《意见》要求,信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。要将开展信息安全风险评估作为提高信息安全管理水平的重要方法和措施。网络与信息系统的拥有、运营、使用单位要将开展信息安全风险评估工作制度化,定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估;要针对风险评估中发现的问题,提出切实有效的整改措施。
《意见》对我国信息安全风险评估工作做了安排:要从抓试点开始,逐步探索组织实施和管理的经验,用3年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络与信息系统安全保障能力,为保障和促进我国信息化发展服务。
目前,我国信息安全风险评估工作进展顺利,基础信息网络和重要信息系统已经普遍将风险评估纳入了日常信息安全工作之中,GB/T 20984—2007《信息安全技术信息安全风险评估规范》也即将于2007年11月1日正式实施。
3.加强密码技术应用,建设网络信任体系
密码是保障信息安全的核心技术,是网络环境下实现信息保护和安全认证的有效手段。在解决网络信息系统的身份认证、安全接入以及信息的保密性、完整性等方面发挥着特殊的不可替代的作用,有效地使用密码技术是信息安全保护的关键。当前,随着信息网络的发展,密码应用领域不断拓宽。在为党、政、军各级领导机关提供秘密通信的同时,密码已广泛应用于经济、科技、文化和社会生活的各个领域,成为现代社会的重要战略资源。因此,充分发挥密码在保障国家安全、社会稳定、经济发展和公众利益中的重要作用,促进国家信息化的健康发展成为当今时代的重要课题。
针对面向商用和公众服务的密码需求日益增多这一形势,27号文要求我国密码管理工作必须适应经济全球化和进一步开放的大环境,按照“满足需求、方便使用、加强管理”的原则,修改完善密码管理法规,建立、健全适应信息化发展需要的密码管理体制。
27号文同时要求,要加强以密码技术为基础的信息保护和网络信任体系建设,建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。
网络信任体系是信息安全保障体系的重要组成部分,是国家的重要信息安全基础设施。网络信任体系建设已经成为我国信息化发展的迫切需要,是建设诚信社会的必然要求,是实施国家信息化战略的重要保障。根据27号文的部署,2006年1月国务院办公厅转发了《国家网络与信息安全协调小组关于加强网络信任体系建设的若干意见》(国办发〔2006〕11号),提出了要形成“布局合理、安全可控、经济适用、运行有序”的网络信任体系的总体要求,具体要求则有:
(1)电子认证服务的监督管理、系统建设和运行应相对分离,监督管理部门不直接承担具体的认证服务工作。
(2)鼓励电子商务中的电子认证服务适度竞争。
(3)电子政务认证不得采用境外机构提供认证服务。这是从维护和保障国家信息安全的角度出发,作出的一条硬性的规定。
(4)向社会公众提供服务的电子政务认证活动,提倡走社会化、专业化道路,原则上应利用已经依法设立的认证机构提供服务。
截至2006年末,信息产业部根据《电子签名法》的授权,已经批准22家单位获得了电子认证服务许可。这些机构一共颁发了540万张电子证书,主要应用于网上税收、工商管理、社区服务、招标采购、网上银行、企业供应链管理、电子商务平台等领域,为经济发展起到了重要的保驾护航作用。
4.高度重视应急处理工作
在信息安全事件不可能完全杜绝的情况下,信息安全应急处理发挥着重要的作用,是信息安全防护体系中的重要一环。
27号文明确要求,各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善应急处置预案。加强信息安全应急支援队伍建设,鼓励社会力量参与灾难恢复与灾难备份设施建设和提供技术服务,提高信息安全应急响应能力。
2004年以来,根据27号文的部署,国务院信息办印发了《关于做好重要信息系统灾难备份工作的通知》,明确了国家重要信息系统灾难恢复工作的目标、原则和近期任务,并会同有关部门研究起草了《重要信息系统灾难恢复指南》,为灾难恢复工作提供了一个操作性较强的规范性文件。
近几年,通过政策引导以及有关部门和社会各界的共同努力,国家重要信息系统灾难恢复工作取得了明显进展。各行业、各省市的灾难恢复建设陆续启动,我国的灾难恢复建设正逐步从探讨进入实践阶段。灾难恢复的第三方专业化服务市场正在形成,较好地推动了我国信息系统灾难恢复工作的开展。
27号文部署的“制定和不断完善应急处置预案”工作在近年来也得到了积极进展。根据27号文的要求,同时为了贯彻落实国务院发布的《国家突发公共事件总体应急预案》工作,2006年,我国有关部门先后召开十多次专题会议,加强部门间合作协调,出台了国家通信保障、互联网网络安全、铁路网络与信息安全等方面的应急预案,并积极组织了演练。
根据胡锦涛总书记的指示,2003年10月我国建立了国家网络与信息安全信息通报中心,中心的工作重点是做好重要敏感期、重大政治活动和重大网络安全事件的信息通报工作。通报中心的成立,标志着我国信息安全信息通报和预警能力有了实质性提高。通报中心的信息通报机制成员单位有30家,同时还选择了国内具有较高技术实力的23家企业、院校和研究机构作为技术支持单位,组建了信息通报技术支持体系,各技术支撑单位将参与通报中心有关网络与信息安全技术问题的分析研判工作。
2006年间,我国信息安全信息通报工作和通报机制建设取得了新的进展,国家网络与信息安全信息通报中心进一步完善了通报机制、会商研判机制和技术支持体系,及时汇总各类网络与信息安全情况信息,信息安全重大事件及应急响应情况通报工作取得明显了成效。
5.加强技术研发,推进产业发展
信息安全是高技术的对抗,信息安全产业构成了国家信息安全保障体系的物质基础和技术支撑。加强信息安全技术研发,推进信息安全产业发展是决定我国信息安全保障能力的核心要素。27号文要求采取积极措施,组织和动员各方面力量,加强信息安全关键技术和相关核心技术的研究开发,提高自主创新能力,促进技术转化,加快产业化进程。
近年来,我国通过实施信息安全专题863计划和973计划等科研项目,加强了对信息安全关键技术的研究,攻克了一批信息安全重大技术难题。特别是在863计划等国家计划的支持下,已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容监控与处置等方面取得了较大进展。
另外,“十五”期间还组建了多个国家级信息安全研究中心,研究实力不断增强。“十五”计划信息安全专项的实施,已经开始发挥重要作用。我国建立了上海、四川、湖北三大信息安全成果产业化基地,积极开展了信息安全应用示范工程,为国家网络与信息安全技术发展及产业化奠定了基础。
就技术水平而言,目前我国初步具备了信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力。
为进一步规范信息安全产品测评认证,为产业创造良好的市场环境,2004年10月,国家认监委、公安部、国家安全部、信息产业部、国家保密局、国家密码管理委员会办公室、国家质检总局和国务院信息化工作办公室联合发布了《关于建立国家信息安全产品认证认可体系的通知》,要求建立国家信息安全产品认证认可体系。
2006年,我国信息安全技术研发和信息安全产业发展取得了长足进步。国家对信息安全技术和产品研发的支持力度不断加大。根据国际发展趋势和我国的实际需要,国家“863”计划重点支持复杂系统下的网络生存、主动实时防护、安全存储、网络病毒防范、网络信任保障等技术和系统的研发。国家自然科学基金将信息安全领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。《信息产业科技发展“十一五”规划和2020年中长期规划纲要》提出要重点支持和发展的技术和相关产品包括:密码技术,安全处理芯片,电子认证、责任认定和授权管理,计算环境和终端安全处理,网络和通信边界安全,应急响应和灾难恢复,信息安全测评等。信息安全产品正在由单个的产品向集成化、综合安全平台的方向发展,身份管理和访问控制软件、安全内容管理软件的市场规模有较大的提升。信息安全服务,包括信息安全工程的设计、实施、测试、运行、维护、评估,以及相关的咨询和培训活动也取得了长足进展。中国信息安全认证中心在2006年末成立,标志着信息安全产品认证认可工作取得了重要进展。
6.加强法制建设和标准化建设
面对信息化迅速推进过程中出现的一些新问题、新情况,目前各有关部门正在清理、调整和修订现有信息安全法律、行政法规和部门规章。按照27号文提出的“抓紧研究起草《信息安全法》,建立和完善信息安全法律制度,明确社会各方面保障信息安全的责任和义务”的要求,几年来国务院信息化工作办公室一直在组织起草《信息安全条例》,旨在确立信息安全的基础法律框架。与此同时,有关政府信息公开、信息网络传播权保护的行政法规已经发布,个人信息保护、广播影视传播保障等立法工作也已开展。
执法部门不断加强了信息安全执法队伍建设和执法能力建设,对信息网络违法犯罪的打击力度不断加大。2006年以来,我国公安机关坚持专项打击和综合整治相结合,全面打击多发性信息网络违法犯罪活动,相继组织开展了针对网络赌博、网络诈骗、网络淫秽色情等违法犯罪活动以及网上销售违禁品、诈骗和“六合彩”等有害信息的专项行动,有效地遏制了案件高发势头,有力维护了网络秩序。
