党的十八大报告首次明确提出了“”的目标。信息安全保障并不是一个新话题,此次被十八大报告明确提及,而且直指“体系”健全,针对的就是我国信息安全政策法规不完善、体制机制缺陷多、防御力量和产业支撑能力弱等严峻现实。
目前,信息技术已经成为应用面极广、渗透性很强的战略性技术,信息空间成为国家主权延伸的新疆域,成为整个国家和社会的“中枢神经”,其战略地位日趋重要。随着各国竞相加强网络空间的部署,国际网络空间斗争形势将更加复杂,2013年我国信息安全将面临更加严峻的挑战。 “信息安全无小事”,从国家军事政治等机密安全、商业企业机密安全,到防范青少年对不良信息的浏览、防范个人信息泄露等,范围越来越广。因此,健全信息安全保障体系是一项系统性的工程,需要从认识、法制、产业等各个层面加以贯彻落实。
认识到位是前提
与日前美国政府以安全为由阻止中国企业华为、中兴进入美国市场不同,中国市场目前几乎向包括美国在内的国外企业敞开大门。究其原因,主要是有些机构和企业,为了短期的高效快捷和经济效益,而忽视国家长远的安全利益,在网络设计、采购、构建以及管理上,盲目相信外国企业,并让其发挥主导作用,从而为信息安全埋下了重大隐患。技术上的落后也许不是最要命的,而思想上的盲目崇拜和管理上的迟滞才是信息安全面临的更深层次、更为严重的威胁。
需要认识到,我国基础网络、重要信息系统和工业控制系统等关键信息基础设施的核心技术与产品仍将长期受制于人,在高级可持续性威胁(APT)日益增多的情况下,国家安全将面临严峻考验;移动互联网、下一代互联网和大数据等新兴技术的广泛与深入应用,将给我国信息安全带来新的威胁和挑战;网络犯罪技术的不断革新,技术漏洞和安全隐患的不断增多,将给信息安全防范带来巨大压力;因网络安全问题产生的经济损失也将大幅提高,对经济和社会发展造成的影响将进一步加剧。
法制健全是根本
虽然在信息安全保障上,我国的相关法规数量较之前有了很大增长,但仍存真空地带,交叉重复的现象也时有发生。工信部信息安全协调司相关报告显示,仅涉及个人信息保护的法律就已有将近40部,最高人民法院还出台了10条个人信息保护相关的司法解释,国务院发布的有关个人信息保护的法规约有30部,而各大部委颁布的相关部门条例、管理办法、规定更是多达近200部。但是业内人士表示,尽管相关法规众多,但这些文件大多针对具体问题,并未形成体系,在基础网络信息安全保护领域,更缺少明确的、体系化的法律文本。此外,法规众多,涉及的主管部门也很多,很可能形成“人人有责”却“人人不管”的尴尬局面。
针对上述现实,专家建议应加快信息安全立法进度,完善我国信息安全法律体系,将《信息安全法》尽快纳入国家立法规划中,尽快出台《信息安全条例》。要做好基础性的信息安全法律体系构建工作,要从完善国家信息安全组织体系、建立国家信息安全技术保障体系等多方面进行全面规划和不断完善。对涉及国家安全、国计民生、社会稳定的关键基础设施和重要信息系统及信息资源的安全保障,要制定专门的法规加以规范。
在此基础上,要构建和完善我国信息安全的监管体系,研究制定政府信息安全管理、个人信息保护等管理办法,明确并落实企事业单位和社会组织维护信息安全的责任。积极参与制定信息安全国际行为准则、互联网治理等国际规则和标准等,以建立有利于“健全信息安全保障体系”的长效机制。应进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对重要领域的核心技术产品进行安全检查和风险评估。加强行业管理规范和行业自律准则的制定与实施,规范信息安全企业的行为。要建立重要领域信息技术、产品及服务的安全检测与审核制度,对进口技术、产品和服务的安全性进行风险评估。
产业健全是主力
信息安全建设已经成为一项复杂的系统化工程,需要从计算机硬件、网络设备、软件等多个方面加强安全防护工作,涉及物理层、系统层、网络层、应用层等各个层面。因此,这不仅是一个机制健全问题,也是一个产业健全的问题,而且信息安全产业应成为信息安全保障体系建设的主力。
长期以来,国内在计算机芯片、操作系统、网络等关键领域缺少具备自主知识产权的成熟产品,包括电信、金融、能源等重要领域在内的各类信息系统只能采用进口设备。因此,所谓的信息安全保障体系从某种意义上来说只能是“空中楼阁”。因此,在信息安全相关技术上,要统筹规划,整合力量,进一步加大网络与信息安全技术研发力度,加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究。提高我国对新兴技术的掌控能力,形成拥有自主知识产权的安全产业链条。加快网络防护、入侵检测、身份管理等信息安全关键技术研发,并与新兴技术结合起来,提高新兴技术在应用过程的安全防护能力。建立新兴技术的信息安全预警机制,成立专门的机构对新兴技术的信息安全隐患进行分析和研究。同时,制定和完善新一代信息技术在重点领域的应用标准,注重发挥标准对产业发展的技术支撑作用。要健全电子认证服务体系,推动电子签名在金融等重点领域和电子商务中的应用。还应大力推动密码技术在涉密信息系统和重要信息系统保护中的应用,强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用等。 
