论保障信息系统安全的战略策略
2015-04-14刘晓玉
刘晓玉
(中共河南省委党校,河南 郑州 451000)
随着信息技术的快速发展和广泛应用,人类社会进入了信息化社会。在这个阶段,信息的获取、加工、传递和分配成为关系到人类生存所有领域的基础。信息在社会经济中发挥着越来越重要的作用,信息已成为最具活力的生产要素和最重要的战略资源。承载各类信息的信息系统是社会系统高度发达的产物,它成为社会系统的抽象表达,各行各业的数字化、网络化进程都在全面而深入地展开,以计算机网络为核心的信息系统成为国家的重要关键基础设施,成为金融、能源、交通、现代物流、现代制造等行业的神经中枢。一个现代化的国家,其政治、经济、文化、国防乃至人民生活都对信息系统的依赖程度越来越高。然而,以信息系统为基础和开放性为特征的信息社会又存在着极大的脆弱性,信息系统的破坏将给经济社会发展和国家安全造成难以估计的损失和不利影响。目前,信息化整体水平已成为衡量一个国家和地区综合竞争力、现代化程度和经济增长能力的重要标志。经过近二十年的建设,“金”字①从1993年以来,我国信息化建设陆续启动了以“金”字命名的一系列国家级信息应用工程。主要包括:“金宏、金税、金关、金财、金卡、金审、金盾、金保、金农、金水、金质、金旅、金卫、金土、金信、金贸、金智”等应用系统。工程取得了巨大的成绩,对推进信息化,加快国民经济发展具有重要推动作用,但其安全问题也日益突出。所以,当前对信息系统安全战略的深入系统研究,具有极为重要的理论价值和实践意义。
一、构建国家信息安全战略
信息系统安全,是信息时代国家安全体系的重要组成部分,是维护国家安全的坚实基础,是保障国家经济、政治、文化、社会全面发展的重要条件,是赢得未来军事斗争的必然要求。党的十六届四中全会将信息安全与文化安全、政治安全、经济安全并列为国家安全的重要组成部分。
近年来,特别是党的十八大以来,在国家的顶层设计层面,网络安全的地位和重要性日益提升,习近平总书记在多个场合讲到了网络安全之于国家安全的极端重要性。他在中央网络安全和信息化领导小组第一次会议上讲话中指出,“没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。”[1]
我国正处在信息化快速发展和社会深层转型的关键时期,必须深刻认识推进信息安全工作的重要性和紧迫性,必须从国家整体发展战略高度出发,切实强化顶层设计,以全球视野加大创新力度,强化对互联网信息的主导权和控制权,进一步提升国家信息安全的保障水平和能力。必须从我国基本国情出发,建立健全符合中国国情、具有中国特色的国家信息安全战略策略,进一步明确国家信息安全的战略目标、任务、原则和主要内容等。
二、改善信息安全领导体制机制
加快建立健全国家信息系统安全保障组织体制机制。改善与新形势下国家信息安全任务相适应的领导机构、管理机构和职能部门,为信息系统安全保护提供坚强的组织保障。在国家宏观战略层面调整和完善国家信息化工作领导小组、国家网络与信息安全协调小组和国家电子政务协调小组等机构。组建更具权威性的国家信息安全战略委员会,负责全国信息安全的全面统筹规划和管理,组织和协调国家安全、公安、工信、保密、机要等职能部门,对国家信息安全政策统一步调,分工负责、各司其责,同时加强军队信息安全工作领导。各地区各部门各单位必须把保障信息安全纳入重要议事日程,明确主管领导,建立完备的信息安全管理机构,逐级建立和落实信息安全责任制,加大责任追究力度,形成自上而下的信息安全管理组织体系。
完善信息系统安全保障法律体系。与发达国家相比,我们的立法工作仍然滞后于信息化事业的发展。因此,我国必须加快立法进程,吸取和借鉴国家成功的关于信息安全立法经验,同时必须切合中国实际,逐步建立和完善信息安全法律制度体系。
通过立法保护国家信息主权和社会公共利益,使国家在信息空间的利益与社会的相关公共利益不受威胁和侵犯,并得到积极保护;信息主体的信息活动必须依法严格规范,通过法律对信息主体的行为进行约束、调整和强制,使信息主体能够在正当合理的范围内进行规范的信息活动,对于非法、非授权的信息活动必须予以限制和取缔,大力支持信息主体正常的信息活动;保护信息主体的信息权利,通过规定相关的制度机制和责任,强化运用法律保护信息权利,协调解决在信息社会中的各种各样的矛盾,加大惩治和打击信息空间违法行为,切实保障信息空间的正常秩序,使信息主体的信息权利得到切实保障,促进和维护信息安全。具体来讲,必须加快推进《中华人民共和国信息安全法》的立法工作,从立法宗旨、适用范围、信息安全概念、范围、监管机构、计算机信息系统安全保护制度、互联网信息服务、电子交易安全、信息采集与利用、法律责任(民事、行政及刑事责任)等方面作出明确规定。加快与信息安全法相适应的相关法律法规的调整和完善,加快制定和完善各领域的信息安全专门法。加快进行信息安全领域标准与规范的研究和制定,如:关键基础设施和重要信息系统的安全保障技术标准;信息系统和信息技术产品的安全保障技术和测评标准;云计算、物联网、移动互联等新兴信息技术研究和标准等。
健全高效运转的国家信息安全防范机制。一是尽快建立健全国家信息安全风险监测评估体制机制。信息安全风险评估应贯穿于网络和信息系统建设运行的全过程,按照“严密组织、规范操作、讲求科学、注重实效”原则展开,保证信息安全风险工作的科学性、规范性和客观性,形成以预防为主、持续改进的信息安全风险评估机制。二是完善信息系统等级防护中各职能部门联动工作机制,各部门职责清晰、分工明确、配合密切,形成协作高效的运转机制。三是编制网络与信息系统安全应急预案,建立健全网络与信息系统安全应急响应机制,提高应急处理能力,以及最大限度地消除各类网络与信息安全事件带来的危害和影响。四是建立完善信息安全技术防范体系,即电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术防范等。五是建立完善信息安全服务支持体系,即技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务等。六是建立完善信息安全管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全管理的能力建设和力度,把管理提升为信息安全工作的核心着力点。
完善国家信息安全的等级保护制度。信息安全等级保护制度是国家在国民经济社会发展和信息化快速发展过程中,进一步提高信息安全保障水平和能力,切实维护国家安全、公共利益和社会稳定,促进和保障信息化建设长期可持续健康发展的一项基本策略、基本制度、基本方法。信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在国家信息化建设进程中与建设信息安全设施同步,与保障信息安全与信息化建设相协调;有利于为国家信息系统安全建设和管理提供针对性、系统性、可行性的服务和指导;有利于优化国家信息安全资源的合理配置,对信息系统实施分级保护,要重点保障基础性信息网络和关系到国家安全、社会稳定、经济命脉等方面的重要信息系统的安全;有利于进一步明确和界定国家、法人和其他组织、公民的信息安全责任,提高信息安全管理实效;有利于促进信息安全产业的深入发展,着力探索出适应我国社会主义市场经济健康发展的信息安全模式。
目前,信息安全检查工作已经成为常态化例行工作,但仍需对有关定级、建设与改建、测评、备案和监督检查等工作细化完善;各级信息化工作领导和办事机构应进一步加强等级保护的部门间协调工作,探索并形成有效协调机制;公安机关、国家保密、密码管理等职能部门应进一步加强队伍建设,提高信息安全等级保护工作的监督、检查、指导等业务能力。要具体解决各职能部门协同交流不畅、不深入等问题,切实增强责任感、使命感、紧迫感,加强领导,落实责任,分工负责,密切配合,扎实工作,切实把信息安全等级保护工作抓紧、抓实、抓好;解决对信息安全工作宣传力度不够、各地区、各行业、各部门对当前信息安全保障工作面临的严峻形势认识不足等问题,解决等级测评和自查工作不开展不认真等现象;解决定级前期指导与定级不准问题,防止影响整改、测评和检查等后续工作的开展;解决信息安全检查工作任务急、时间短、不严不细等问题,切实把信息安全检查工作做实做细,有效解决重要信息系统安全面临的威胁和存在的主要问题,提高被检查单位信息安全保障工作的水平。
三、加快信息安全技术攻关和产业扶持
当前,经济全球化深入发展,新一轮信息技术变革正在兴起,国内工业化、信息化、城镇化、农业现代化日益深入发展,经济结构转型加快,为我国信息化发展带来了新的机遇和动力。
着力推进信息化深入发展,保障信息安全,对经济结构调整和发展方式转变,对加强和改善民生、切实维护国家安全意义重大。
党的十八大提出,“建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用。[2]我们必须深刻领会,认真贯彻落实。各级工业和信息化主管部门要进一步提高认识、拓宽思路、务求实效,从实际出发,坚持走自主创新的发展道路,大力发展自主可控的信息安全技术和产品,鼓励技术与管理创新,积极引进和借鉴国外先进技术与管理经验,坚定地确立信息安全产业的策略,因地制宜制定关乎国计民生基础和重要信息系统安全规划和建设。通过统筹规划,政策扶持,整合力量,进一步加大财政支持力度,进一步加大网络与信息安全技术研发投入力度,强化对移动互联网、、物联网、云计算、以及下一代互联网等新兴信息技术方面的信息安全技术研究,继续组织实施信息安全产业化专项,进一步完善有关信息安全政府采购管理制度和政策措施,支持信息安全产业快速发展,进一步增强自主创新意识,加快关键信息技术的研发和自主技术的产业化进程,逐步实现民族信息产品替代进口产品,形成本国特色的现代信息技术产业体系,保障国家信息安全。
四、加快培养高素质信息安全人才
信息安全从来就不单纯是一项技术、一个产品的安全,而是信息、设施、网络与人的高度综合的安全,人永远是信息安全最为核心的要素,在法律法规制度提供保障下,人和技术的辩证统一是信息安全的根本解决之道。专业技术人员的数量、结构、质量等因素对信息系统安全建设水平的高低起着关键作用。培养和造就大批信息安全领域高素质的技术与管理人才是构筑信息安全体系的智力基础。
应本着对国家、民族负责的精神,确立信息安全人才优先发展战略布局,从信息安全学的学科体系建设入手,以培养具备多学科知识和复合型技术的人才为目标,支持信息安全与保密学科专业院系、师资队伍、重点实验室、学科体系建设,培养出既懂信息安全防护技术,又精通领域知识的复合型、创新型、应用型的高级专业人才。开展面向全社会的信息化应用和信息安全宣传教育培训。加强大中小学信息技术、网络道德和信息安全教育;在政府机关和涉密单位定期开展信息安全教育培训;各级财政要加大对信息安全宣传教育和培训等公益性活动的支持;形成范围广泛、素质优良的信息安全人员队伍。
五、加强重点领域信息系统安全防护和管理
确保重要信息系统和基础信息网络安全。对于涉及国计民生的重要信息系统和基础信息网络,要按照国家确定的信息安全战略,强化技术防范,严格安全管理,加大保障力度。
加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理,鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供的外包服务;明确界定使用计算机的性质和用途,坚持“谁上网、谁负责”的原则,加强信息发布审核的管理;加强安全和保密防护监测,落实涉密信息系统分级保护制度,强化涉密信息系统审查备案机制。
保障重要领域工业控制系统安全。加强重要领域工业控制系统的安全防护和管理,定期开展安全检查和风险评估,加强监管和安全测评,实行安全风险和漏洞通报制度。
强化信息资源和个人信息保护。加强基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全;加大敏感信息保护,进一步加强个人信息保护工作。
六、积极开展国际合作
信息通信新技术的迅速发展和普遍应用是当今时代一个最重要的特点。信息通信技术贯穿人类活动的所有领域,形成全球信息系统,直接影响国家安全的各个方面,包括政治、经济、国防、社会文化等,以及整个国际安全与稳定体系。信息通信技术和当代威胁与挑战具有跨国性质,必须通过双边、地区和国际层面的合作,加大各国保障信息安全的力度。只有各国采取协调一致和互补措施,才能有效应对当代信息安全的挑战与威胁。要本着谋求合作、求同存异的态度,立足我国国情,积极开展网络信息安全保障领域的国际交流和合作,积极参与信息安全国际标准的制定工作,不断提升我国在国际网络信息合作方面的话语权和影响力。通过国际交流与合作,充分利用国际资源共同应对国际社会面临的许多共性网络信息安全问题,比如跨国网络犯罪、垃圾邮件、不良信息治理等。在我国信息技术等方面仍处于弱势地位情况下,尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识,在联合国框架内通过“信息安全国际行为准则”,以维护我国信息和网络安全,维护信息网络的国际公平和正义。
[1]习近平在中央网络安全和信息化领导小组第一次会议上讲话[N].人民日报,2014-2-27.
[2]十八大以来重要文献选编[M].北京:中央文献出版社,2014.