網絡安全危機四伏 頂層設計勢在必行
來源:經濟雜志 更新時間:2012-11-01

  “信息安全不是一個新的命題,不過伴隨著技術發展,信息安全領域每時每刻都在發生著新變化,產生著新挑戰,無論是政府、企業,還是組織機構都需要對此有足夠的了解,以應對可能出現的各種問題。” 2012年9月12日,工業和信息化部信息安全協調司司長趙澤良在“2012中國信息安全年會暨第十屆中國CSO俱樂部大會”上強調。

  目前,日本在侵犯我國領土上采取了一系列咄咄逼人的態勢,而且強化了其中信息安全方面的互動。這使得國家信息化專家咨詢委員會委員、國家信息中心專家委員會副主任寧家駿警惕地指出,這給我們網絡空間安全帶來了網絡戰的陰影,可以說目前網絡系統安全的風險比以往任何時候都更加嚴重。

  不得不提的是,今年4月“火焰”病毒導致伊朗石油工業網絡癱瘓,而2010年的“網震”病毒曾導致伊朗核設施內約20%的離心機運轉失靈且無法修復。我們看到,近兩年來,美國先后出臺《國家網絡安全戰略報告》、《網絡空間政策評估》等一系列頂層設計,繼續強調美國21世紀將依賴于網絡空間安全,網絡空間是與太空、海洋并列的第三大全球公地,其體現的霸主心態引起世界各國高度重視。

  無疑,網絡信息安全已成為亟待解決、影響國家大局和長遠利益的重大關鍵問題,它既是發揮信息革命高效率的保證,也是抵御信息侵略的重要屏障。

  變革引領頂層設計

  “頂層設計”是中央文件新近頻頻出現的名詞,首見于“十二五”規劃。它原是系統工程的專有名詞,現已經演變成自高端開始的總體構想的代名詞。如何塑造中國網絡安全的未來?

  今年5月9日,國務院就信息化和信息安全工作召開常務會議,會議審議通過了《關于大力推進信息化發展和切實保障信息安全的若干意見》 (國發23號)。

  這意味著在信息安全的頂層設計中更強調對關鍵信息基礎設施的保護,更強調要對重要信息系統的保護,要更強調政府信息系統的保護,更強調對個人信息、企業信息,乃至信息資源的保護。

  針對目前的國際網絡形勢,文件提出了加強對全球網絡安全威脅的監測分析,加快建立具有發現和阻止威脅態勢感知能力的新的信息安全防御體系。

  為切實加強網絡與信息安全管理,遏制有害不良信息傳播,不少有識之士甚至呼吁互聯網立法并得到了主管部門的響應。今年兩會期間,全國人大代表、工業和信息化部部長苗圩在接受媒體采訪時表示,工信部支持互聯網安全立法,在相關法律法規出臺后,工信部將出臺一系列配套措施。

  事實上,早在2003年7月22日,國務院就組織召開了國家信息化領導小組全體會議,專題是以討論信息安全問題為主,會議通過了《國家信息化領導小組關于加強信息處理安全保障工作的意見》(國發27號)。文件確立了國家信息安全的方針、原則、重點工作任務,而且明確了信息安全是國家安全的重要組成部分。27號文件在當時情況下比較強調部門和非部門,信息安全要堅持誰主管、誰負責、誰運行。

  趙澤良強調,從27號文件提出的無論是等級保護、系統重要性,還是應急、災備工作等都強調要分清責任。然而隨著日益增加的全球網絡的威脅,國家必須要解決這種部門各自為戰的局限性。

  與27文件相比,23號文件注入了新的政策設置,強調加強信息安全工作的頂層設計,并克服了這種誰主管、誰負責的局限性。趙澤良認為23號文件更強調統籌協調,這兩個文件共同構成了國家信息安全的總體政策框架。

  在領導機構方面,去年國務院成立了國家網絡與信息安全協調小組,國務院副總理李克強任組長,工信部部長苗圩任辦公室主任,協調議事機構設在工信部信息安全協調司。這個小組被賦予了領導國家網絡與信息安全,協調推進信息化發展和網絡信息安全保障工作的重大職責。

  在產業發展方面,2011年12月工信部發布的《信息安全產業“十二五”發展規劃》中,明確規定了“十二五”期間產業發展思路和目標,通過發展重點和重大工程的實施,推動我國信息安全產業向體系化、規模化、特色化、高端化方向發展,促進我國信息安全產業做大、做強。規劃中重點提到健全網絡信息安全法律法規,完善信息安全標準體系和認可體系,實施信息安全等級保護、風險評估等制度,同時規劃任務,應該加快推進安全、可控、關鍵軟硬件應用試點示范和推廣,加強信息網絡檢測等內容。

  在支撐能力建設方面,記者了解到,“十二五”時期產業發展以提升對國家信息安全保障的支撐能力為目標,以保障基礎信息網絡安全和重要信息系統安全為中心,按照“安全可控、創新發展、應用牽引、環境營造”的原則,推進技術產品創新、應用和服務模式創新,積極培育骨干企業,加快發展特色中小企業,構建產業鏈完整、分工合理的產業體系,推動信息安全產業向體系化、規模化、特色化、高端化方向發展,做大做強信息安全產業。

  在重大工程方面,《規劃》推出了極具力度的產業扶持政策,在關鍵技術和重點產品研發及產業化工程、信息安全公共服務平臺建設工程等方面重點布局了四大工程:

  一是關鍵技術和重點產品研發及產業化工程,針對制約信息安全產業發展的關鍵技術和重點產品,聚集國家和地方資源,發揮產學研用資源優勢,繼續實施國家信息安全專項,構建完整的產品體系和產業鏈,建立信息安全重點產品目錄,引導企業和普通消費用戶使用目錄產品。

  二是新一代信息技術應用安全支撐工程,研究建立支撐云計算、物聯網、移動互聯網等新一代信息技術應用保障的信息安全技術體系架構,促進新一代信息技術的安全可控發展和應用。

  三是信息安全示范工程,充分利用國家重點信息化工程建設機遇,開展安全可控信息安全產品和服務在電子政務、電子商務、電子醫療、金融、能源等領域,加快安全可控信息安全產品和服務產業化步伐。

  四是信息安全公共服務平臺建設工程,建設國家級和區域級信息安全專業服務平臺,開展等級保護設計咨詢、風險評估、安全咨詢、安全測評等服務;建設國家級信息安全數據庫,為國家和社會公眾提供快速、高效的信息安全服務,實現資源共享,切實提高信息安全保障能力。

  從十年前,網絡安全還是個待破之題,到現在國家針對網絡與信息安全一系列政策的密集出臺,頂層設計已然成為加速網絡安全創新和升級的源動力。

  癥結求解

  公開資料顯示,我國信息化建設和信息安全保障仍存在一些亟待解決的問題,寬帶信息基礎設施發展水平與發達國家的差距有所拉大,政務信息共享和業務協同水平不高,核心技術受制于人;信息安全工作的戰略統籌和綜合協調不夠,重要信息系統和基礎信息網絡防護能力不強,移動互聯網等技術應用給信息安全帶來嚴峻挑戰。

  2010年9月,伊朗布舍爾核電站遭到“網震”病毒攻擊,導致核電設施推遲啟用。業界認為,這是全球第一次從虛擬信息世界對現實物理世界的網絡攻擊。工業控制系統在我國應用十分廣泛,那么,我國工業控制系統防御能力如何?

  “近幾年,國家非常重視金融、電力等領域信息安全管理的加強,工業控制系統的信息安全開始有所改善,但因其復雜性,完全做到自主可控需要一定的時間。”寧家駿直言不諱地指出,這是我們在當前存在的主要問題。

  統計表明,2012年6月,我國數十家政府及企事業單位網站遭受黑客攻擊,15萬以上的用戶數據泄露。我國企業遭到攻擊的IP地址,65%來自國外;涉及國家機密和資金安全的機構遭黑客攻擊的技術含量和攻擊頻率遠高于普通企業。信息安全狀況不容樂觀。

  糾結于以上難題的同時,我國在工業控制領域還面臨著更大的困擾。

  一年前,工信部下發的《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)即明確提出,我國工業控制系統信息安全管理工作中仍存在不少問題,主要是對工業控制系統信息安全問題重視不夠,管理制度不健全,相關標準規范缺失,技術防護措施不到位,安全防護能力和應急處置能力不高等,威脅著工業生產安全和社會正常運轉。

  寧家駿把原因歸結為三點:一是中國信息化水平與發達國家相比處于后發階段;二是中國信息安全的根基不夠牢固,存在受制于人的被動局面;三是作為發展中國家,中國要走獨立自主的路線。

  面對工業控制系統信息安全管理中存在的矛盾和問題,關鍵要做好什么?在《信息安全產業“十二五”發展規劃》中,國家提出了確保基礎信息網絡和重要信息系統的安全可控要求。

  無疑,核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統都屬于基礎信息網絡和重要信息系統,需要下大力度落實信息安全管理,落實安全管理要求。工信部信息安全協調司副司長歐陽武說,這些領域一旦出現問題,后果會很嚴重。

  歐陽武告訴記者,具體措施有六點:一是加強連接管理,嚴格管理工業控制系統與公共網絡之間連接,嚴格控制移動設備的交叉使用。二是加強組網管理,同步規劃、同步建設、同步運行安全防護措施,采用虛擬專用網絡、冗余備份、數據加密、身份認證等措施,加強關鍵工業控制系統通信網絡的防護。三是加強配置管理,建立服務器等關鍵設備安全配置和審計制度,嚴格賬戶、口令以及端口和服務的管理。四是加強設備選擇與升級管理,嚴格設備采購、技術服務的安全管理,嚴格軟件升級、補丁安裝管理。五是加強數據管理,通過采取訪問權限控制、數據加密、安全審計、災難備份等措施加強對地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的保護,切實維護個人權益、企業利益和國家信息資源安全。六是加強應急管理,制定信息安全應急預案,落實應急支撐隊伍,視情采取必要的備機備件等容災備份措施。

  “對威脅不知道,是最大的問題。”寧家駿強調。目前,工信部提出要建立工業控制系統安全測評檢查和漏洞發布制度,并適時對重點領域工業控制系統信息安全進行抽查。

  這意味著,強化基礎信息網絡和重要信息系統的安全防護和管理,建立和完善基礎信息網絡以及電力、銀行、證券、保險以及政府等重要信息系統的安全防護體系等工作刻不容緩。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios