澳大利亞信息安全體系建設(shè)概況及啟示

1、澳大利亞信息安全體系建設(shè)概況及啟示2009-04-22澳大利亞的電子政務(wù)建設(shè)是隨著信息技術(shù)進(jìn)步不斷發(fā)展的，特別是 20 世紀(jì) 90 年代以來，澳大利亞聯(lián)邦政府（以下簡稱“澳政府”）把信息網(wǎng)絡(luò)技術(shù)作為國家經(jīng)濟(jì)和社會(huì)發(fā)展的重要推動(dòng)力量， 大力推進(jìn)信息網(wǎng)絡(luò)技術(shù)在政府行政管理和公共服務(wù)中的應(yīng)用。 從整體上看， 澳大利亞電子政務(wù)建設(shè)先后經(jīng)歷了： 出現(xiàn)零散的政府網(wǎng)站； 政府站點(diǎn)增加，繼而形成一個(gè)整體，實(shí)現(xiàn)信息發(fā)布的動(dòng)態(tài)化；政府和市民通過電子政務(wù)達(dá)到信息互動(dòng)； 政府和市民通過電子政務(wù)實(shí)現(xiàn)在線交易的發(fā)展歷程。目前，澳政府正在對(duì)政府各項(xiàng)服務(wù)進(jìn)行整合，以期能夠?qū)崿F(xiàn)統(tǒng)一出口，提供“無縫政府”服務(wù)。澳政府直面信息安全

2、問題在澳大利亞信息化快速發(fā)展的同時(shí)， 信息安全問題不斷出現(xiàn)， 如由于管理不善或人為原因造成的信息失竊或損壞， 計(jì)算機(jī)病毒、 蠕蟲、木馬危害，未經(jīng)授權(quán)的內(nèi)容獲取、情報(bào)竊取、網(wǎng)絡(luò)詐騙等。澳政府把信息安全問題放在重要位置，從法律法規(guī)、管理體制、技術(shù)手段等方面采取了很多切實(shí)有效的措施。1 健全法制，完善信息安全有關(guān)法規(guī)標(biāo)準(zhǔn)澳政府及各部門制定了一系列與信息安全有關(guān)的法律、 標(biāo)準(zhǔn)和指南， 包括 電信傳輸法 、 反垃圾郵件法、 數(shù)字保護(hù)法、 信息安全手冊 等， 還發(fā)布了政府各部門必須遵循的信息安全最低標(biāo)準(zhǔn)，包括安全保護(hù)指南和信息網(wǎng)絡(luò)技術(shù)安全等。2000 年，澳政府發(fā)布了信息安全風(fēng)險(xiǎn)管理指南，并在2004 年

3、進(jìn) 行了修訂。 2001 年，澳政府發(fā)布了“保護(hù)國家信息基礎(chǔ)設(shè)施政策”，即政府信息安全行動(dòng)計(jì)劃， 對(duì)澳大利亞關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)。 針對(duì)近年來日益猖獗的網(wǎng)絡(luò)惡意攻擊，澳政府于 2006年對(duì)政府信息安全行動(dòng)計(jì)劃進(jìn)行了修訂。此外， 澳大利亞標(biāo)準(zhǔn)局還制定和采納了一系列信息安全標(biāo)準(zhǔn)， 主要包括信息安全管理體系標(biāo)準(zhǔn)、澳大利亞和新西蘭信息安全管理標(biāo)準(zhǔn)、澳大利亞聯(lián)邦政府IT 安全手冊、信息安全風(fēng)險(xiǎn)管理指南、 IT 安全管理的信息技術(shù)指南等。 政府部門都被要求遵循這些標(biāo)準(zhǔn)， 執(zhí)行情況由國家審計(jì)署進(jìn)行審查。 同時(shí)， 澳政府建議國內(nèi)企業(yè)也遵循以上標(biāo)準(zhǔn)。2理順體制，政府部門協(xié)調(diào)配合各有側(cè)重澳大利亞對(duì)政府信息安全進(jìn)行

4、保護(hù)的政策和執(zhí)行框架主要是： 司法部負(fù)責(zé)政府信息安全保護(hù)的政策制定， 國防部負(fù)責(zé)政府信息通信安全技術(shù)層面上的指導(dǎo)，政府各部門負(fù)責(zé)人負(fù)責(zé)本部門信息安全的保護(hù)，國家審計(jì)署負(fù)責(zé)各部門信息安全保護(hù)的監(jiān)督和審計(jì)。在各司其職的同時(shí)， 澳大利亞還成立一些跨部門的委員會(huì)進(jìn)行工作協(xié)調(diào)。 在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面， 由司法部下設(shè)的關(guān)鍵基礎(chǔ)設(shè)施咨詢委員會(huì)負(fù)責(zé)協(xié)調(diào)通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、 供水及應(yīng)急設(shè)施等基礎(chǔ)設(shè)施的信息安全防護(hù)； 在防范網(wǎng)絡(luò)恐怖襲擊方面，澳大利亞成立了由聯(lián)邦警察局、安全情報(bào)局、國防部信號(hào)局和澳大利亞安全和投資委員會(huì)組成的國家反恐委員會(huì)，負(fù)責(zé)協(xié)調(diào)處理。此外， 澳大利亞還成立了非政府

5、、 非盈利的國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（工作資金來源于會(huì)員捐贈(zèng)）：一是與其他外國政府相應(yīng)的應(yīng)急機(jī)構(gòu)進(jìn)行聯(lián)系， 負(fù)責(zé)對(duì)可能影響本國關(guān)鍵基礎(chǔ)設(shè)施和商業(yè)部門的網(wǎng)絡(luò)安全問題進(jìn)行國際協(xié)調(diào)和調(diào)查； 二是負(fù)責(zé)協(xié)調(diào)各政府部門制定關(guān)于國家信息基礎(chǔ)設(shè)施的應(yīng)急準(zhǔn)備、 響應(yīng)和恢復(fù)工作的有關(guān)預(yù)案； 三是負(fù)責(zé)對(duì)本國和全球網(wǎng)絡(luò)威脅和脆弱性進(jìn)行監(jiān)控和分析， 對(duì)網(wǎng)絡(luò)恐怖事件進(jìn)行及時(shí)應(yīng)急響應(yīng)；四是發(fā)布安全公報(bào)，為澳大利亞公眾、商業(yè)部門和教育部門提供網(wǎng)絡(luò)安全信息和建議。同時(shí)，該小組還面向公眾、企業(yè)開展一系列的信息安全教育和培訓(xùn)工作。3圍繞風(fēng)險(xiǎn)，系統(tǒng)全面解決信息安全問題澳大利亞認(rèn)為信息安全的核心是風(fēng)險(xiǎn)管理， 信息安全不僅僅是技術(shù)工作

6、， 其主要目的是為有關(guān)組織的目標(biāo)提供安全保障， 這就需要對(duì)組織所面臨的內(nèi)部和外部風(fēng)險(xiǎn)進(jìn)行認(rèn)真分析， 并根據(jù)風(fēng)險(xiǎn)發(fā)生的概率和可能造成損失的嚴(yán)重程度，采取管理和技術(shù)措施。澳大利亞認(rèn)為一個(gè)完整的風(fēng)險(xiǎn)管理流程由風(fēng)險(xiǎn)確認(rèn)、風(fēng)險(xiǎn)評(píng)價(jià)、確定控制措施、實(shí)施控制措施、實(shí)施監(jiān)控等步驟組成。在風(fēng)險(xiǎn)確認(rèn)階段， 特別強(qiáng)調(diào)一個(gè)組織的信息安全風(fēng)險(xiǎn)來自組織的各個(gè)層級(jí)、 各個(gè)部門，除了 IT 系統(tǒng)所帶來的技術(shù)風(fēng)險(xiǎn)外，還包括管理、人員等內(nèi)部風(fēng)險(xiǎn)以及政策、基礎(chǔ)設(shè)施、供應(yīng)鏈、自然災(zāi)害等外部風(fēng)險(xiǎn)。其中，管理問題和人為因素是造成大多數(shù)信息安全問題的主要原因。4突出重點(diǎn)，重視政府關(guān)鍵基礎(chǔ)信息保護(hù)澳大利亞在信息安全工作中貫徹重點(diǎn)防護(hù)的原則，

7、 即通過政策標(biāo) 準(zhǔn)和政府支持， 重點(diǎn)做好政府部門和國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保障。 澳大利亞安全情報(bào)局確定了國家關(guān)鍵基礎(chǔ)設(shè)施的范圍， 主要包括：通信、銀行、金融、稅收、交通、能源、衛(wèi)生、食品、供水及應(yīng)急設(shè)施等。澳大利亞的國家關(guān)鍵基礎(chǔ)設(shè)施均是私營的， 關(guān)鍵基礎(chǔ)設(shè)施的安全由運(yùn)營公司負(fù)責(zé)， 澳大利亞在政府信息安全行動(dòng)計(jì)劃中提出依靠私營部門來保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施的策略。 為此， 澳政府制定了關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)的法規(guī)和標(biāo)準(zhǔn)， 要求關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者執(zhí)行。 同時(shí)， 澳政府還通過計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估項(xiàng)目直接向關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營者提供資金支持， 用于開展信息安全風(fēng)險(xiǎn)評(píng)估等具體工作。5加強(qiáng)

8、教育，增強(qiáng)全民信息安全保護(hù)意識(shí)澳政府重視全民信息安全意識(shí)的建立， 將提高中小企業(yè)和家庭用戶信息安全防護(hù)能力列入政府信息安全行動(dòng)計(jì)劃， 并在宣傳、 培訓(xùn)方面予以經(jīng)費(fèi)支持。澳大利亞通信信息技術(shù)和藝術(shù)部于 2006年發(fā)布了中小企業(yè)及市民互聯(lián)網(wǎng)安全要點(diǎn)， 為中小企業(yè)和市民提高信息安全防護(hù)能力提出了一系列簡明扼要、具有可操作性、投入低廉的建議。主要包括：通過培訓(xùn)提高安全意識(shí)，安裝反病毒軟件并進(jìn)行更新，安裝防火墻防止非法入侵，提醒企業(yè)和市民不要打開有害郵件等。6培養(yǎng)人才，建立安全專門人才認(rèn)證體系近年來， 澳大利亞對(duì)信息安全專門人才的需求不斷上升， 但供給短缺。 IT 專業(yè)的大學(xué)畢業(yè)生缺乏信息安全技能，人員

9、隊(duì)伍不穩(wěn)定，這種現(xiàn)象在澳政府機(jī)構(gòu)表現(xiàn)尤為明顯。針對(duì)該問題，澳政府在IT 教育學(xué)科中增加信息安全教育課程， 協(xié)助建立信息安全專業(yè)人員認(rèn)證體系。目前，在澳大利亞普遍采用的主要有6 種商業(yè)認(rèn)證項(xiàng)目，分別是信息系統(tǒng)安全專業(yè)人員認(rèn)證、 系統(tǒng)安全專業(yè)認(rèn)證、 全球信息保證認(rèn)證、信息安全認(rèn)證審計(jì)師、信息安全工程師和安全工程師。7重視測評(píng)，完善信息產(chǎn)品測評(píng)認(rèn)證體系澳大利亞堅(jiān)持預(yù)防為主的原則，強(qiáng)調(diào)在購買IT 產(chǎn)品時(shí)，特別是政府部門和關(guān)鍵基礎(chǔ)設(shè)施在開展此項(xiàng)工作時(shí)， 要認(rèn)真考慮地緣政治因素。 澳大利亞認(rèn)為外國政府和組織具有在其所提供的軟件、 硬件中留有“后門缺陷”的可能性，要求在購買IT 產(chǎn)品和安全系統(tǒng)時(shí)進(jìn)行嚴(yán)格審查

10、。1994 年，澳大利亞引入信息產(chǎn)品測評(píng)認(rèn)證制度，制定了信息產(chǎn)品測評(píng)認(rèn)證計(jì)劃， 目的是為政府機(jī)構(gòu)和行業(yè)提供高效、 經(jīng)濟(jì)的信息產(chǎn)品和系統(tǒng)的測評(píng)認(rèn)證服務(wù)。 1995年前，信息產(chǎn)品的有關(guān)測評(píng)工作均由國防部信號(hào)局完成， 1995 年以后，國防部信號(hào)局將信息產(chǎn)品的有關(guān)測評(píng)工作委托（類似于特許經(jīng)營）給信息安全測評(píng)實(shí)驗(yàn)室（獨(dú)立第三方），國防部信號(hào)局對(duì)測評(píng)機(jī)構(gòu)和測評(píng)人員進(jìn)行嚴(yán)格管理。有意成為測評(píng)機(jī)構(gòu)或預(yù)測評(píng)機(jī)構(gòu)的企業(yè)均可向國防部信號(hào)局提出申請， 國防部信號(hào)局對(duì)測評(píng)機(jī)構(gòu)、人員、管理制度和測評(píng)（或預(yù)測評(píng)）服務(wù)能力等進(jìn)行審查，在符合有關(guān)條件后頒發(fā)許可證。頒發(fā)許可證后，國防部信號(hào)局和獨(dú)立的審查機(jī)構(gòu)還會(huì)定期對(duì)測評(píng)機(jī)構(gòu)和

11、預(yù)測評(píng)機(jī)構(gòu)進(jìn)行檢查。從事測評(píng)的人員同樣需要獲得信息安全注冊評(píng)估師資格，該資格證書也由國防部信號(hào)局頒發(fā)。獲得信息安全注冊評(píng)估師資格需要提供 本人相關(guān)行業(yè)教育、認(rèn)證和經(jīng)驗(yàn)的證明材料、參加相關(guān)課程學(xué)習(xí)并通 過相關(guān)考試。在統(tǒng)一的信息產(chǎn)品評(píng)測體系的框架下， 澳大利亞對(duì)政府部門購買 和使用信息產(chǎn)品有專門的要求，政府部門及銀行等一些重要行業(yè)不僅 要求購買和使用的信息產(chǎn)品要通過測評(píng)認(rèn)證， 而且還要求對(duì)這些產(chǎn)品 的開發(fā)程序進(jìn)行測評(píng)，以確保他們所擁有的信息資源能得到安全的保 護(hù)。其他一些用戶雖然沒有強(qiáng)制規(guī)定必須使用經(jīng)過測評(píng)認(rèn)證的產(chǎn)品， 但在選擇產(chǎn)品時(shí)一般也會(huì)將測評(píng)認(rèn)證的結(jié)果作為參考依據(jù)。對(duì)我國信息安全工作的啟示信

12、息安全是一項(xiàng)綜合性工程，需要完善的法律法規(guī)體系。目前我 國還沒有信息安全方面的綜合性法律，一些部門規(guī)章之間甚至相互沖 突，信息安全的不少領(lǐng)域還存在法律空白。今后，應(yīng)加快國家信息安 全有關(guān)法律法規(guī)制定和修訂的進(jìn)程，逐步形成上下銜接、相互配套的 信息安全法律法規(guī)體系。同時(shí)，各信息系統(tǒng)的運(yùn)行單位要加強(qiáng)信息安 全管理，制定行之有效的管理制度，積極推廣使用信息安全管理標(biāo)準(zhǔn)， 使信息安全管理規(guī)范化、制度化。加快重要政府部門、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)信息安全管理 體系的建設(shè)。一是要逐步開展對(duì)重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作， 盡快 建立國家級(jí)的信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，制定和完善有關(guān)應(yīng)急處理 標(biāo)準(zhǔn)和管理制度；二

13、是各有關(guān)政府部門、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)要進(jìn)一步重視信息安全風(fēng)險(xiǎn)評(píng)估工作， 開展信息安全風(fēng)險(xiǎn)管理， 加強(qiáng)信息安全管理體系建設(shè)；三是要盡快對(duì)政府部門和基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)開展信息安全審計(jì)工作。加強(qiáng)對(duì)信息產(chǎn)品測評(píng)和服務(wù)資質(zhì)工作的管理， 逐步建立統(tǒng)一的認(rèn)證認(rèn)可體系。一是應(yīng)抓緊對(duì)信息安全產(chǎn)品實(shí)施強(qiáng)制認(rèn)證，政府部門、國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用的信息安全產(chǎn)品應(yīng)經(jīng)過具有相應(yīng)資質(zhì)的認(rèn)證機(jī)構(gòu)認(rèn)證； 二是應(yīng)盡快建立政府信息安全服務(wù)資質(zhì)管理制度，加強(qiáng)對(duì)信息安全服務(wù)企業(yè)的管理，確保政府部門、國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)信息安全服務(wù)外包的安全。加強(qiáng)信息安全宣傳和教育， 增強(qiáng)全民信息安全意識(shí)。 政府要加大對(duì)廣大中小企業(yè)和市民的宣傳和教育力度， 采取多種方式和手段， 普及信息安全知識(shí)， 提高全民信息安全意識(shí)； 定期向中小企業(yè)和市民提