持续提升网络与信息安全保障能力——《信息产业发展指南》解读
工业和信息化部信息化和软件服务业司
当前网络与信息安全发展现状
一是顶层统筹加强,法律制度逐步完善。中央成立了网络安全和信息化领导小组,明确提出网络强国建设战略目标。《国家安全法》、《反恐怖主义法》、《网络安全法》等法律相继颁布,网络与信息安全相关战略规划陆续出台。行业先后制定发布了关于电信和互联网行业网络安全、基础电信企业网络与信息安全责任考核、电话用户真实身份信息登记、电信和互联网用户个人信息保护、工业控制系统信息安全防护指南等规章制度,行业网络与信息安全管理制度日益健全。二是网络与信息安全管理不断强化,监管能力有效提升。网络安全威胁治理成效显著,网络安全防护不断加强,基础通信网络安全可控水平明显提高,网络安全监测能力不断拓展,公共互联网威胁治理取得有效进展,网络安全应急协作体系基本建立,工业控制系统信息安全检查机制不断完善。探索形成了以责任考核为牵引、安全评估为支撑、技术手段为保障,涵盖事前事中事后各环节、部省协同联动的信息安全监管体系。电话用户实现全实名登记。三是技术保障能力显著增强。基本建立了覆盖互联网、移动网、电信网,全方位、多层次、立体化的网络与信息安全技术保障体系,建设了一批典型工业控制系统信息安全仿真测试平台,网络与信息安全监测预警和应急处置能力有效提升。四是圆满完成党的十八大、抗战胜利70周年、G20峰会和历年“两会”等历次重大活动网络与信息安全保障任务,扎实做好网络反恐维稳各项工作,为维护国家安全和社会稳定发挥了重要作用。
网络与信息安全工作面临形势
一是近年来,党中央高度重视网络与信息安全工作,习近平总书记多次就网络安全和信息化工作发表重要讲话,对网络安全工作提出系列新思想、新论断和新要求,为网络与信息安全工作提供了根本遵循,网络与信息安全工作使命艰巨、责任重大。二是随着国家“十三五”规划纲要、网络强国、《中国制造2025》、“互联网+”的系列战略部署的推进实施,对网络安全保障提出了更高的要求,网络安全工作的范畴和深度都在不断拓展,迫切要求进一步提升安全保障水平和风险防控能力,更好支撑经济社会健康有序发展。三是近年来,信息通信技术和网络快速发展并加速向传统领域融合,导致安全威胁更加复杂隐蔽,伴生性安全威胁和传统安全威胁更加交织复杂,网络安全预警、应急处置和追踪溯源难度持续加大,互联网与工业等领域融合创新带来的安全问题日益严峻,网络安全管理理念和架构亟待创新完善。
编制思路
一是坚持树立正确的网络安全观,深刻领会“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”的重要论断,把握好安全和发展的关系,兼顾产业发展和安全保障,努力做到发展和同步谋划、同步部署、同步实施。
二是以国家“十三五”规划纲要为指导,立足工信部作为信息通信行业主管部门在网络与信息安全管理方面的职责,落实《纲要》“强化信息安全保障”相关要求,积极应对国际国内形势变化和技术业务发展趋势,找准定位、主动作为、综合施策,有效运用行政监管、行业自律、公众监督和社会教育等多种手段,切实维护产业安全。
三是坚持问题导向,针对网络与信息安全监管机制、关键信息基础设施安全保障体系、数据资源安全保护、安全产业发展、工业信息安全保障能力提升、网络安全手段建设等“十三五”时期亟待解决的突出问题,突出问题导向,强化前瞻性研究和重点攻关,形成管理合力,推进网络治理方式创新优化。
具体任务和措施
加快建设完善网络与信息安全保障体系,持续提升网络与信息安全保障能力,为信息产业的发展保驾护航,重点从安全管理制度和机制、网络数据保护、安全技术和产业、工业信息安全保障、网络安全技术能力建设等方面入手提出了一系列具体举措。
一是完善网络与信息安全管理制度和机制。为了解决当前部分关键领域安全管理制度和规章未完全落实的现状,本规划提出要加紧制定落实关键信息基础设施安全保护、数据安全、工业互联网安全等领域的相关政策。结合加快构建关键信息基础设施安全保障体系的要求,本规划提出了完善关键信息基础设施安全管理制度机制的具体措施,包括推动实施网络安全审查制度、促进安全威胁信息共享、加强对互联网企业网络基础设施的安全监管等。此外,为紧跟国家深化标准化工作改革进程,指南提出通过推动制定物联网、云计算、大数据等新兴领域的安全标准,不断完善现有安全标准体系。
二是加强大数据场景下的网络数据保护。大数据时代,网络数据安全问题特别是用户个人信息安全问题日益凸显。在大数据开发利用过程中,企业网络数据保护意识不足,泄露、滥用、出售用户个人信息等违法违规现象突出,数据安全管理和技术措施亟待完善。为解决当前网络数据安全的突出问题,本规划从管理制度建设、技术措施保障、用户个人信息保护等方面入手,明确了“十三五”期间网络数据安全相关工作思路和工作重点,包括加强网络数据保护体系建设,制定完善网络数据保护管理政策,强化网络数据全生命周期保护,加强用户个人信息保护,推动数据安全专用技术的研发应用等。
三是推动信息安全技术和产业发展。核心技术是“命门”,没有过硬的技术实力,安全保障也无从谈起。为了解决我国目前信息安全技术实力不强的问题,本规划以关键基础软硬件和安全核心技术为突破口,重点强化漏洞挖掘、攻击溯源等技术,实现网络安全防御能力的提升。并依托国家信息安全专项,开展网络安全技术试点示范,检验技术和先进性和应用效果。在促进产业发展方面,为了加速推动安全技术和服务的产业应用,规划提出了打造结构完整、层次清晰、竞争有力产业格局的目标,并通过加强政府引导、培育龙头企业等措施,加大安全产业扶持力度。
四是提升工业信息安全保障能力。
五是强化网络安全技术手段。围绕加快构建关键信息基础设施安全保障体系,强化全天候全方位感知网络态势,增强网络安全防御和威慑能力。通过设立“安全保障能力提升工程”专栏的形式,提出加快建设网络安全威胁监测处置平台、域名系统安全保障工程以及互联网网络安全应急管理平台等技术手段,进一步提升网络安全威胁监测、态势感知、应急处置、追踪溯源等能力。
本文转自d1net(转载)