信息安全顶层设计
2013-04-29
“顶层设计”是中央文件新近频频出现的名词,首见于“十二五”规划。它原是系统工程的专有名词,现已经演变成自高端开始的总体构想的代名词。
去年5月9日,国务院就信息化和信息安全工作召开常务会议,会议审议通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》 (国发23号)。这意味着在信息安全的顶层设计中更强调对关键信息基础设施、重要信息系统、政府信息系统以及对个人信息、企业信息,乃至信息资源的保护。与《国家信息化领导小组关于加强信息处理安全保障工作的意见》(国发27号)文件相比,23号文件注入了新的政策设置,强调加强信息安全工作的顶层设计,并克服了这种谁主管、谁负责的局限性。
随着今年国家级信息安全政策又密集出台——8月,《国务院关于促进信息消费扩大内需的若干意见》,随后,国家发改委在网站又公布了《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的》通知,明确行业重点,信息安全顶层设计再度成为热议话题,
那么,久为业界讨论的信息安全顶层设计究竟究竟该如何成型?为此,本刊采访了部分业内专家,以飨读者。
——国防大学战略教研部 许蔓舒
随着对网络依赖度越来越高,网络空间安全问题超越了专业技术层面,构成直接影响国家安全的综合挑战。因此,我国网络安全防护也迫切需要走出技术维护和配合的低层次运行水平,上升到统一筹划、综合防护的战略高度。
首先,应加快制定和颁布国家的网络与信息安全战略。趋势表明,争夺未来的焦点是战略规划之争。谁能先知先觉、抢得先机,谁就有可能掌握战略主动权。目前世界上已有40多个国家公开颁布国家级网络空间安全战略,并且随着形势的变化不断出台和调整相关政策。应加快制定相关的国家安全战略及其配套政策。
同时,把战略管理的着力点放在“跨域融合”上。立足于国家安全和现代化建设的全局,平衡好利益冲突,融合好利益诉求,研究解决好信息化发展和管理中那些跨部门、跨领域、超越局部利益和短期利益的瓶颈问题。
其次,在提高自身信息系统防御水平方面,多采取四条措施:成立国家级的协调管理机构;加大投入;加强立法,授权和扩大执法部门的监管;不断更新技术手段。
——国家信息化专家咨询委员会委员 曲成义
现在,信息化已经逐步渗透到国家政治、经济、文化乃至国民生活的各个领域,信息化的融合已经开始深化,与工业的融合越发紧密,对工业化的发展起到了巨大的催化作用。可以说工业化时代的各个领域,信息化带来的是各领域的倍增效应。而任何信息化危机的发生,都会对社会造成很大风险。因此在信息化对工业化的渗透、融合、催化、倍增的社会背景下,加强信息化的全局规划已经刻不容缓。
信息安全总体规划有四个关键节点:其一,做好信息安全的等级保护制度的落实。在信息系统可能面临的风险和信息系统的投入之间寻找到一个平衡点;其二,建立健全的信息安全保障体系。在建立信息安全保障体系方面,既不能单纯搞技术,也不能单纯搞管理。两者必须紧密结合,技术和管理并重,共同构建完善的保障体系。其三,做好信息安全系统的风险评估工作。其四,及时应对网络突发事件和灾难,做好系统应急和灾备工作。