|
 
- UID
- 863148
|
2012年信息安全发展面临的突出问题是:组织管理体制不得力,信息技术自主可控能力低,信息安全防御能力明显不足,重要信息系统等安全事件多发,信息安全立法和标准滞后,高层次人才缺乏。
一、现有组织管理体制难以跟上新形势下信息安全发展的需要
随着信息安全上升为国家战略,很多国家都建立了信息安全的最高决策或者协调机构,大多数设立在内阁一级,以统一领导和协调国家信息安全工作。目前,我国信息安全领域存在多头管理现象,相关职能部门涉及多个部门,部门之间职责界定不清晰,管理权限存在交叉。这不仅造成了决策权分散,也容易造成各个相关管理机构之间缺乏充分的沟通和协调,部门间作用发挥不均衡。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。当前,信息安全发展面临着各种安全威胁,需要建立国家统一领导下的灵活的组织管理架构。我国现有“分工负责、各司其职”的体制难以形成应对威胁的合力,不适应信息安全发展和保障工作需要。
二、信息技术和产业支撑能力较弱,难以从根本上保障我国信息安全
信息安全发展需要技术和产业体系支撑,但当前我国信息安全技术和产业支撑能力不足。一方面,我国涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低。据统计,银行、民航、电力、铁路、工业控制、装备制造等国民经济重要部门70%以上的信息设备来自国外,特别是关键芯片、核心软件和部件严重依赖进口。进口的技术和产品不可避免地存在一定的安全漏洞和“后门”,这些漏洞和“后门”可能被利用实施入侵、修改或破坏设备程序,或从设备中窃取机密数据和信息。另一方面,我国信息安全发展要保障基础信息网络、重要信息系统和工业控制系统等的安全,需要大量产品和技术支撑,但当前我国信息安全产业基础薄弱,2010年产业规模仅为148.29亿元,产品和技术研发能力弱,对信息安全发展支撑不足。
三、我国信息安全防御能力不足以应对各种安全事件多发的挑战
我国还未形成统一的信息安全防御体系,网络攻击对抗能力、大规模网络攻击的抗打击能力等明显不足,在面对网络攻击时不能及时响应,不能实现对网络攻击的追踪核查。目前实施的等级保护、风险评估等工作相对零散,远未形成系统,而且实施中还存在诸多问题。例如信息安全风险测评机制还不完善,尚不能实现对信息系统及相关产品的实时监测,在新技术新产品新应用的安全隐患发现能力上还有很大的缺陷。与此同时,电信网、互联网等基础信息网络、重要信息系统以及党政机关信息安全防护措施还存在不足,管理上也有不到位的地方,因技术故障、系统缺陷等发生断网、停运,以及因遭受攻击篡改和漏洞利用等发生敏感信息泄露等重大安全事件多发。据国家互联网应急中心(CNCERT)监测,2011年9月,境内感染网络病毒终端数626万个,被篡改网站数量2227个。其中被篡改政府网站181个,信息系统安全漏洞528个。
四、政策法规和标准滞后、人才缺乏制约我国信息安全发展
我国对信息安全虽然重视,但是缺乏必要的政策扶持,投入不足,且现有投入较为分散,难以形成拳头效应。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性。信息安全标准工作进展较缓慢,前瞻性不足,对物联网、云计算、移动互联网等新技术带来的安全问题,还缺乏相应的标准规范;多数标准参考国际标准,没有形成符合我国国情的信息安全标准体系,在标准领域国际话语权不够;一些标准宣传贯彻力度不够,还难以变成产业、用户的可操作行为,应用上存在着差距。
同时,我国信息安全领域缺乏高层次技术人员,尤其缺乏既懂技术、又懂管理的复合型人才。目前我国尚未形成专业、完整的信息安全人才培养机制,学科建设、资源投入、教学科研能力、人才培养模式等方面的体系不够完善,人才教育水平有待提高。国家级信息安全人才培训和认证体系尚未建立,尚未形成社会化的人才培养机制。
对策建议:加快信息安全战略转型
一、加快信息安全战略转型和力量整合
一是加快制定适合我国国情的新的信息安全战略。在全面评估当前信息安全各项工作的基础上,加快研究制定我国新的信息安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务;强调国家发展网络空间防御能力和对网络攻击的有效反制能力,构建平战结合、军民结合、攻防兼备的网络空间力量,运用多种手段捍卫我国在网络空间的核心利益。
二是加强各种力量的整合,建立覆盖党政军的国家信息安全最高领导和协调机构。要打破现在各部门“分工负责、各司其职”的条块方式,建立国家信息安全最高领导和协调机构,统筹组织和协调各部门信息安全工作,强化各部门之间的协同配合,形成综合集成的信息安全领导和协调格局。同时,进一步深化“谁主管谁负责、谁运营谁负责、谁使用谁负责”的信息安全责任制,建立政府和企业相结合、社会化的信息安全工作分担、责任分担和风险分担机制。
二、保障关键基础设施安全和信息内容安全
一是加强关键基础设施安全防护工作。要进一步加强基础信息网络、重要信息系统、工业控制系统等的安全防护,构建完善的安全防护措施,积极落实信息安全检查等制度,有效应对信息安全问题和风险。加强基础信息网络安全,推进电信网和互联网安全防护设施建设和管理,做好互联网域名系统的安全管理和运行维护工作。加强金融、能源、交通等重要信息系统的信息安全防护,加强技术防范和管理制度建设。做好重点领域工作控制系统的安全防护,切实加强工业控制系统信息安全管理,推动《关于加强工业控制系统信息安全管理的通知》的落实,建立和健全工业控制系统安全测评检查和漏洞发布制度。
二是加强互联网内容治理工作。要深化网络舆情监测和不良信息管理,尽快建立网络舆论工作机制,加强网络舆论的监测、研判和引导工作。加快信息收集、趋势跟踪等网络舆情监测的技术手段和平台建设,加强网络舆情监测和应急处置,建立部门间的舆情共享机制和处置联动机制。加强重点新闻网站建设和安全管理。引导互联网企业对不良内容进行过滤,加快建立网络内容分级标准,逐步建立内容分级管理制度。加强对青少年的教育和培训,采取各种措施强化网民自律意识。
三、加快信息安全技术防御和支撑能力建设
一是加快我国网络技术防御体系建设。要加强密码破译、战略预警、态势感知、舆情掌控、信息系统对抗等基础性技术研发,加快相关支撑平台建设,形成信息安全技术支撑能力。建设国家网络空间攻防实验环境,尝试开展多种形式的网络空间防御演练,提高防御能力。集合军队、情报、公安等部门力量,尽快建立起网络打击、网络情报和网络公共防护为一体的防御体系,逐步提升网络威慑、网络情报和网络公共防护能力。
二是加强我国信息安全等级保护和风险评估工作。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性地加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。统筹建设信息安全漏洞数据库,加强国外进口技术和产品以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。
三是加大对我国信息安全基础技术和关键技术研发的支持力度。要加大对信息安全保障基础技术研发的资金投入,加强高端通用芯片、操作系统、数据库、中间件等基础技术攻关,提高我国信息安全技术产品水平。加快突破云计算、物联网、移动互联网等新技术中的关键核心技术,形成拥有自主知识产权的安全产业链条。加快国产技术和装备的应用推广,在政府采购、信息系统等级保护等实施中,对国产技术和装备应用提出要求,采取资金补贴等政策激励应用领域采用国产化的产品,逐步实现政府部门和重要领域国产化替代。
四、加快立法、标准和人才队伍建设,参与国际治理
一是进一步完善我国信息安全法律体系。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在网络犯罪、信息资源保护使用、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。
二是加快我国信息安全标准制定。积极应对物联网、云计算等新技术带来的安全难题,加强相关标准规范制定;加快信息安全管理标准的制定和实施工作,尽早形成适合我国的信息安全管理标准体系。
三是加强我国信息安全人才队伍建设。推动高等院校设立信息安全一级学科,加强信息安全学科、师资队伍建设,丰富信息安全教学资源,提高信息安全人才教育水平;加强大专院校与企业的合作,依托重点企业和相关课题,探索信息安全人才培养机制;设立专项的信息安全人才培养基金,与各类培训机构合作,积极开展信息安全人才社会化培训。研究多种选拔机制,借鉴印度、美国、英国等对网络人才的选拔方式,广泛从民间选拔和搜寻网络人才。
四是深化国际交流合作。积极参加国际社会有关信息安全的讨论,参与制定相关国际规则,规范信息和网络空间行为,阐明我国对网络敌对行为的态度,强调各国有责任和权利保护本国网络空间和关键基础设施免受威胁、干扰和攻击破坏。同时,建立与国际社会的信息安全重大威胁风险沟通机制,探索建立国家间、地区间应对信息安全重大突发事件的信息通报、快速处理的机制,加强信息安全事件应急处理中的交流合作。加强国际社会在打击网络犯罪等方面的合作,共同打击网络违法犯罪行为,打击网络恐怖主义。 |
|
