信息安全保障体系是实施信息安全保障的法制@@、组织管理和技术等@@层面有机结合的整体@@,是信息社会国家安全的基本组成部分@@,是保证国家信息化顺利进行的基础@@。2011年@@3月@@,工业和信息化部组织@@“信息安全保障体系建设高级培训班@@”赴澳大利亚进行了为期@@20天的培训和考察@@。培训班由工业和信息化部@@、部直属单位@@、部分省市工业和信息化主管部门以及国家发改委@@、中国人民银行@@@@、国家税务总局@@、中国保监会等@@部门负责信息安全的人员组成@@。通过课堂授课和现场交流访谈@@,我们对澳大利亚网络@@与信息安全的法律法规@@@@、政策标准@@、组织管理等@@情况有了全面的了解@@。
制定国家信息安全战略@@@@
信息安全关系到国家安全@@,必须得到强有力的国家保障@@。
2009年@@11月@@23日@@,澳大利亚政府@@发布@@了@@《信息安全战略@@》。此份战略报告详细描述了澳大利亚政府@@将如何保护经济组织@@、关键基础设施@@、政府@@机构@@、企业和家庭用户免受网络@@威胁@@。《信息安全战略@@》明确提出信息安全政策的目的是维护安全@@、恢复能力强和可信的电子运营环境@@,从而促进澳大利亚的国家安全并从数字经济中最大限度地获取收益@@。
《信息安全战略@@》的指导原则包括@@以下几个方面@@:网络@@安全的复杂性要求强有力的国家保障@@;所有的用户应该采取合理的步骤以确保其个人系统的安全@@,并且有义务尊重其他用户的信息和系统@@;在澳大利亚各级政府@@@@、私营部门和更广泛的澳大利亚社区间形成一@@种合作伙伴关系是至关重要的@@;鉴于互联网@@的跨国界特点@@,澳大利亚必须在网络@@安全国际参与方面采取一@@种积极的@@、多层次@@的方式@@;所有接入互联网@@的系统都受到潜在的攻击威胁@@,而且这种网络@@攻击难以侦查@@,因此必须采取基于风险的方法评估网络@@安全@@;澳大利亚必须推行网络@@安全政策@@,从而在保证澳大利亚人的隐私权及其他基本价值观和自由不受侵犯的同时@@,加强个人及集体安全@@。
澳大利亚政府@@的信息安全战略@@目标主要是@@:让澳大利亚所有公民都意识到网络@@风险@@,确保其计算机安全@@,并采取行动确保其身份信息@@、隐私和网上金融@@的安全@@。让澳大利亚企业能利用安全@@、灵活的信息和通信技术@@,确保自身操作和客户身份信息与隐私的完整性@@。让澳大利亚政府@@能确保其信息与通信技术是安全的且对风险有抵抗力@@。
澳大利亚政府@@的信息安全战略@@保障重点包括@@@@:增强针对网络@@威胁的探测@@、分析及应对@@,重点关注@@政府@@@@、关键基础设施@@和其他国家系统的利益@@。对澳大利亚公民提供相关教育@@,并提供相应的信息@@、信心和工具以确保其网络@@安全@@。与商业伙伴合作@@,以促进基础设施@@、网络@@、产品和服务的安全与灵活性@@。保持政府@@@@ICT系统的最佳运行状态@@,包括@@与政府@@进行网上交易的系统@@。促进全球电子运作环境的安全性@@、灵活性与可信度@@,以支持澳大利亚的国家利益@@。维护法律框架和执行力的有效性@@,从而确定并起诉网络@@犯罪@@。培养具有网络@@安全技能的人才@@,使之具备研发能力以开发出创新的解决方案@@。
建设信息安全保障体系@@
法律法规@@、管理体制@@、技术手段等@@是保障信息安全的关键因素@@。
在澳大利亚信息化快速发展的同时@@,信息安全问题也不断出现@@,澳大利亚政府@@把信息安全问题放在重要位置@@,从法律法规@@@@、管理体制@@、技术手段等@@方面采取了很多切实有效的措施@@。
(一@@)健全法制@@,完善信息安全有关法规标准@@
澳大利亚政府@@及各部门制定了一@@系列与信息安全有关的法律@@、标准和指南@@,包括@@《电信传输法@@》、《反垃圾邮件法@@》、《数字保护法@@》、《信息安全手册@@@@》等@@。2000年@@,澳政府@@发布@@信息安全风险管理指南@@,2001年@@,发布@@“保护国家信息基础设施政策@@”,即政府@@信息安全行动计划@@,对澳大利亚关键基础设施@@进行保护@@。此外@@,澳大利亚标准局还制定和采纳了一@@系列信息安全标准@@,主要包括@@信息安全管理体系标准@@、澳大利亚和新西兰信息安全管理标准@@、澳大利亚联邦政府@@@@IT安全手册@@、IT安全管理的信息技术指南等@@@@。政府@@部门都被要求遵循这些标准@@,执行情况由国家审计署进行审查@@。
(二@@)理顺体制@@,政府@@部门协调配合各有侧重@@
司法部负责政府@@信息安全保护的政策制定@@,国防部负责政府@@信息通信安全技术层面上的指导@@,政府@@各部门负责人负责本部门信息安全的保护@@,国家审计署负责各部门信息安全保护的监督和审计@@。在各司其职的同时@@,澳大利亚还成立一@@些跨部门的委员会进行工作协调@@。在关键基础设施@@保护方面@@,由司法部下设的关键基础设施@@咨询@@委员会负责协调通信@@、银行@@、金融@@、税收@@、交通@@、能源@@、卫生@@、食品@@、供水及应急设施等@@基础设施的信息安全防护@@;在防范网络@@恐怖袭击方面@@,澳大利亚成立了由联邦警察局@@、安全情报局@@、国防部信号局和澳大利亚安全和投资委员会组成的国家反恐委员会@@,负责协调处理@@。
(三@@)突出重点@@,重视政府@@关键基础信息保护@@
澳大利亚在信息安全工作中贯彻重点防护的原则@@,即通过政策标准@@和政府@@支持@@,做好政府@@部门和国家关键基础设施@@的信息安全保障@@。澳大利亚安全情报局@@确定了通信@@、银行@@、金融@@、税收@@、交通@@、能源@@、卫生@@、食品@@、供水及应急设施等@@为国家关键基础设施@@@@。澳大利亚的国家关键基础设施@@均是私营的@@,关键基础设施@@的安全由运营公司负责@@,澳大利亚在政府@@信息安全行动计划中提出依靠私营部门来保护国家关键基础设施@@的策略@@。
(四@@)加强教育@@,增强全民信息安全保护意识@@
澳政府@@重视全民信息安全意识的建立@@,将提高中小企业和家庭用户信息安全防护能力列入政府@@信息安全行动计划@@,并在宣传@@、培训方面予以经费支持@@。如通过培训提高安全意识@@,安装反病毒软件并进行更新@@,安装防火墙防止非法入侵@@,提醒企业和市民不要打开有害邮件等@@@@。
(五@@)培养人才@@,建立安全专门人才认证体系@@
近年@@来@@,澳大利亚信息安全人才的需求不断上升@@,但供给短缺@@。针对该问题@@,澳政府@@在@@IT教育学科中增加信息安全教育课程@@,协助建立信息安全专业人员认证体系@@。目前@@,在澳大利亚普遍采用的主要有@@6种商业认证项目@@,分别是信息系统安全专业人员认证@@、系统安全专业认证@@、全球信息保证认证@@、信息安全认证审计师@@、信息安全工程师和安全工程师@@。
(六@@)重视测评@@,完善信息产品测评认证体系@@
澳大利亚坚持预防为主的原则@@,认为外国的软件@@、硬件中可能留有@@“后门缺陷@@”,要求在购买@@IT产品和安全系统时进行严格审查@@。1994年@@,引入信息产品测评认证制度@@。1995年@@前@@,信息产品的有关测评工作均由国防部信号局完成@@,1995年@@以后@@,该项工作委托给信息安全测评实验室@@(独立第三@@方@@),国防部对测评机构和测评人员进行严格管理@@。
