网络安全危机四伏 顶层设计势在必行
来源:经济杂志 更新时间:2012-11-01

  “信息安全不是一个新的命题,不过伴随着技术发展,信息安全领域每时每刻都在发生着新变化,产生着新挑战,无论是政府、企业,还是组织机构都需要对此有足够的了解,以应对可能出现的各种问题。” 2012年9月12日,工业和信息化部信息安全协调司司长赵泽良在“2012中国信息安全年会暨第十届中国CSO俱乐部大会”上强调。

  目前,日本在侵犯我国领土上采取了一系列咄咄逼人的态势,而且强化了其中信息安全方面的互动。这使得国家信息化专家咨询委员会委员、国家信息中心专家委员会副主任宁家骏警惕地指出,这给我们网络空间安全带来了网络战的阴影,可以说目前网络系统安全的风险比以往任何时候都更加严重。

  不得不提的是,今年4月“火焰”病毒导致伊朗石油工业网络瘫痪,而2010年的“网震”病毒曾导致伊朗核设施内约20%的离心机运转失灵且无法修复。我们看到,近两年来,美国先后出台《国家网络安全战略报告》、《网络空间政策评估》等一系列顶层设计,继续强调美国21世纪将依赖于网络空间安全,网络空间是与太空、海洋并列的第三大全球公地,其体现的霸主心态引起世界各国高度重视。

  无疑,网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它既是发挥信息革命高效率的保证,也是抵御信息侵略的重要屏障。

  变革引领顶层设计

  “顶层设计”是中央文件新近频频出现的名词,首见于“十二五”规划。它原是系统工程的专有名词,现已经演变成自高端开始的总体构想的代名词。如何塑造中国网络安全的未来?

  今年5月9日,国务院就信息化和信息安全工作召开常务会议,会议审议通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》 (国发23号)。

  这意味着在信息安全的顶层设计中更强调对关键信息基础设施的保护,更强调要对重要信息系统的保护,要更强调政府信息系统的保护,更强调对个人信息、企业信息,乃至信息资源的保护。

  针对目前的国际网络形势,文件提出了加强对全球网络安全威胁的监测分析,加快建立具有发现和阻止威胁态势感知能力的新的信息安全防御体系。

  为切实加强网络与信息安全管理,遏制有害不良信息传播,不少有识之士甚至呼吁互联网立法并得到了主管部门的响应。今年两会期间,全国人大代表、工业和信息化部部长苗圩在接受媒体采访时表示,工信部支持互联网安全立法,在相关法律法规出台后,工信部将出台一系列配套措施。

  事实上,早在2003年7月22日,国务院就组织召开了国家信息化领导小组全体会议,专题是以讨论信息安全问题为主,会议通过了《国家信息化领导小组关于加强信息处理安全保障工作的意见》(国发27号)。文件确立了国家信息安全的方针、原则、重点工作任务,而且明确了信息安全是国家安全的重要组成部分。27号文件在当时情况下比较强调部门和非部门,信息安全要坚持谁主管、谁负责、谁运行。

  赵泽良强调,从27号文件提出的无论是等级保护、系统重要性,还是应急、灾备工作等都强调要分清责任。然而随着日益增加的全球网络的威胁,国家必须要解决这种部门各自为战的局限性。

  与27文件相比,23号文件注入了新的政策设置,强调加强信息安全工作的顶层设计,并克服了这种谁主管、谁负责的局限性。赵泽良认为23号文件更强调统筹协调,这两个文件共同构成了国家信息安全的总体政策框架。

  在领导机构方面,去年国务院成立了国家网络与信息安全协调小组,国务院副总理李克强任组长,工信部部长苗圩任办公室主任,协调议事机构设在工信部信息安全协调司。这个小组被赋予了领导国家网络与信息安全,协调推进信息化发展和网络信息安全保障工作的重大职责。

  在产业发展方面,2011年12月工信部发布的《信息安全产业“十二五”发展规划》中,明确规定了“十二五”期间产业发展思路和目标,通过发展重点和重大工程的实施,推动我国信息安全产业向体系化、规模化、特色化、高端化方向发展,促进我国信息安全产业做大、做强。规划中重点提到健全网络信息安全法律法规,完善信息安全标准体系和认可体系,实施信息安全等级保护、风险评估等制度,同时规划任务,应该加快推进安全、可控、关键软硬件应用试点示范和推广,加强信息网络检测等内容。

  在支撑能力建设方面,记者了解到,“十二五”时期产业发展以提升对国家信息安全保障的支撑能力为目标,以保障基础信息网络安全和重要信息系统安全为中心,按照“安全可控、创新发展、应用牵引、环境营造”的原则,推进技术产品创新、应用和服务模式创新,积极培育骨干企业,加快发展特色中小企业,构建产业链完整、分工合理的产业体系,推动信息安全产业向体系化、规模化、特色化、高端化方向发展,做大做强信息安全产业。

  在重大工程方面,《规划》推出了极具力度的产业扶持政策,在关键技术和重点产品研发及产业化工程、信息安全公共服务平台建设工程等方面重点布局了四大工程:

  一是关键技术和重点产品研发及产业化工程,针对制约信息安全产业发展的关键技术和重点产品,聚集国家和地方资源,发挥产学研用资源优势,继续实施国家信息安全专项,构建完整的产品体系和产业链,建立信息安全重点产品目录,引导企业和普通消费用户使用目录产品。

  二是新一代信息技术应用安全支撑工程,研究建立支撑云计算、物联网、移动互联网等新一代信息技术应用保障的信息安全技术体系架构,促进新一代信息技术的安全可控发展和应用。

  三是信息安全示范工程,充分利用国家重点信息化工程建设机遇,开展安全可控信息安全产品和服务在电子政务、电子商务、电子医疗、金融、能源等领域,加快安全可控信息安全产品和服务产业化步伐。

  四是信息安全公共服务平台建设工程,建设国家级和区域级信息安全专业服务平台,开展等级保护设计咨询、风险评估、安全咨询、安全测评等服务;建设国家级信息安全数据库,为国家和社会公众提供快速、高效的信息安全服务,实现资源共享,切实提高信息安全保障能力。

  从十年前,网络安全还是个待破之题,到现在国家针对网络与信息安全一系列政策的密集出台,顶层设计已然成为加速网络安全创新和升级的源动力。

  症结求解

  公开资料显示,我国信息化建设和信息安全保障仍存在一些亟待解决的问题,宽带信息基础设施发展水平与发达国家的差距有所拉大,政务信息共享和业务协同水平不高,核心技术受制于人;信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战。

  2010年9月,伊朗布舍尔核电站遭到“网震”病毒攻击,导致核电设施推迟启用。业界认为,这是全球第一次从虚拟信息世界对现实物理世界的网络攻击。工业控制系统在我国应用十分广泛,那么,我国工业控制系统防御能力如何?

  “近几年,国家非常重视金融、电力等领域信息安全管理的加强,工业控制系统的信息安全开始有所改善,但因其复杂性,完全做到自主可控需要一定的时间。”宁家骏直言不讳地指出,这是我们在当前存在的主要问题。

  统计表明,2012年6月,我国数十家政府及企事业单位网站遭受黑客攻击,15万以上的用户数据泄露。我国企业遭到攻击的IP地址,65%来自国外;涉及国家机密和资金安全的机构遭黑客攻击的技术含量和攻击频率远高于普通企业。信息安全状况不容乐观。

  纠结于以上难题的同时,我国在工业控制领域还面临着更大的困扰。

  一年前,工信部下发的《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)即明确提出,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。

  宁家骏把原因归结为三点:一是中国信息化水平与发达国家相比处于后发阶段;二是中国信息安全的根基不够牢固,存在受制于人的被动局面;三是作为发展中国家,中国要走独立自主的路线。

  面对工业控制系统信息安全管理中存在的矛盾和问题,关键要做好什么?在《信息安全产业“十二五”发展规划》中,国家提出了确保基础信息网络和重要信息系统的安全可控要求。

  无疑,核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统都属于基础信息网络和重要信息系统,需要下大力度落实信息安全管理,落实安全管理要求。工信部信息安全协调司副司长欧阳武说,这些领域一旦出现问题,后果会很严重。

  欧阳武告诉记者,具体措施有六点:一是加强连接管理,严格管理工业控制系统与公共网络之间连接,严格控制移动设备的交叉使用。二是加强组网管理,同步规划、同步建设、同步运行安全防护措施,采用虚拟专用网络、冗余备份、数据加密、身份认证等措施,加强关键工业控制系统通信网络的防护。三是加强配置管理,建立服务器等关键设备安全配置和审计制度,严格账户、口令以及端口和服务的管理。四是加强设备选择与升级管理,严格设备采购、技术服务的安全管理,严格软件升级、补丁安装管理。五是加强数据管理,通过采取访问权限控制、数据加密、安全审计、灾难备份等措施加强对地理、矿产、原材料等国家基础数据以及其他重要敏感数据的保护,切实维护个人权益、企业利益和国家信息资源安全。六是加强应急管理,制定信息安全应急预案,落实应急支撑队伍,视情采取必要的备机备件等容灾备份措施。

  “对威胁不知道,是最大的问题。”宁家骏强调。目前,工信部提出要建立工业控制系统安全测评检查和漏洞发布制度,并适时对重点领域工业控制系统信息安全进行抽查。

  这意味着,强化基础信息网络和重要信息系统的安全防护和管理,建立和完善基础信息网络以及电力、银行、证券、保险以及政府等重要信息系统的安全防护体系等工作刻不容缓。