风险评估机制和手段的引入使得信息网络安全体系具有了反馈控制和快速反应能力。完善的风险评估机制和健全的技术手段,能从体系上保障或支撑我军信息化建设的有序展开,不断提高建网、用网和管网的水平。
信息安全是一个相对的概念 记者:我们知道网络是一个特殊的质管实体,信息安全既有相对性的属性又有动态性的特征,您认为如何看待网络上存在的安全问题?
邬江兴:对于信息网络而言,目前看来在设计或建设阶段尚不能满足绝对安全的需要,因此,其“免疫力”的后天形成机制,决定了安全风险评估是系统全生存周期中不可或缺的重要环节。
现在的互联网络通常被认为存在五类基本安全问题:协同与信任的矛盾,有效性与安全性的矛盾,实时性与完全性的矛盾,网络的扩张性带来的不确定性以及网络的互联互通性造成的“短板效应”。同时,网络信息安全问题又具有很强的动态特征,即使在网络建设初期达到了某种设定的安全指标,但随着网络设备的升级、网络服务的增加以及应用系统的更新,特别是五花八门的各种“入侵手段”也在发展之中,安全威胁会伴随网络应用的全过程,现在还看不出有一劳永逸解决问题的可能。
记者:加强信息网络安全风险评估,对弥补网络“先天不足”,提高防范能力有什么促进作用?
邬江兴:如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大、影响程度如何,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,要如何改进、完善、提高和发展相关的技术手段;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要前提和基础性工作。一般来说,系统的安全性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性、可扩展性等方面所面临的威胁,及时地发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散之间做出实时适当的决策或抉择,最大程度地提高亡羊补牢的速度和效果。
正确认识网络安全风险评估 记者:当前,您认为加强信息网络风险评估面临的主要障碍是什么?
邬江兴:我以为主要还是思想认识上的障碍。目前,在网络安全风险评估方面主要存在以下4种认识误区:一是“怕担责任”,一些单位的领导害怕风险评估暴露本单位信息安全管理中的问题,更害怕责任追究制度,不是防患于未然,而是防不出事于未然,防不出通报于未然。二是“怕找麻烦”,有的单位担心在进行安全风险评估过程中发现问题后要对网络系统和使用习惯进行改造或修正,由此可能会出现应用系统工作不稳定或业务流程变化影响到方方面面的工作;有的担心如果增加新的技术系统或装置可能会引入新的安全风险。三是“感觉良好”,片面听信一些设备供应商夸张性的广告宣传,主观地认为本单位防范系统已是“铜墙铁壁”,缺少按评估体系科学办事的精神。四是“讳疾忌医”,把安全评估当作“找茬”、“找麻烦”,拒绝进行正规的安全评估;个别单位的领导、人员在出现安全问题后,甚至有组织地涂改系统日志信息、更换硬盘或消除历史痕迹,试图掩盖问题,而全然不顾可能存在着的更大风险。这种行为属于恶意违规蓄意犯法,在法律和纪律处理层面应当罪加一等、严惩不贷。
记者:您认为加强信息网络安全风险评估应确立什么样的工作指导思想?
邬江兴:一句话,从系统着眼,从细节入手。从系统的角度看,信息安全风险评估有助于军队信息化建设的有序开展,促进信息安全保障体系的完善,提高信息系统的安全防护能力。其目的是,借助科学的评估体系和技术方法,弄清本单位信息安全的基本态势和网络环境安全状况,及时采取或完善安全保障措施,确保信息安全策略和方针在常态化中得到贯彻与执行。从细节的角度看,必须突出重点。要加快法制建设和技术标准建设,加强风险评估核心技术研究与攻关,加强信息安全风险意识的宣传教育,普及信息安全风险评估知识,加快培养信息安全风险评估的专门人才。
构建网络安全风险评估机制 记者:您认为加强我军信息安全风险的着力点是什么?
邬江兴:关键是要建立和完善信息安全风险评估机制,也就是要构建一个“发现隐患、制定对策、提升强度、效果认证”的闭环式、反馈型、非线性的评估系统。同时,信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标;在工程验收阶段一定要进行效果认证和风险再评估以判定系统的安全目标达成与否;在运行维护阶段要针对安全形势和问题,进行制度化的风险评估工作,以确定安全措施的有效性和决定是否采取隔离或实施升级行动,以确保安全保障态势始终维持在期望的目标水平之上。
记者:您认为如何从制度层面保障我军信息网络安全风险评估机制的落实?
邬江兴:从总体上讲,要加强信息网络安全风险评估的组织领导,建议在全军保密委之下成立信息安全管理专门委员会,统筹规划、创新手段,强化风险评估的各项机制,监督各项制度措施的落实,及时反馈各种相关信息。从个体上讲,每个人都要树立正确的风险防范意识,正确区分违规行为和网络安全事件,对于严格按规定操作而遭到网络攻击的情形,应及时上报,人人都要成为网络信息安全的“探测器”、系统漏洞的“挖掘器”。及时上报安全漏洞应当常态化制度化,现阶段给予适当形式的鼓励有利于形成必要的氛围。对于谎报、瞒报,甚至消除上网痕迹、掩盖网络漏洞的,应视为严重违规行为,要严惩不贷;对恶意消除办公计算机历史信息,故意破坏日志信息完整性的,应该按照故意泄密行为从重处分。同时,还要加强军事信息安全的法制化建设,通过常态化的风险评估来对我军信息安全的相关制度进行修订,核心技术进行研发,评价标准进行升级,全方位地提高安全风险评估机制对军队信息化建设的保障和支撑作用。