第一篇:信息安全在国家经济安全中作用的分析
信息安全在国家经济安全中作用的分析
摘要:本文以系统工程定性定量的综合方法研究信息安全在国家经济安全中的作用。首先对国家经济安全进行属性分析,量化相应的社会运动成份,得到其关键因素。其次定量分析信息安全领域内的各类威胁对国家经济安全关键因素的作用。并以此为基础,在整体上定性地得出信息安全对国家经济安全的作用。
关键词:系统工程;定性定量方法;信息安全;国家经济安全 引言
当今世界范围内经济全球化迅猛发展,各国之间的经济联系不断加强,国家经济安全在国家安全中占据重要地位,越来越成为影响国家安全的重要因素。同时,随着信息革命的快速发展,以信息技术为基础,各国正在进入信息社会和知识经济时代,信息安全成为国家安全的基石之一。党的十六届四中全会,把政治安全、经济安全、信息安全、文化安全和国防安全并列为国家安全的五大范畴。在这一背景下,对国家信息安全与经济安全之间的关系进行全面深入地分析显得越发必要和紧迫。
根据钱学森的论述[1],国家经济系统和信息系统都是社会复杂巨系统中开放的复杂子系统,要以系统工程定性定量相结合的综合方法进行研究。本文应用该综合方法研究信息安全在国家经济安全中的作用,并对其内在机制作出具体的解析。国家经济安全内容与关键影响因素
当代国家之间的竞争主要是在经济领域中的竞争,世界范围内国家的综合实力主要体现为经济实力和经济发展潜力。例如,在文献[2]中,Sameul Huntington认为当世界处于发生国家战争的或然率较低的状态时,经济力量将是决定一个国家在世界格局中所处地位的主要决定因素。因此在当代,国家经济安全具有日益重要的作用。
国家经济安全主要是指是直接相关国家战略利益的经济状态。1999 年美国白宫新闻总署发表的《新世纪的国家安全战略》[3]中,把保障美国的经济繁荣作为国家安全战略的核心目标之一。我国学者雷家骕等[4]认为其主要内容为:“国家经济在整体上主权独立、基础稳同、运行健康、增长稳定、发展持续;在国际经济生活中具有一定的自主性、防卫力和竞争力;不会因为某些问题的演化而使整个经济受到过大的打击和遭受过多的损失;能够避免或化解可能发生的局部性或全局性的危机。”根据目前学术界研究的情况和相关成果[5],可以把国家经济安全归纳为:从总体上国家经济安全是指主权国家根本性的经济利益不受伤害、经济战略利益的零风险或低风险的状态。根本经济利益主要包括基本经济制度、经济主权受损和经济危机发生这三个方面。其主要表现形式为国家经济主权和经济制度整体上稳固、健康运行,国家的经济发展和经济利益不受外部和内部的威胁而保持稳定、有序和持续的发展,相应的经济风险处于可控状态。2.1 国家经济安全内容
国家经济安全主要包括国家产业安全、金融安全、技术与信息网络系统安全、国家职能机构的信息安全以及国土生态环境安全。它们之间相互依赖、不可分割,构成了国家经济系统的整体安全。
1.产业安全。本土产业是国家经济中的重要组成部分,国家的综合国力主要表现为本土产业的国际生存力与竞争力。而保持产业安全是其快速稳定发展的根本保障。
2.金融安全。即金融贸易安全。在今天世界全球化过程中,随着信息科技的不断进 步,金融贸易数字电子化、信息化和全球化,各国的金融市场之间产生了相互越来越紧密的联系,一体化程度不断提高,国际资本市场基本上联接成为一个信息网络。这时,金融安全是国家经济安全的一个重要组成部分。
3.技术与信息网络系统安全。当今世界经济全球化伴随着信息社会和知识经济时代的到来,信息社会和知识经济的发展是直接以科技革命产生的高、新科学技术作为支撑的。同时,主要以计算机技术与信息技术为基础的信息网络系统得到了快速发展,在国家经济运行的各类经济实体中得到了广泛而迅速地应用。信息网络系统主要包括各类信息计算处理系统(例如可信计算平台、云计算平台等)和各类互联网络系统(包括电信网、因特网、局域网、广播电视网,和金融互联专网、铁路通信专网、电力通信专网等)。随着互联网和信息系统的不断发展,其在国家经济实体中逐步得到普遍而深入的应用,这使得各类传统经济单位的组织结构和运行模式发生了根本性的改变,加快了其经济发展的速度和效率,同时也推进了经济全球化的进程,成为现代信息社会新知识经济发展的基础设施。所以,在当代信息社会中,国家经济的全面可持续发展离不开科技与信息网络系统安全。
4.国家职能机构的信息安全。国家职能机构主要包括政府部门和军事组织等,维护国家职能机构的信息安全是国家经济安全的充分前提条件。
5.国土生态环境安全。随着经济的不断发展,环境和生态问题越来越成为制约各国整体经济发展的重要因素,构成了国家经济安全的一个重要方面。2.2 当代影响国家经济安全的关键因素
国家经济系统是社会中开放的复杂子系统,要以定性定量相结合的综合方法进行研究。首先定性国家经济安全的本质属性,综合归纳当代世界范围内各个国家的经济能够稳定并可持续发展必备条件,根据它们的性质对其进行解析,得到三类必备属性:经济发展的动力、空间和载体,它们是国家经济安全发展的本质属性。其次定量具有这些本质属性的关键因素,根据作用属性分解当代社会中对国家经济安全产生影响的各种运动成份,去除不具有上述三类必备属性的影响因素,得到三类影响国家经济安全的关键因素。
1.高新科技—经济发展的动力。高新科技是指人类社会各领域在当今科技革命过程中产生的能够创建经济增长点或产生新经济的、对经济的可持续发展起支撑作用的具有发展与创新性质的知识原理、技术和工艺等。其主要包括计算机与信息科技、电子科技、新能源科技和生物科技等。随着新科技的发展,当今世界已经进入信息和知识经济时代,以高新精技术为基础的现代生产力成为首要的社会前进动力,高科技产业在国家经济实体中占有越来越重要的地位,高科技经济在国民经济中越来越占据主导地位。例如计算机软件或硬件产业、信息与通讯产业、微电子产业、金融服务业等高科技产业所创造的经济效益在国家整体经济收益中所占的比例逐年上升,逐渐成为国家综合国力的重要组成力量。综上所述,高新科技是影响国家经济的关键因素,对国家经济安全起到关键性的作用。
2.经济全球化—经济发展的空间。经济全球化促进了世界各国的经济发展,同时给国家经济安全带来了相当程度的威胁。主要有以下三个方面:
⑴.经济全球化加剧了对各类资本和生产资源的争夺,在国家、经济实体和个人三个层面上发生了日益激烈的相互对抗和斗争,可以对世界范围内各国经济的健康发展环境造成破坏,阻碍并抑制各国经济的可持续发展。其中典型的实例是世界各国对构成当今经济发展主导生产力的知识科技等智力资本、以及金融资本和生产资料等生产要素的争夺,激化了各国、各经济运行实体之间的矛盾,促进并加强了国家、经济主体之间以利益为目的的经济渗透与反渗透事件(以知识技术失窃或信息泄漏为代表事件),使各国经济的健康发展面临利益损失或失去竞争优势的风险。
⑵.经济全球化使世界各国经营实体在全球范围内相互之间产生直接的或间接的经济关系,加宽了各种经济行为之间的联系途径,使各国经济联系日益紧密。例如经济体之间直 接进行生产协作或共同经营等直接联系,不同产业之间通过期货、股票等金融贸易产生间接联系等。各国经济实体相互之间联系的加强和关系的紧密一方面促进了各国经济的共同发展和各产业利益的共赢,但同时在另一方面加大了各国及其国内产业所承担的经济风险。主要表现在以下两个方面:
①经济风险在各国或各个经济实体之间的传递性。经济全球化形成了商品生产的国际化,同时生产专业的分工逐步细化,这就使各专业经营经济实体之间合作程度加大,形成产业网络。其中的各产业的经济利益在整个商品生产流通的过程中相互依赖,相互影响。当其中某些经济经营实体在其生产过程或经营管理中遭受经济损失时,产生的危害将危及产业网络中其它经济实体的利益。例如,大豆出产国的大豆产量由于气候原因而降低时,将导致国际上相关豆油加工企业的生产量降低,从而连带地承受经济风险。
②世界经济发展的格局不均匀,各国对经济运行的控制能力不平衡。在当今世界范围内的经济全球化过程中,发达资本主义国家掌握着高新技术和生产方式的国际化过程,控制着生产资源的配置方式和经济贸易规则的制定权,具有在经济发展上的各种优势,处于全球经济发展的主导地位,是主要的经济受益者。相应地,经济发展中的不对等现象使处于劣势的国家控制经济风险的能力较弱,对所遭受的经济危害的承受能力较低。例如期货、股票或货币市场投机所引发的经济动荡,对经济欠发达国家产生的利益损害要大于经济较为发达的国家,这是因为经济欠发达国家对国际资本或金融的控制力较弱、本土资本运营环境较差(例如金融体系不完备、相关资源相对不充足),并且对国际经济规则的承受能力较低,所以经济动荡产生的危害后果在经济欠发达国家中表现得更为充分。
⑶.信息网络空间—经济发展的载体。21世纪全球进入了信息社会和知识经济时代,信息网络遍布社会各个层面、行业和机构,连通各个国家和地区的信息交流,应用于生产、生活的各个方面,使经济领域、行政管理领域、以及教育和军事等领域内的行为或运作方式发生了根本性的变化。同时,国家经济安全也进入了网际安全时代,信息网络空间的安全范围不再局限于信息网络系统本身,而是扩展包括与之相连的所有社会空间(即网络空间)。金融与商品贸易网络空间与经济支持与管理网络空间是其中关键的两个网络空间。
①金融与商品贸易的网络空间。世界信息与知识经济的快速发展,加快了资本在世界市场的范围内流动,推进了商品和金融贸易的一体化进程,形成了以信息网络体系结构为载体的新经济空间。目前各类商品贸易或金融贸易都建有专业局域网和多级数据库系统,用于传输交易信息和存储海量数据。由于在网络空间内进行经济活动,改变了生产要素的周转流通模式,使各种交易方便快捷,所以节省了大量的时间和经济成本,提高了经济效率,增加了利润率。但是同时,金融与商品贸易网络空间的形成对各国的经济安全构成了比以往更大的威胁。在该空间内,各国的金融与商品贸易市场分别是世界金融与商品市场的组成部分,各经济实体的商品生产行为之间的相互作用更广泛、更直接,各国金融市场的联系更紧密,从而导致各类商品(包括金融商品)的市场价格更加紧密相关,一国商品市场或金融市场的萧条对其它国家经济产生的破坏力也越大。尤其在当今经济全球化的环境中,金融体系是现代经济的核心要素,金融网络空间中各国、各产业的金融联系更加密切。但同时金融网络空间中虚拟经济与实体经济之间的偏差越来越大,所以由此引发经济危机的或然率也越大,并且产生的破坏性也更强。例如上个世纪九十年代发生的亚洲金融危机的发展过程是对上述论述很好的阐释,该危机首先由泰国引发。泰国政府为减少资产泡沫(虚拟经济与实体经济之间偏差),调整货币政策,实行浮动汇率制,导致了该国金融市场的危机。其影响迅速波及东南亚地区金融网络空间中的各个国家,造成东南亚金融风暴。该风暴通过金融网络空间进一步对香港、韩国等地区和国家的经济造成影响,最终形成亚洲金融危机。
②经济支持和管理网络空间,主要包括行政司法领域、军事领域和生态环境。行政司 3 法领域的支持和管理空间主要是指国家对经济运营行为与经济秩序进行管理和规范。世界经济的市场全球化带动了金融一体化与货币趋同化,加强了国家之间的经济融合,但是同时这一进程也削弱了国家主权。例如Kapstein[6]和Moran[7]分别对此进行了论述。相应的,如果不对国家经济的运营进行相应地约束,国家经济无序的不良发展将不可避免地对国家经济安全造成危害。典型的实例是目前发生于美国的次贷危机,由于国家没有对虚拟经济与实体经济之间的巨大差异进行有效的掌控,同时也没有对金融系统运作的规范性进行及时的监管,最终导致次贷危机的发生。军事领域空间是指国家军事实力和与之相关的军事能力是保障经济安全最终力量。生态环境空间是由信息网络联接起来的环境系统,包括所有可影响国民生活状况和经济可持续发展的自然环境。经济的发展要依托于自然环境,同时人们的健康生活也离不开自然界的支持。如果经济生产导致生态环境恶化,国家的经济建设将不可能持续发展,国民的正常生活也得不到保障,所以生态环境是影响国家经济安全的关键因素。
3.信息安全在国家经济安全中作用
在信息社会中,信息是最重要的生产力载体。例如我国学者乌家培[8]认为“信息是最重要的生产力软要素”。从技术革命以来,信息技术相伴经济全球化过程迅猛发展,信息技术在当代已经成为知识经济发展的基础。文献[9]中对此情况进行了总结:“现在,经济潜力正越来越多地同控制和操纵信息的能力联系在一起。”为了完善信息安全保障体系,目前国际上成立多种信息安全应急组织。欧洲、美洲、亚洲等地区的国家和地区都相继建立了各自的信息安全应急组织,其中亚太地区成立了“亚太事件响应协调组织(APSIRC)”。信息安全在国家经济发展中起到越来越重要的作用。3.1 信息安全内容及安全威胁种类
信息安全是一个广泛而抽象的概念,社会上不同的领域对其内容有不同的阐述。例如对于商业领域,信息安全主要是指消除或减小经济主体可能面临的经济风险,避免商业信息或秘密数据的泄露,控制商业经营过程中可能出现的错误行为,保持业务流程的可操作性,使可能的经济利益损失降低到最小。根据当前学术界研究的相关成果,本文从总体上对信息安全的内容给出如下定义:信息安全是指构成社会重要组成部分的信息网络空间的安全。该空间内包括信息网络系统及其直接或间接联通的各个领域,不仅包括各类自然科学领域,同时也包括各种社会领域,例如产业、政府和军事等领域。在这里,信息网络空间的安全是指空间的整体安全和空间中各组成部分的安全,主要包括正常运行保障、主体利益维护和潜在风险排除三方面的内容。
在信息安全领域内,根据对打击对象进行破坏作用的运行机制,可以把安全威胁因素主要分为以下六类:
1.恶意软件。主要包括病毒、木马以及蠕虫等。其中病毒是具有自身繁殖和传播感染功能的、对系统环境产生破坏作用的软件。例如2006年的“熊猫烧香” 病毒通过网络传播产生了很大的破坏作用。
2.漏洞利用。由于软件具有脆弱性,攻击者可以对其利用进行危害系统安全的操作。例如目前Microsoft 公司生产的Windows操作系统中存在的MS Windows SeImpersonatePrivilege权限提升漏洞可以被攻击者利用,对Microsoft Windows XP SP2、Microsoft Windows Vista、Microsoft Windows Server 2008等系列产品软件进行安全破坏。
3.信息泄露。攻击者通过窃听、业务流分析或预设后门等方法获取重要数据或秘密信息,导致相应的经济或政治等方面的危害。
4.暴力攻击。包括物理上的和非物理上的攻击。典型的物理攻击是系统内部员工非法破坏系统的物理设备,使系统无法正常运行。具有代表性的非物理暴力攻击如僵尸网络兵团发起的拒绝服务攻击以及重放攻击等。5.伪装欺骗。假冒为合法的或得到授权的行为主体,在信息网络系统内进行欺骗等非法活动。例如“网络钓鱼”欺骗常常把恶意网页伪装成知名银行或信用卡公司的官方网页来骗取用户的信任,非法侵害用户的经济利益。
6.自身失误。系统内部设备的配置失误或员工的配合失误等,也可以对系统造成危害。
3.2 各类安全威胁对国家经济安全关键因素的作用
本文以定性定量综合方法分析信息安全与国家经济安全之间的关系。安全威胁与信息安全是同一事物的两个方面,本文通过定量各类安全威胁对各类国家经济安全关键因素的作用,解析信息安全在国家经济领域中的具体作用。
1.恶意软件对三类经济安全关键因素都可以产生较大的影响。例如违纪企业可以通过木马侵入目标系统窃取科技数据与资料,危害知识产权。并以非法获取的先进科技在经济领域进行不公平竞争,妨害了世界经济市场的规则,损害了他方的经济利益。
2.漏洞利用可以对信息网络系统产生较大威胁。攻击者利用系统中存在的软件代码缺陷非法侵入,并植入攻击软件,对系统进行恶意破坏。
3.信息泄露主要对高新科技和经济全球化产生影响。国家机密文件、商业秘密数据或关键技术的泄露能够危害世界市场的经济秩序、扰乱国家正常的经济行为。
4.暴力攻击直接地破坏信息网络空间的安全,对国家的经济发展造成威胁。
5.伪装欺骗主要作用于信息网络空间,利用网络信息技术获取经济利益,妨害信息网络空间的安全。尤其对于金融系统,伪装欺骗妨害其正常的经济活动,给其带来较大危害。根据IBM公司于今年8月最新公布的X-Force安全趋势与风险报告(IBM X-Force 2010 Mid-Year Trend and Risk Report),金融系统是黑客进行“钓鱼欺骗”时主要的假冒对象,如图1所示:
图1.2010年度钓鱼欺骗的伪装对象
6.自身失误主要是对本系统网络形成危害。3.3 信息安全对国际经济安全的整体作用 以上节的定量分析为基础,定性分析信息安全对国家经济安全的整体作用,得到: 1.信息安全对国家经济正常发展的前提。当今时代是信息社会的知识经济时代,科技进步和经济全球化进程日益推动世界范围内的信息网络空间的发展。并且信息技术日益与现代生产力结合,深入应用于社会各领域,所以在社会生产和生活领域信息安全已经成为国家经济健康发展的前提之一。同时信息安全也是维护国家主权和军事安全的基础之一,如果没有信息安全,国家军事安全得不到保障,国家主权将会削弱,国家经济安全将会失去支 撑。因此,在国家行政和军事领域信息安全也是保证国家经济繁荣稳定的基本前提。综合分析,信息安全是国家经济健康稳定发展的重要前提,信息安全的作用已经提升到国家战略的高度。例如美国1997年颁布的《信息对抗作战条令》中提出了信息对抗的概念,明确指出信息至关重要,确定信息对抗的应用范围是包括军事领域、经济领域和政治领域等在内的综合环境,信息网络系统空间是国家安全的第五维空间,信息安全是保障国家经济稳定发展的重要前提。
2.信息安全对国家经济正常发展的保障作用日益提高。随着经济市场全球化发展和信息网络空间的扩张,信息安全领域内各种安全威胁不断增加。例如根据IBM公司公布的2010年上半年度X-Force安全趋势与风险报告(IBM X-Force 2010 Mid-Year Trend and Risk Report),在2000年—2010年期间每年发现的软件漏洞数量整体呈上升趋势,其中今年上半年全球披露的软件漏洞数量相比于去年同期同比增长36%(如图1所示),软件漏洞整体数量不断加大(如图2所示)。
图1.2000-2010每年上半年披露的软件漏洞数量
图2.1998-2010年间网络应用软件漏洞的整体数量不断上升
但同时,对发现的软件漏洞进行补救的工作却越来越困难(如表1所示),相应补救工作的速度跟不上新漏洞出现的速度(如表2所示)。
表1.2010年上半年未修补漏洞的百分比
表2.2009与2010年厂商对发现的漏洞未进行修补情况的对比
目前,信息安全威胁已经发展到更高的阶段,其所采用的方法比以往更复杂,并且常常包括多种破坏攻击技术(例如同时应用病毒、后门和间谍软件等),可以产生更大的破坏作用。例如,2008年Gartner组织公布的一项研究报告表明2008年以前每年由于病毒等网络欺诈行为导致全球经济损失高达160多亿美元。2009年发生的HeartlandBreach信用卡失窃事件使1.3亿信用卡和相关交易数据被泄露。
同时,信息安全威胁向着所需代价更小、产生的危害更大的方向发展。例如2010年IBM X-Force报告表明:对于“漏洞利用”威胁,当前能够通过较小的代价获得较大的收益(如图3所示)。
图3.利用漏洞所需代价与可获得利益的对比
与安全威胁的增长相应,信息安全领域内安全保护的高精尖理论方法与技术不断研发,保障措施不断进步,有效地控制了安全威胁事件的发生,把危害程度减到最小,保障了国民经济稳定有序地发展。例如对于“身份认证”威胁,相应有可验证的加密签名[10]、密钥隔离签名[11]和基于身份的公钥密码[12]等技术方法保证信息的机密性、完整性和身份的不可抵赖性,有效的预防和杜绝欺诈行为的发生。
随着科技和经济的发展,各国的信息化程度将不断提高,信息技术会不断发展,其在社会生产和生活中必然会得到日益广泛而深入的应用。同时信息网络空间将不断扩大,使国家之间、地区之间以及社会个体之间的联系更加紧密。在这一发展环境中,信息安全对国家经济正常发展的保障作用将日益提高。综上所述,在当代信息安全是国家经济安全发展的基础之一,是国家经济安全的必要前提和重要保障。结论
国家经济安全是一项系统工程,本文以定性定量相结合的综合方法分析信息安全在其中的作用,并得出结论:信息安全是国家经济安全的必要前提和重要保障,并且这一状况将随着社会的发展而长期存在。文章命题是在知识经济与信息科技革命的迅猛发展的背景下提出,目的是对两者之间的相互联系给出内在机制,并对国家经济的健康稳定发展在信息安全领域给出具体解释。
参考文献
[1] 钱学森, 于景元, 戴汝为.一个科学新领域一开放的复杂巨系统及其方法论.自然杂志,1990, 13(1): 3-10.[2] Sameul Huntington.Why Internatinal Primacy Matters.International Security, 1993.p72, p76.[3] 美国白宫新闻总署.新世纪的国家安全战略.1999(12).[4] 雷家骕.国家经济安全理论与方法.经济科学出版社, 2000年, 第7页。
[5] 叶卫平.国家经济安全定义与评价指标体系再研究.中国人民大学学报, 2010(4):93-98.[6] Barnaby Kapstein.The Political Economy of National Security:A Global Perspective.New York, 1992, p188.[7] Theodore H.Moran.American Economic Policy and National Security.New York, 1993,p41-70.[8] 乌家培.信息与经济.清华大学出版社, 1993, 第27页.[9] 韩保江著.全球化时代.四川人民出版社, 2000, 第l8页.[10] Boneh D, Gentry C, Lynn B, et al.Aggregate and verifiably encrypted signatures from
bilinear
maps.In: advances in Cryptography-Eurocrypt 2003, LNCS 2656.Berlin,Springer-Verlag, 2003.416-432.[11] Dodis Y, Katz J, Xu S, et al.Strong Key-Insulated Signature Schemes.In: Public Key
Cryptography-PKC 2003, LNCS 2567.Berlin: Springer-Verlag, 2003.130-144.[12] Boneh D, Franklin M.Identity-based encryption from the Weil pairing.SIAM, J Comput,2003, 32(3): 586-615.
第二篇:国家信息安全测评
国家信息安全测评
信息安全服务资质申请指南
(风险评估一级)
©版权2014—中国信息安全测评中心
2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
目录
目录 2 引言 3
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全风险评估过程能力要求...........................................................................................6 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
十、联系方式..............................................................................................................................13
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和风险评估的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和风险评估安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、风险评估监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(风险评估一级)的境内外组织。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
一、认定依据
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全服务(风险评估一级)资质的组织需要在基本资格和基本能力、发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(风险评估一级)》的规定。
3.1 基本资格要求
申请信息安全服务(风险评估一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全风险评估服务提供保障;
2.必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证; 3.与安全风险评估服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统的状况进行调研、分析和描述的能力;
4.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力;
5.具有对信息系统的资产及其影响进行识别、分析和评估的能力; 6.具有对信息系统的脆弱性进行识别分析和评估的能力; 7.具有根据信息安全风险的结果提出应对安全措施的能力; 8.具有应用国际国内最新信息安全风险评估方法的能力; 9.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全风险评估服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有实施信息安全风险评估服务的相关工具和设备。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系;
3.有足够的人员从事直接与信息安全风险评估服务相关的活动。
3.2.6 业绩要求
1.应有从事信息安全风险评估服务的经验;
2.近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
3.3 安全风险评估过程能力要求
安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。申请组织应能实施以下6个安全风险评估过程域: 1.风险评估准备
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
2.评估系统资产的影响; 3.评估系统存在的脆弱性; 4.评估系统面临的安全威胁; 5.评估系统已有的安全措施; 6.评估系统的安全风险。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域: 1.质量保证; 2.管理项目风险; 3.规划技术活动; 4.监控技术活动;
5.提供不断发展的技能和知识; 6.与供应商协调。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://www.xiexiebang.comITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全风险评估服务能力做出基本判断,初步确定申请组织的信息安全风险评估服务能力水 发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
平状况,为现场审核做准备。如果在静态评估阶段发现申请组织的信息安全风险评估能力不能满足资质要求,将要求申请组织进行整改,待整改完成达到后进入现场审核阶段。
4.4.2现场审核
现场审核是对申请组织从事信息安全风险评估服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全风险评估服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全风险评估服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全风险评估过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全风险评估服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.xiexiebang.comITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
未获得安全工程类服务资质的机构,首次申请风险评估资质(一级)费用: 2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+15000(三年年金)=38000元。
未获得安全工程类服务资质的机构,风险评估资质(一级)维持费用: 2000(申请费)+3000×2×2.5(二人二日半测评费)+3000(审定与注册费)+5000(三年年金)=35000元。
已获得安全工程类服务资质的机构,申请风险评估资质(一级)费用(首次申请和维持):
2000(申请费)+3000×3×0.5(三人二日测评费)+3000(审定与注册费)=9500元
已获得安全工程类服务资质的机构申请风险评估资质时不再重复收取年金。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为四个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间延误不计算在内。发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
十、联系方式
名 称:中国信息安全测评中心 资质评估处 地 址:中国北京市海淀区上地西路8号院1号楼 邮 编:100085 传 真:010-82341100 咨询电话:
资质受理: 010-82341582、010-82341568 证后管理: 010-82341553
发布日期:2014年5月1日
第三篇:安全培训需求分析在人力资源管理中的作用
安全培训需求分析在人力资源管理中的作用
摘 要:安全生产是每个企业的愿望和追求,也是社会、国家对企业的基本要求,企业员工的安全意识和能力是实现安全生产的基础,主要来源于安全培训。因而,进行科学合理的员工安全培训是企业人力资源管理部门应尽的职责和法律义务。在组织安全培训过程中,培训需求分析有着非常重要的作用,有利于更好地确定安全培训内容,节约培训资源,提升培训效果。
关键词:安全培训 需求分析 人力资源管理 作用
在人力资源管理中,员工安全培训不仅能有效地提高企业员工的安全意识和能力,提升企业安全生产水平,减少安全事故发生的机率,满足安全生产的需要,同时,也是企业应尽社会责任和法律义务。因此,每个企业都应该高度重视员工安全培训,科学地分析安全培训需求,夯实保证安全培训质量和效果的基础,推动人力资源管理的进步和提升。
一、安全培训的意义
2005年以来,中国共产党提出将“和谐社会”作为执政的战略任务,社会对安全生产的关注度不断提升,国家陆续出台了多项确保安全生产的法律法规、标准规范,企业也不断增加安全生产的投入,引进先进的管理理念和管理工具,使用先进的生产和安全设备设施。企业员工接受先进的管理理念,具备使用先进的管理工具、生产和安全设备设施的能力,是企业人力资源开发的重要内容,因此,安全培训就显得尤为重要,不管是对企业自身还是对员工个人来说,都有着积极的现实意义和作用。
对于企业来说,针对性和时效性强的员工安全培训,可以不断地提高员工整体安全意识和能力,有效地减少安全事故发生的机率,降低生产经营成本,确保企业的经济效益,促进企业管理水平的提高和企业的健康发展,提高社会的文明程度。
对于员工来说,能参加科学合理的安全培训,将不断提高自身的安全生产技能,达到“三不伤害”(不伤害自己、不伤害别人、不被别人伤害)的目的,保护个人生命财产,维护家庭和社会稳定,促进个人发展,享受社会、国家和企业的发展成果。
二、安全培训存在的主要问题
安全培训是企业管理的常态性工作,就目前的安全培训现状来看,员工参与培训的积极性不高,培训效果不尽人意,常出现“学的用不上,内容有漏项;尽管经常讲,用时就搞忘;心里很清楚,动手常犯怵”的现象。主要有以下四个方面的原因:
1.培训内容针对性不强。企业高度重视安全培训,在人力、物力、财力上有大量投入,但是在培训的内容上没有紧密根据不断发展的社会情况、不断提高的安全管理要求和不同工作
岗位的实际需求,进行及时有效的改进和跟进。
2.培训教师授课水平不高。在企业安全培训中,聘请的授课教师大部分是企业内部的安全、技术和经营管理人员,虽然能够抓住培训内容的重点,但授课技巧参差不齐,不能有效吸引员工注意力;对安全管理理念、工具理解不够透彻,阐述不深入,缺乏必要的事例分析,只是平铺直述、照本宣科,不能让员工理解和掌握。
3.培训方式选择不当。培训方式影响培训效果。针对不同的培训内容、不同的培训对象,应采取不同的培训方式,安全管理理念和工具,宜采用集中培训的方式;安全技能的培训,宜采用现场演练的方式;员工安全技能有高低、各有弱项,要因材施教。
4.培训评估机制不完善。根据培训管理要求,培训组织者组织员工考试,填写评估表格,对培训效果进行评估,但跟踪培训效果的力度不够,部分培训班效果不佳。特别是安全培训,不能在实际的生产过程中来检验培训效果,会造成较大的风险。
消除以上的原因,变培训管理“短板”为“长项”,提升培训效果,除了健全制度、形成良好机制外,还需要在实施培训之前,进行培训需求分析工作,科学选择培训内容、方式、频次,聘请较高水平的授课教师,及时跟踪培训效果,安全培训才能起到不断促进企业安全管理水平提高的作用。
三、安全培训需求分析的作用
不论是管理者还是人力资源管理部门,都应明确安全培训的重要性,遵循“干什么,学什么;缺什么,补什么”的原则,积极组织安全培训需求分析,制定科学的培训计划,认真组织实施,及时跟踪培训效果,避免出现走过场的现象,造成不必要的浪费。因此,培训需求分析工作是安全培训不可忽视的环节,在企业人力资源管理中有着十分重要的地位。
1.有助于提高安全培训内容的针对性。在培训需求分析中,通过对比分析员工岗位能力模型与员工实际能力的差异,结合HSE审核、业绩考核和事故、意外事件教训,了解和掌握员工的安全技能和企业的安全管理状况,才能确定针对性强的安全培训内容,做到“干什么,学什么;缺什么,补什么”,防止培训内容与岗位员工的实际需要脱节。只有认真进行了培训需求分析,才能全面、科学地安排培训内容,为提高安全培训效果奠定基础。
2.有助于选择合适的培训方式。实际的培训管理中,通常会根据不同的培训内容、不同的培训对象,采用不同的培训方式提高培训效果。通用的需加强和补充的基本知识和技能,可以采用集中强化培训的方式;只需要员工了解的,可采用会议培训和网络培训的方式;只是个别岗位员工欠缺的知识和技能,可采用“一帮一”的方式;需要实际操作练习的,可采用岗位
实际练习的方式等等。通过培训需求分析,可以系统地鉴别出不同的培训内容和岗位员工个体,需采用何种培训方式,做到因需施教、因材施教。
3.有助于确定合理的培训频次。知识和技能,不是通过一次培训就能掌握,必须是经常复习、练习、使用,或再次培训,才能达到熟练的程度。就培训管理来讲,同一内容反复培训是必要的。在进行培训需求分析时,要结合环境的变化、要求的变化、人的记忆规律,确定合理的培训频次,采用专题讨论、会议培训、理论测试、岗位练习等方式,不断强化记忆,提高培训效果。
4.有助于内部培训师队伍建设。培训需求分析,要充分考虑员工岗位能力评估结果,可侧面反映出内部培训师(授课教师)的水平,结合参加培训员工的评价,能明确内部培训师在哪些方面需要改进,是应该加强语言表达能力,还是改进课件的制作;是讲解不够深入,还是事例太少,起到促进内部培训师提高能力的作用。
5.有助于节约企业资源。管理者和人力资源管理部门在根据安全培训需求分析结果制定安全培训规划和计划时,肯定会充分考虑成本因素。通过在充分比较测算的基础上,会选择典型课堂培训、强化课堂培训、会议培训、专题讨论、岗位实际练习、网络培训等方式,在集中培训时,还会考虑培训地点、时间、规模、教师等因素,有利于管理层做出合理的决策,在满足培训效果的基础上,节约企业资源。
四、安全培训需求分析应重点把握的环节
安全培训需求是为了满足特定岗位的实际工作需要而必须接受的培训内容,通过分析培训需求,建立培训需求矩阵,根据培训需求矩阵确定的培训课时、频率、方式和掌握程度,制定员工个人和单位的培训计划。在进行安全培训需求分析时,要充分考虑岗位基本技能、岗位风险、岗位操作规程、相关法律法规及其他要求、HSE审核结果、岗位能力评估结果等十四个方面的因素,笔者认为还要重点把握以下容易忽视或流于形式的环节。
1.岗位员工能力素质模型的建立。岗位员工能力素质模型是岗位员工能力评估的基础,是一件工作量大、比较繁琐的工作,不同的岗位有不同的模型,同一岗位在不同的地点有不同的模型,同一岗位在不同的时期也可能有不同的模型。当岗位员工能力素质模型建立后,要定期评审,使之符合岗位实际情况,不能因为繁琐,让定期评审流于形式。
2.人员、工艺和设备变更。岗位人员、工艺和设备都会因为各种原因产生变化,一旦忽视培训,很容易造成事故或意外事件。因此,人员、工艺和设备发生变更,要立即修正岗位员工能力素质模型和培训计划,及时组织培训,防止事故发生。
3.业绩考核结果。在HSE管理体系审核、内控测试、基础管理审计等方式查找出的问题,很容易得到重视,并能及时进行分析和整改,但业绩考核结果,大部分员工认为只是奖金发放的依据,没能认真分析指标完成困难的原因,如果是能力不够造成的,应加强培训。
4.应急演练与应急响应总结。目前,岗位员工非常重视事故和事件的教训,能举一反三地查找管理和技能的缺陷,但应急演练与应急响应总结很容易被忽视,在应急演练与应急响应中表现出的意识、知识和技能的欠缺,没能很好地应用到培训需求分析中。
5.再培训。针对人的记忆特点的再培训能得到重视,但环境的变化、要求的变化等因素常常通过开会进行传达和要求,没有很好地融入到培训内容中去,不能定期强化记忆和练习,造成培训内容的缺失或漏项,影响培训效果。
五、结束语
员工安全培训是企业应尽社会责任和法律义务,能有效地提高企业员工的安全意识和能力,提升企业安全生产水平,满足安全生产的需要。安全培训需求分析是安全培训的基础,只要把握住重点环节,培训需求分析就能发挥重要的作用,提升安全培训效果,不断提高人力资源管理水平,为企业快速发展提供人力资源保障。
第四篇:安全管理机构在企业中的作用
安全管理机构在企业中的作用
安全生产管理机构指的是生产经营单位中专门负责安全生产监督管理的内设机构,其工作人员都是专职安全生产管理人员。
2014年12月1日新的《安全生产法》规定:矿山、金属冶炼、建筑施工、道路运输单位和危险物品的生产、经营、储存单位,应当设置安全生产管理机构或者配备专职安全生产管理人员。从业人员超过一百人的企业企业,应当设置安全生产管理机构或者配备专职安全生产管理人员;从业人员在一百人以下的,应当配备专职或者兼职的安全生产管理人员。
下面就安全管理机构的作用我谈几点个人看法:
一、安全管理机构是企业贯彻、落实、执行国家有关安全的法律、法规、地方规章制度和国家标准、行业标准方面的“军师”,是企业经济效益、人员和财产安全的重要保障部门。尽管从表面上看,安全管理部门不直接创造财富,不直接产生经济效益,甚至是常常要整改安全隐患,落实安全法律法规,加强安全生产方面的投入,发放劳动防护用品,不停“花钱”,是个令人讨厌的部门。但是,殊不知,“千里之堤毁于蚁穴”的故事 经常在企业里上演。千里之堤,溃于蚁穴”,是出自《韩非子·喻老》中的一句话,后来广为流传,并演变成为今天的一条哲理成语。这句话深刻揭示了千里长堤虽然看似十分牢固,却会因为一个小小蚁穴而崩溃的道理。更是警示我们世人,事情的发展是一个由小到大的过程,当存在微小的安全隐患时,如果不给予足够的重视和正确及时处理,就会留下无穷的后患。所以,我们在实际工作中要防微杜渐,从小事做起,及时处理好不安全因素,避免事故或灾难的发生。因为安全部门经常性的检查,发现了问题,及时整改,才没有将小隐患变成大事故,没有造成大的财产损失和破坏。也就是安全管理部门间接创造的经济。
二、企业安全部门的主要职责就是组织生产经营单位内部各种安全检查活动查处本单位从业人员的不安全行为和物的不安全状态,制止和查处违章指挥,违章作业和违反劳动纪律的行为。试想,喝醉的司机兴奋的驾车回家途中,与对面的大货车相撞,车毁人亡。造成父母没有儿子,妻子没有丈夫,孩子没有父亲。。。
悲剧不可避免的发生了,现实中如果同桌吃饭的人不给司机劝酒,如果有人见司机喝酒了替他开车,如果找人代驾或者打的回家,如果。。。生活中没有如果,残酷的现实一定有很多原因。如果我们能将前期预防作为工作重点,就可以避免很多悲剧的发生。那么,企业的安全机构就是那一部分“先知先觉 ”的执行机构,总是将可能的结果提前告知。他们将严格执行安全法律法规,认真仔细检查,督促整改,其实在给企业看家,在尽职尽责保卫我们的企业创造成果。
三、安全管理机构是政府政策落实执行的“最后一公里”。国家新修订了《安全生产法》,新修订了《职业病防治法》,新修订了《应工伤保险条例》需要各个企业的安全管理人员在企业里宣传,培训,落实,将新的法律法规知识普及个给位员工。职工只有懂法了。才会自觉遵守法律,自觉维护自身权益,自觉遵守各项规章制度。安全管理机构代表企业执行检查、督促整改,制止违章,宣讲法律,才会让安全法规实实在在地落地生根,所以他们是最后要落地的“一公里”绝对不可以缺少。他们是默默无闻的奉献者,在普度众生,救人于日常工作中,他们的工作需要领导的理解支持,需要员工的配合。
四、在“以人文本,生命至上“的和谐社会里,任何一场灾难或者事故,处理不当就会引起社会问题。安全无小事,安全管理工作要做好,首先就要有机构保障,人员财力投入,才会产生效益。安全管理人员要有担当,有责任感。在参与本单位生产工艺、技术、设备的安全事故预防措施的制定;参与本单位新建、改建、扩建工程的审查;组织制定本单位应急预案的制定和演练 ;负责事故统计分析,参加事故调查;综合分析企业安全生产中的突出问题,及时向负责人汇报并提出改进意见的的过程中“认真一点点”同时要不断学习新的知识、发现新的问题,将本职工作做好。
,
第五篇:信息安全保障体系在渐进中成熟
信息安全保障体系在渐进中成熟
--------本刊专访陈晓桦博士
转载时间:2011-06-10
从2003年中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起,至今已逾七载。俗语常说“7年之痒”,7年的时间往 往意味着曾经的一腔热血在经历了瓶颈之后,渐渐忘记初衷,变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后,是否依然坚定当初的决心和发展信 念呢?最初设定的那些目标和任务,完成情况如何?下一步工作如何开展?当前我国信息安全形势又是怎样?
2011年新年伊始,带着对中国信息安全领域这一路走来的种种困惑,记者采访到了中国信息安全认证中心副主任陈晓桦博士。他不仅是我国信息安全保障体系 逐步形成的见证人,更是一直奋战其中的建设者。在采访中,陈博士既谈到了国家信息安全保障工作取得的成绩,也谈到了对工作中有关问题的反思。他对我国信息 安全形势发展的思考,有更多源自产业现实的感悟,虽然这次采访内容覆盖面有限,但正是从他所探究的这些细节上,业内人士可以见微知著,得到启发。
用他本人的话来讲,信息安全工作涉及面非常广,从政策法规建设到政府指引、从战略规划到实施方案,从产业规模到技术专利、从标准制定到人才培养,方方面面都需要加以总结,汲取经验和教训,作为我国十二五甚至更长远工作规划的出发点。
认证工作成绩斐然
陈晓桦博士告诉记者,建立并完善信息安全认证认可制度,是建设我国信息安全保障体系工作当中的一项重要任务。几年来,在国家相关部门的坚强领导和大力支 持下,这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力,但信息安全认证中心还是克服了重重困难,积极配合相关领导部门,应对国外的种种质疑与不合理要求,为制度的实施做了大量的技术性支撑工作。2009年4月底,根据国内外形势的发展,国家对该项制度的实施范围作了调整,即调整到了在政府采购法所规定的范围,首先对13类信息安全产品强制要求认证,并把实施的时间推迟了一年。2010年5月前,财政部、工信部、质检总局和 认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》,这标志着国家信息安全产品认证制度终于在经历曲折和反复后顺利实施和运行。
记者了解到,截止到2010年11月30日,信息安全认证中心共颁发国家信息安全产品认证证书158张,国家强制性产品(无线局域网产品)认证证书105张,信息安全产品认证的覆盖面有了长足提高,信息安全产品认证的把关作用得到了体现。
多角度延伸认证服务
不仅如此,陈晓桦博士透露,前些年,国内的信息安全管理体系认证几乎被外资机构垄断,其潜在安全风险不可低估。而信息安全认证中心积极服务于 国家重要信息系统的安全保障,在强化认证质量和服务的基础上,积极开展ISMS认证,得到了众多关系到国计民生重要行业客户的普遍认同。另外,继2008 年为服务奥运安保工作推出应急处理服务资质认证后,信息安全认证中心还开展了信息安全风险评估服务资质认证,国家信息中心等18家从事风险评估的企事业单 位在2010年6月获得了首批认证证书。“风险评估服务资质认证业务的推出,顺应了社会的需求,得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。
在培训业务方面,信息安全认证中心不仅开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作,还根据市场需求启动了信息安全保障从业人员认证,培训覆盖面进一步拓宽,影响力逐步显现。信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作,并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别通过了验收和中期检 查;国家发改委信息安全专项、电子产业发展基金重点项目顺利通过了中期检查;“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作;参 与制定的一批行业标准已经发布实施,若干国家标准制定项目已完成征求意见工作,或已经进入报批阶段。“从事这项制度的建立工作,我们深感任务艰巨,责任重大,使命光荣。我们清醒地认识到,在机构和队伍
建设、核心业务拓展、基础设施建设等方面还 有待进一步加强,我们的服务能力和水平,还有待进一步提高。我们目前的建设进度和成效,离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记 者表示,“我们在2010年底已初步完成了中心发展的十二五战略规划的制定和论证工作,希望能够指导今后5年相关工作的开展,大力推进各项建设工作,充分 发挥信息安全认证在国家信息安全保障体系中的基础性作用,努力开创信息安全认证工作新局面。”
启示一:信息安全需要从国家层面制定整体发展战略
陈晓桦观点:信息安全不是一支“独舞”,需要各个部门相互配合开展工作。但是由于缺乏国家层面的战略指导,很多情况下,信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势,制定国家信息安全总体发展战略已经迫在眉睫。
采访中,记者得知,以前相关部门开展信息安全工作,职责分工不够清晰,可谓纵横交织,既有必要的互补,也有太多的重复,缺乏有效的沟通协调机制,工作比较被动,经常依靠领导批示和安全事件的驱动。
陈晓桦博士认为,虽然以前这种工作方式也解决了许多信息安全问题,但从法律法规和制度的完善度来看,还远远不够。而且,即使到了现阶段,信息安全 与保密工作在相当大的程度上还带有应急处理的特点。“当然,这和信息安全工作的性质有关,即使制定了一些法律法规和管理制度,采取了一些技术手段,也不能 完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言,由于还缺乏来自国家层面的战略规划和设计,没有健全的法律法规整体的指导,更没有先进、强大的科技 手段,这就导致信息安全工作在推动时面临不少困难,很多时候仍然依靠事件驱动,或者依靠首长批示开展工作,工作方式也不是一种制度化、常态化的方式。缺乏 整体规划带来的另一个后果,就是协调制度不完善,虽然相关部门也各司其职,但是容易出现各行其是的局面。由于信息化建设的高速发展,新技术新应用层出不 穷,信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说,“救火还是需要的,但不要总是在救火。应急机制是必要的,但更重要的是建立信息安全工 作的长效机制。”他告诉记者,其实早在2004年,我国就成立了国家网络与信息安全协调小组,这是我国信息安全工作的最高领导机构,其办公室设在原国信办,成立的初衷是领 导我国信息安全相关部门开展工作,并协调各个部门之间工作。由于2008年机构改革,原国信办的职责并入了工业和信息化部。2009年底国务院又重新批准 成立国家网络与信息安全协调小组,制定国家信息安全总体发展战略的工作,已经提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重 点工作是什么?有哪些保障措施?这可能是国家信息安全战略亟待明确的内容。”
启示二:健全法律法规需集思广益;落实相关政策需科技支撑
陈晓桦观点:过去有些部门规章的要求,都是一刀切,但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年,已经取得了很多经验和教训,需要加以认真总结,并需要与时俱进,用科学的手段保障政策法规的严格执行。
据公开报道,关于国内信息安全立法工作,相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名 法、《全国人民代表大会常务委员会关于维护互联网安全的决定》以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用,但也存在内容分散、相互交叉甚至抵触的现象,影响了立法效力和执法严肃性,对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估,包括清理和制修订。2010年11月,工信部已完成了《信息安全条例》报送稿。国家今后将以该条例为基础,提出综合性的立法方案,解决当前缺乏互联网法律规范的问题。
“适当的时候,可以扩大征集意见范围,听取更多国内各界人士的意见或建议。有了《信息安全条例》,我国的信息安全工作就可以更加有序地依法开展,有利于排 除外界干扰,有利于界定各方责任,厘清关系。”陈博士如是说。当然,信息安全问题,不仅仅是互联网安全问题,从立法程序来看,《信息安全条例》正式出台,可能还需要假以时日。
随着国家信息化工作的推进,对信息安全保密工作越来越重视。新修订的《保守国家秘密法》于2010年10月1日实施,总结了多年来保密工作和立法工作的经 验,为适应信息化时代的需要,提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是,今后,即便是违规把涉密设备或涉密计算机接入互联网,也 要依法给予处分;如果再发生互联网泄密事件,就要当作泄露国家秘密罪论处,要依法追究刑事责任,而不再仅仅
是给予通报批评、降级等行政处分。“新保密法提 出的这些新要求,非常及时、非常必要。近些年,国内侦破的互联网窃密和失泄密案件时有发生,造成的危害极大,影响极为恶劣。必须加大法律的威慑和惩处作 用,尽量杜绝此类案件继续发生。”
保障信息安全,管理和技术并重。除了法律法规和相关管理制度,还需要科技手段的支持。陈博士说,现在有的部委信息化程度很高,已经建成了3个甚至4个相互 独立的网络,比如,与互联网相连接的办公网,可以上网浏览、检索互联网信息、收发邮件等;物理上相互隔离的政务外网、政务内网;有的机构还有自己特殊的业 务网络。“对涉密网提出的物理隔离的强制要求,在我国目前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术 与产品,满足不同网络之间信息交换的现实合法需求,用先进的技术手段来保障信息安全,进一步发挥信息系统的作用,降低信息化建设的成本。”
启示三:信息安全解决方案要开“药方”而不是开“药房”
陈晓桦观点:某些信息安全企业的产品解决方案缺乏针对性,往往是以不变应万变,显然行不通。我们要开妙手回春的药方,而不是开一应俱全的药房,最好的“药引子”就是安全企业主动提升创新水平。
我国现有的信息安全技术、产品和服务,或许已经基本上满足我国信息安全的需求,但在骨干、高端、高性能方面,还缺乏自主创新性的产品。“有的企业由于紧跟 用户需求,在产品设计中有了几项小小的创新,最终成功中标某个项目,这恰恰说明用户需求的重要性。”陈晓桦博士认为,目前国内信息安全产品大多数都不是基 于国内原创的安全理念,一些企业提供的行业安全解决方案也缺乏针对性,似乎放之四海而皆准,不是开“药方”,更像是在开“药房”!
当然,陈晓桦博士也认为,在信息安全应用领域,用新产品新技术去引导市场,完全实现“技术引领、技术驱动”还是很困难的,经常有厂商面向市场推广产品时会 遇到不了解用户需求的现象。“这和国家整体发展现状有关,例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件,甚至包括安全防护 产品都不是国内自主开发的。本土企业的产品在进入现有系统时,可能会出现自主产品与国外产品不兼容等现象,影响国内信息安全解决方案的推广。有些外国公司 的产品中,大量使用非标准或私有协议,对其他企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为,虽然面临种种困难,但针对用户需求、突破国外 产品的技术壁垒,用创新技术积极参与竞争,仍然是我国产业发展、人才发展的长远目标,未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主 或可控。
在国内安全企业自主创新的道路上,往往也会出现另外一个误区。陈晓桦博士介绍道,现在有一个现象,很多厂商都在推出第几代升级产品,更新换代十分频繁,甚 至刚成立几年的公司,都已经开发出了第四代第五代产品,其实这大多只是该公司产品型号的变化,并没有真正实现技术的换代。让人担忧的是,这样的行为说明这 些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究,把一些基本原理和技术搞清楚,真正研发出能满足用户需 求的,自主创新的好产品。“在企业发展到了一定规模时,企业拥有多少人才、多少自主知识产权、多少专利和多少自有品牌,这些才是衡量企业综合实力的必要因 素,需要企业高度重视。”他进一步强调,“靠贴牌生产的信息安全企业,是注定做不大的。”
可喜的是,现在国内有不少本土信息安全企业越来越重视自主创新,虽然年销售额和盈利还不算高,但拥有的专利和创新技术不少,这说明企业有发展眼光、有发展后劲。
启示四:需要绷紧的那根弦不是安全知识而是安全意识
陈晓桦观点:虽然信息安全和保密的重要性被广泛认识,但从很多行业、部门甚至业界专家的行为中不难发现,他们并不缺乏安全知识,而是缺乏安全意识。
很多安全技术名词被大家天天挂在嘴边,但具有讽刺意义的是,安全意识却没有得到足够的重视。陈晓桦惋惜地指出,很多信息安全厂家的高层或者市场人员,在名 片上留的邮件地址都是Hotmail、Gmail这样的邮箱;甚至在申报国家项目中,很多单位汇总到专家办公室的项目申请书、验收材料,都通过 Hotmail、Gmail发送;很多学校、科研院所的领导、骨干,为了与国外通信方便,都习惯使用境外服务器的邮件地址。
“这可能和早期使用免费邮箱的习惯有关。但即便如此,由于邮件服务器在境外,我国重点单位或企业院校的专家和领导用这些邮箱来传输一些敏感材料和信息,也 是非常不合适的。因为发送的邮件往往涉及到安全项目的科研成果,所以这只能说明使用者缺乏安全意识!”陈晓桦强调,“关键部门、重要岗位该用什么样的通信 服
务,尤其是政府部门的官员和工作人员,都需要在头脑里时刻有根弦。”他语重心长地告诉记者,“在没有采取特殊安全保密技术手段的情况下,大家在互联网上 通过邮件传递信息,通过手机打电话和发送短信,其实就是信息的‘裸奔’!有些甚至还‘奔’出了国门。”
对某些看似普通的信息,其安全管理也需要加强。“由于社会分工日益专业化,很多日常工作都很容易涉及到国家或行业的敏感信息,很多人还没有从国家安全的高 度认识到,对这些信息的安全管理是多么重要。”陈晓桦博士举例告诉记者,银行资金流向也是一个很敏感的事情,这不仅牵扯到银行自身,还涉及到国家重点单位 的敏感信息。如果银行对这类信息的安全管理没有足够重视,就很容易造成敏感信息泄露。例如,某个野战部队在地方银行当中的资金信息一旦泄露,通过分析工资 结构就可以了解到这个部队的人员结构,通过分析其维护费用就可以了解武器装备的规模,甚至其作战能力。
记者了解到,一些在境外上市的公司提交材料时,会不经意间就把涉及到国家、行业和重点企业的敏感材料提交出去。“很多失泄密事件的后果首先体现在国家经 济利益的巨大损失方面,比如谈判时我方的铁矿石进口底价。很多网络安全事件和失泄密事件给国家带来了影响就业、经济发展不平衡、社会不稳定等一系列问题。根据《保守国家秘密法》,国家的重要经济信息、核心科技信息其实和军事、外交信息一样,都属于国家秘密,这是需要我们理解并严格保密的。”陈博士归纳道。
启示五:加强科研项目和专项主管部委的协调和交流,避免重复建设和浪费
陈晓桦观点:每年国家都会投入巨额资金支持信息安全技术的研发和产业化。由于专项基金的不同管理部门之间缺乏有效的沟通机制,存在重复资助的现象。在关键技术研究、产品设计与制造、产业化等环节,甚至出现支持的时间点错位的现象,所谓“先生儿子,后生爸爸”。
众所周知,这些年发改委、工信部、科技部每年在信息安全技术研发和产业化方面投入了大量的资金,对我国信息安全技术研究、产业发展发挥了巨大的作用,可 谓成绩辉煌,功不可没。陈晓桦博士认为,一方面国家应该继续鼓励和加大资金的投入,支持技术研究、开发重点产品、实现产业化目标。另一方面,国家应该大力 促进科研成果更加有效地转换成产品和技术。他告诉记者,一些花费了国家资金,花费了专家和科研人员大量时间研究出的科研成果,在验收完以后就束之高阁,过 了很长的时间这些成果还没有转化为技术和产品。由于对这些成果的利用效果缺乏考评机制,因此,也无从判断在国家投资的科研项目当中,3年、5年或10年后 最终有多少转化成满足市场需求的主流产品,有的技术在几年内没有投入到市场,就会被新技术所淘汰。
“在科研院所形成的创新技术、专利,如何转化成为产品和生产力方面,还很难形成一套高效完善的制度,因为这牵扯到很多现行管理制度。但国家不能只鼓励科研 院所只做基础前端的研究,还应该改革现行制度,出台鼓励科技成果转化的新政策和配套的制度,把科技成果转化的效果也作为考核评价指标。”陈晓桦不无担忧地 说,无论是现在,还是5年甚至10年以后,如果我国信息安全建设当中大量采用的安全技术和产品,大都不是国家专项经费支持的结果,那今后该怎么评价国家的 专项和基金的成就?
除了资金投入产出效果的考量外,就国家各个部委牵头的多个专项和基金计划而言,虽然在定位上有不同的分工,但也有重复,更由于相互之间缺乏有效的沟通和协 调机制,时常会发生重复投资的现象。陈晓桦解释道,国家的各专项申请和审批都有严格的程序,公开竞争,专家论证,领导决定。打一个比方,某单位同期既申请 863高技术项目,又向地方科委申请经费支持,又向国家发改委申请产业化支持,还同时向电子产业发展基金申请,可能还申请了中小企业创新基金、联合其他单 位申请了“核高基”等等。但是,实际上其核心技术是相同的,如果同期支持,就会产生重复。另外,还存在另一种时间错位现象,比如:去年国家支持某单位的产 业化项目,今年国家又支持其重点产品招标项目,明年国家才支持其研发关键技术的现象,即所谓“先生儿子,后生爸爸”现象。“这种现象还不仅仅存在于国家的 信息安全专项领域,其他领域情况可能还要更严重一些。”启示六:对涉及国计民生的基础设施而言,其信息系统的安全运行与设施本身同等重要
陈晓桦观点:随着我国信息化高速发展,信息系统的支撑性、全局性作用也与日俱增,信息系统与基础设施建设已交织为一体,需要充分重视。目前大多数基础设 施都是比较脆弱的,哪怕是一些细小环节出现问题,都会导致整个基础设施的瘫痪。正所谓“千里之堤,溃于蚁穴”,很多时候,我们需要未雨绸缪。
信息系统的安全保障管理工作也极为重要,现在很多影响国计民生的基础设施都离不开信息化。一旦其信息系统受到破坏或出现故障,社会基础设施也就无法正常运 行。陈晓桦举例道,如果银行清算系统出现故障,最
直接的影响就是银行无法及时进行资金结算,消费者无法刷卡支付;民航登录系统被破坏,乘客必然无法准时登 机;通信系统被地震破坏后,所有的座机、手机打不通,最急迫的信息就无法传递„„这一切现象都表明,国民经济的基础设施都越来越离不开信息化系统。“不难 得出结论,其信息系统的安全可靠与基础设施的正常运行密不可分,二者几乎同等重要。但事实上,我们对支撑这些基础设施的信息技术系统的安全重视程度还远远 不够。”他强调,互联网作为新兴媒体,网上一旦发生安全事件、热点事件就非常吸引眼球,但基础设施的信息安全也同样需要关注,甚至应该得到更高程度的重 视。
事实上,仅仅是重视还不够,我们不得不承认一个现实存在的问题,那就是我们还没有掌握许多核心技术,这种状况可能还要持续很多年,我们对关键基础设施和重 要信息系统的安全也未能做到心中有数。陈晓桦博士认为,“毕竟我国自主设计开发的系统还不够,很多基础设施可控的程度自然也不够。这就需要安全管理工作要 提前部署,防患于未然。”
对安全管理的重视还有很关键的一个环节,那就是对供应链的管理。一条完整的供应链涉及到很多环节,包括产品元器件生产和采购、产品设计与开发、产品制造、部署和安装、使用与运行、服务、升级和维修等,要做到安全可控管理,就必须对整个供应链进行全程控制。“这个观点主要是针对重要的用户、国家核心单位、关 键基础设施。虽然我国研发的信息安全系统难免也存在缺陷,但仍然需要对供应链上若干过程加以安全管理,充分了解。毕竟蚁穴虽小可溃千里长堤。”他举了一个 例子,有个数据统计机构,其信息技术设备都很先进,当发现某存储设备故障后就将其直接送到外面维修,这个举动表明该单位对供应链安全管理显然缺乏足够的认 识。由于时间和篇幅所限,记者的采访暂时告一段落。陈晓桦博士针对我国信息安全工作成绩的介绍和反思,观点鲜明,语言生动,见解独特,发人深醒。正如他所言,我国信息安全保障工作并不能一蹴而就,需要有一个长期建设和不断优化的过程,所谓“总结是为了进步”,记者希望通过这次在2011年最初的采访,让越来越 多的人了解我国的信息安全保障工作,让越来越多的人为国家信息安全保障体系建设添砖加瓦。
专家信息链接:陈晓桦简介
1979年考入国防科技大学计算机系,1993年获国防科技大学博士学位。曾在电子科技大学博士后流动站工作两年。1997年起,参加原中国信息安全产品 测评认证中心筹建工作,曾任总工程师、副主任、常务副主任、研究员。2006年10月,参加中国信息安全认证中心筹建工作,2007年2月任中国信息安全 认证中心副主任、党委委员。
入选1999“百千万人才工程”,获2000政府特殊津贴,获2008国家科学技术进步一等奖;任全国信息安全标准化技术委员会副秘书长、委 员;《信息安全与通信保密》、《计算机安全》编委;电子科技大学、北方交大兼职教授;上海交通大学博士生导师;国家自然科学基金、国家发改委信息安全专 项、电子信息产业发展基金重点招标项目、国家科学技术进步奖评审专家;曾任国家“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长,国家 互联网应急中心242专项第一届专家组组长。目前主要从事与信息安全检测、评估与认证相关理论、技术、方法、标准、工具的研究和开发工作。
热点评议
记者:前段时候闹得沸沸扬扬的腾讯与奇虎360事件终于在公开道歉中落下帷幕,您认为这对信息安全市场中的企业有何警示作用?
陈晓桦:从世界范围来看,企业之间适度竞争是非常正常的。但3Q事件是国内企业之间不公平竞争、恶性竞争现象的一次爆发,牵扯了上亿用户的权益。我希望这 件事情除了国家行业管理部门以外,地方政府部门不要再被企业牵扯进去。企业经过相关部门的协调,应该根据国家法律法规,按照公平竞争的原则,把为用户服好 务作为目标,自我约束不正当的市场竞争行为。我建议企业之间的竞争不要通过不兼容和封杀对方这类手段来损害用户的权益。如果仅仅是做到暂时互相不封杀,但 仍然在继续较劲,并期望获得地方政府和相关机构的支持在地方政策或行政许可等方面去打压对方,这只能说明两家企业将越走越远,并没有真正汲取教训。从长远 看,这对行业和企业发展并没有好处。希望其他信息安全企业引以为鉴。
记者:2010年信息安全产业很多技术概念被持续热炒,像云计算等等,众人纷纷持观望热捧等态度,您认为该如何对待不断推陈出新的技术理念?
陈晓桦:云计算、三网融合、物联网都是这两年被不断热炒的技术和经营理念。我认为当新技术、新理念出
现的时候,应当保持3种态度。第一个态度是不要惊慌,不要轻易高喊“狼来了”。几年前,可信计算推广时,一些专家认定一旦可信计算的模式在全世界推广后,我国的信息安全产业将受到打压和排挤,产业将重新洗 牌。实际上这么多年过来了,我们也应对过来了,那些现象也没有发生,产业的技术标准体系和产业升级不是轻易就能发生跨越式改变的。第二个态度是要敢于质问 这是不是“皇帝的新装”。面对新技术新应用的出现,要保持冷静,要思考这是不是产品和技术的升级换代,是否真正是创新的技术、革命性的技术,不要人云亦 云。第三个态度是去研究是不是“新瓶装旧酒”。要敢于质疑,不能盲目跟风炒作。对云计算的态度应该要谨慎,保持冷静,先多下功夫认真研究云计算的经营模式 和关键技术。现在似乎与云计算有关的项目就是好的投资项目,上市企业声称与云计算相关就股票飞涨。在工程建设方面,不要为了政绩或形象工程就一哄而上,不 妨先期安排几个行业或地方试点或者示范,等积累了一些成功经验,再规模化实施。我认为也许三五年以后云计算会显现出优越性,现阶段还只是一个梦想,只有极 个别的案例。关于云计算安全问题,应该提前研究,但如果现阶段就安排试点、示范就过早了。“皮之不存,毛将焉附?”
记者:在2010年底颇受关注的十二五规划即将正式落地,您对此持何态度?
陈晓桦:2010年11月,中央发布了制定第十二个五年规划的建议。国家的信息安全战略规划,应该承上启下,既能够与“十一五”规划的工作衔接,又能指导 今后5年的工作,还需要提前考虑更长远的发展。自2003年中办27号文件颁布以来,我国的信息安全保障工作取得了显著成就,但我们也应该看到,还有很多 老问题没有得到有效解决。国家信息安全保障体系是多层面、多方位的,它的建设工作应该有轻重缓急之分,应当有总体规划,应当有全局意识。在新时期、新形势 下,新技术、新应用层出不穷,新问题、新挑战不断涌现,各方面的信息安全保障工作,亟待做出战略部署,需要加强协调,形成整体,形成合力。2011年是我 国第十二个五年规划的开局之年,希望国家早日出台国家信息战略规划,颁布新的指导性文件,从“十二五”开始,使我国的网络与信息安全协调机制切实发挥更大 的作用。
转自:《信息安全与通信保密》网站
点击咨询 