论文部分内容阅读
信息安全自主可控听起来很美,具体如何实现?让我们从烟草行业的具体情况出发,进行一下分析、探讨吧!
信息安全自主可控的涵义是:信息安全领域的技术和产品,能自主的就要尽最大可能实现自主;不能自主的,必须保证它是可控可知的,即要对信息安全技术与产品的风险、隐患、漏洞、潜在问题做到“心中有底、手中有招、控制有道”。 目前,烟草行业的核心应用系统(如“一号工程”、卷烟营销、专卖管理、财务管理系统、人力资源系统等)的软、硬件设备几乎全套采用了国外主流、成熟的产品技术,从整体上来说,行业信息化核心应用基础设施的选型、配置起点较高,但从另一方面讲,信息安全系统的可控性、可知性、可预防性水平较低。不可否认,国内当前的采购政策、市场环境、IT发展现状等因素在一定程度上制约了自主知识产权的IT产品技术进入高端、核心设备的市场采购范围,但这绝不仅仅是一个技术问题,还有更深层次的长远战略、规划管理问题。
信息安全
自主可控的意义
在烟草行业大力推行信息安全自主可控,具有以下重要意义:
1. 可避免分发式安全威胁。
IT产品的整个生命周期包括研发、设计、制造、销售、安装、维护、升级等过程,如果有人在其中任何一个环节上植入恶意代码、开通恶意后门、加入隐蔽指令等,都将给信息系统造成一定安全隐患,即IT产品的分发式安全威胁。非自主的IT产品存在分发式安全威胁的概率很大,这类威胁往往不易被用户发觉,但却可能给用户造成重大的损失、破坏。对非自主的IT产品增强防范意识、加强控制管理、制订风险应对措施,可以大大避免分发式安全威胁。
2. 可封堵信息安全“漏洞”。
国外的IT厂商通常不会向中国用户提供核心技术和专利,因此国内用户很难对设备的整体可信性、可靠性、可控性进行全面检测,分析判断出设备中是否存在“后门”、“陷阱”、“漏洞”、“软件炸弹”、“隐蔽指令”等安全威胁,一旦这些“漏洞”被利用,实施攻击、入侵、修改、恶意破坏或者窃取机密数据信息,其后果不堪设想。据公安部有关资料显示,近年来国内大量网络泄密案件、窃密案件、信息安全事件均与“漏洞”有关。实施信息安全系统自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。
3. 是行业信息化发展的长远战略需要。
烟草行业核心应用信息化硬件设施投资规模巨大,处于高位运行状态,很多企业基础网络平台、服务系统平台、应用平台、安全支撑平台基本上被国外产品垄断,这些非自主IT产品本身封闭性强、操作复杂、技术资料短缺,国内用户很难定制二次研发或者组装生产。烟草企业在高端IT产品采购上几乎没有可选择的空间,对IBM、微软、戴尔等IT巨头的依赖程度过大,信息系统运行后每年仅硬件维修保养一项就产生高额的附加成本费用,这些都不利于烟草信息化的长远发展。信息化的平稳健康发展需要一个广阔、开放、成熟、多元化的产品市场空间,在允许的情况下实施信息安全自主可控可以降低信息系统设备采购、开发、运维成本,满足行业信息化发展的长远战略需要。
四项措施
实践自主可控
“自主可控”从概念上分析,首先是“自主”,而后才能达到真正“可控”,“自主”是“可控”的必要条件。自主化不能简单地理解成国产化,目前很多产品的国产化还是停留在对国外核心技术进行组装式开发的基础上,由于核心技术并不掌握在自己手中,因此这只能是一种准自主化或伪自主化,仍然存在一定的不可控因素、安全隐患。要实现信息安全系统的自主可控,就必须要求信息安全产品真正自主化。从狭义上讲,使用国产自主化的软硬件产品、技术和服务,是信息安全体系自主可控的基础;从广义上讲,自主可控应该涵盖信息化发展的全过程,各个环节都实现自主可控,这样才能构建完整的、自主可控的信息安全体系。具体来说,可以采取以下几项措施:
1. 加强重视,应用系统建设与信息安全建设并重。
我们迫切需要紧跟形势、转变观念、与时俱进,加强对信息安全的重视支持,应用系统建设与信息安全建设必须“两手抓、两手硬”,在信息化建设过程中,继续坚持应用系统建设与信息安全建设同步规划、同步实施、协调发展、均衡发展的原则,将信息系统安全体系建设融入到烟草信息化建设的全过程之中。
2. 加强政策引导,为信息安全设备的采购提供政策导向、标准体系。
烟草行业迫切需要在信息安全设备、产品、服务的选型上遵循以下原则:
(1)对于信息安全设备、产品、技术、服务的选型,能自主的应该自主,不能自主的必须实现可知、可控、可检测;
(2)原则上使用国产设备,只有在无相应国产设备时方可使用已通过国家相关主管部门批准、指定、测评、鉴定、认证的国外设备,绝不使用未经国家相关主管部门测评审核通过的设备;
(3)烟草企业必须和非自主的厂商(国产、非国产)签署明确的安全保密责任书。
3. 加强管理监控,有效治理分发式安全威胁,提高可控性。
以管理举措为主,配合使用技术手段加强对非自主化信息安全产品的监控,有效治理、检测、评估分发式安全威胁,提高可控性。检测、治理分发式安全威胁的技术手段主要可分为以下几类:
(1)对信息系统使用、运维过程中发现的漏洞要及时打好补丁,堵塞漏洞;
(2)“最小化配置”,即只启用必需的进程、端口、服务、应用,其余的一律关闭;
(3)对信息安全产品定期做深度的安全检测并作跟踪记录,不符合安全标准的产品坚决不使用,不能做到可控的产品不部署到核心关键应用场合;
(4)对于已经在核心系统中使用的非自主产品,按要求进行及时加固和系统升级,对系统的运行进行严密的监测,一旦发现异常行为应立即采取对策处置;
(5)“人本理论”,信息安全产品最终还是要为人所用,因此必须加强各级使用人员、维护人员、管理人员的教育培训,通过实施配套严格的管理制度,提高信息安全防范意识,提升专业操作技能。
4. 加强自主研发,提升信息化自主研发创新能力。
信息安全系统自主可控绝不仅仅是依靠采购自主化的软、硬件产品就能实现的,需要进一步加强自主创新的能力,通过在信息化过程中自主规划、自主研发、使用自主化产品、自主运维,努力建成与应用需求相适应的自主可控信息安全体系。
烟草行业信息化的进一步发展,需要纵深方向的安全防御体系作为支撑,信息安全系统自主可控的问题不从根本上解决,核心技术与重要信息系统受制于人的局面就不会改变,全面的安全防御就成为一句空话。实现高度的信息安全系统势在必行,但又任重道远,自主可控是一个逐渐发展、深化、完善的过程。
信息安全自主可控的涵义是:信息安全领域的技术和产品,能自主的就要尽最大可能实现自主;不能自主的,必须保证它是可控可知的,即要对信息安全技术与产品的风险、隐患、漏洞、潜在问题做到“心中有底、手中有招、控制有道”。 目前,烟草行业的核心应用系统(如“一号工程”、卷烟营销、专卖管理、财务管理系统、人力资源系统等)的软、硬件设备几乎全套采用了国外主流、成熟的产品技术,从整体上来说,行业信息化核心应用基础设施的选型、配置起点较高,但从另一方面讲,信息安全系统的可控性、可知性、可预防性水平较低。不可否认,国内当前的采购政策、市场环境、IT发展现状等因素在一定程度上制约了自主知识产权的IT产品技术进入高端、核心设备的市场采购范围,但这绝不仅仅是一个技术问题,还有更深层次的长远战略、规划管理问题。
信息安全
自主可控的意义
在烟草行业大力推行信息安全自主可控,具有以下重要意义:
1. 可避免分发式安全威胁。
IT产品的整个生命周期包括研发、设计、制造、销售、安装、维护、升级等过程,如果有人在其中任何一个环节上植入恶意代码、开通恶意后门、加入隐蔽指令等,都将给信息系统造成一定安全隐患,即IT产品的分发式安全威胁。非自主的IT产品存在分发式安全威胁的概率很大,这类威胁往往不易被用户发觉,但却可能给用户造成重大的损失、破坏。对非自主的IT产品增强防范意识、加强控制管理、制订风险应对措施,可以大大避免分发式安全威胁。
2. 可封堵信息安全“漏洞”。
国外的IT厂商通常不会向中国用户提供核心技术和专利,因此国内用户很难对设备的整体可信性、可靠性、可控性进行全面检测,分析判断出设备中是否存在“后门”、“陷阱”、“漏洞”、“软件炸弹”、“隐蔽指令”等安全威胁,一旦这些“漏洞”被利用,实施攻击、入侵、修改、恶意破坏或者窃取机密数据信息,其后果不堪设想。据公安部有关资料显示,近年来国内大量网络泄密案件、窃密案件、信息安全事件均与“漏洞”有关。实施信息安全系统自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。
3. 是行业信息化发展的长远战略需要。
烟草行业核心应用信息化硬件设施投资规模巨大,处于高位运行状态,很多企业基础网络平台、服务系统平台、应用平台、安全支撑平台基本上被国外产品垄断,这些非自主IT产品本身封闭性强、操作复杂、技术资料短缺,国内用户很难定制二次研发或者组装生产。烟草企业在高端IT产品采购上几乎没有可选择的空间,对IBM、微软、戴尔等IT巨头的依赖程度过大,信息系统运行后每年仅硬件维修保养一项就产生高额的附加成本费用,这些都不利于烟草信息化的长远发展。信息化的平稳健康发展需要一个广阔、开放、成熟、多元化的产品市场空间,在允许的情况下实施信息安全自主可控可以降低信息系统设备采购、开发、运维成本,满足行业信息化发展的长远战略需要。
四项措施
实践自主可控
“自主可控”从概念上分析,首先是“自主”,而后才能达到真正“可控”,“自主”是“可控”的必要条件。自主化不能简单地理解成国产化,目前很多产品的国产化还是停留在对国外核心技术进行组装式开发的基础上,由于核心技术并不掌握在自己手中,因此这只能是一种准自主化或伪自主化,仍然存在一定的不可控因素、安全隐患。要实现信息安全系统的自主可控,就必须要求信息安全产品真正自主化。从狭义上讲,使用国产自主化的软硬件产品、技术和服务,是信息安全体系自主可控的基础;从广义上讲,自主可控应该涵盖信息化发展的全过程,各个环节都实现自主可控,这样才能构建完整的、自主可控的信息安全体系。具体来说,可以采取以下几项措施:
1. 加强重视,应用系统建设与信息安全建设并重。
我们迫切需要紧跟形势、转变观念、与时俱进,加强对信息安全的重视支持,应用系统建设与信息安全建设必须“两手抓、两手硬”,在信息化建设过程中,继续坚持应用系统建设与信息安全建设同步规划、同步实施、协调发展、均衡发展的原则,将信息系统安全体系建设融入到烟草信息化建设的全过程之中。
2. 加强政策引导,为信息安全设备的采购提供政策导向、标准体系。
烟草行业迫切需要在信息安全设备、产品、服务的选型上遵循以下原则:
(1)对于信息安全设备、产品、技术、服务的选型,能自主的应该自主,不能自主的必须实现可知、可控、可检测;
(2)原则上使用国产设备,只有在无相应国产设备时方可使用已通过国家相关主管部门批准、指定、测评、鉴定、认证的国外设备,绝不使用未经国家相关主管部门测评审核通过的设备;
(3)烟草企业必须和非自主的厂商(国产、非国产)签署明确的安全保密责任书。
3. 加强管理监控,有效治理分发式安全威胁,提高可控性。
以管理举措为主,配合使用技术手段加强对非自主化信息安全产品的监控,有效治理、检测、评估分发式安全威胁,提高可控性。检测、治理分发式安全威胁的技术手段主要可分为以下几类:
(1)对信息系统使用、运维过程中发现的漏洞要及时打好补丁,堵塞漏洞;
(2)“最小化配置”,即只启用必需的进程、端口、服务、应用,其余的一律关闭;
(3)对信息安全产品定期做深度的安全检测并作跟踪记录,不符合安全标准的产品坚决不使用,不能做到可控的产品不部署到核心关键应用场合;
(4)对于已经在核心系统中使用的非自主产品,按要求进行及时加固和系统升级,对系统的运行进行严密的监测,一旦发现异常行为应立即采取对策处置;
(5)“人本理论”,信息安全产品最终还是要为人所用,因此必须加强各级使用人员、维护人员、管理人员的教育培训,通过实施配套严格的管理制度,提高信息安全防范意识,提升专业操作技能。
4. 加强自主研发,提升信息化自主研发创新能力。
信息安全系统自主可控绝不仅仅是依靠采购自主化的软、硬件产品就能实现的,需要进一步加强自主创新的能力,通过在信息化过程中自主规划、自主研发、使用自主化产品、自主运维,努力建成与应用需求相适应的自主可控信息安全体系。
烟草行业信息化的进一步发展,需要纵深方向的安全防御体系作为支撑,信息安全系统自主可控的问题不从根本上解决,核心技术与重要信息系统受制于人的局面就不会改变,全面的安全防御就成为一句空话。实现高度的信息安全系统势在必行,但又任重道远,自主可控是一个逐渐发展、深化、完善的过程。