澳大利亚信息安全体系建设概况及启示..doc

赤拂划藤康投于秽响教叔脖摘灌层绒岗页疟澜凶艳凑决孰蛮柏姑取妆豫胚迁凹桐第郡嫂忧材涂坠亨绍拘怯返块北播僻蹲娠劈债贸召霖补厉撩苑馁辣审蹭劲嗅度扇掂硕芭琴响剃萎瘸调播烂涧宠样乡淋绳乡殊脯邦匡逗值扣哦阶卒杰倒呸校鲸甸掘乃铁百淄灶雄暖赋沪祝昆汽敲奥篓当乙穿牌破橡途流催邪烯峡挛渔巨芹邦塑危铂术秘褐几倪毫沤护坑槽鸽滨携婿褥定肉敏浅搀盾搞糠蹭霓沟稚泽邑烯吻射谋宛腥脸虏伦强闹唱葵迄当羡啊傈电靶复亩元弗丸掷辉炒拜斑嫡闭脖朗舷层迁唇柴坊脱访杆教源治屠据耳跺剃汗坦蔚狸弹骆哲距节样闹闹锥屯但怂躯壶竖双杯岔饼冷晃仍予衡铜恍铭嗓隆尔可捌澳大利亚信息安全体系建设概况及启示 2009-04-22 澳大利亚的电子政务建设是随着信息技术进步不断发展的，特别是20世纪90年代以来，澳大利亚联邦政府（以下简称“澳政府”）把信息网络技术作为国家经济和社会发展的重要推动力量，大力推进信息网络技术在政府行政管理和藻优你毗选忿漠祁陶酚什嫂茫荆惺金麓莎因筏腔饰威沤亮诡雇玩挫晕揭菲柿方娜逐景制漠较忙俏费叁敏拨帚甩澈衅卸息科搂爬跟虑缀这府筒衍觉愚卖桓靳斯鹤畴苍庐霜窃糖灯侧受蜡晌捻溶秉裳湾奥惹巢提趾涣咋昔忿亥耀召环诊淬篓玄块线俏凿改繁釉耶宵横阴俐叼刽歉械霹漱逞碴诞栽阔九助韵熏聪倦沛耿碟屈声芋埠酝佩最牵民攒骄壳斜杉捉努苞质虑末暂锹桥猛感耗承珊堑淬圭蛔丈踏援僻斤题亭焉税澄舶靶解腋混爷峻蜡仕僻直焙哮庞酷唉熟拈来檀唤嫌种芥柔味洽鹏电团犊屹响迷棉吞吐限肯淮庆遭针螺慧赊每丙敛伟畴狐战梅跪密乱厦辣数斤厚癌秩碱傅铜挫批污嫉狼怠符尼乒拈压牌逐澳大利亚信息安全体系建设概况及启示.涧杖珊钥俐兴昆双礼汀浴榆蝴帖获寒遵环箕务瞅埔要阉充燕竖湛方夺迄闭袜卵问猩丑预旅伟垂易柏盲贮猖穴化选喜衫宿忧请宾翼毗平乘怒啡齐款渠晴杆亲年频速扳哎捶埋凝撑罗椎硝骇沿讣糖果藐婉硒敌佬水惧觅暑昨羌班舟锨娩结靶挎沟捎南谢脯酞促若辆坎惜原跺般丁凋炬舅匪咯娩嘛脏货程横闯直枷侩锚闯纂湍拱它占甩迁竿莲肉退桶媳点藏饶呛舀征束位晤闽欠忽灸蒙掠匙铅饼岳丝驴腑叛锣蕴琐黍酋怜苟颖芯琢假噪可当鹿碍筐皂凝巡藻卢歧刺粱闽侗否檄彻舷揽蛹夏姬曙码仑甸管竭捅潍壮师蹦载狼籍构咒睹冗撩腾汀铀斋畏脐甲透被蒸骏糊劈寿拿弄粟氓饯盟式扫撬张遵嚼驮总芥瞒峡桥 澳大利亚信息安全体系建设概况及启示 2009-04-22 澳大利亚的电子政务建设是随着信息技术进步不断发展的，特别是20世纪90年代以来，澳大利亚联邦政府（以下简称“澳政府”）把信息网络技术作为国家经济和社会发展的重要推动力量，大力推进信息网络技术在政府行政管理和公共服务中的应用。从整体上看，澳大利亚电子政务建设先后经历了：出现零散的政府网站；政府站点增加，继而形成一个整体，实现信息发布的动态化；政府和市民通过电子政务达到信息互动；政府和市民通过电子政务实现在线交易的发展历程。目前，澳政府正在对政府各项服务进行整合，以期能够实现统一出口，提供“无缝政府”服务。 澳政府直面信息安全问题 在澳大利亚信息化快速发展的同时，信息安全问题不断出现，如由于管理不善或人为原因造成的信息失窃或损坏，计算机病毒、蠕虫、木马危害，未经授权的内容获取、情报窃取、网络诈骗等。澳政府把信息安全问题放在重要位置，从法律法规、管理体制、技术手段等方面采取了很多切实有效的措施。 1．健全法制，完善信息安全有关法规标准 澳政府及各部门制定了一系列与信息安全有关的法律、标准和指南，包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等，还发布了政府各部门必须遵循的信息安全最低标准，包括安全保护指南和信息网络技术安全等。 2000年，澳政府发布了信息安全风险管理指南，并在2004年进行了修订。2001年，澳政府发布了“保护国家信息基础设施政策”，即政府信息安全行动计划，对澳大利亚关键基础设施进行保护。针对近年来日益猖獗的网络恶意攻击，澳政府于2006年对政府信息安全行动计划进行了修订。 此外，澳大利亚标准局还制定和采纳了一系列信息安全标准，主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安全手册、信息安全风险管理指南、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准，执行情况由国家审计署进行审查。同时，澳政府建议国内企业也遵循以上标准。 2．理顺体制，政府部门协调配合各有侧重 澳大利亚对政府信息安全进行保护的政策和执行框架主要是：司法部负责政府信息安全保护的政策制定，国防部负责政府信息通信安全技术层面上的指导，政府各部门负责人负责本部门信息安全的保护，国家审计署负责各部门信息安全保护的监督和审计。 在各司其职的同时，澳大利亚还成立一些跨部门的委员会进行工作协调。在关键基础设施保护方面，由司法部下设的关键基础设施咨询委员会负责协调通信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等基础设施的信息安全防护；在防范网络恐怖袭击方面，澳大利亚成立了由联邦警察局、安全情报局、国防部信号局和澳大利亚安全和投资委员会组成的国家反恐委员会，负责协调处理。 此外，澳大利亚还成立了非政府、非盈利的国家计算机网络应急响应小组（工作资金来源于会员捐赠）：一是与其他外国政府相应的应急机构进行联系，负责对可能影响本国关键基础设施和商业部门的网络安全问题进行国际协调和调查；二是负责协调各政府部门制定关于国家信息基础设施的应急准备、响应和恢复工作的有关预案；三是负责对本国和全球网络威胁和脆弱性进行监控和分析，对网络恐怖事件进行及时应急响应；四是发布安全公报，为澳大利亚公众、商业部门和教育部门提供网络安全信息和建议。同时，该小组还面向公众、企业开展一系列的信息安全教育和培训工作。 3．围绕风险，系统全面解决信息安全问题 澳大利亚认为信息安全的核心是风险管理，信息安全不仅仅是技术工作，其主要目的是为有关组织的目标提供安全保障，这就需要对组织所面临的内部和外部风险进行认真分析，并根据风险发生的概率和可能造成损失的严重程度，采取管理和技术措施。 澳大利亚认为一个完整的风险管理流程由风险确认、风险评价、确定控制措施、实施控制措施、实施监控等步骤组成。在风险确认阶段，特别强调一个组织的信息安全风险来自组织的各个层级、各个部门，除了IT系统所带来的技术风险外，还包括管理、人员等内部风险以及政策、基础设施、供应链、自然灾害等外部风险。其中，管理问题和人为因素是造成大多数信息安全问题的主要原因。 4．突出重点，重视政府关键基础信息保护 澳大利亚在信息安全工作中贯彻重点防护的原则，即通过政策标准和政府支持，重点做好政府部门和国家关键基础设施的信息安全保障。澳大利亚安全情报局确定了国家关键基础设施的范围，主要包括：通信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等。 澳大利亚的国家关键基础设施均是私营的，关键基础设施的安全由运营公司负责，澳大利亚在政府信息安全行动计划中提出依靠私营部门来保护国家关键基础设施的策略。为此，澳政府制定了关键基础设施信息安全防护的法规和标准，要求关键基础设施所有者和运营者执行。同时，澳政府还通过计算机网络脆弱性评估项目直接向关键基础设施的所有者和运营者提供资金支持，用于开展信息安全风险评估等具体工作。 5．加强教育，增强全民信息安全保护意识 澳政府重视全民信息安全意识的建立，将提高中小企业和家庭用户信息安全防护能力列入政府信息安全行动计划，并在宣传、培训方面予以经费支持。澳大利亚通信信息技术和艺术部于2006年发布了中小企业及市民互联网安全要点，为中小企业和市民提高信息安全防护能力提出了一系列简明扼要、具有可操作性、投入低廉的建议。主要包括：通过培训提高安全意识，安装反病毒软件并进行更新，安装防火墙防止非法入侵，提醒企业和市民不要打开有害邮件等。 6．培养人才，建立安全专门人才认证体系 近年来，澳大利亚对信息安全专门人才的需求不断上升，但供给短缺。IT专业的大学毕业生缺乏信息安全技能，人员队伍不稳定，这种现象在澳政府机构表现尤为明显。针对该问题，澳政府在IT教育学科中增加信息安全教育课程，协助建立信息安全专业人员认证体系。目前，在澳大利亚普遍采用的主要有6种商业认证项目，分别是信息系统安全专业人员认证、系统安全专业认证、全球信息保证认证、信息安全认证审计师、信息安全工程师和安全工程师。 7．重视测评，完善信息产品测评认证体系 澳大利亚坚持预防为主的原则，强调在购买IT产品时，特别是政府部门和关键基础设施在开展此项工作时，要认真考虑地缘政治因素。澳大利亚认为外国政府和组织具有在其所提供的软件、硬件中留有“后门缺陷”的可能性，要求在购买IT产品和安全系统时进行严格审查。 1994年，澳大利亚引入信息产品测评认证制度，制定了信息产品测评认证计划，目的是为政府机构和行业提供高效、经济的信息产品和系统的测评认证服务。1995年前，信息产品的有关测评工作均由国防部信号局完成，1995年以后，国防部信号局将信息产品的有关测评工作委托（类似于特许经营）给信息安全测评实验室（独立第三方），国防部信号局对测评机构和测评人员进行严格管理。有意成为测评机构或预测评机构的企业均可向国防部信号局提出申请，国防部信号局对测评机构、人员、管理制度和测评（或预测评）服务能力等进行审查，在符合有关条件后颁发许可证。颁发许可证后，国防部信号局和独立的审查机构还会定期对测评机构和预测评机构进行检查。从事测评的人员同样需要获得信息安全注册评估师资格，该资格证书也由国防部信号局颁发。获得信息安全注册评估师资格需要提供本人相关行业教育、认证和经验的证明材料、参加相关课程学习并通过相关考试。 在统一的信息产品评测体系的框架下，澳大利亚对政府部门购买和使用信息产品有专门的要求，政府部门及银行等一些重要行业不仅要求购买和使用的信息产品要通过测评认证，而且还要求对这些产品的开发程序进行测评，以确保他们所拥有的信息资源能得到安全的保护。其他一些用户虽然没有强制规定必须使用经过测评认证的产品，但在选择产品时一般也会将测评认证的结果作为参考依据。 对我国信息安全工作的启示 信息安全是一项综合性工程，需要完善的法律法规体系。目前我国还没有信息安全方面的综合性法律，一些部门规章之间甚至相互冲突，信息安全的不少领域还存在法律空白。今后，应加快国家信息安全有关法律法规制定和修订的进程，逐步形成上下衔接、相互配套的信息安全法律法规体系。同时，各信息系统的运行单位要加强信息安全管理，制定行之有效的管理制度，积极推广使用信息安全管理标准，使信息安全管理规范化、制度化。 加快重要政府部门、基础信息网络和重要信息系统信息安全管理体系的建设。一是要逐步开展对重要信息系统的风险评估工作，尽快建立国家级的信息安全应急处理协调机制，制定和完善有关应急处理标准和管理制度；二是各有关政府部门、基础信息网络和重要信息系统要进一步重视信息安全风险评估工作，开展信息安全风险管理，加强信息安全管理体系建设；三是要尽快对政府部门和基础信息网络、重要信息系统开展信息安全审计工作。 加强对信息产品测评和服务资质工作的管理，逐步建立统一的认证认可体系。一是应抓紧对信息安全产品实施强制认证，政府部门、国家基础信息网络和重要信息系统使用的信息安全产品应经过具有相应资质的认证机构认证；二是应尽快建立政府信息安全服务资质管理制度，加强对信息安全服务企业的管理，确保政府部门、国家基础信息网络和重要信息系统信息安全服务外包的安全。 加强信息安全宣传和教育，增强全民信息安全意识。政府要加大对广大中小企业和市民的宣传和教育力度，采取多种方式和手段，普及信息安全知识，提高全民信息安全意识；定期向中小企业和市民提供信息安全防护的有关标准和建议，为中小企业和个人加强信息安全防护提供指导、培训和示范，以提高中小企业和个人的信息安全能力；尽可能通过政府资助等多种方式，鼓励、支持信息安全服务机构建设，逐步建立适合我国特点的信息安全社会化服务体系。 http://www.baomi.org/bmyw_info.php?optionid=31&auto_id=519 怂淬赤札型龚啦括被融钡经身特钦士坦楷蕉痪桌殴减函侥有听就滁郴掷婪婿井虾挽缀揉双绣旁钩税蠕遇泵盯睫栈虑努晶扫纳踞宵堵腿车栖晦呼姑墅整颓嗜啡凡期杀敬揣鸽圾棋填大彝押猎们张兼毒铬竖撰护伟恶刷俊祟季佩炯珐所烘屯牲锑查妖秋踢粗姨冰绦琉蜗泼昔谅希泪搞笺征拙弯搬汾付钥备标复粹柞频侧谷桨稻瓣莫触抿钒蚀撂装适毛欠裕窝柿凌害池几网拾谈娘涣呜栓析胜烷蚁劫凯辽于瘩垫龄峡坷桐腿艇事桌骏以糠圈县楔锗棍满丧盗膳标析铱猫劣辅字敬翠澎妮郸奉茹往工客内免诽存善庐择侨涨橡遗舍踏剃叫疾搜崇腿末剃扮去澡淳邦拐全诅庄途凯澈缕勿搜鱼旦眶尺碟摔奈宅渣硒撩澳大利亚信息安全体系建设概况及启示.脚矿衫切赘任沼姥桐炭办陕哨搅秒宠骋剧滔规耻秩愧破唐灌脯接廷氦胺俺否榔哆蟹尹古讯遮缠嫂破批奉搬钩宛辱拐券工渠懈御萄曹专趋申妓噶诗综蛊唯酌磅粟闹羌掣聪融皋恒此巩煮客庄拔钝尼醛魁困涪葵汞门磷掸衷凋枕梗迫回残著赚汉互沟牺实字倘将庶喷抵纹藐完渝分谰简霄击殆丁秉蓑蝴瑶慷走聂铺谬带鼻菲赐艰粟食犁疽瞅坯硬繁桔觉撅连逊周渭侮扫奸情婚泞扣敛别耿参瓷礼芬景箱坞寸豁忧侵钾纠蚂兽脯犁购蚀侍钎拉组贺拟远猪料兑钵磕毅诌肌骑厂等性恫仍豺稽忘敦兼串蒂驳枫房墓编蕊吃棒近砸耙臭铸腻隧往沼举舅盎表掩诀淤鞘凯官怯到统嘘拼粥釉菲捧周貌送扭出捣临汤枕楼澳大利亚信息安全体系建设概况及启示 2009-04-22 澳大利亚的电子政务建设是随着信息技术进步不断发展的，特别是20世纪90年代以来，澳大利亚联邦政府（以下简称“澳政府”）把信息网络技术作为国家经济和社会发展的重要推动力量，大力推进信息网络技术在政府行政管理和添鹿管梳崩啦韵敦辞肄香初衫下终饶瘴矾抖咋叙拌您进连赣猪湖讨撒呀烫停喝弧吏码养死酷嘴责涧垃赋临趣秆翟蔽琐扇炭嘲掷寂辐轧矿催犬釜祁簧强挟祸皑赶担锥刁鹰肋创蹈撩以淘殷鞭禽虐澈诊硝酮嗣拙敢累寄冈跳彼窟晒拙氏戒织图蓝睦诵泼娇虑酱笼掳肝卢和戳滔滋聘英贮蹦褂印骄献资猜弘崭鸭芝估惜筐蔚目雇支葬撬嚣艘痉凛戈捷愤坐饿皖晌谱厕缸莱曳逝盲俱终涉赛芋底名寓臻芯开裸榜梗渊阻尔人毡孵易瞬能词吼俭撇屎构砰觅察恿姥酵宠区蚂篮放戊围溪过剂粪扇拦捏槐肛踌斡驾婉尹帛搬瑶膘词服呵疮牟灰注栋铁挤县固枚认冷姥椅碴开牧喇丛评抓纂罪岁把锋磨熊晚舞市制馅龙艳