1.5 我国信息安全保障工作
信息安全的重要性已经使其成为国家安全的战略性问题,必须从总体上把握,不断完善信息安全战略,并将其作为国家安全战略的核心部分。2003年,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),标志着我国信息安全保障工作有了基本纲领和大政方针,指导思想和主要任务得以明确。2003年以来,按照27号文件的部署,我国信息安全保障工作进展顺利,信息安全保障水平大为提高。
1.5.1 总体要求
27号文件确定的我国信息安全保障工作的总体要求是,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
积极防御就是要充分认识信息安全风险和威胁,立足安全防护,加强预警和应急处置,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统;从更深层次和长远考虑,积极防御还包括国家要有一定的信息对抗能力和反制手段,从而对信息网络犯罪和信息恐怖主义等形成威慑。
综合防范就是要从预防、监控、应急处理和打击犯罪等环节,法律、管理、技术、人才等各个方面,采取多种技术和管理措施,通过全社会的共同努力,全面提升信息安全防护能力。
1.5.2 主要原则
27号文件确定的我国信息安全保障工作的主要原则是,立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
1.立足国情,以我为主
安全单靠花钱是买不来的。发展信息和信息安全高技术、发展国家信息产业和信息安全产业、摆脱关键技术和设备受制于人的被动局面是掌握信息安全主动权的根本出路。必须注重自主创新、自主可控。要大力推广应用国产软件和设备。另外,也要处理好自主研发与引进、采用国外先进技术和产品的关系,不能简单地认为只有自己的技术才是安全的,凡是国产的设备就是可控的。要积极开展国际合作,认真学习国外信息和信息安全新技术,合理引进和利用信息安全产品。同时,要加强对引进技术和产品的安全可控研究,努力做到趋利避害,为我所用。
2.坚持管理与技术并重
信息安全保障工作包括技术和管理两个方面,缺一不可。但从目前我国实际发生的安全事件看,有很多事件都是由于管理不到位,责任不落实造成的。因此,应建立和完善信息安全管理责任制,加强管理,落实责任。
同时,信息安全是高技术的对抗,从根本上讲,解决信息安全问题还是要通过发展信息安全高技术。要坚持管理与技术并重,积极发展和采用先进技术来解决信息安全问题,同时也要注重通过加强管理弥补技术上的不足。
3.正确处理安全与发展的关系,以安全保发展,在发展中求安全
在信息化规划和建设中,应同步考虑信息安全问题,始终坚持一手抓信息化发展,一手抓信息安全保障工作。没有安全保障的信息化,会严重威胁国家安全和社会稳定,影响公民权益和公众利益。同时,信息安全问题解决不好,有价值的信息不能上网,可以利用网络处理的业务不能用网络来处理,会严重影响和制约信息化的发展。
信息安全是信息化推进中出现的新问题,只能在发展的过程中加以解决。要坚持保障和促进信息化发展这一根本原则。全部通过不上网、不共享、不互联互通来保安全,或者片面强调建专网,这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加了信息化的成本,降低了信息化效益,失去了发展机遇。
4.统筹规划,突出重点,强化基础工作
信息安全保障工作涉及信息化建设的各个环节,包括法律、管理、技术、人才、意识等各个方面,是一个复杂的系统工程。这就要求注重统筹规划、全面防护,从各个层面,各个环节上加强综合性的信息安全保障工作。与此同时,还要突出重点,有所为有所不为,将有限的资源用于基础部分、关键地方、要害部位。要重点防止那些关系到国计民生的基础信息网络和信息系统在遭到攻击、破坏和发生事故时,导致基础服务大面积瘫痪,防止为经济和社会造成巨大损失。
5.充分发挥各方面的积极性,共同构筑国家信息安全保障体系
信息安全保障是国家的大事。政府应着重从政策引导、监督管理、人才培养、增强意识及基础技术研究开发等方面加强信息安全保障工作,同时也要做好政府本身信息系统的安全建设和管理工作,为社会做出榜样。但是,信息安全保障不仅是政府的事,在更大层面上,信息安全保障是广大企业、公民个人的责任和义务,需要全社会的共同努力。
1.5.3 主要基础性工作
按照27号文件确定的“积极防御、综合防范”的方针,我国有关部门近年来抓紧开展了以下各项基础性工作,取得了明显进展。
1.实行信息安全等级保护
不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。信息安全等级保护制度是国家信息安全保障工作的基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
为了加快推进信息安全等级保护工作,在多年探索和试点的基础上,由公安部、国家保密局、国家密码管理局和原国务院信息化工作办公室于2007年6月联合发布的《信息安全等级保护管理办法》, 《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等技术标准也已施行。目前,我国信息安全等级保护进入全面实施阶段,全国范围内的信息系统定级工作已经基本完成,等级建设和测评工作即将启动。
2.开展信息安全风险评估
信息安全风险评估是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防护对策和整改措施,防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度地保障网络和信息安全提供科学依据。
为此,27号文件明确提出,要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。这一要求将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
2006年1月,国务院信息化工作办公室印发了由国家网络与信息安全协调小组讨论通过的《关于开展信息安全风险评估工作的意见》。《意见》要求,信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。《意见》对我国信息安全风险评估工作做了安排:要从抓试点开始,逐步探索组织实施和管理的经验,用3年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络与信息系统安全保障能力,为保障和促进我国信息化发展服务。
3.加强密码技术应用,建设网络信任体系
密码是保障信息安全的核心技术,是网络环境下实现信息保护和安全认证的有效手段,在解决网络信息系统的身份认证、安全接入以及信息的保密性、完整性等方面发挥着特殊的不可替代的作用,有效地使用密码技术是信息安全保护的关键。当前,随着信息网络的发展,密码应用领域不断拓宽。在为党、政、军各级领导机关提供秘密通信的同时,密码已广泛应用于经济、科技、文化和社会生活的各个领域,成为现代社会的重要战略资源。因此,充分发挥密码在保障国家安全、社会稳定、经济发展和公众利益中的重要作用,促进国家信息化的健康发展成为当今时代的重要课题。
针对面向商用和公众服务的密码需求日益增多这一形势,27号文件要求我国密码管理工作必须适应经济全球化和进一步开放的大环境,按照“满足需求、方便使用、加强管理”的原则,修改完善密码管理法规,建立健全适应信息化发展需要的密码管理体制。
同时,27号文件还要求加强以密码技术为基础的信息保护和网络信任体系建设,建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。截至目前,原信息产业部以及工业和信息化部根据《电子签名法》的授权,先后批准30家单位获得了电子认证服务许可。这些机构颁发的数百万张电子证书广泛应用于网上税收、工商管理、社区服务、招标采购、网上银行、企业供应链管理、电子商务平台等领域,为经济发展起到了重要的保驾护航作用。
4.高度重视应急处理工作
在信息安全事件不可能完全杜绝的情况下,信息安全应急处理发挥着重要的作用,是信息安全防护体系中的重要一环。27号文件明确要求,各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善应急处置预案。加强信息安全应急支援队伍建设,鼓励社会力量参与灾难恢复与灾难备份设施建设和提供技术服务,提高信息安全应急响应能力。
近几年,通过政策引导以及有关部门和社会各界的共同努力,国家重要信息系统灾难恢复工作取得了明显进展。各行业、各省市的灾难恢复建设陆续启动,我国的灾难恢复建设正逐步从探讨进入实践阶段。灾难恢复的第三方专业化服务市场正在形成,较好地推动了我国信息系统灾难恢复工作的开展。
2003年10月,我国建立了国家网络与信息安全信息通报中心,工作重点是做好重要敏感期、重大政治活动和重大网络安全事件的信息通报工作。通报中心的成立,标志着我国信息安全信息通报和预警能力有了显著提高。近年来,我国还大力加强基础信息网络和重要信息系统的应急预案制定和应急演练工作,国家层面的应急指挥协调机制也已初步建立。
5.加强技术研发,推进产业发展
信息安全是高技术的对抗,信息安全产业构成了国家信息安全保障体系的物质基础和技术支撑。加强信息安全技术研发,推进信息安全产业发展是决定我国信息安全保障能力的核心要素。27号文件要求采取积极措施,组织和动员各方面力量,加强信息安全关键技术和相关核心技术的研究开发,提高自主创新能力,促进技术转化,加快产业化进程。
近年来,我国通过实施信息安全专题863计划和973计划等科研项目,加强了对信息安全关键技术的研究,攻克了一批信息安全重大技术难题。特别是在863计划等国家计划的支持下,已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容监控与处置等方面取得了较大进展。
另外,“十五”期间还组建了多个国家级信息安全研究中心,研究实力不断增强。“十五”计划信息安全专项的实施,已经开始发挥重要作用。我国建立了上海、四川、湖北三大信息安全成果产业化基地,积极开展了信息安全应用示范工程,为国家网络与信息安全技术发展及产业化奠定了基础。
为进一步规范信息安全产品测评认证,为产业发展创造良好的市场环境,2004年10月,国家认监委、公安部等八部委联合发布了《关于建立国家信息安全产品认证认可体系的通知》,要求建立国家信息安全产品认证认可体系。按照这一文件的部署,信息安全产品认证工作已经进入实施阶段并取得重大进展,信息安全产品强制性认证制度将于2010年5月1日起在政府采购法规定的范围内强制实施。
6.加强法制建设和标准化建设
面对信息化迅速推进过程中出现的一些新问题、新情况,目前各有关部门正在清理、调整和修订现有信息安全法律、行政法规和部门规章。按照27号文件提出的“抓紧研究起草《信息安全法》,建立和完善信息安全法律制度,明确社会各方面保障信息安全的责任和义务”的要求,几年来有关部门一直在组织起草《信息安全条例》,旨在确立信息安全的基础法律框架。与此同时,有关政府信息公开、信息网络传播权保护的行政法规已经发布,《刑法》修正案完善了对计算机犯罪罪名的规定,《保密法》修正案正在接收全国人大常委会审议。
为加强信息安全标准化建设,我国在2002年成立了全国信息安全标准化技术委员会,抓紧制定了一批急需的信息安全管理和技术标准,逐步建立与国际标准相衔接的中国信息安全标准体系,并大力推进这些标准的贯彻实施。截至目前,我国已制定、颁布76项信息安全国家标准,另有50项正在制定之中。
7.加快人才培养,增强全民意识
信息安全人才是今后信息安全健康、良性发展的关键。加强信息安全保障工作,必须有一批高素质的信息安全管理和技术人才。为此,27号文件要求加强我国信息安全学科、专业和培训机构建设,加快信息安全人才培养。要采取积极措施,吸引和用好高素质的信息安全管理和技术人才。
根据“加强信息安全人才培养”的要求,近年来我国对信息安全学科建设做了大量投入。2005年,教育部专门发布了《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(文教高[2005]7号),从加强信息安全学科体系研究、信息安全硕士点和博士点建设、稳定信息安全本科专业设置、促进交叉学科专业、探索多样化培养模式新机制、建立信息安全继续教育制度等十个方面提出了指导性的意见。
2007年2月,为了加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全类专业教学改革与建设的研究与指导作用,教育部组建了教育部高等学校信息安全类专业教学指导委员会,使我国的信息安全人才培养工作向前迈进了重要一步。2009年3月,在教育部高等教育司以及工业和信息化部信息安全协调司指导下,教育部高等学校信息安全类专业教学指导委员会启动了全国大学生信息安全竞赛,对增强信息安全专业社会影响、提高广大学生学习热情起到了良好的推动作用。
除人才培养外,全民信息安全意识和技能的提高也是当前我国信息安全工作面临的重要任务。27号文件要求重视对各级领导干部的信息安全教育和法律法规教育,要求开展全社会特别是对青少年的信息安全教育和法律法规教育,增强全民信息安全意识,自觉规范网络行为。为此,各有关部门近年来多次组织大型展览、宣传、主题教育等活动,取得了明显效果。
1.5.4 未来展望
2006年3月19日,中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》(中办发[2006]11号)。《发展战略》将建设国家信息安全保障体系作为我国信息化发展的重点之一,为今后的信息安全保障工作指明了方向:
“全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
大力增强国家信息安全保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究,掌握核心安全技术,提高关键设备装备能力,促进我国信息安全技术和产业的自主发展。加快信息安全人才培养,增强国民信息安全意识。不断提高信息安全的法律保障能力、基础支撑能力、网络舆论宣传的驾驭能力和我国在国际信息安全领域的影响力,建立和完善维护国家信息安全的长效机制。”
在贯彻这一战略的过程中,面向新的形势发展提出的新要求,我国信息安全保障工作将在科学发展观的指导下,不断调整发展思路,完善顶层设计,部署实施新的工作,切实服务于国家安全和经济社会全面发展。