極。但分析人士認為,這一路線圖涉及歐盟財政事務,意味著歐盟最大經濟體德國要出更多資金。鑒於這一問題在德國的政治敏感性,歐盟委員會的改革方案可能受阻。
此外,德國目前仍然陷在選舉後的組閣困境之中,默克爾政府難以出台任何重大決策,這也增加了歐元區改革前景的不確定性。
5. 大數據時代的德國信息化戰略
大數據時代的德國信息化戰略
德國是世界主要的經濟強國之一,也是歐盟國家中重視信息化建設、信息化程度較高的國家之一。為迎接信息社會的新挑戰,確保德國在大數據時代居歐洲領先地位,2014年8月20日,德國聯邦政府內閣通過了由德國聯邦經濟和能源部、內政部、交通與數字基礎設施建設部聯合推出的《2014—2017年數字議程》,提出在變革中推動「網路普及」「網路安全」「數字經濟發展」三個重要進程,希望以此打造具有國際競爭力的「數字強國」。無論是之前的信息社會發展戰略,還是現在的數字議程,德國始終在互聯網基礎設施建設、數據安全保護、挖掘數字化價值創造潛力在公共管理和國民經濟各領域的運用等方面保持了高度關注,這些措施為德國邁入大數據時代提供了有力支撐。
互聯網基礎設施建設為大數據發展奠定基礎
要推動大數據快速發展,網路基礎設施需要達到較高的水平。上世紀末,德國就開始大力進行互聯網基礎設施的建設,並取得了顯著的成效。在1999年德國制定的《21世紀信息社會的創新與工作機遇》行動綱領中,德國提出行動綱領的三個目標,分別是發展傳輸速度更高的互聯網基礎設施、實施「全民享有互聯網」項目以及幫助平時接觸不到網路的弱勢群體也能夠上網。從這份有著統領性質的行動綱領可以看到,互聯網基礎設施建設被認為是德國迎接信息社會挑戰的首要任務和基礎性任務。2009年2月,德國公布了「寬頻戰略」的主要目標和舉措,力圖將德國寬頻網擴充成高速、富有競爭力的網路。在2010年出台的《德國ict戰略:數字德國2015》中,德國提出擴大數字基礎設施和網路以滿足未來需要的要求。為進一步滿足數字化需求、建設必不可少的數字化基礎設施,在近期出台的《2014—2017年數字議程》中,德國決定於2018年前在全國普及高速寬頻。
在政策的不斷強化下,近年來,德國的互聯網基礎設施一直走在時代的前列。1998年,德國互聯網使用者僅為1400萬人,只有15%的學校接入互聯網;而到2009年,根據德國經濟和技術部等機構發布的《數字德國監控報告》,德國家庭互聯網接入普及率達到79.1%,家庭計算機普及率為84.1%,大眾無線電話普及率為130.9%。截至2012年底,德國在100個城市建設了第四代移動通訊網路(4g),大大提高了居民上網的速度。
以數據開放促進科學決策與社會創新
對政府管理而言,大數據的價值在於提供盡可能多的詳盡信息並對信息進行有效分析,促進決策科學化和管理精細化。德國憑借自身較高的信息化水平,通過大型基礎資料庫和地方資料庫的建設,重視在政府管理中運用數據資源服務公眾和服務決策。早在2000年,德國就發布了《2005年聯邦政府在線計劃》,要求聯邦政府到2005年將所有可在網上提供的服務在線提供給公眾。2003年6月,德國推出了整合電子政務的「德國在線」計劃,加強基礎資料庫和地方資料庫建設力度,整合集成大量分散的信息資源,以公眾需求為導向,為公眾提供更便捷的數據服務。資料庫的建設和開放體現了德國一直以來所倡導的「讓數據而不是讓公民跑路」的導向,切實地為公眾提供了便利;資料庫的建設和開放也為各地政府的科學決策提供了基礎。在資料庫的建設中,涉及人口資源、經濟社會、地理環境等基礎資料庫資源的開發建設,主要由聯邦和州一級政府負責,州一級的統計局兼具州政府全面信息服務商的角色。例如,德國西部的北萊茵—威斯特法倫州統計局建立了該州的「中央資料庫」,專門向州政府提供人口分布、地理數據、礦藏信息等信息服務,並提供相應分析軟體。通過應用軟體對大量數據的分析,州政府的各部門能獲得很多有價值的信息,從而促進決策的科學化。類似的大型資料庫的建立,將分散在各個政府部門大量數據整合起來,使德國的政府信息資源得到了很好的利用。
除了強調資料庫在政府系統的運用,德國也重視各行各業之間的信息資源共享。例如,2013年1月,為了提高科研與教育中的數字信息支撐能力,德國科學組織聯盟啟動了第二期數字信息計劃,該計劃主要包括以專業的信息科學與信息技術方法實現科研數據的收集、存儲和開放共享、確保用於科研目的的科研數據不受訪問限制、實現數字出版物的永久保存等內容。可以看到,德國對數據資源的運用並不僅僅局限於數據本身的開放和提供,數據更是促進政府更有效運轉和社會更多發揮創造能力的強有力的支撐,以數據開放來支持和促進社會創新,能夠更好地發揮數據的價值。
「工業4.0」與傳統製造業的數字化升級
「工業4.0」概念於2011年首次出現在德國漢諾威工業博覽會上,2013年,德國聯邦教研部與聯邦經濟和技術部正式將「工業4.0」戰略納入了《高技術戰略2020》。德國認為,工業革命可以分為四個階段,第三次工業革命引入了電子與信息技術,在此基礎上,如果德國可以廣泛地將物聯網和服務網應用於製造領域,在智能工廠中實現數字和物質兩個系統的無縫融合,德國就可以在第四次工業革命的道路上佔領先機,鞏固德國的競爭地位。德國「工業4.0」戰略打出「確保德國製造業的未來」的口號,是德國將信息化的時代特徵與工業化歷史進程緊密結合的戰略。
「工業4.0」的實施重點在於信息互聯技術與傳統工業製造的結合。通過機械和機械之間的互聯和信息流轉,未來的生產過程將變得更加快捷。據德國國家科學與工程院估算,「工業4.0」可以使企業的生產效率提高30%。在「工業4.0」戰略下,生產企業如果能夠增強對大數據的處理能力,整個行業就能更快地邁向數字化與信息化的新階段。
做數據保護和信息安全的典範
出於嚴謹的民族特徵,德國一方面大力推動信息化建設,另一方面格外重視數據保護和信息安全。通過立法來保障信息安全,是德國的一大特色,德國的數據保護法律比較系統和規范,被譽為「歐洲信息安全的典範」。1997年,德國頒布了全面規范互聯網信息傳播行為的法律——《信息和通訊服務規范法》。2002年,德國通過《聯邦數據保護法》,並於2009年進行修訂。《聯邦數據保護法》是德國關於數據保護的專門法,其中規定,信息所有人有權獲知自己哪些個人信息被記錄、被誰獲取、用於何種目的,私營組織在記錄信息前必須將這一情況告知信息所有人,如果某人因非法或不當獲取、處理、使用個人信息而對信息所有人造成傷害,此人應承擔責任。《聯邦數據保護法》修改生效後,更多德國企業開始對客戶信息實施高水平的保護措施,提高了客戶信息的保密性和安全性。在《2014至2017年數字議程》中,德國進一步提出最晚將於2015年出台《信息保護基本條例》。除了立法,德國也通過一系列戰略方案和具體的行動來加強大數據時代的信息安全。
一系列的信息安全戰略提高了德國對大數據的安全運用能力。目前,德國大型企業和政府部門的郵件系統早已運用郵件加密技術;未來,普通電郵用戶發送的信息也將逐步使用加密技術傳送,並且,這些數據信息都將存儲在德國境內的數據中心裡。在大數據時代,德國將朝著加密技術本土化的目標進一步加強數字安全建設。
以上是小編為大家分享的關於大數據時代的德國信息化戰略的相關內容,更多信息可以關注環球青藤分享更多干貨
6. 網路恐怖主義的網路恐怖主義的主要特徵
與通常的暗殺、劫持人質和游擊戰等傳統的恐怖手段相比,為什麼恐怖分子對利用網路進行攻擊這么感興趣呢?我們認為,網路恐怖主義之所以對恐怖分子具有如此大的魅力,主要是網路恐怖主義具有以下幾方面的特點: 重視人才的培養和公民的安全意識教育,發動全社會力量對網路安全進行全民防禦。到目前為止,還沒有「電子珍珠港」事件能夠喚醒公眾採取行動保護網路的意識。許多人都沒有認識到國家經濟和國家安全對計算機和信息系統依賴到何種程度。而保衛網路空間的安全則需要所有人的行動,包括最普通的大眾。美國在《確保網路空間安全的國家戰略》中就提出完善「網路公民計劃」,對兒童進行有關網路道德和正確使用互聯網和其他通訊方式的教育;要建立企業和信息技術精英間的合作關系;保證政府雇員具備保護信息系統安全的意識;在上述行動的基礎上,把提高安全意識的活動推廣到其他私營部門和普通民眾。
許多國家也意識到,僅僅依靠政府的力量是不夠的,必須建立起一個全方位的防禦體系,動員一切可以動員的社會力量。1998年11月,美國能源部、天然氣研究所和電力研究所共同主辦了能源論壇,邀請了100多家電力、天然氣和石油企業和政府代表 參加;2001年1月,包括IBM在內的500多家公司加入了FBI成立的一個被稱作「InfraGard」的組織,共同打擊日趨囂張的網路犯罪活動。 建立相應機構,完善網路安全的管理體制。「9.11事件」後,布希政府迅即採取行動,成立了「國土安全辦公室」,將打擊網路恐怖襲擊作為其主要職責之一。並在「國土安全辦公室」增設總統網路安全顧問,主管總統「關鍵基礎設施保護委員會」,負責制定、協調全美政府機構網路反恐計劃和行動。美國還打算將一些主要的網路安全負責機構並入「國土安全部」,以加強統籌管理。
德、英、日、加等國也相繼成立了主管網路安全的政府機構,如英特網安全特別小組、電腦警察、反電腦黑客指揮中心、反網路恐怖特別小組等等,負責評估威脅源和安全程度,提供適當的保護措施,打擊和防範網路恐怖襲擊。2003年2月,歐洲委員會宣布成立一項聯合打擊對電力及供水等重要設施進行網路襲擊的計劃,並成立「歐洲網路及信息安全局」。該機構將僱傭來自15個歐盟成員國的30名專家,在各國保護網路及信息安全措施的基礎上提高各成員國和歐盟預防和處理網路及信息安全問題的能力。 推動立法,構築堅實的安全防護網。從20世紀80年代開始,美國相繼推出一系列打擊網路犯罪和黑客活動、維護信息安全的各種法律法規,包括計算機安全法、信息自由法等等。2002年7月,美眾議院通過「加強計算機安全法案」,規定黑客可被判終生監禁;美國防部也宣布將正式實施一項新禁令,擴大對外國人接觸美政府計算機項目的限制,禁止外籍人員接觸敏感信息,以確保政府計算機系統安全,防範網路恐怖襲擊。
英國在原有的《三R安全規則》基礎上,於2000年7月公布了《電子信息法》,授權有關當局對電子郵件及其他信息交流實行截收和解碼。2000年底,歐洲委員會起草的《網路犯罪公約》正式出台,包括美國在內的40多個國家都已加入。該公約的目的就是要採取統一的對付計算機犯罪的國際政策,防止針對計算機系統、數據和網路的犯罪活動。2000年1月,日本制定了「反黑客對策行動計劃「,要求在年底前制定對付電腦恐怖活動的特別計劃,建立和健全處罰黑客行為的法律,加強政府控制危機體制。 加強國際社會的合作,建立國際合作體系來共同對付網路恐怖威脅。一國的網路把自身與世界其他地區聯結在一起。各個網路所組成的全球性網路延伸到整個地球,使某個大洲上懷有惡意的人能夠從數千里之外攻擊網路系統。跨國界網路攻擊特別迅速,使追查和發現這種惡毒的行為也變得非常困難。因此,一個國家要想具有確保其至關重要的系統和網路安全的防禦保護能力,就需要建立國際合作體系。
2001年5月,法國和日本共同主持了題為「政府機構和私營部門關於網路空間安全與信任對話」的八國集團會議,這是世界上首次以打擊網路犯罪為主要議題的國際性會議;2001年10月,西方七國集團財長會議制定《打擊資助恐怖主義活動的行動計劃》,呼籲加強反恐信息共享、切斷恐怖分子的金融網路以及確保金融部門不為恐怖分子所利用;2001年11月,歐洲委員會43個成員以及美國、日本、南非正式簽署《打擊網路犯罪條約》,這是第一份有關打擊網路犯罪的國際公約;此外,美國網路反恐專家正在倡議制訂一項國際性的網路武器控制條約。
總之,制止網路恐怖主義需要全球各國政府、企業甚至每個人的合作,從預防入手,在每個環節採取防範措施,這樣才能使網路世界安全。魔高一尺,道高一丈,人類與恐怖分子的網際斗爭將是一場艱巨的持久戰。
7. 簡述網路安全策略的概念及制定安全策略的原則
網路的安全策略1.引言
隨著計算機網路的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵,致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言,其網上信息的安全和保密尤為重要。因此,上述的網路必須有足夠強的安全措施,否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網路信息的保密性、完整性和可用性。
2.計算網路面臨的威脅
計算機網路所面臨的威脅大體可分為兩種:一是對網路中信息的威脅;二是對網路中設備的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
3.計算機網路的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
3.2 訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的帳號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(IRM)可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3.2.3 目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、存取控制許可權(Access Control)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網路伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形或文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
3.2.7 網路埠和節點的安全控制
網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和伺服器端再進行相互驗證。
3.2.8 防火牆控制
防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型;
(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火牆:代理防火牆又稱應用層網關級防火牆,它由代理伺服器和過濾路由器組成,是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。
(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
5. 網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路的安全性將變得十分重要。
8. 網路空間軍事化來了,離動武還遠嗎
美國國防部上周發布新網路戰略,有違美國政府此前「網路空間非軍事化」的立場,不利於全球網路空間的和平與穩定。
美國國防部上周發布新網路戰略,擺出積極防禦和主動威懾的姿態,為美軍確定網路空間作戰的中長期任務。新戰略包含一系列在網路空間實施進攻和威懾的新設想和具體措施,從對網路空間未來發展的影響來看,新戰略有違美國政府此前網路空間非軍事化的立場,不利於全球網路空間和平與穩定。
擴散恐懼,構建國家層級敵人
新戰略反復強調美國網路環境蘊含的風險和網路活動面臨的威脅,在33頁公開戰略文件中,風險一詞出現了31次,威脅一詞則出現46次。報告稱這些風險和威脅既源於互聯網基本架構防範風險能力的先天不足,也源於覬覦美國利益的敵人對美國網路、系統和數據的惡意入侵和破壞。國防部同時發布的一份網路戰略情況說明顯示,驅使國防部制定新網路戰略的一個重要原因,是美國政府和企業遭受網路攻擊的緊迫性和復雜性都在不斷增加。
相較於此前將重點放在防範網路技術與極端主義的結合,新戰略將主要目標確定為國家層級的對手。在新戰略發布會的講話中,美國國防部長阿什頓·卡特一一點名可能對美國構成網路威脅的國家,中國、俄羅斯、伊朗、朝鮮在列。預設這些國家層級的對手,既是為了顯示推出新戰略的必要性,也是在公共輿論中擴散對網路攻擊威脅的恐懼,進而淡化新戰略對社會利益和個人隱私的侵害,更進一步鞏固公眾對國防部和政府政策的支持。
美國決策者慣有誇大安全威脅的偏好,故這類渲染威脅和預設敵人的做法並不鮮見。而對於網路作戰假想敵的選擇表明國防部尋求在網路安全問題上與國家戰略保持一致,新戰略將未來五年國防部網路作戰與國際行動能力的重點放在中東、亞太和歐洲,與美國國家安全戰略中的地緣政治重心基本一致,這並非巧合,而是美國不斷尋找新威脅、塑造新敵人的思維定勢和決策邏輯的傳統使然。
降低門檻,擴大網路作戰領域
最為引人關注的是,新戰略大大降低發動網路作戰的門檻,作戰內容和領域顯著擴大,攻擊性也更加突出。新戰略首次明確美國國家利益受到威脅時可發動網路攻擊,其實質是將網路空間視為作戰平台,軟體工具成為攻擊武器。具體而言,兩種情況下美軍將啟動網路攻擊,一是外來網路攻擊達到可能產生嚴重後果時,二是運用網路攻擊可阻止傷害美國利益的其他威脅時。同時,新戰略並未界定嚴重後果的條件及網路攻擊的前提,這就為美軍根據需要實施網路攻擊開了綠燈。
美國國防部於2011年發布第一份網路空間行動戰略,重點是保護軍隊網路信息系統和國家關鍵信息基礎設施,前參謀長聯席會議副主席詹姆斯·卡特賴特曾批評該戰略過於防禦性。新戰略大可令持批評者放心,因為美軍將不僅可以在遭受網路攻擊時發動反擊,還可以預先阻塞對手的網路攻擊路徑,更可以切斷敵人軍事活動的網路依賴。更重要的是,新戰略預示美國既可運用傳統威懾和攻擊來應對網路威脅,也可運用網路威懾和攻擊來應對傳統威脅,這就從軍事上消除了網路空間和現實空間的界限。
新戰略聲稱,如果總統或國防部長下令,國防部必須能夠提供綜合網路能力,支持軍事行動和應急計劃。當對手基於網路發動對美國的攻擊,就要攻擊正在進行或正在准備時破壞對手依賴的指揮控制系統及軍事網路基礎設施。卡特認為新戰略向世界清晰地傳遞了美國進行網路報復的決心,且有實施報復的足夠能力,這種威懾對美國的網路安全而言非常有利。而這已經超出主動防禦的范疇,顯示美國將網路空間的保護、攻擊和對抗融為一體的攻勢姿態。
全面動員,構建聯合作戰體系
網路空間是美軍繼陸地、海洋、天空、太空後的第五作戰領域,新戰略要求動員各方力量,構建全方位的聯合作戰體系,包括由國防部主導政府部門間、政企間和國際間的協同行動。新戰略的一項任務是至2018年建成一支攻防兼備、形式靈活的網路部隊,包括6200名國防部和軍事部門的軍人、文職人員和合同員工,而此前成立的網路司令部雖然行政上隸屬於軍方的戰略司令部,但其核心成員來自情報系統的國家安全局。新戰略提出將由國防部負責網路部隊的作戰訓練和指導,從而將網路情報職能與網路作戰職能進行區分,由國防部主導網路作戰部隊。
新戰略稱私營部門和研究機構是網路空間的設計者和建造者、網路安全服務的供應者和先進網路能力的研發者,國防部將尋求密切國防部與私營部門和研究機構間技術、人員和信息聯系與合作的新機制。此前國家安全局情報監控項目曝光導致美國政府與私營部門間的信任危機,一些互聯網公司刻意與政府的情報項目保持距離。網路戰略發布會選擇矽谷發源地的斯坦福大學,國防部長卡特前往矽谷推演,招募網路技術人才,就傳遞了新戰略必須獲得信息技術企業和高科技專家支持的信號。
國際上,新戰略則提出加強傳統軍事盟友和夥伴體系間的網路安全與網路防禦合作。除維持「五隻眼聯盟」之間的情報合作外,近年來美國政府推動北約卓越合作網路防禦中心的《塔林守則》成為網路戰的國際法規范,在美日安全磋商機制中增加網路安全內容並將網路防禦和網路作戰協調納入新修防衛合作指針,美澳、美韓等雙邊網路安全合作也不斷充實。新戰略進一部彰顯美國以其盟友體系為核心構建全球網路作戰體系的意圖。
立場倒退,影響網路空間和平
從時序看,國防部推出新網路戰略及4月初奧巴馬簽署對網路攻擊者實施經濟制裁的總統行政命令,都是2月發布的新國家安全戰略的抓落實之舉,預計美國還將陸續推出相關政策和立法,目標仍將是試圖獲得單邊的網路安全和維持網路空間的領導地位。國防部毫不諱言新戰略的進攻意味,卡特在斯坦福大學說:「對手們應當清楚,我們的威懾偏好和防禦姿態不會減少必要的網路選項。」其言下之意是網路攻擊將不存在政策障礙,隨時可以啟動。
新戰略在網路空間軍事化問題上無疑是重大退步,去年3月,美國前國防部長查克·哈格爾在馬里蘭州米德堡網路司令部,還明確表態美國不尋求將網路空間軍事化,稱國防部對在政府網路之外的網路行動保持克制,並敦促其他國家採取同樣做法。其繼任者卡特沒有再次確認軍方對網路空間非軍事化的態度,而新戰略清晰地傳遞了奧巴馬政府網路攻防新思維:網路空間軍事化已是國家戰略,美國要從能力和機制上進行全方位網路戰爭的准備。
美國決意放棄網路空間非軍事化的立場,勢將令國際社會維持網路空間和平穩定的期待受挫,對網路空間的未來發展產生長期和負面影響。然而,網路空間的未來並不會由美國單邊主導,新戰略也蘊含各種矛盾:網路作戰需要得到高科技企業、研究機構、國內公眾和國際盟友的支持,但美國長期、大規模和系統性的全球網路監控不僅侵犯了國內公眾的隱私,也削弱了美國企業的國際競爭力,還破壞了傳統盟友的信任。美國的國際信譽和戰略影響力非比往昔,五角大樓謀劃制勝網路戰爭,將會受到越來越多的掣肘。
9. 現階段安全價值觀主要包括哪些
隨著網路安全威脅形勢的惡化,以及全球范圍越來越嚴苛的網路安全監管環境,相信沒有哪家企業敢說 「我們不需要網路安全!」。防範企業安全看起來是一項「技術活」,但安全攻防的本質是「人」的對抗。同缺乏交通安全意識是交通事故頻發的重要原因一樣,網路安全意識淡薄是網路安全事件頻發的關鍵因素。不在員工安全意識、企業網路安全文化建設方面投入,不為全員賦能優先考慮「安全性」的企業,將無可避免地淪為網路罪犯任意宰割的「羔羊」!
你需要安全意識官嗎?
歐洲網路與信息安全局(ENISA)對「網路安全文化「的定義是指人們對網路安全所持有的知識、信念、認知、態度、假設、規范和價值觀的總和,以及對待網路安全所展現出的行為方式。講企業網路安全文化就是要將安全考量作為每一名員工工作、習慣和行為不可或缺的有機組成部分,將網路安全潛移默化地嵌入到日常的一切網路行為中。
國外一些企業已經為 「安全意識」、「安全文化」 相關工作設置了專門崗位,職位名稱如: 「Cyber\Security Awareness Expert\Advocate\Lead\ProgramManager、Specialist \Consultant」\"SecurityInfluence & Culture Manager"\"SecurityCommunications Manager", 甚至設有 "SecurityAwareness Officer (SAO)" 一職。
聽上去高大上,但當安全意識官可不是件輕松的活,很具有挑戰性。這個崗位全面負責企業的安全意識與教育計劃,通過確保企業內部所有員工、外部相關第三方了解、理解並遵守組織的安全要求,以安全的方式行事,從而降低組織的安全風險。
目前,安全意識官還是一個嶄新的職業,也是令人心動的領域,未來仍有待開發探索,但這一角色在企業安全管理中具有戰略性意義,他/她對組織的整體安全、風險管理、企業安全文化等方面將帶來積極的重大影響。
打造「網路安全第一的」企業文化
「9·11」事件之後,紐約大都會運輸署 (MTA) 曾打出了一條標語:「這個城市有1600萬雙眼睛,我們就指望所有這些眼睛!」,旨在讓市民意識到每一個人在城市遭受另一次恐怖襲擊時都處於第一線,讓每位市民都意識到他們在保護城市和自身安全方面發揮著重要作用。
企業網路安全文化建設可以做同樣的事情,需要 「All in」,全員參與,發揮 「人是網路安全的第一道防線」的重要作用!在頂層設計上,將網路安全融入到公司使命與願景中,將安全基因注入現有企業文化,清楚地表明安全性是不可協商的、不可妥協的。在企業里從上至下每一名員工都應該意識到:「網路安全,我們責無旁貸!我們每一個人將安全融入到實際崗位工作的每一件事情之中,我們的企業就會更安全!」
塑造組織級的網路安全文化,甚至是一個部門的安全文化,都不是件易事。總的來說,人們不喜歡變化,而變革需要時間,需要精心培養和打造,長期持續的投入、創新、改進和優化。
構建網路安全文化需注意三大問題
1.對於企業安全文化而言,最危險的情況莫過於理念與行為的背離。要想要在具體實踐中做好「以人為本」的企業網路安全文化建設,各級管理者需要以身作則,推動安全行為由上至下的改變,公開推廣安全文化對組織、個人和客戶的價值與重要性。
2.需要打破生產力和網路安全之間矛盾的困境。IT安全團隊關注的似乎永遠是:安全性、安全性、還是安全性!而其它團隊在實際工作中往往更關注的是:效率、生產力、便利性! 對IT安全部門有負面看法,認為是一個 「Say No」 的部門,這種矛盾和否定性是建立和維持網路安全文化的主要障礙。
3. 打造企業網路安全文化需要內部各部門的積極配合,需要做大量的內部傳播、營銷、公共關系工作,這不是僅憑安全部門就可以實現的,創建一支多學科團隊涵蓋這些關鍵技能是必須的。
目前階段,國內企業真正關注網路安全文化建設還不是普遍現象。在強有力的「網路安全文化」影響下建立自覺的、安全的行為習慣,就能成功地從「最薄弱一環」轉變為防禦網路攻擊的「最強大資產」,再結合各種技術手段與風險管理策略,企業才能真正增強網路安全信心,在網路風險防範中取得最大優勢!來源互聯網安全大會