科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科——欢迎光临全球最大的互联网博物馆
  • 人气指数: 9567 次
  • 编辑次数: 1 次 历史版本
  • 更新时间: 2014-01-18
高兴
高兴
发短消息
相关词条
Matthew Prince
Matthew Prince
格伦·格林沃尔德
格伦·格林沃尔德
迈克尔·罗杰斯
迈克尔·罗杰斯
克里斯汀·富克斯
克里斯汀·富克斯
理查德·克拉克
理查德·克拉克
基思·亚历山大
基思·亚历山大
黄澄清
黄澄清
吴世忠
吴世忠
蔡名照
蔡名照
王秀军
王秀军
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
王健林电商梦
王健林电商梦
陌陌IPO
陌陌IPO
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构

吴世忠,博士、研究员,中国信息安全产品测评认证中心主任。现为全国信息安全标准化技术委员会副主任、国家网络与信息安全协调小组成员,中国信息产业商会信息安全产业分会理事长,《信息安全与通讯保密》杂志主编。已公开出版文章百余篇,著有《信息系统的互连与互通》、《C3I系统的安全与保密》、《关贸总协定:中国准备好了吗?》、《首都信息化标准指南·信息安全与保密标准化体系》等专著五部和《应用密码学》、《网络世界信息安全的真相》、《密码学的理论和实践》、《中文Windows2000的安全性》等译著五部,同时还主持起草了防火墙、应用网关安全技术要求以及信息技术安全性评估准则等7项国家标准,并主笔撰写了与信息安全战略与技术发展有关的多篇专题报告。
目录

中央党校培训部学习习近平总书记系列讲话精神编辑本段回目录

吴世忠

吴世忠学员:牵一网而促全局

习近平总书记指出:“互联网已经成为舆论斗争的主战场。”并明确要求“把网上舆论工作作为宣传思想工作的重中之重。”在这个人人都有“麦克风”的时代,不少领导干部产生“网络焦虑”和“领导恐慌”,对此,吴世忠结合自己的实际工作谈了学习习近平总书记与网络相关新思想、新论断、新举措的体会。“我们要以网络为新纽带,治国先治党,密切联系群众;要以网络为新阵地,治国要治网,维护社会稳定;要以网络为新机遇,兴网为强国,促进复兴伟业;要以网络为新边疆,强国需强网,守住安全底线。”他认为,只要善用网络联系群众,党群关系就会“一网情深”。我们必须抓住和用好新一轮科技革命产业带来的变革机遇,努力把网络铸造成执政为民、治国理政、实现伟大复兴中国梦的“国之重器”,并探索出一条“以网治国、以网兴国”的特色之路。

吴世忠:电子政务的安全态势与顶层设计编辑本段回目录

以“电子政务的顶层设计”为主题的第四届中国电子政务高峰论坛于2010年6月27日在北京大学举办,中国信息安全测评认证中心主任吴世忠发表了以“电子政务的安全态势与顶层设计”为主题的精彩演讲,本文稿根据现场录音整理而成。

各位领导、专家,上午好,非常高兴能有机会参加中国电子政务高峰论坛,和大家交流和电子政务顶层设计相关的问题。大家知道信息化离不开信息安全,电子政务尤其如此。如果没有安全保障的电子政务,肯定是不能发挥它的效力的。今天我想以顶层设计为题,结合我们的工作实际,给大家通报一些情况,交流一些看法,供大家参考。

  我想讲三个问题,一个是国外政府信息安全的一些形势,第二是我国电子政务安全环境,第三是根据这两个背景我们对电子政务的信息安全顶层设计的优化提一些建议。

  那么总体形势怎么样,我用三句话来形容,一句话网络无处不在,安全不可或缺,这是全球性的共识,也是各个国家、政府在互联网发展几十年形成的一个共识。第二句话是漏洞隐患显现,安全风险调整,现在和十年前不一样了,包括我国在内,大家也有体会,经过16年的发展,互联网络已经达到了相当好的一个状态和水平,以及相当大的规模。这种情况下安全跟十年前不一样,那个时候我们关注外部环境对它的影响,今天信息化电子政务走进了青年和壮年期,我们要考虑自身的问题比较多,所以从全球都看出这个趋势就是高度关注信息化建设中自身的不足和隐患。第三是优化顶层设计,必须总结这几年的经验和教训,对顶层有一定的优化,必须对它升级,应对系统风险要有一个结构化的保障,这是当务之急。

  下面我们看看国外的情况,主要从安全的形势,美国的动向以及国际社会的调整。国家安全形势和信息安全形势有什么样变化,第一句话是全球进入物联网的时期,互联网经过几十年的发展,以它为基础已经将世界上人、物,信息流和资金结合在一起,现在“智慧地球”把人、物和信息资源融合在一起,这是一个相当热的概念,决定我们的网络发展的方向。第二个是美国进入奥巴马时期,讲信息安全跟任何一个安全问题一样的,必须考虑到国际因素,考虑到国际因素必须考虑到美国因素,美国总统奥巴马,他的口号就是变革,因为美国在信息技术上占有绝对的优势,一直扮演着信息安全世界领头羊的角色。第三信息安全有一个转折时期,这个转折方向是哪里,大家知道信息化和信息安全的推进,在美国也是他们连任三任政府都非常关注的,戈尔政府是信息高速公路的推进,这一届政府把互联网的发展和信息高速公路推动起来了,布什对信息安全提出来要对网络空间必须要有安全战略,他制定了网络空间的安全战略。现在的是奥巴马时期。也就是说进入了一种新阶段。具体我们看他们做一些什么?奥巴马上台以后主要的动向叫承前启后,承前是推进国家网络空间安全战略目标,实施“曼哈顿计划”。大家可能都很清楚,美国布什政府推出国家网络空间安全战略,制定了八项目标,第一项预防针对美国关键基础设施的网络袭击;第二项减少国家在网络安全方面的漏洞(脆弱性);第三降低网络攻击的损失,缩短网络恢复的时间;第四建立国家网络安全应急响应系统;第五制定国家网络安全威胁和漏洞减少计划等。从国家的战略看得出来,这是一个高度信息化或者信息化发达到一定阶段的国家,对信息安全的关注,怎么在国际社会拥有霸权计划。

  布什政府非常关注美国在全球的实力,不仅是在伊拉克和阿富汗打仗,还有在网络空间,他们以总统令实施的信息综合安全计划叫曼哈顿计划,可见对信息的高度重视,这里有12个工作,包括可信联网,将政府机构和联网点从成千上万降低为可控管理范围,从被动检测到主动防范,目前研发的是爱因斯坦3,用这种方法来应付高度复杂的网络,还有进行科研支撑,还有态势感知以及内网安全。我们讨论顶层设计,所谓CNCI,就是美国网络安全综和计划,第一个,用可信联网、被动检测和主动防御、科研支撑建立第一道防线。第二个,用态势感知,网络反间,内网安全,教育培训建立保障美国网络空间安全长效机制,第三是技术装备,网际威慑确保美国在网络世界的发展领先地位和利益。

  从国家层面有网络安全的总协调官,同时采取重大的举措,实施对网络的重要保障,这里面美国保护什么,重点保护的是联邦政府的网络和国家重要的信息系统,他们叫关键信息基础设施CIIP,也就是说联邦政府部门以及电力、电信、交通、金融等公共服务部门,实际上这个保护的重点拿到我国对照一下,就是政府解决重要信息系统,我国叫党政机关重要信息。重点保护的方法是不断的检查身体,不断找漏洞,然后进行风险管理,管理好控制好信息化发展的风险,同时强调科技创新,强调供应链的安全。比如我们推进了各个行业的风险评估,每年必须有风险评估,各个部门要有风险评估,把它作为政府绩效评估的一部分,重视供应链,也就是采购的安全。过去美国是一个信息技术的输出国,现在把芯片技术把一些应用软件的开发,采用了开源放到发展中国家,尤其是放在我国,他高度关注,他非常担心有人会给你放东西,他们高度关注如果一个国家在信息技术上不能自主所承担安全风险,所以包括奥巴马自己在内,多次大会上强调一定要高度关注供应链的安全,同时建立美国国家的漏洞库,及时收集和掌握美国政府信息存在的漏洞和隐患,对政府部门进行及时的通报,以便化解风险。

  再看国内电子政务安全环境,我们从环境的变化和主要的隐患,和我国安全方面管理工作的进展这三个方面给大家介绍。第一个我们国内信息安全整体环境,电子政务信息环境整体环境,这十几年取得了非常大的成绩。安全环境变化讲到现在是网络普及的时期。我国已经建立了政府门户网站到4.5万多个网民,中国各部委全有,省地市全有,80%县级政府都建立的电子政务网站,全国99.3%乡镇和91.5%行政村都通了互联网,所以这个规模现在中国在全球堪称互联网最大。

  第二个变化就是网络在中国有成为一种社会生态,或者是社会形态。网民发展非常快的,网络普及率接近了30%,超过世界平均水平,考虑到三网融合我们有7亿手机用户,80%以上的网民都在网络里面,利用网络获取信息,发表言论。相信在座的CIO比任何一个人都有这种体会,网络已经成为一种生活方式。

  第三个信息安全进入关键时期,到今天信息技术和网络已经渗透并影响政治、经济、文化和社会生活的各个方面,我国在核心技术、高端设备和主流应用方面受制于人,技术漏洞和安全隐患日益突出,我国处在整体矛盾的一个突发期,风险很高,所以信息技术安全和内容安全相互交织,网络信息安全和社会稳定相互交织,国内安全与国际安全问题相互交织。

那么有哪些隐患,我们测评中心会定期为国家对我们面临的安全风险做评估,当前从我们的整体发展来看,最突出几个隐患,或者最重大的几个危险,我们依然把政治、社会稳定排在第一位,第二个是网络窃密是突出威胁,第三是技术漏洞和隐患是现实威胁,第四是网络欺诈是长期的威胁。为什么把政治、社会稳定排在第一位,现在网络群体性的事件越来越多,在2009年77件重大突发事件中有23件是在网络论坛上爆发的,网络放大效应和开放性和复杂性,这种事件发生的时候没有什么预兆,公众参与度是相当大,这给维护稳定带来了非常大的压力,这些年一个个案变成了公案,一个弱势群体变成强势群体,包括老百姓在网上说说,发展到街上走走。

  第二位就是窃密、泄密,触目惊心,最近五年来网络泄密高发期,近两年是往高层发展,大家也知道影响到司局级,甚至部级领导,还有对网络上面监测发现的。过去为什么没有这么多的事件,因为过去我们处在信息化的建设过程中,我们的信息是有价值的东西不多,但是经过十多年的发展,我们业务都是从这里来,所以保密问题尤其突出。

  第三个是安全漏洞普遍存在,我们每年都要对相关政府部门网络安全进行检查,海淀区对重要信息系统网络做安全评估,风险在不断的提高。在我们测试中,高危漏洞平均在10个以上,根据我们的监测80%的电子政务网站受过木马的攻击,在应用性的漏洞中,SQL注入、跨站脚本和弱口令最为突出。我们了解到有效执行制度化的补丁管理措施的部门还不到三成,漏洞的及时获得和消除控制的这个工作还没有纳入到电子政务政府管理日程中,我们测评中心根据国家的专项的投入和风险职能,相关工作才建了两年,工作才刚刚开始,我们建立国家漏洞才5万多,我们的通报工作和相应的部门合作机制也才开始,今天在座有很多是和我们有这种工作联系的,应该是很清楚。

  第四个是欺诈和犯罪,为什么专门提这个,因为这个网络欺诈不仅仅影响到社会,现在我们发现像木马,域名劫持,访问假网址已经在电子政务服务中出现,并且呈现增长的趋势。

  那么在这种情况下面,我们党和政府高度关注信息安全技术,历来都把信息安全放在非常重要的位置,最近一年来有一个新的进展,一个是重新成立了国家安全网络协调小组,第二个是成立了新一届国家信息化的专家咨询委员会,第三个是信息安全统一协调的职能得到加强,加强各部门之间的协调,第四个信息安全的保密管理工作得到了加强,加强了网络保密工作的管理。第五个就是信息内容管理和网络治理得到了加强,从去年开始整治网上不良信息,低俗信息和扫黄打非力度很大,效果很明显。这里列一些去年到今年来政府部门做的相应一些安全工作的举措,供大家参考。介绍国内的情况让我们必须了解电子政务的背景,我们要优化我们的顶层设计,提升我们的顶层设计,我们必须要考虑这些环节。

  最后我讲讲优化电子政务顶层设计的建议,首先看一下政策要求,一个是2002年17号文件《关于我国电子政务建设指导意见的通知》;第二个是03年发的27号文件《关于加强我国信息安全保障工作的意见》,确保电子政务的安全,内容我就不说了;第三个国家和发改委08年发的2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》;第四是国办发的09年28号文件《政府信息系统安全检查办法》。电子政务的安全目标是什么,我觉得发展到现在我们感觉到不能简单讲就是一技术安全,我们建议大家要树立一种系统或者综合的安全管理。

  应该讲怎么样做到政府电子政务的安全?至少这四个是很核心,一个是人员的安全,这是重中之重,这些年陆续出现好几例重大主动把政府的利益提供给境外间谍机关的案件,人放在第一位,人的可靠就是要防策反,防投靠。第二个是信息的安全,我们工作数据和大量信息内容能做到保密,必须防窃密,又要防泄密。第三是数据安全,到了电子系统里面必须确保完整,电子政务要支撑我们职能工作,要防止篡改和被删除。第四个就是我们管理的网络,网络必须保持可以控制,大量建的网络如果经常出事故,使得我们业务没有办法执行,如果被别人远程控制这都是安全问题。

  为此我的建议,针对现在的工作,如果要优化我们的顶层设计,要提升顶层设计,我们第一个建议就是一定要建立结构化的安全体系,我们面临着一个系统性的风险局面要有一个结构化安全体系要应对,我们叫3+2,就是一个单位如果你要确保信息的保密,确保网络的安全,确保业务的持续,这个安全体系是从管理的角度来看的,这三个需要做到电子政务的安全,一定要有可行的安全保障方案,一定要有一个可靠的专业技术队伍,也就是我们CIO队伍要可靠。

  第二个就是实施两条线的安全保障,方法论为了履行政府的职责,才有电子政务的目标,这里面有网络系统,从安全方面来讲一定是一个安全保障体系和一个风险管理体系。我建好了是不是真的好了,安全措施建好了,防火墙全都有了,它有效吗,它运转正常吗,它发现问题吗,他需要升级吗,现在要把它放在建设风险管理并重。

  第三个建议把好三个重要的管理关口,第一个要严把涉密计算机和存储介质的管理关,电子既有内部的,更多强调我们面对社会服务,怎么确保内部和外部的安全,怎么保证国家的秘密,这个出问题最多的一个环节。第二要严把内部网络对外接入点线的管理关,美国第一条就是可信互联,从几千个最后降到几十个,必须降到可控管理,根据我的了解情况,我们的互联网介入就是随时随地。第三个要严把技术装备及服务出入网的管理关,我们的重要网络管理服务外包给国外的企业行不行,他们的人员进来以后,在里面随时配置过来配置过去,拷这个拷那个,我们要不要进行控制,美国知道这个,设计后门,搞隐蔽通道,在你里面放东西,所以在这一方面我们现在的服务开放性太大。在国家重要信息里面在一个国外的工程师一待一星期,这种情况有,我们重要信息存储被国外进行修改的情况也有,大型的管理软件能够从国外直接来维护也都有,所以这个关口一定要把握住,如果这三个关口不把握住,建立再坚强技术安全体系都没有办法的。

  第四个建议,控制四个现实的安全风险,也就是解决现在面临着四个问题,我们了解电子政务网络里面四个现实的风险,一个是门户网站防范能力不强,主要是软件漏洞,被别人挂马。第二个是邮件系统安全措施不够,现在很多部委邮件新闻都开了,部领导的邮件挂了很多的间谍软件在上面,部长收到一封信同时被很多人看得到。第三个保密管理,U盘、计算机、PDA手机、包括上网的行为,是不是都随时访问。中国的安全真正执行严格的,政府不如企业,企业不如外资企业,现在最自由就是政府部门随便买一台计算机,公用和私用不分,内外网也不分,所以一定要有这个意识,这个东西是一个制度化,如果随时都能连,那么别人随时可以看到你。第四是服务外包,产品的采购,运行维护和服务选择都必须考虑到是不是可靠的。否则拷走一个U盘,可以把你十年的成果都拷走,拷走你的硬盘可以把你全部的工作都拿走,我们经常修改我们的口令,大家对照一下是不是每一个政府部门用公家的机器,除了看新闻,除了看他规定开的邮箱以外,他不能做别的,现在不是,甚至可以炒股票和玩游戏,我曾经在好几个部委提到,我们对安全意识认为不到位,我们在一起学习,来培训非常重要。我们不知道面前的计算机和我们买的桌子和板凳有根本的区别,它们买了就是我们的,计算机买了之后不一定是你的,受软件的控制。在座都知道装修房子以后,第一件事情就是把门锁换了,我们公共安全意识很强,现在买菜回来把菜放在水里泡一泡,请问大家买回来的计算机检查了吗,没有的,都是直接插着用。买辆车回来是不是弄得内装修好一点,我们对计算机做过这种考虑吗,大家都没有的,所以这个意识很弱,而且目前大家关注的门户网站邮件系统保密不够,这是目前电子政务非常现实的问题。

  最后一个建议就是落实五个长效机制的抓手,一个还是要与信息网络相适应的安全保障体系做好,第二个就是把人防和技防相结合的各项规章制度落实好,第三项要做全面、及时和漏洞分析和风险评估,信息化再也不是一个小孩了,我们现在是一个运营和运转着国家社会管理职能,是支撑着国家现代管理的一个相对成熟的网络,我们必须关注自己的风险健康。第四把制度化、专业化信息安全检查要做细,一年一次的检查,要么自查,要么请人来查。第五就是日常信息安全保密意识教育和培育,让大家了解,否则无知无畏。

  讲这些供大家参考,总体讲目前我国信息安全还是可控的,在大家共同努力下,信息化的发展势头是很好的,祝各位在信息化尤其是电子政务建设中取得越来越大的成绩,也祝大家的电子政务顶层设计得到优化和升级。谢谢!

2002年:吴世忠主任谈美“9·11”后的安全策略编辑本段回目录

  “9·11”事件已经过去半年了,美国作为头号信息大国,为了加强信息网络安全、防范网络恐怖主义而采取了系列行动。就这个问题,记者特别向中国信息安全产品测评认证中心吴世忠主任进行了详细地了解,相信在看到了美国政府对此进行了系列“亡羊补牢”的措施和策略后,也会给我们的信息安全产业的发展带来某种启发和思考。

  十大紧急安全举措

  记者:“9·11”后,美国政府很快就成立了“总统关键基础设施保护办公室”,为了更好地行使职权,还特别设立了“总统网络安全顾问”一职,由该办公室主任理查德·克拉克担任,这也是美国历史上第一个安全顾问。他在上任后,为了彻底弥补美国信息安全中的漏洞,都采取了哪些具体行动?

  吴世忠:克拉克上任后在落实美国政府信息安全新举措方面可以说是大刀阔斧,从“9·11”事件发生后的100多天里美国信息安全方面的发展动向看,克拉克主要抓了以下十件大事:

  一,启动国家信息安全新战略的研制工作

  他提出,新的国家信息安全战略应该是一个开放的、透明的、动态的、与时俱进的活的战略。

  二,大幅度增加对信息安全的投入

  据美国政府管理与预算办公室统计,去年美国政府在信息安全方面的投资为27亿美元,今年,政府在信息安全上的直接投入将比去年增长64%,达到40亿美元。

  三,提高产业界的信息安全意识和社会责任

  美国政府要求IT厂商在产品的研究开发中要高度关注安全措施,强制实施联邦政府所用信息技术产品的安全测评与认证,引导产业界研发出高性能、高安全的信息技术产品。

  四,改善互联网服务状况,加大执法力度

  五,加强信息安全各部门间的协调和配合

  六,推动信息安全方面的人才培养工作

  为适应信息化社会的安全需要,美国国家安全局(NSA)在1999年正式实施“国家信息安全教育培训计划”,采用授权认可的管理方式,选择了美国境内的23所高校,设立“信息安全保障教育和学术交流中心”,开设从职业培训、学士、硕士到博士的系统课程。“9·11”后,由美国国家科学基金会每年配套专款奖学金500万美元,资助全美信息安全人才的培养工作。

  七,实行信息安全情报通报和社会告警机制

  针对信息安全既事关国家安全又涉及民众利益的特点,美国将网络安全方面的情报与信息分为两个层次,综合利用。凡涉及国家安全和打击犯罪的,作为情报在政府部门通报;凡涉及经济活动和民众利益的,则作为安全预警信息,向社会发布。

  八,提出政府专用网络的建议,引导信息安全产业的发展

  克拉克提出专为电子政务建立独立、安全的政府网(Govnet)计划建议,到目前为止,已有160多家企业积极参与。

  九,提出建立信息基础设施模拟中心的设想

  旨在开展网络攻防的演习和模拟,进而建成全国的网络安全预警和监测中心。

  十,加强全社会的网络安全宣传,提高全民的信息安全意识

  一方面,在AOL、Cisco、微软等大公司的帮助下,面向社会开展网络安全的教育、培训和宣传活动。另一方面,通过参加民间组织和中介机构或企业主办的各种安全会议,宣传政府在信息安全方面的设想和建议,加强政府与社会的互动。

  上述十方面的工作应该说现在才刚刚开始,但是,美国的这些安全举措对我们的信息安全产业来讲,很值得关注、学习、借鉴。


  关注安全管理六个新重点


  记者:美国的信息安全新举措中也包括了信息安全的管理问题,然而管理本身又是一个相当复杂的问题,对此,他们是如何做的呢?

  吴世忠:虽然经过了“9·11”,美国信息安全战略的重点从克林顿政府到布什政府,总体上看并未改变,那就是保护关键基础设施,也就是要保护国家关键信息基础设施的安全。美国政府在信息安全管理方面的定位主要是两条:一是要保护公民在信息网络中的合法权利;二是要为社会发展提供一个健康、有序的信息化网络环境。从这一基本的定位出发,美国国家信息安全管理的重点大致包括以下六个方面:

  一, 个人隐私

  在这方面目前的热门话题有四个,即个人医疗信息的保密问题、个人商务信息/信用信息的保护问题、个人通信的保密问题和政府对各种信息网络的监视问题。

  二, 密码政策

  密码技术一直是高度敏感的两用技术,各国均要面临密码使用的两难问题:即一方面要充分保护个人通信的安全和保密,保证法律规定的个人隐私和通信自由;另一方面又要保证执法部门和安全机关打击犯罪和防范事端。在这一领域,美国政府目前的重点有四个方面:一是密钥恢复,也就是密钥托管,它是政府直接使用密钥破译加密通信的手段,最初美国政府规定所有保密通信的密钥均交由政府专门部门管理,即密钥托管,后来此政策改为由政府指定的公正机构管理,由政府执法部门依法定程序使用,即密钥恢复。第二是密钥管理基础设施,即PKI/KMI,它是为商用网络提供密钥交换和信任服务的基础手段,政府需要制定相应的管理办法和政策,以保证密钥和证书的安全、有效、合法。第三是密码算法。美国政府部门长期以来使用标准的加密算法,并对加密产品的出口进行了严格控制,经过十多年的使用,原来的数据加密标准(DES)正逐渐让位于近来新选定的“高级加密标准(AES)”,目前,美国对密码产品的出口控制依然存在。第四是密码API。随着互联网应用的普及,在商用领域,可能会使用不同的加密算法,如对密码强度、密钥长度等也有不同要求,需要保证不同产品、算法、应用等之间的互联互通,就必须开发技术手段,又要管理措施;二是安全和保密问题,这个问题包括上网的个人或组织的信息保密与互联网相连的政府网的信息保密,以及网上行为的保密与隐私等;三是对互联网的依赖问题,随着经济、社会生活的上网处理,一旦出现安全问题,将直接引发社会不安;四是对经济、文化和国家安全的冲击,即网上的知识产权保护、道德规范、恐怖宣传、毒品交易等也日益引起政府的关注。

  四,执法问题。

  网络化社会使人和组织的行为越来越多地依靠各种网络来进行,为维护良好的网络程序,执法问题必须解决。目前,美国的网络执法问题主要涉及两大内容:一是原有法律如何向“网络空间”延伸,以有效扼制网上犯罪;二是如何防止利用网络手段发生新的犯罪活动,针对新的网络生活,制定相应的法律法规。

  五,网络恐怖和信息战问题。

  社会经济、文化、政治、军事等方方面面,均日益依赖网络,故而网络安全与否直接关系到国计民生和生死存亡。从战后国际关系的现实需要出发,美国已形成较完整的信息战体系,“9·11”后又不失时机地将反恐怖活动纳入网络战的范畴,即对关键信息技术的严格控制和对恐怖活动的技术侦察。

  六,国际经济问题。

  由于信息技术已成为商业和政府的网络化媒介,美国从其全球利益出发,将有些国际经济问题也列为信息安全管理的重要内容。从这几年的实际情况看,信息安全中的国际经济问题主要有五大内容:知识产权的网络化保护,互联网发展带来的对电信的改革,对各种新兴网络,特别是互联网的管制问题,电子商务的安全问题和国际环境下的不良信息和言论自由问题。

  给我们带来的启示

  记者:美国作为头号信息大国,他的一举一动都会对世界产生重大影响。对此,我们可以从中受到哪些启发呢?

  吴世忠:美国作为信息化程度最高的国家,对信息网络的依赖性最大,对信息安全的关注自然也最多。目前,影响全世界信息安全的概念、技术和思想,大多数是出自美国的,所以首先一点,美国在信息安全方面的所作所为很值得我们借鉴和参考。比如,前面提到的美国以总统令的形式强化国家信息安全的统一管理与协调;再如,为保障政府信息化的发展,2000年美国就通过了“政府信息安全改革法”,该法将政府信息安全工程划分为安全管理、安全技术实施和安全评估三大阶段,对其它国家不无参考意义。还有,“9·11”以后美国在信息安全方面的众多举措,也有可供我们借鉴之处。

  同时,我们也要看到,信息安全问题毕竟又是十分复杂的新问题,即使美国这样的信息化大国,虽然占尽优势也还不能说就完全能解决信息安全问题。这几年不断出现的黑客攻击和病毒肆虐就让美国损失不少。另据美国政府管理和预算办公室调查,2001年美国政府各部门的信息安全工作仍有诸多不足:其中六大共性的问题已引起美国政府的重视,即政府高层管理的信息安全意识有待提高;目前的安全措施有待加强;安全教育和培训力度有待加大;针对信息安全的投资有待增多;针对安全服务商的要求有待明确;有关安全漏洞、弱点的信息有待共享等。

  应该说,密切关注“9·11”以后美国政府在信息安全方面的政策和举措,对于我国的信息化进程都是很有意义的,特别是政府的信息安全工作应如何展开,电子政务的安全应如何保障,网上不良信息应如何有效控制,信息产业应如何推动和发展,都值得认真思考。

参考文献编辑本段回目录

http://www.zzdjw.com/BIG5/n/2014/0107/c178396-24043500-2.html
http://media.ccidnet.com/media/ciw/1109/c3101.htm

→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 吴世忠

收藏到: Favorites  

同义词: 暂无同义词

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。