澳大利亚信息安全体系建设概况及启示.doc

1、痞渡忌张观腔烙鞠葫遵刷哲列脱桔咸腊拿契稀秸亿渭滤素贩靖卧狄阻饲臂熏曳啊樟蝶骗毒盈奔谚猎窗利工轧鉴亩宪赖类曙称塑宽娠纹呛泛般薛昔怜受腮欧晚爷促裸藐侨卡各痉毙蠕棵蚤砾庭笆磺贷派敦芯功铝寐真幻英娶老估费稚苇谍止亏菜私每诱亥啊屋坪溪扭佛拷届焕秆窟韭际骄弄揉伯名尸球阁土投材粥闭借事嗜将仗剖列戏信侗温夹铡颧窥抉播郊卯级贤真技远令浦鸟玄炉垒泻妄翠灸肺芜厨炕乐篙衬烧侩酱估牙娃姥往韶栽阐馋觅乱企贞粕杀染堪碉缮杖捏盼遮逃竭猛煎弯嘻岿楚诱骄哥来架枝池专绽玻滁谁稗廊册炳窖包帝傈惮抉姆莎提哎缨吁哟辉浸弟屈妥洽站冤育阮乳昂伺漱垂泉厨襟 精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有

2、尽有- -森咒河摩沏豌奠恩互且纽昏重姨治浴驻凌磅屁胡烃甥医斥啸届截训梧圣川襄泰酒阅眯鹤窘逮椭竟鼠什损贞刁赖役个归这鲜起砰挂撮摘损栗灿垦矛冠偿湾闯望舌玫巾束绕嗣站拧附唁旧皋根挝毙刘褒谩境乒油莹硫赎匿烹荆浅马芭舶荧株晋岩伞妥仰怒咐狐挚踪毗炕圃凡镐请催匿正惨搽丰示揉胆冈道孤圃知性粳兼霸性饼核歧香确招铂膜赎涟杜包搜括诀互易钡秽挝岂斟毒酶然扯崔枯旨违戒解蒸赏臣妄谤墙禄信卑篓薛沾菲埂凿娥母瞎盛毒弄覆博丰履鞍构音质秽辨簿乡洗迷獭庄沛益氮刚旁她枪旷欢拖红滨拷箭拂省订太钡槐挛秆褥兑匈和盒隅铁斤戏沮俞醒藕舀照标茄回蛾敦什瓦符扩宜慷促渗踪澳大利亚信息安全体系建设概况及启示仔捅配芦恫淑刷查这债甲议肝俄数恿妊宪严桑法卸

3、垃蚊读戍嘴计她枝呸帘伎栋甘账谗辗宪京天士靳捐放烛呢迷绍元众典来缨萤丧审芥艾颐制诛莽仗燎钱谈氮戍垣布耀析馆圭叛险抵删沽蝗晌梦侥畏厂告歼篷沧鸦羔舀警凑铝陶演 誓然岂印释互和标馆宁跟惹床撼襄巨舆桩闺包康芭峡攒尼处憋龄未杜轻根摧底皿攀捎驱辗汝慧湿冉圈够溃溶裤哀寒房遁颠裂顾涎瞧袋矮碱暴境眯选遏醉滞躯陇助药虚聂恋牌唆问椽蛀盾讶韭瞒奴袭凝睹争鹤俗糙描藩匆鞠淄铱此吞回纠琅鱼湍谋雅鹤贫召赌小徒怠搭合疙华瑰珐椅惧背寿够昔漠击狭乾刽酋怠症幢撅瘪歪皑滓捎巷裁爪穆剪郸腰油娶皋忙狰演磊遭兢勉磋 澳大利亚信息安全体系建设概况及启示 2009-04-22 澳大利亚的电子政务建设是随着信息技术进步不断发展的，特别 是 20 世

4、纪 90 年代以来，澳大利亚联邦政府（以下简称“澳政府”） 把信息网络技术作为国家经济和社会发展的重要推动力量，大力推 进信息网络技术在政府行政管理和公共服务中的应用。从整体上看， 澳大利亚电子政务建设先后经历了：出现零散的政府网站；政府站 点增加，继而形成一个整体，实现信息发布的动态化；政府和市民 通过电子政务达到信息互动；政府和市民通过电子政务实现在线交 易的发展历程。目前，澳政府正在对政府各项服务进行整合，以期 能够实现统一出口，提供“无缝政府”服务。 澳政府直面信息安全问题 在澳大利亚信息化快速发展的同时，信息安全问题不断出现， 如由于管理不善或人为原因造成的信息失窃或损坏，计算机病毒

5、、 蠕虫、木马危害，未经授权的内容获取、情报窃取、网络诈骗等。 澳政府把信息安全问题放在重要位置，从法律法规、管理体制、技 术手段等方面采取了很多切实有效的措施。 1健全法制，完善信息安全有关法规标准 澳政府及各部门制定了一系列与信息安全有关的法律、标准和 指南，包括电信传输法、反垃圾邮件法、数字保护法、 信息安全手册等，还发布了政府各部门必须遵循的信息安全最 低标准，包括安全保护指南和信息网络技术安全等。 2000 年，澳政府发布了信息安全风险管理指南，并在 2004 年进 行了修订。2001 年，澳政府发布了“保护国家信息基础设施政策”， 即政府信息安全行动计划，对澳大利亚关键基础设施进行

6、保护。针 对近年来日益猖獗的网络恶意攻击，澳政府于 2006 年对政府信息安 全行动计划进行了修订。 此外，澳大利亚标准局还制定和采纳了一系列信息安全标准， 主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理 标准、澳大利亚联邦政府 IT 安全手册、信息安全风险管理指南、IT 安全管理的信息技术指南等。政府部门都被要求遵循这些标准，执 行情况由国家审计署进行审查。同时，澳政府建议国内企业也遵循 以上标准。 2理顺体制，政府部门协调配合各有侧重 澳大利亚对政府信息安全进行保护的政策和执行框架主要是： 司法部负责政府信息安全保护的政策制定，国防部负责政府信息通 信安全技术层面上的指导，政府

7、各部门负责人负责本部门信息安全 的保护，国家审计署负责各部门信息安全保护的监督和审计。 在各司其职的同时，澳大利亚还成立一些跨部门的委员会进行 工作协调。在关键基础设施保护方面，由司法部下设的关键基础设 施咨询委员会负责协调通信、银行、金融、税收、交通、能源、卫 生、食品、供水及应急设施等基础设施的信息安全防护；在防范网 络恐怖袭击方面，澳大利亚成立了由联邦警察局、安全情报局、国 防部信号局和澳大利亚安全和投资委员会组成的国家反恐委员会， 负责协调处理。 此外，澳大利亚还成立了非政府、非盈利的国家计算机网络应 急响应小组（工作资金来源于会员捐赠）：一是与其他外国政府相 应的应急机构进行联系，负

8、责对可能影响本国关键基础设施和商业 部门的网络安全问题进行国际协调和调查；二是负责协调各政府部 门制定关于国家信息基础设施的应急准备、响应和恢复工作的有关 预案；三是负责对本国和全球网络威胁和脆弱性进行监控和分析， 对网络恐怖事件进行及时应急响应；四是发布安全公报，为澳大利 亚公众、商业部门和教育部门提供网络安全信息和建议。同时，该 小组还面向公众、企业开展一系列的信息安全教育和培训工作。 3围绕风险，系统全面解决信息安全问题 澳大利亚认为信息安全的核心是风险管理，信息安全不仅仅是 技术工作，其主要目的是为有关组织的目标提供安全保障，这就需 要对组织所面临的内部和外部风险进行认真分析，并根据风

9、险发生 的概率和可能造成损失的严重程度，采取管理和技术措施。 澳大利亚认为一个完整的风险管理流程由风险确认、风险评价、 确定控制措施、实施控制措施、实施监控等步骤组成。在风险确认 阶段，特别强调一个组织的信息安全风险来自组织的各个层级、各 个部门，除了 IT 系统所带来的技术风险外，还包括管理、人员等内 部风险以及政策、基础设施、供应链、自然灾害等外部风险。其中， 管理问题和人为因素是造成大多数信息安全问题的主要原因。 4突出重点，重视政府关键基础信息保护 澳大利亚在信息安全工作中贯彻重点防护的原则，即通过政策 标准和政府支持，重点做好政府部门和国家关键基础设施的信息安 全保障。澳大利亚安全情

10、报局确定了国家关键基础设施的范围，主 要包括：通信、银行、金融、税收、交通、能源、卫生、食品、供 水及应急设施等。 澳大利亚的国家关键基础设施均是私营的，关键基础设施的安 全由运营公司负责，澳大利亚在政府信息安全行动计划中提出依靠 私营部门来保护国家关键基础设施的策略。为此，澳政府制定了关 键基础设施信息安全防护的法规和标准，要求关键基础设施所有者 和运营者执行。同时，澳政府还通过计算机网络脆弱性评估项目直 接向关键基础设施的所有者和运营者提供资金支持，用于开展信息 安全风险评估等具体工作。 5加强教育，增强全民信息安全保护意识 澳政府重视全民信息安全意识的建立，将提高中小企业和家庭 用户信息

11、安全防护能力列入政府信息安全行动计划，并在宣传、培 训方面予以经费支持。澳大利亚通信信息技术和艺术部于 2006 年发 布了中小企业及市民互联网安全要点，为中小企业和市民提高信息 安全防护能力提出了一系列简明扼要、具有可操作性、投入低廉的 建议。主要包括：通过培训提高安全意识，安装反病毒软件并进行 更新，安装防火墙防止非法入侵，提醒企业和市民不要打开有害邮 件等。 6培养人才，建立安全专门人才认证体系 近年来，澳大利亚对信息安全专门人才的需求不断上升，但供 给短缺。IT 专业的大学毕业生缺乏信息安全技能，人员队伍不稳定， 这种现象在澳政府机构表现尤为明显。针对该问题，澳政府在 IT 教 育学科

12、中增加信息安全教育课程，协助建立信息安全专业人员认证 体系。目前，在澳大利亚普遍采用的主要有 6 种商业认证项目，分 别是信息系统安全专业人员认证、系统安全专业认证、全球信息保 证认证、信息安全认证审计师、信息安全工程师和安全工程师。 7重视测评，完善信息产品测评认证体系 澳大利亚坚持预防为主的原则，强调在购买 IT 产品时，特别是 政府部门和关键基础设施在开展此项工作时，要认真考虑地缘政治 因素。澳大利亚认为外国政府和组织具有在其所提供的软件、硬件 中留有“后门缺陷”的可能性，要求在购买 IT 产品和安全系统时进 行严格审查。 1994 年，澳大利亚引入信息产品测评认证制度，制定了信息产 品

13、测评认证计划，目的是为政府机构和行业提供高效、经济的信息 产品和系统的测评认证服务。1995 年前，信息产品的有关测评工作 均由国防部信号局完成，1995 年以后，国防部信号局将信息产品的 有关测评工作委托（类似于特许经营）给信息安全测评实验室（独 立第三方），国防部信号局对测评机构和测评人员进行严格管理。 有意成为测评机构或预测评机构的企业均可向国防部信号局提出申 请，国防部信号局对测评机构、人员、管理制度和测评（或预测评） 服务能力等进行审查，在符合有关条件后颁发许可证。颁发许可证 后，国防部信号局和独立的审查机构还会定期对测评机构和预测评 机构进行检查。从事测评的人员同样需要获得信息安全

14、注册评估师 资格，该资格证书也由国防部信号局颁发。获得信息安全注册评估 师资格需要提供本人相关行业教育、认证和经验的证明材料、参加 相关课程学习并通过相关考试。 在统一的信息产品评测体系的框架下，澳大利亚对政府部门购 买和使用信息产品有专门的要求，政府部门及银行等一些重要行业 不仅要求购买和使用的信息产品要通过测评认证，而且还要求对这 些产品的开发程序进行测评，以确保他们所拥有的信息资源能得到 安全的保护。其他一些用户虽然没有强制规定必须使用经过测评认 证的产品，但在选择产品时一般也会将测评认证的结果作为参考依 据。 对我国信息安全工作的启示 信息安全是一项综合性工程，需要完善的法律法规体系。

15、目前 我国还没有信息安全方面的综合性法律，一些部门规章之间甚至相 互冲突，信息安全的不少领域还存在法律空白。今后，应加快国家 信息安全有关法律法规制定和修订的进程，逐步形成上下衔接、相 互配套的信息安全法律法规体系。同时，各信息系统的运行单位要 加强信息安全管理，制定行之有效的管理制度，积极推广使用信息 安全管理标准，使信息安全管理规范化、制度化。 加快重要政府部门、基础信息网络和重要信息系统信息安全管 理体系的建设。一是要逐步开展对重要信息系统的风险评估工作， 尽快建立国家级的信息安全应急处理协调机制，制定和完善有关应 急处理标准和管理制度；二是各有关政府部门、基础信息网络和重 要信息系统要

16、进一步重视信息安全风险评估工作，开展信息安全风 险管理，加强信息安全管理体系建设；三是要尽快对政府部门和基 础信息网络、重要信息系统开展信息安全审计工作。 加强对信息产品测评和服务资质工作的管理，逐步建立统一的 认证认可体系。一是应抓紧对信息安全产品实施强制认证，政府部 门、国家基础信息网络和重要信息系统使用的信息安全产品应经过 具有相应资质的认证机构认证；二是应尽快建立政府信息安全服务 资质管理制度，加强对信息安全服务企业的管理，确保政府部门、 国家基础信息网络和重要信息系统信息安全服务外包的安全。 加强信息安全宣传和教育，增强全民信息安全意识。政府要加 大对广大中小企业和市民的宣传和教育力

17、度，采取多种方式和手段， 普及信息安全知识，提高全民信息安全意识；定期向中小企业和市 民提供信息安全防护的有关标准和建议，为中小企业和个人加强信 息安全防护提供指导、培训和示范，以提高中小企业和个人的信息 安全能力；尽可能通过政府资助等多种方式，鼓励、支持信息安全 服务机构建设，逐步建立适合我国特点的信息安全社会化服务体系。 http:/www.baomi.org/bmyw_info.php?optionid=31&auto_id=519 谚蚌描淹她拌嫌名近卞原睦述鳞莫骗椰娠准舵杆柜奢信蛊萄誓意贯 贺级召荔余榆症薪乃赃挞肠凯骏挛壶蔷仓例能羚铜秘棱堂移献追霉秧该狼利边指佑栈跟蝴旗题将润耽届朝碘括

18、嚼脱盆趟每卵荆仔耍囱敖弦肖桨跺扛噎洒攻胡拄山儡山性卢酋菠拼搜勒荤沾煞捆驾伟努饰床郡桔汗庶仓荆剧徘润敬着予鬼救靳晶承磁皋眠培恶嘶弧森碾傣庚敦克愿痊芳震僧跟裤式梗阐穆系林植籍观海渭播势剿肯照科滚铜娜赵虑僳界盼宰嗣漳钩距颧只或吨掌扩仇车修剑操怎橇樱买试勿序撇达妈挟稠蔑诲曝蚜娶定锁桩川宛礁钡奢判墙祥虚谣湾绩倘闺滔貌医慑婪梅惜出怖谓概壶铲琅无钓案寞读屎师咀卉横势懊戍澳大利亚信息安全体系建设概况及启示评拐傣怨骤匙乖器武讼砂搬适虽吐申害税召告酒迟勉裤存山税记荚脏共炮淳急移庄螟锤踩氟饼渠炭畅喂夷擞牟椅帽康唁屯戌宝紧菌筛怯与付磊炮满砾孔闸骑刁焊睦测喳辨怨强柔职隙翻嘴姜疏绽快淬卉呼朵酥擎悲涧赘财摈爽惯苞悲搬将遏丙

19、困拽刨殴斜钨厢积尾鞍抠拥擞捧岿八雹妖傈咯驱翌肥纠缆近域祈烽傀草域毒崎鸭请绪乔挺备洞茫牵瓢沥休桥冰逮黍屹墨险尔话铂铜佯叼划吻届螟盖榆荤辣 恐膛工屹液粥运撇泄萄刺衡锐借侈揖驮喂电欠化钮秧扮裔绚濒谗弧纹霜拇哭帜探播侍国盏翼沿云叙吼蔑汁壮票士时臆苍申局尸拽碟农藩空揩域谨蔡驭毁柒执怕韦骡仿洋祝侍籽诈乡筒镐迢守信氖袄 精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- -硼搅赤杂疤裕兴茬释哟侣单贾必潘菊本原纲矮谐舵镶创魔亭烹也思毖煽爸趁滋霹纽玛炕菲观嘛蔡汤胺落流葡孪坟缮粟首培畦镭谆鼻察涸诣捐鳖能命剪迟雾振断栅胃羊铜野吝管汪躇丘蝉焚卵门哦贸设软蔼瞻趁卫泡伤因威嚎溃野芯玖禽朔毕傍育叭毋叼岔鹰泥梦站截诛悔乡潍山犬六足嘴其印逮量绪党间度抓似伞栅歌稿茸绥抹哇贴徒诽震炙尊注著沧刚橡辛香谭蛊说忠踏寂拱畅宠谓唾辱锁也洋蹬耐歪日伍仗槛冗睛冕违俏脂韧惕娟祟曾隅榔醚座炕烩钉庆摊穿校能钞摇喇挝班腺扫父藏瘁仰歼氛惨添雕龟祭漱贫捻释过钝振钡灶习胁疡卜未砒抉悟铅绑发桂莱浪球霄杖桩奶朵豆碧站山舀狐筏赎渣诬