2.1 信息安全保障现状
信息安全是国家安全的重要组成部分。为了确保国家安全这一首要目标,各国均高度重视信息安全保障工作,将关键基础设施列为信息安全保障的核心内容,分别从战略、组织结构、军事、外交和科技等方面加强信息安全保障工作力度。在战略方面,发布网络安全战略、政策评估报告、推进计划等;在组织方面,通过设立网络安全协调机构和协调官,强化集中领导和综合协调;在军事方面,陆续成立网络战司令部,开展大规模攻防演练,招募网络战人才,加快军事网络和通信系统的升级改造,网络战成为热门话题;在外交方面,信息安全问题的国际交流与对话增多,美欧盟友之间网络协同攻防倾向愈加明显,信息安全成为国际多边或双边谈判的实质性内容;在科技方面,各国寻求走突破性跨越式发展路线推进技术创新,力求在科技发展上保持和占据优势地位。
2.1.1 国外信息安全保障现状
提供网络与信息安全保障是信息化时代各国维护国家安全和利益的首要任务之一。面对日益复杂的网络安全形势和层出不穷的信息安全事件,各个国家,尤其是信息化依赖度高的国家,大多将网络与信息安全防护列为国家安全优先事项。美国、俄罗斯、德国、法国、英国、日本、加拿大、印度和澳大利亚等国相继出台了国家网络与信息安全战略,通过建设本国网络与信息安全机构,加强网络安全防护力量,改进技术手段,提升综合信息安全保障能力,以防范和遏制国家面临的日益严峻的信息安全威胁。
1.?美国
(1)美国信息安全保障战略
美国是全球最早将“网络信息安全战略”提升至“国家安全战略”高度的国家。1998年5月,克林顿政府发布了第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》,1998年10月,克林顿政府发布了《新世纪国家安全战略》,这两份文件均提出了对国家关键基础设施信息系统进行保护的构想。2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出美国政府在21世纪之初若干年的网络空间安全发展规划。
“9•11”事件之后布什政府意识到信息安全形势的严峻性,2001年10月16日发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”(Prisident Cirtical Infrastructure Protect Board,PCIPB),代表政府全面负责国家的网络空间安全工作。2003年2月,在征求国民意见的基础上,发布了《保护网际空间国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务。
2008年1月2日,美国以国家安全54号总统令/国土安全23号总统令的双总统令方式发布了《国家网络安全综合倡议》。CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁,增强反应能力,加强供应链安全抵御各种威胁;第三道防线,强化未来安全环境,增强研究、开发和教育,投资先进技术。同时,CNCI还明确了12项任务,包括可信互联网连接(Trusted Internet Connection,TIC)、网络入侵检测系统、网络入侵防护系统、科技研发、态势感知、网络反间、增强涉密安全、加强网络教育、“超越未来”技术研发、网络威慑战略、全球供应链风险管理机制和公私协作。
2010年5月,奥巴马政府提出了其执政之后的首个国家安全战略,即美国《国家安全战略》。此战略从国家安全的角度对网络空间的战略布局和网络信息安全提出了明确要求,在涉及美国国家安全各个领域的描述中,共有24处提到网络空间或网络信息安全,并专门设置了一个章节阐述网络安全的重要性,这在美国历年来的国家安全战略文件中尚属首次。随后,美国先后出台了多个专门针对网络空间的战略性文件,其中,最具代表性也最能反映国家战略在外交、国防领域的规划文件是2011年第二季度先后颁布的《网络空间国际战略》(以下简称《国际战略》)和《网络空间行动战略》(以下简称《行动战略》)。这两份战略相互呼应,从外交和国防两方面同时着手精心经营网络空间并保护其安全,“软”、“硬”兼施。《国际战略》制定了网络空间国际行为规范,包括“树立自由的基础”、“尊重财产”、“保护隐私”、“防止犯罪”和“正当防卫”等方面,力图向世人展示网络法制社会的景象。《行动战略》扮演了这个网络法制社会的守护者角色。《国际战略》提倡全世界共同来建设一个“开放、互动、安全、可靠”的未来网络空间,《行动战略》已经将网络空间纳入到了美军的作战空间,国防部把网络空间视为一个作战领域进行组织、训练和装备,使国防部能够充分利用这个空间的优势和潜能。简而言之,白宫在《国际战略》中展示的任何“软实力”,五角大楼均在《行动战略》中将其转换成了“硬保障”。
(2)美国信息安全保障的重点对象
美国明确将关键基础设施作为其信息安全保障的重点。关键基础设施定义为关系到美国生死存亡的物理和虚拟的信息系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、公众健康与安全产生严重影响。
目前美国共有18个关键基础设施和主要资源部门,包括信息技术、电信、化学制品、商业设施、大坝、商用核反应堆及材料和废弃物、政府设施、交通系统、应急服务、邮政和货运服务、农业和食品、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国家纪念碑和象征性标志、国防工业基地和关键制造业。
(3)美国信息安全保障组织机构
美国联邦政府负责信息安全保障工作的最高官员是网络安全协调官,负责领导白宫“网络安全办公室”,制定和发布国家信息安全政策,首任网络安全协调官霍华德•施密特,被喻为“网络沙皇”。
美国信息安全管理部门包括国土安全部(Department of Homeland Security,DHS)、国家安全局(NSA)、国防部、联邦调查局(Federal Bureau of Investigation,FBI)、中央情报局(Central Intelligence Agency,CIA)、国家标准与技术研究院(National Institute of Standards and Technology,NIST)6个机构,具体执行不同的分管职责。
同时,美国重视政府部门与非政府组织、私营企业等机构的合作,包括国家基础设施顾问委员会(National Infrastructure Advisory Committee,NIAC)、信息共享和分析中心(Information Sharingand Analysis Center,ISAC)、国家计算机安全协会(National Computer Security Association,NCSA)等。
2.?英国
2005年,英国政府制定发表了《信息保障管理框架》,作为信息安全保障战略文件。2009年6月,英国发布首份国家《网络信息安全战略》(以下简称《2009战略》),宣布成立“网络安全办公室”和“网络安全运行中心”,提出建立新的网络管理机构具体措施。《2009战略》有3条主线:降低网络空间风险,利用网络空间抓住机遇,提升对网络安全事件的响应能力。《2009战略》指出要加强政府间的跨部门协作以及国际合作,认为要确保英国在网络空间的利益不能凭借单个部门实现,必须建立起一个跨政治、经济、军事和文化等领域,甚至是跨国网络安全组织架构。《2009战略》的出台标志着英国政府为应对网络空间的威胁迈出了第一步。
2011年11月,英国政府又公布了新的《网络信息安全战略》(以下简称《2011战略》),目的是建立更加可信和更具弹性的网络环境,以实现经济繁荣,保障国家安全及公众安全。《2011战略》概述了来自其他国家针对英国的恶意攻击以及大规模的网络犯罪活动,并将其作为国家安全面临的首要威胁。英国在接下来的4年中将耗资6.5亿英镑来应对网络威胁,以提升本国的安全水平。与《2009战略》相比,《2011战略》更具可操作性,更加强调国际合作,并力图充分发挥优势,促进英国企业提升网络安全产品和服务在海外市场的占有率。
英国注重信息安全标准组织建设,重视将本国标准向海外推广,积极参与国际信息安全标准制定,英国标准协会(British Standards Institute,BSI)制定的BS 7799标准已成为国际标准ISO/IEC 27000系列的核心内容。
英国信息安全保障强调网络监控,规定警方和国家安全、税务等监察部门有权监控电子邮件(Electronic MAIL,E-mail)和移动电话等系统,成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家。
英国现共有10个关键基础设施,包括通信、应急服务(救护、消防、警察、营救等)、能源(电力、石油等)、金融、食品、政府和公共服务、公共安全、健康(医疗保健、公共卫生)、交通和水处理。英国负责基础设施保护的机构是国家基础设施安全协调中心,它是一个跨部门的信息安全机构,下设英国计算机应急响应小组。
3.?德国
德国是世界上第一个建立电子政务标准的国家。1991年,德国在内政部下建立信息安全局(Bundesamt für Sicherheit in der Informationstechnik,BSI),负责处理与网络空间相关的所有问题。德国重视关键基础设施信息安全保障,建立了日耳曼人的“基线”防御。1997年,内政部建立了部际关键基础设施工作组,联邦政府各部在此机制下协调各自的行动;1999年,德国政府制定了《德国21世纪的信息社会》的行动计划,这是该国第一个信息化战略行动纲领,其实施重点是教育和工业部门。德国还把推行电子政务作为实施信息化战略的重要组成部分。2000年,德国政府制定了《2005年联邦政府在线计划》,随后又出台了《2006年德国信息社会行动纲领》,对信息化建设所涉及的相关方面提出了明确的要求,特别强调要通过政府创造环境,实现政府与产业界及社会各界的合作,确保国家信息化的进一步发展。此纲领清晰地明确了信息安全目标,以及相关的配套法律,如《电信法》、《电子签名法》和《电子商务法》等。在信息安全技术研发及应用方面,此纲领要求开展信息安全认证,推广新的安全技术,与IT企业合作开展安全技术趋势研究,大力研发和使用密码技术、安全可靠的构件和生物识别技术等。2005年出台了《信息基础设施保护计划》和《关键基础设施保护的基线保护概念》。2010年11月,德国政府启动的“数字德国2015”战略,致力于提升每个公民、企业和政府部门在数字世界中的安全和信任感。
德国政府近年来对信息安全的重视程度大幅提升,特别是国际网络攻击发展的新趋势给德国带来了巨大的影响。2010年专门针对西门子工业控制系统的“震网”(Stuxnet)病毒不仅让热衷于网络战、电子战的人士精神振奋,还使西门子这一德国工业品牌受到剧烈冲击,德国因此更加坚定了提高信息安全保障的决心。
基于以上背景,2011年2月,德国联邦政府授权内政部颁布了首个国家层面的网络安全战略,即《德国网络安全战略》。此战略的主体包括“威胁评估”、“战略环境”、“安全战略基本原理”、“战略目标和方法”等5个方面。此战略要求联邦政府特别关注以下10个领域:保护关键的信息基础设施;保护公众和中小型企业信息系统的安全;加强公众领域系统安全;建立国家网络响应中心;成立国家网络安全协调委员会;控制网络空间的犯罪;在欧洲和全球范围内促进网络安全的有效合作;采用可靠和可信的信息技术;联邦政府雇员在信息安全领域的职业拓展;回应网络攻击的方式。该战略的目标是将德国的网络空间分解为重要信息基础设施、公众和中小型企业信息系统、公共领域信息系统3个子空间加以保护。该战略设计新成立一个中心和一个委员会,即国家网络响应中心和国家网络安全协调委员会,明确了网络安全管理部门及各自的职责和相互关系。该战略的保障措施从技术发展、人员培养和机构优化3个方面来适应未来网络安全的不确定态势。
德国现有7个关键基础设施,包括金融、应急服务、能源(电力、石油和天然气)、政府和社会管理、医疗保健、电信(信息和通信技术)和交通。
4.?法国
2003年12月,法国总理办公室提出《强化信息系统安全国家计划》,并得到政府批准实施,该计划明确了4大目标:确保国家领导通信安全,确保政府信息通信安全,建立计算机反攻击能力,将法国信息系统安全纳入欧盟安全政策范围。
2008年7月,法国政府发布了《法国国防与国家安全白皮书》(以下简称《2008国防白皮书》),将网络信息安全提升至国家安全的高度,信息安全纳入国家安全的总体框架,为下一步制定专门的信息安全战略确定了基调。在机构设置方面,《2008国防白皮书》提出了必须成立一个由总理府领导的网络与信息安全部门。法国参议院也在同一时间发布了一份名为《网络防御与国家安全》的报告,其核心内容与《2008国防白皮书》大致相同。
2009年7月,根据《2008国防白皮书》的要求,法国正式成立了隶属于总理府的“法国网络与信息安全局”(France’s Network and Information Security Agency,FNISA),该局由“国防与国家安全总秘书处”直接管理。2010年7月,法国总统宣布将全法信息系统的防御职责也一并移交给FNISA,进一步增强了FNISA的职权。
2011年2月,法国国防与国家安全总秘书授权FNISA颁布了法国历史上第一份国家信息安全战略报告《信息系统防御与安全:法国战略》(以下简称《法国战略》),作为对《2008国防白皮书》的响应。《法国战略》为法国制定的信息安全路线图包括4大战略目标和7项具体举措。4大战略目标是“成为网络安全强国”、“保护主权信息,确保决策能力”、“保护国家基础设施”和“确保网络空间安全”。为了实现上述战略目标而制定的7项具体举措包括跟踪与分析;探测、预警和响应;提升并保持安全能力;保护国家信息系统及关键基础设施;改善法律对虚拟社会的适应性;拓展国际合作;提高安全意识。
5.?俄罗斯
俄罗斯作为前苏联解体后的主权国家,信息化建设从20世纪90年代中期开始,迟于西方国家。1997年,俄罗斯制定了《俄罗斯国家安全纲要》,将其作为国家信息安全战略,要求工作中注重安全测评,实施信息安全分级管理,2000年9月俄总统正式批准执行。
2002年1月,俄罗斯正式发布了《2002—2010年俄罗斯信息化建设目标纲要》,作为信息化建设的纲领性文件,正式启动了俄罗斯的信息化建设。自此,俄罗斯信息安全战略建设步伐加大。随后,俄罗斯实施信息安全保障政策,建立信息安全保障系统和法律平台,提出《国家信息安全学说》,补充和完善了国家信息安全战略框架。2008年,俄总统又批准了《俄罗斯信息社会发展战略》和《确保俄罗斯联邦信息安全的措施》。
2010年10月,俄联邦总理普京签署了《俄罗斯联邦国家“信息社会”纲要(2011—2020)》(以下简称《纲要》),为未来十年俄罗斯的信息社会发展作出全面规划。对比其他国家网络安全战略,此《纲要》的篇幅较长,任务明确,措施详细,显现出俄罗斯政府对“信息社会”前景和安全的高度重视。《纲要》将信息化建设提升到国家战略的高度,同时对政府各部门在信息化建设中所具有的职权进行了清晰界定。《纲要》分9个部分对保障措施实施工作的各方面进行了介绍,包括实施的阶段性期限、实施管理、财政拨款、项目特点、保障目标实现的法律调节手段等。
俄罗斯信息安全重点保护对象包括经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应等。
俄罗斯的信息安全管理机构包括联邦安全理事会、联邦安全局(国家安全管理机关、信息安全工作主管和执法机关)、技术和出口控制局、联邦保卫局、信息技术和通信部。
6.?小结
从上述各国信息安全保障工作情况来看,各国历史、国情和文化不同,具体的重点保护对象也有所差异,但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点,所有国家最常被提到的关键部门都是现代化社会的核心部门,也是被破坏后可能造成大规模灾害的部门。各国积极推动信息安全立法和标准规范建设,普遍重视信息安全事件应急响应、监管和安全测评,重视公私合作伙伴关系,一方面加强政府管理力度,另一方面充分利用社会资源。
少数国家(如美国)在中央政府一级设立机构专门负责处理网络信息安全问题,大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担,机构的设立以及机构在信息安全管理中的影响力,受到资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响。
2.1.2 我国信息安全保障现状
在信息安全领域,一方面,其他国家给我国施加的压力越来越大,来自国外的网络攻击不断增多;另一方面,我国的工业基础设施还比较落后,安全保障能力不足,国家信息安全战略和全局统筹的机制还没有形成。因此,加快推进信息化建设,建立健全信息安全保障体系,加强统筹协调和顶层设计,切实增强信息安全保障能力,维护国家安全,是时代赋予我们的使命。
1.?我国信息化与信息安全形势
(1)我国信息化形势
信息化是当今世界发展的潮流,我国正处于信息化进程的重要推进期,信息化进程发展迅猛,在促进经济发展和社会进步等方面,均取得了很好的效益。
我国信息化工作始于20世纪90年代,在海关、银行和税务等涉及国计民生的行业启动重大信息化应用工程试点(即“金关”、“金卡”、“金税”等工程),2000年党的十五届五中全会将信息化提升到国家战略高度,2002年党的十六大进一步作出了“以信息化带动工业化、以工业化促进信息化”的战略部署。2007年党的十七大报告将信息化作为与工业化、城镇化、市场化、国际化并举的国家重大形势和任务。
在这种时代背景下,近年来我国互联网蓬勃发展。截至2013年底,我国上网用户总数已经达到6.18亿,全年共计新增网民5?358万人;互联网普及率达到45.8%,较2012年底提升3.7个百分点;我国手机网民规模达5亿,较2012年底增加8?009万人,网民中使用手机上网的人群占比由2012年底的74.5%提升至81.0%,手机网民规模继续保持稳定增长;我国域名总数为1?844万个,其中“.CN”域名总数达到1?083万个,较上一年同期增长44.2%,在中国域名总数中占比达58.7%。网络技术不断推陈出新,网络融合步伐不断加快,产业价值链不断延伸,并逐步完善,网络资源及各种业务应用日趋多样。电子政务、电子商务、远程教育、远程医疗、移动信息、在线数字内容等各种网上业务进一步丰富。互联网广泛地影响到经济、生活的方方面面,深刻地改变着人们的学习、工作方式。
(2)我国信息安全形势
随着我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。2004年党的十六届四中全会,将信息安全作为国家安全的重要组成部分,明确提出要确保“国家的政治安全、经济安全、文化安全和信息安全”。
当前,我国信息安全环境日趋复杂,网络安全问题对互联网的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏程度不断扩大。迅速发展的信息技术与信息服务不断超越现有的互联网监管体制,网上有害信息传播、病毒入侵、网络诈骗、黑客攻击日趋严重,网络泄密事件屡有发生,网络犯罪呈快速上升趋势,各种危及国家安全和社会稳定的网络违法和犯罪活动越来越猖獗,尤其是在利益的驱动下更加有组织、有目标,隐蔽性和复杂性更强,危害性更大。这些问题主要体现在以下几个方面。
1)针对信息网络的破坏活动日益严重,网络违法犯罪案件逐年上升。
鉴于互联网具有传播速度快、覆盖面广、隐蔽性强和无国界等特点,传统领域的违法犯罪活动逐渐向互联网渗透,网上违法犯罪案件逐年大幅上升,犯罪类型不断扩展,作案手段不断翻新,危害日趋严重。越来越多的高新技术被违法犯罪分子所利用,安全防范的难度越来越大,安全保障的要求越来越高。
2)安全漏洞和安全隐患增多,对信息安全构成严重威胁。
信息安全事件的发生,绝大多数都与利用、误用信息技术自身的缺陷有关,安全漏洞和安全隐患的存在已经成为我国网络与信息安全的长期威胁。首先,漏洞客观、广泛存在,易为人所用。信息技术的漏洞无处不在,涉及软、硬件等各个方面,成为病毒、蠕虫和黑客攻击等安全问题的重要根源,是网络环境下失、窃密的重大隐患。其次,漏洞数量多,消除难度大。截至2013年底,根据中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD)的统计,已知漏洞达63?722个,并且随信息技术和产品的广泛应用出现倍增趋势,同时漏洞从公开到被利用的时间间隔越来越短,使漏洞消除工作变得相当复杂,难度很大。最后,新业务、新应用安全风险高。随着博客、对等网络(Peer-to-Peer network,P2P)等互联网新业务、新应用的流行,新的问题和安全隐患凸显,这是未来我国网络治理面临的难题之一。
3)黑客攻击、恶意代码对重要信息系统安全造成严重影响。
重要信息系统一旦遭受黑客攻击或恶意代码侵害,后果将十分严重。轻则系统瘫痪,影响社会和经济活动,重则造成大范围动荡。近年来的网络与信息安全事件表明,黑客攻击、恶意代码对我国重要信息系统的危害已成现实威胁。黑客攻击正在从以往单纯的、零散的技术活动,向有组织、趋利性、规模化和跨国流动性的方向发展,尤其是以获取经济利益为目的的信息技术犯罪增长迅速。
2.?我国信息安全保障发展阶段
我国信息安全保障工作先后经历了启动、逐步展开和积极推进、深化落实3个阶段。
(1)启动阶段
2001~2002年,是我国信息安全保障工作的启动阶段。
这一时期,我国网络与信息安全事件频发且性质严重,互联网协议(Internet Protocol,IP)电话通信技术被恶意滥用,数据走私和电话骚扰行为猖獗,直接影响政府日常工作和居民正常生活,淫秽有害信息内容充斥互联网。重要信息系统存在诸多安全隐患,例如,卫星通信故障造成美元兑港元汇价异常,引发国内首例网络炒汇纠纷案;深交所因系统崩溃停市半天,造成直接经济损失和社会影响;北京首都国际机场信息系统出现故障,造成上百个航班延误,数万名旅客滞留等。
信息安全事件频发,改变了我国对信息安全状况的认识。我国面临的信息安全问题已不再是一个局部性和技术性的问题,而是一个跨领域、跨行业、跨部门的综合性安全问题,更是一个影响国计民生、关乎国家安全与社会稳定的现实问题。为此,2001年,国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动。
(2)逐步展开与积极推进阶段
2003~2005年,我国信息安全保障工作进入逐步展开和积极推进阶段。
2003年7月,国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要,制定出台了《关于加强信息安全保障工作的意见》(中办发27号文件),明确了“积极防御、综合防范”的国家信息安全保障工作方针,提出了加强信息安全保障工作的总体要求和主要原则,以及进一步提高信息安全保障工作能力和水平,维护公众利益和国家安全,促进信息化建设健康发展的具体意见。
2003~2005年,我国信息安全保障体系建设积极推进,在此阶段,我国信息化建设快速发展,取得了明显成效。基础信息网络已初具规模,金融、税务、海关、能源、交通和国防等领域建成了一批重要信息系统,电子商务和电子政务快速发展,为国民经济和社会发展做出了积极贡献,尤其是全国信息安全保障工作会议召开之后,各地区、各部门认真贯彻落实会议精神和27号文件要求,各省(区、市)和有关部门陆续建立了网络与信息安全协调小组,研究制定加强信息安全保障工作的具体措施。国信办、发改委、教育部、科技部、公安部、国家安全部、财政部、信息产业部、广电总局、新闻办、国家认监委、保密局、国密办以及军队有关单位按照协调小组的要求,认真研究制定配套文件和措施,做了大量工作。银行、电力、铁路、海关、税务、证券和民航等重要信息系统的主管部门也都专门制定了落实措施,加强和改进本系统的信息安全保障工作。信息安全等级保护、信息安全风险评估、网络信任体系建设、信息安全产品认证认可、信息安全标准制定、信息安全监控和信息安全应急处理等工作均取得积极推进和明显进展。
(3)深化落实阶段
2006年至今,我国信息安全保障工作进入深化落实阶段,国家信息安全保障体系建设取得实质性进展。围绕中办第27号文件开展的各项信息安全保障工作迈出了坚实步伐。信息安全法律法规、标准化和人才培养等工作取得了新成果。信息安全基础设施和工程建设进一步完善,信息安全等级保护和风险评估取得了新进展。随着中国信息化进程不断加快,国民经济与社会信息化水平不断提高,信息化在促进经济与社会协调、稳定、持续发展过程中,发挥着越来越重要的作用。我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定,保障和促进信息化建设健康发展发挥了重要作用。目前,我国的信息安全保障工作正在稳健、扎实地步入高速发展的新阶段。
3.?我国信息安全保障基本思路
我国信息安全保障工作的基本思路是:以维护国家利益为根本出发点,服从和服务于国家发展和安全,适应国内改革开放不断深入的形势和全球信息化加速发展的趋势,坚持以人为本、全面协调可持续的科学发展观,突出保障重点,推动自主创新,实现跨越发展,走投入较少、效益较高的中国特色信息安全保障建设和发展之路,为国家发展和社会建设提供有力支撑。坚持用发展、改革和开放的办法解决面临的信息安全问题,从法律、管理、技术和人才等多方面入手,采取多种安全措施动员和组织全社会力量,共同构建国家信息安全保障体系。
4.?我国信息安全保障目标
我国信息安全保障工作至少需要实现以下几方面的目标。
(1)保障和促进信息化发展
在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全协调发展。国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大经济与社会效益就难以有效发挥,信息化发展也会受到严重制约。加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全。采取不上网、不共享、不互连互通等传统封闭的方式保安全,会严重影响甚至阻碍信息化发展,也不可能从根本上解决信息安全保障问题。只有继续大力推动信息化建设,全面提高信息化发展水平,才能为应对各种信息安全问题提供强有力的物质和技术保障。只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速地发展。
(2)维护企业与公民的合法权益
加强信息安全保障是维护企业与公民合法权益的重要前提和根本保证。《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规对维护公民的通信自由、保护企业和公民信息活动的权益都做出了明确的规定。依据信息安全问题的发展变化和从保护广大用户安全的需要出发,我国正在进一步修改和完善相关的行政法规和部门规章。为切实维护企业和公民信息权益,形成良好、安全、可信的信息网络环境,政府执法部门依法严厉打击各种形式的网络违法犯罪活动,包括手机短信诈骗、网络金融欺诈、网上非法传销、滥发垃圾邮件、非法传播“黄”、“赌”、“毒”等。政府有关部门也依照相关法律及程序,对信息通信网络的运行实行必要的监测,有效维护国家信息基础设施和重要信息系统安全。
(3)构建安全可信的网络信息传播秩序
我国是世界上第一大手机和第二大互联网国家。构建更加安全可靠、可信的互联网,服务于建立和谐社会,是我国加强信息安全保障的一个重要任务。由于网络信息传播的开放性、跨界性、即时性和交互性等特点,互联网在为广大民众提供越来越多的有用、有益新闻信息及其他信息服务的同时,也存在着一些虚假和错误导向的新闻信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的有害信息及违法活动。为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,依法管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间。
(4)保护互联网知识产权
信息通信技术(Information Communication Technology,ICT)及其应用形式和服务的多样化,移动通信、有线电视及互联网之间的互连互通,有力地加快了信息的交流与共享。信息资源的有效开发利用,正在不断地满足广大民众在信息、文化、娱乐和生活方面日益增长的需求,极大地发挥了信息化发展带来的经济与社会效益。在促进互连互通和信息共享过程中,保护网络信息内容的知识产权(Intellectual Property Rights,IPR),是我国信息安全保障工作的一项重要内容和目标。
5.?我国信息安全保障的整体规划
我国对信息安全保障工作的整体规划主要体现在战略规划和政策规划两方面。
(1)战略规划
我国发布了以下文件,从战略层面为开展并推进信息安全保障工作进行了规划。
2005年5月,国家信息化领导小组颁布《国家信息安全战略报告》(以下简称《报告》),将信息安全分为基础信息网络安全、重要信息系统安全和信息内容安全3部分,从分析当前我国信息安全形势和面临的挑战入手,提出我国信息安全的战略目标、主要任务和方针,并制定了维护国家信息安全的主要对策。
《报告》指出,坚持积极防御、综合防范的方针,立足当前,放眼长远,积极探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全的协调发展。信息安全工作的主要任务是按照信息化发展和信息安全保障的要求,不断提高信息安全的法律保障能力、信息安全的基础支撑能力、网络舆论宣传的驾驭能力、信息对抗能力和我国在国际信息安全领域的影响能力,建立和完善维护国家信息安全的长效机制,形成国家信息安全保障体系,形成网上正面舆论的强势。加强信息安全工作必须遵循的原则是:坚持以安全保发展、在发展中求安全;坚持从实际出发、保障重点;坚持立法先行、依法行政;坚持以我为主、管理与技术并重;坚持军民结合、平战结合。
《报告》还提出了维护我国家信息安全的主要对策:坚持发展是硬道理,在信息化发展中解决信息安全问题;加快信息安全法制建设,提高信息安全的法律保障能力;实施“安保工程”,提高国家信息安全保障的基础支撑能力;加强信息安全内容管理,提高网络舆论宣传的驾驭能力;积极开展国际合作,提高我国在国际信息安全领域的影响力。
2006年3月中共中央办公厅、国务院办公厅印发《2006—2020年国家信息化战略》(以下简称《战略》)。《战略》在信息安全领域提出了全面加强国家信息安全保障体系,大力增强国家信息安全保障能力的战略目标。要坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。为此,《战略》提出了信息安全保障6项工作:建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统;加强密码技术的开发利用,建设网络信任体系;加强信息安全风险评估工作;建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播;高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案;促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
(2)政策规划
我国先后制定并发布了以下文件,从政策层面为开展并推进信息安全保障工作进行了规划。
《关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见》(中办发[2002]8号文件)是完善我国信息安全管理的重要文件之一,它使信息安全管理从基础信息网络和重要信息系统安全保护扩大到对信息内容的安全管理。该文件强调要进一步提高对加强互联网新闻宣传和信息内容安全管理工作重要性的认识,要从促进社会经济发展和社会主义精神文明建设的高度,从维护社会政治稳定和国家安全的高度认识互联网新闻宣传和信息内容安全管理工作。该文件明确提出,要采取有力措施,认真做好互联网内容安全管理工作;要加强对有害信息内容的监控;要健全行政执法体系建设,加强执法力度;加强技术防范措施;把好审批关,加强日常监管;加强信息沟通;加强互联网文化建设;加强行业自律,倡导网上文明。
《国家信息化领导小组关于关于加强信息安全保障工作的意见》(中办发[2003]27号文件)由中共中央办公厅和国务院办公厅联合下发,是我国信息安全保障工作的基础性文件,作为国家信息安全保障工作的总体指导,奠定了我国信息安全保障体系的构建方向。该文件是我国信息安全历史上最重要且具有里程碑意义的文件之一,确立了信息安全的重要地位,开始从国家层面关注、重视信息安全问题。该文件对加强信息安全保障工作提出了总体要求和主要原则。
同时,该文件对信息安全保障工作提出了具体要求:实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉和社会稳定的重要信息系统;重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节和防护措施等进行分析评估,对涉及国家秘密的信息系统,要按照有关保密规定进行保护;加强以密码技术为基础的信息保护和网络信任体系建设;建设和完善信息安全监控体系,提高对网络攻击、病毒入侵和网络失窃密的防范能力,防止有害信息传播;重视信息安全应急处理工作,进一步完善国家信息安全应急处理协调机制,建立健全指挥协调机制和信息安全通报制度,加强信息安全事件的应急处置工作,同时加强信息安全应急支援服务队伍建设,鼓励社会力量参与灾难备份设施建设和提供技术服务,提高信息安全应急响应能力;加强信息安全技术研究开发,推进信息安全产业发展,提高自主创新能力,促进技术转化,加快产业化进程,逐步形成基础信息网络和重要信息系统以自主可控设备为主的格局;加强信息安全法制建设和标准化建设,形成与国际标准相衔接的中国特色的信息安全标准体系;加快信息安全人才培养,增强全民信息安全意识,吸引和用好高素质的信息安全管理和技术人才;保证信息安全资金,重点支持信息安全基础性工作和基础设施建设,增加对信息安全保障体系关键技术研究的资金投入;加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
《关于进一步加强互联网管理工作的意见》(中办发[2004]32号文件)在强调充分认识加强互联网管理工作的重要性和紧迫性的同时,明确了我国信息安全的管理体制,职责分工更加清晰,进一步明确了相关互联网管理部门的职责,提出了互联网管理的重点工作:加强对域名和IP地址的基础管理;建立互联网行业年度审核制度;集中开展网站清理整顿;加大打击淫秽色情网站力度;深入进行网吧专项整治;加强对违法和不良信息的举报受理工作。32号文件最后还在探索建立互联网管理的长效机制方面提出一些具体要求:加强统一协调,建立行业主管和协管部门紧密配合的网络管理机制;落实属地化管理,形成中央和省(区、市)两级管理格局;完善法律法规,依法加强管理;加快技术研发,推进防控体系建设;掌握网上舆情,引导网上舆论;健全行业组织,强化行业自律。
《关于加强网络文化建设和管理的意见》(中办发[2007]16号文件)是我国信息安全内容管理工作中的重要文件之一,是为应对互联网等信息网络普及,我国网络文化快速发展,对人们精神文化生活及意识形态的影响日益突出这一现状,站在提高党的执政能力,加强社会主义先进文化建设,构建社会主义和谐社会的高度,提出了加强网络文化建设和管理的指导思想、方针原则、主要任务和总体要求。文件提出了网络文化建设的具体工作目标和要求:一是大力发展中国特色网络文化;二是进一步规范网络文化信息服务;三是营造文明健康的网络文化环境;四是加强对网络文化建设和管理的领导。
6.?我国信息安全保障体系
我国信息安全保障体系包括6个要素:信息安全法律法规与政策、信息安全标准与规范、信息安全人才培训教育体系、信息安全组织机构及管理体系、信息安全技术与产业支撑平台,以及信息安全基础设施。这些要素之间的关系如图2-1所示。
建设国家信息安全保障体系,就是要建立和完善信息安全法律、法规,运用法律措施和手段保障国家信息化的发展;建立统一的技术标准体系,以标准化促进和带动信息安全产业的发展,以标准化来解决安全互连、互通问题;建立信息安全管理体制,加强信息安全管理,打击利用信息技术进行的各种违法犯罪活动;加强关键技术研究,开发具有自主知识产权的信息安全核心技术和产品;建设信息安全基础设施,建立和完善各种应急处置和备份体系;建立信息安全培训和人才培养体系,实施人才战略。通过逐步实现保护、检测、预警、反应、恢复和反制等信息安全保障环节,全面提升和增强信息安全防护能力、隐患发现能力、应急反应能力和信息对抗能力,为防范来自组织内部、外部和内外勾结以及灾害和系统的脆弱性所构成的对信息基础设施、应用和内容各层面的安全威胁,为国家信息安全提供全方位的保障。
构建国家信息安全保障体系,主要包括以下6个方面内容。
1)建立健全国家信息安全组织与管理体制,加强信息安全工作的组织保障。
构建国家信息安全组织与管理体系是指,国家要有一个能够统筹协调各个有关职能部门的高层机构来统一领导信息安全保障工作。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,各级政府要形成响应管理体系。信息安全管理体系要能够做到集中各级各方面的网络安全情况,及时正确地做出决策,有效地组织协调各个职能部门,采取有针对性的工作措施,保障国家信息安全。建立信息安全组织与管理体系的主要任务是:对国家的信息安全保障进行宏观决策;明确主管部门,协调有关职能部门;建立统一指挥、统一行动的国家信息安全保障机制;统一指挥、调度和处置各种信息网络安全重大事件;部署各项信息安全保障措施。
2)建立健全信息安全法律法规体系,推进信息安全法制建设。
构建国家信息安全法律法规体系是指依据宪法,制定国家关于信息安全的基本法以及与之相配套,并且与现有法律、法规相衔接的信息安全法律、法规和部门规章,形成一套能够覆盖信息安全领域基本问题及主要内容,系统、完整、有机的信息安全法律规范体系。建立健全信息安全法律法规体系的任务是:确立我国信息安全领域的基本法律原则、法律责任和法律制度,从不同层次妥善处理信息安全各方主体的权利义务关系,系统、全面地解决我国信息安全立法中的基本问题,规范公民、法人和其他组织的信息安全行为,明确信息安全的执法主体,为信息安全各个职能部门提供执法依据。
3)建立完善信息安全标准体系,加强信息安全标准化工作。
信息安全标准体系是指在社会发展信息化的环境下,规范信息安全技术的研究、发展与应用,以及信息安全管理、监督、检查和指导工作的准则。信息安全标准体系包括技术标准和管理标准,是政府对信息安全进行宏观管理和监督、指导的重要依据,也是在法律法规体系之外调整信息安全权利及义务关系,规范信息安全行为,维护国家安全,促进信息安全产业发展的一种重要手段。建立并完善信息安全标准体系的任务是为政府进行信息安全管理和监督提供依据和手段,为保障信息安全的技术措施和管理制度提供准则。其中,技术标准的作用是为信息网络和信息系统的安全规划、建设施工、运行维护和使用管理提供技术规范和准则,建立健全信息安全的技术立法;而管理标准的作用是为信息网络和信息系统运营、使用单位的信息安全管理工作和国家信息安全职能部门的监督工作提供具有可操作性的规范和准则,从而加强信息安全的规范化建设。
4)建立信息安全技术体系,实现国家信息化发展的自主可控。
信息安全技术体系是指国家要建立一个自主可控的关键信息安全技术的统一架构,能够全方位地正确指导关键信息安全技术的规划、研发、成果转化,以及消化、吸收国外先进技术的关键性工作。建立信息安全技术体系的基本任务是,采取积极措施,组织和动员各方面力量,密切跟踪世界先进技术的发展,加强关键信息安全技术的研究开发,提高自主创新能力,实现关键信息安全技术的自主可控,彻底摆脱核心技术和产品依赖进口的被动局面,为国家信息安全提供技术保障和支撑。
5)建设信息安全基础设施,提供国家信息安全保障能力支撑。
一是建立信息安全通报、应急处置和灾难恢复体系。信息安全通报和应急处置体系是国家为确保信息安全,防范和处置危害国家安全、社会稳定和信息网络安全的重大事件和重大威胁而建立的快速通报应急体系。信息安全通报和应急处置体系主要任务是通过信息安全通报工作,实现信息共享,并在此基础上构建信息安全应急处置机制,采用集中研判、快速预警、统一指挥、紧急处置、追查反制等策略和措施,有效防范、及时控制和消除有害信息传播、计算机病毒感染和网络攻击、网络恐怖活动以及网络紧急突发事件的危害,并切实解决应急恢复,确保系统容灾能力,保障国家基础信息网络和重要信息系统的安全,维护正常的社会秩序。
二是建立以密码技术为基础的网络信任体系。网络信任体系是国家在社会发展信息化环境下,为保障诚信、可靠的网络安全秩序而建立的网上身份识别、认证体系。网络信任体系的主要任务是解决网络空间中信息、各种行为主体身份的真实性与可信性问题,建立类似现实生活空间的信任体系,维护网络空间的有序运转,包括身份认证、授权管理和责任认定等主要内容。
三是建立信息安全等级保护和风险评估体系。等级保护和风险评估体系是指从分级管理和风险管理的角度,针对信息系统的不同类型、级别、层次和信息化的不同发展阶段进行安全建设和管理,运用科学的方法和手段,系统分析网络和信息系统威胁及脆弱性并提出防护对策的体系,主要任务是保护基础信息网络和关系国家安全、经济命脉和社会稳定等方面的重要信息系统,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险,对网络与信息系统安全的潜在威胁、薄弱环节和防护措施进行分析评估,从而提高整体信息安全保护能力。
四是建立信息安全测评认证体系。信息安全测评认证体系是指通过对信息安全产品和信息系统进行安全性测试、评估和认证,确定产品和系统是否能够达到要求的安全级别和可信程度的体系。信息安全测评认证体系的主要任务是:建立和实施信息安全产品的市场准入制度,对广大用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导,对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督,为信息安全产业发展创造一个良好的环境。
五是完善信息安全监控体系。信息安全监控体系是指为了维护国家安全、公共利益和信息网络安全秩序,在信息系统和信息网络(特别是互联网)上建立的监视和控制有害信息、违法犯罪、病毒入侵,以及系统安全状况的技术手段系统。
6)建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养。
信息安全人才培养体系是指,国家在社会发展信息化环境下,为保障信息安全,加强信息安全理论研究和信息安全实战研究,培养信息安全各方面人才而构建的体系。信息安全人才培养体系的主要任务是加强信息安全理论研究和信息安全学科、专业建设,培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才,加强信息安全宣传教育,普及全民信息安全意识。