APP下载

上海智慧城市信息安全保障探索与实践

2015-08-07刘山泉

信息安全与通信保密 2015年4期
关键词:网络空间信息系统信息安全

刘山泉

上海智慧城市信息安全保障探索与实践

刘山泉

在过去的两年间,我国网络安全进入全面的战略觉醒,国家先后成立中央国家安全委员会、中央网络安全和信息化领导小组,对我国网络安全和信息化的发展战略、宏观规划和重大政策等做出了一系列部署。城市是一个国家发展的缩影和战略执行的载体,上海作为我国信息化发展标杆性城市,在实施信息化领先发展战略、加快建设面向未来的智慧城市的过程中,面对复杂严峻的安全形势高度重视信息安全保障工作,坚持信息安全与信息化同步规划、同步建设和同步运行,积极探索与特大型城市信息化发展水平相适应的区域信息安全保障体系,对我国网络安全与信息化全局工作具有较好的启示意义。

一、上海城市信息安全保障工作回顾

上海城市信息安全保障工作起步于“九五”,当时为适应数字化、网络化发展的实际需要,上海在国内率先成立了市级层面的互联网安全协调机构,并且是国内第一个在信息化工作部门设置信息安全工作机构的地方,并以解决计算机2000年问题为突破口,进行了大规模的信息安全意识启蒙教育,初步构建了覆盖信息化重点行业的信息安全管理工作责任网络(信息安全重点单位)。

“十五”期间,上海城市信息安全保障进入重点布局阶段,市数字证书认证中心、市信息安全测评认证中心、市计算机病毒防范服务中心等功能机构先后成立,国家信息安全成果产业化(东部)基地启动建设,多个国家级信息安全研究机构入驻,并在国内率先组建信息安全行业协会,随着国家信息安全应用示范工程(S219)一期、二期工程的顺利实施,重点行业信息安全防护水平和信息安全产业发展得到提升。

“十一五”期间,上海在国内率先编制并印发《上海市信息安全“十一五”专项规划》,城市信息安全保障进入体系化建设阶段,在国家网络与信息安全协调小组的统筹部署下,以深入贯彻落实“中办发27号文”为主线,市网络与信息安全协调小组(“市网安小组”)和市互联网舆论宣传领导小组(“市网宣小组”)分工负责、协调配合,信息系统安全测评、等级保护、分级保护、应急管理等基本制度相继建立并推行,基础网络和重要信息系统安全防护能力进一步提升,圆满完成2010年中国上海世博会信息安全保障工作任务。

“十二五”期间,围绕两轮智慧城市建设三年行动计划的滚动实施,上海城市信息安全保障体系进入全面深化的新阶段,其间,上海市电子政务灾难备份中心建成并投入使用,在国内率先组建区域网络与信息安全应急管理机构、成功举办信息安全宣传周和技能竞赛活动,并承担了政府部门互联网安全接入、关键城市基础设施工控系统安全风险评估、党政机关云计算服务网络安全审查等多项国家试点任务,加快完善与智慧城市建设相适应的信息安全保障体系已经成为全社会的共识。

从上海城市信息安全保障工作十几年的发展历程不难看出,信息安全保障工作与信息化的协同发展是“一体之两翼,驱动之双轮”,信息技术应用程度、信息化发展水平决定了不同阶段信息安全重点任务。简而言之,“十五”至“十二五”,上海信息安全保障工作的主线经历了“保障重点”,“强化监管”,“综合治理”三个阶段的变迁。信息化应用的社会化决定了信息安全问题的社会化,目前上海城市信息安全工作已经进入综合治理的新阶段,迫切需要加强网络空间安全的法治化建设,明确不同主体的责任和义务,最大限度地凝聚全社会的共识。

二、上海城市信息安全保障工作面临的形势

随着智慧城市建设的全面深化,智慧新城、智慧商圈、智慧园区、智慧社区、智慧村庄等“智慧+”应用遍地开花,网络信息安全已经成为城市安全的重要环节,与国家安全、城市运行、企业经营和市民生活息息相关,正在获得全社会前所未有的关注,加强信息安全保障已成为政府部门、企业、社会机构和民众的强烈共识。按照需求导向、问题导向的指导方针,做好城市信息安全工作需要从五个方面把握好所面对的复杂形势。

1.网络空间安全的新博弈

网络空间安全受到各国的普遍重视,已成为国家安全的重要组成部分。根据近年来的发展趋势,网络空间的国家间博弈正在加剧。各国“网络空间的领土观”日趋明显,在力图保卫自己本国信息疆域的同时谋求掌控其他国家或全球信息疆域的能力,维护网络主权已成为维护国家主权的制高点。例如,美国等网络空间安全优势国家已将网络电磁空间视作与陆、海、空、天同类的第五个领域,出台了一系列国家战略、法律和政策,力图在网络空间安全方面维持其主导地位。上海作为中国经济最发达的中心城市必然面临网络空间国家间博弈带来新的挑战。一方面,当前上海正在加快建设“四大中心”和具有全球影响力的科技创新中心,不可避免地将成为各类有组织网络犯罪和攻击的主要目标,上海的关键基础也可能被成为国家间信息战的“军事目标”。另一方面,上海是一个高度国际化的城市,国际知名科技公司在上海大多设立了分支机构,与上海相关企业(尤其是金融领域)的信息化建设合作紧密,这同时也为内部渗透、攻击和情报窃取提供了条件。上海的网络空间“边界”概念已经模糊。

2.城市信息安全工作的新要求

面对复杂严峻的网络空间安全形势,2014年中央成立了由习总书记亲自担任组长的网络安全和信息化领导小组,对涉及网络安全和信息化发展的一系列重大问题做出了部署。习近平总书记在把我国从“网络大国”建设成为“网络强国”的论述中,指出“没有网络安全就没有国家安全,没有信息化就没有现代化”,强调两者是“一体之两翼,驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进”。上海加快建设具有全球影响力的科技创新中心,要求前瞻布局一批关键核心技术;“四个中心”建设、“四新”经济、战略性新兴产业和现代服务业的发展,也需要自主可控的产品和服务,而信息安全具有重要的基础支撑作用。

3.城市运行安全的新常态

上海经过多年信息化领先发展战略的持续推进,发展水平领跑全国。在国家工信部2015年1月发布的全国信息化发展水平评估中,上海以综合指数111.02继续排名第一。城市运行已高度依赖于网络和信息系统,但部分重点领域信息系统安全隐患突出。从上海每年实施的信息安全测评、检查和监测的情况看,“责任不落实、制度不健全、防护不到位、外包不规范”等问题还存在相当的比例。基础网络出现过因设备故障而导致大量用户通讯受损的情况,部分承担公共服务职能的信息系统连续发生软件故障,导致系统拥堵,业务被迫中止;多个党政机关门户网站遭到仿冒和攻击,甚至发生网页被篡改的事件。网络和信息系统在城市运行中的全局性、基础性作用决定了网络安全已经成为城市运行安全的重要组成部分,及时化解智慧城市建设中的信息安全风险,有效应对安全事件高发态势,则已经成为当前工作的“新常态”。

4.信息技术应用的新挑战

随着信息化对政治、经济、社会各领域的不断渗透和融合,“互联网+”概念风生水起,信息技术的“双刃剑”效应更加凸显。“棱镜门”事件及其后披露的大量高级持续性威胁(APT)攻击表明,针对工业控制系统的隐蔽攻击会对关键基础设施的安全运行构成极大威胁。上海拥有大量的关键设施和跨国公司总部,所拥有的数据和信息资产具有极高的价值,极易成为被攻击的目标。移动互联网、物联网、大数据等新技术成为信息化新一轮发展的重要驱动力。但部分新兴应用的安全保障机制尚未成熟,安全隐患突出,一旦出现问题影响量大面广。特别是现实空间与网络空间的深度融合,信息物理系统的日益普及,网络攻击技术的快速演进,都对城市应急响应提出更高的要求。此外,鉴于对网络空间的发现和感知能力的薄弱,网络空间攻防不对称的特点将会在较长时间内继续存在。

5.市民社会对安全的新期待

国家第35次互联网发展状况调查统计显示,我国网民规模已达6.49亿人,但有近半数的网民认为互联网不太安全或非常不安全。全社会对信息安全问题的关注度呈上升趋势。钓鱼网站、电信诈骗、网络制售假等涉网犯罪行为时有发生,上海在相当长的一段时间是国内因电信诈骗而遭受经济损失最多的地区之一;另一方面,信息泄露事件时有发生,严重侵害了个人信息安全。比如与市民生活息息相关的医疗、旅游、航空、酒店等领域都发生了个人信息被盗用或泄漏的情况,引起了公众深深的不安全感,对信息化的持续健康发展造成负面影响。与此同时,作为信息化应用的直接参与者,广大市民的信息安全意识和应知应会的信息安全知识与技能还不能适应移动互联网的飞速发展。这些影响群众切身利益的突出问题和薄弱环节需要在完善城市信息安全体系过程中加以应对和解决。

总而言之,智慧城市建设越深入、信息化应用越广泛,城市功能对信息系统就越依赖,而面临的信息安全形势就越复杂和严峻。与国内其他地区相似,上海信息安全保障工作基础仍存在很多薄弱环节,主要表现为:

一是信息安全保障工作的顶层设计能力必须加强。

网络安全和信息化工作的统筹力度还不够,对影响城市信息安全运行的动态风险评估机制尚不健全,常态化的跨领域协同机制还不够高效,尚未形成一支适应智慧城市信息安全要求的专家智库,对信息安全问题前瞻性研究不够系统和深入,信息安全的法治化建设相对缓慢,尚未对信息安全保障的社会化力量进行有效的组织和动员。

二是信息安全防范的实际效果需要进一步评估研究。

目前上海涉及公共管理和公共服务的重要信息系统单位已达190多家。各类信息系统都有一定的安全防护措施,但在信息化建设管理实践中还存在着信息安全与信息化应用脱节的问题。对系统信息安全的需求分析比较程式化,通常对共性问题分析有余,个性问题分析不足,从而影响信息安全防护措施的实效。有的信息系统甚至没有经过严格的安全测评就投入了使用。

三是信息安全应急能力需要实战加以检验提高。

随着信息安全应急预案编制、修订工作的不断深入,城市分层、分类的信息安全应急预案体系逐步建立,但仍存在针对性、可操作性不强的问题,比如预案编制呈雷同化、模式化,难以具体高效指导应急处置工作。信息安全应急涉及管理机制、监测预警、事件通报、应急响应、灾难恢复等多个层面和环节的工作,有的系统运营管理单位尚未全部形成闭环的应急管理流程,缺乏定期演练和实战检验,在一定程度上影响了城市信息安全的整体应急响应能力。

四是自主可控的信息安全技术和产业支撑能力亟待提升。

目前我们的基础信息技术产品和服务还无法做到自主可控,城市关键信息基础设施对国外技术产品的依赖度较大;适应维护城市网络空间安全的多层次信息安全人才体系尚不完善,对新兴和持续的网络安全攻击的发现能力不强,迫切需要在信息安全的关键技术、基础产品、新兴服务和高端人才方面加大投入。

三、关于加强城市信息安全保障工作的思考

信息安全攸关城市安全、公众利益和社会稳定,在实践工作中,必须根据中央和国家部署,紧密结合上海实际,按照智慧城市信息安全保障工作的整体部署,着力理顺“四个关系”。一要理顺安全与发展的关系。信息安全问题最后还得靠信息化发展来解决。为此,上海新一轮智慧城市建设三年行动计划已明确9个信息安全重点专项,力求信息安全与信息化协调一致、齐头并进,以安全保发展、以发展促安全。二要理顺面上统筹与突出重点的关系。在全面深化城市信息安全保障体系的建设过程中,要围绕城市运行安全这个“底线”,抓住重点领域和关键环节,切实填补制度“短板”。三要理顺政府与市场的关系。信息安全已经成为影响到所有法人和公民的社会问题,必须通过法规和标准来加以解决,充分发挥社会中介组织和市场主体的作用,政府则集中做好环境建设。四要理顺立足当前与兼顾长远的关系。今年是全面完成“十二五”规划的收官之年,又是谋划和编制“十三五”规划的关键之年,要按照国家网络安全和信息化战略部署,把“十三五”期间重点任务落实到规划设计,落实到工程方案,落实到具体措施。

当前围绕智慧城市信息安全保障的实际情况,须重点深化细化五方面的基础性工作。

第一,全面梳理智慧城市信息安全重点领域保障目标。在上海现有195家信息安全重点单位工作网络的基础上,密切跟踪智慧城市应用推进情况,基于城市信息安全动态风险评估,围绕国家安全、城市运行、企业法人和公民个人四个层面的信息安全保障需求,构建城市信息安全重点领域目录体系,并以此完善“横向到边、纵向到底”的城市信息安全工作网络和服务体系。具体可以从六个大类对重点目标进行梳理。第一大类是党政机关的信息系统,这类系统至关重要,内部信息不容窃取;第二大类是关系国计民生的、不间断运行的重要信息系统,比如银行以及交通、民航等;第三大类是基础信息网络,包括公用电信网络、广电网络以及互联网的骨干网络;第四大类是社会关键基础设施的自动化、工控系统,这些系统一旦发生问题就会对社会的稳定产生重大影响,如电厂、垃圾焚烧设施等对环境产生影响的自动化系统;第五大类是对经济社会的稳定和产业安全产生重大影响的大型企业和服务机构的信息系统,比如能源企业的供应链系统;第六大类是影响市民衣食住行、具有公共服务性质的重点互联网系统,比如支付宝、付费通等第三方支付系统。

第二,系统完善智慧城市信息保障法规和制度安排。目前,上海针对重要信息系统的安全监管已经建立了检查评估、安全测评、等级保护、应急管理等制度性机制,但制度实施中的“交叉点”和“空白点”问题日益突出,影响了制度落实的实际效果,这就迫切需要通过建立并实施网络安全审查等基础制度来全面规范信息安全相关技术、产品、服务、系统和人员的管理。与此同时,在全面依法治国的背景下,要按照“依法管网”的总体要求,营造公平守法的社会环境。当务之急是推动公安、工商、质监、知识产权和消费者权益保护等部门加大传统法律法规对网上违法行为的适用和监管。上海先后出台了与信息安全保障相关的《上海市公共信息系统安全测评管理办法》、《上海市公共信息系统突发事件处置办法》等政府规章和规范性文件,下一步将加快推动公共信息系统个人信息保护和关键信息基础设施防护等立法工作,为国家层面出台网络安全法积累实践经验。同时,针对不同类别保障目标的实际情况,要灵活发挥法律、规章、标准和规范性文件的作用。

第三,加快建设城市信息安全保障平台设施。智慧城市信息安全离不开公共平台设施的支撑服务。现有的安全测评、应急管理、身份认证等平台已经无法与日新月异的城市信息安全保障需求相适应,所以迫切需要深化面向城市网络空间安全的监测预警和应急响应基础平台,实现城域网络安全态势感知、监测预警、应急处置和灾难恢复的一体化运作;建设全市性的网络空间主体可信身份生态体系,面向泛在网络提供普适性的统一身份认证;加强区域信息安全测评认证机构的检查评估和安全审查支撑平台建设,适应智能卡芯片、云计算、物联网等应用形态的安全评估需求,加快工控信息安全仿真测试平台和专项实验室建设。在具体推进,积极探索公私合作(PPP)等模式,倡导建设和运行主体的多元化,同时充分发挥行业协会、功能性机构、联盟等第三方作用,培育互联网金融安全等社会化公共服务平台。

第四,大力促进信息安全技术产业和服务创新发展。摆脱我国重要信息系统基础信息技术产品受制于人的被动局面,关键要靠自主可控信息技术产品和信息安全产业的整体崛起。上海是我国集成电路产业重镇,在国产操作系统、中间件、数据库等基础产品,行业软件和密码技术研发与应用方面具有比较优势。加快建设具有全球影响力的科技创新中心,应充分发挥新一代信息技术产业的集聚优势,围绕产业链部署创新链和资源链,发挥经济社会发展领域的主战场作用,充分依靠信息技术企业主体自主创新,加快移动互联网、云计算、物联网、大数据等领域的信息安全技术创新和成果转化,将网络信息安全服务作为“四新经济”发展的主攻方向之一,通过基金、园区、联盟等载体的联动和协同,为自主可控信息技术、产品和服务的创新发展营造良好环境。

第五,着力壮大智慧城市信息保障的人才队伍。信息安全是高技术的对抗,关键要素是人才。上海通过信息安全技能竞赛的平台,推出了像Keen Teem这样的具有国际影响力的技术团队。但与城市信息安全保障的庞大需求相比,信息安全专业人才显得捉襟见肘。为此,做好多层次信息安全人才体系建设研究,准确评估智慧城市信息安全保障人才缺口,提出加快人才培训培养的具体措施,这些就成为了信息安全人才队伍建设的当务之急。同时要瞄准优化和改善信息安全人才的质量、数量和结构这一主线,进一步整合上海的信息安全教育、培训资源,加快建设信息安全高技能人才实训基地,重点培养信息安全复合型人才。要依托信息安全行业协会,打造信息安全技能竞赛、人才嘉年华、智慧城市安全保障技术(用户)大会三大品牌,建立智慧城市安全保障综合培训体系。同时,还要探索建立面向信息安全重点单位的首席信息安全官(CSO)制度,着力培养和汇聚一批信息安全高端人才,加快培训一批专职从业人员,吸引领军人才来沪创业发展,打造中国信息安全人才创新创业的高地。

(作者地位:上海市经济和信息化委员会信息安全处)

猜你喜欢

网络空间信息系统信息安全
企业信息系统安全防护
信息安全专业人才培养探索与实践
网络空间安全人才培养专题概要
网络空间并非“乌托邦”
基于区块链的通航维护信息系统研究
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
军地联动共治涉军舆情 打造清朗网络空间
基于ADC法的指挥信息系统效能评估