編者按:隨著國家“互聯網+”行動計劃提速,“網絡信息安全”進一步成為保障實施的重要環節。面對“互聯網+”萬物互聯、萬物可控的趨勢,“安全”成為不可或缺的基石。恰逢國家明確“網絡空間安全”為一級學科,加強安全領域的投入,擬定網絡與信息安全總體構想,明確任務設想,完善政策措施,將是舉國上下執行“互聯網+”行動計劃的重中之重。
一、背景
當前,新一輪信息技術創新應用風起雲涌,以物聯網、雲計算、大數據為代表的新一代信息技術不斷取得突破和應用創新,催生新興產業快速發展,同時通過與傳統產業的融合滲透,助推產業轉型升級,給人類生產生活方式帶來深刻變革。協同、智能、綠色、服務等新生產方式變革深刻影響制造業的核心價值體現﹔網絡眾包、生產消費者、協同設計、創客、個性化定制、透明供應鏈等新模式正在構建企業新的競爭優勢﹔電子商務、互聯網金融、社交網絡等互聯網經濟體的形成,加速產業價值鏈體系的重構。新一輪科技革命和產業變革,為我國加快轉變經濟發展方式、尋找新的經濟增長點帶來新機遇。
“互聯網+”儼然是2015年最熱門的名詞之一,按照認真貫徹落實兩會精神和總理政府工作報告對重點工作的部署,國家發改委牽頭組織編制“互聯網+”行動計劃,旨在利用互聯網,加快促進傳統產業轉型升級和提質增效,並通過融合發展培育新業態,培育新的增長點,將以互聯網與傳統經濟的融合作為適應新常態、謀求新發展、塑造新優勢、打造我國經濟升級版的新動力。
“互聯網+”的本質是傳統產業的在線化、數據化。這種業務模式的巨大變革改變了以往僅僅封閉在某個部門或企業內部的傳統模式。可以隨時在產業上下游、協作主體之間以最低的成本流動和交換。
“互聯網+”的前提是互聯網作為一種基礎設施的普及和深化應用。因此這個過程會經歷兩個階段:第一階段是新興產業的興起和新基礎設施的廣泛安裝﹔第二個階段是各行各業應用的蓬勃發展和收獲。
發達國家積極應對新一輪經濟變革帶來的挑戰,紛紛鼓勵信息技術變革和應用模式創新,美國《先進制造業伙伴計劃》及《網絡空間國際戰略》、英國《信息經濟戰略2013》等一系列戰略行動計劃建議的提出和實施,旨在充分發揮信息技術領域的領先優勢,加強在新興科技領域的前瞻布局,以謀求搶佔制高點、強化新優勢。面臨日益激烈的地區競爭,我國也應搶抓機遇,順勢而為,加快推進以互聯網、物聯網為載體的信息經濟大發展,打造我國經濟社會發展的“升級版”。
今年是我國進入互聯網21 周年,中國迄今已經有 6.5 億網民、5 億的智能手機用戶,通信網絡的進步、互聯網、智能手機、智能芯片在企業、人群和物體中的廣泛安裝,為下一階段的“互聯網+”奠定了堅實的基礎。 但另一方面我國人均自然資源相對不足、環境承載量受制,傳統產業粗放型發展方式所帶來的結構性、素質性矛盾依然存在,發展后勁不足。在“互聯網+”時代,以互聯網為代表的信息技術加速各行各業滲透、融合、發展,通過改造傳統產業實現存量提升,並催生新興產業實現增量發展。為適應新常態、謀求新發展,要求我國堅持新型工業化道路,以信息化和工業化深度融合為抓手,大力發展“互聯網+業務內容”的新型服務業,加快建設設施農業、制造企業、環保等工程物聯網,淘汰偏低端,主攻中高端,使我國逐步步入保持中高速,打造提質、增效、升級版的現代化強國。
當前我國發展“互聯網+”及其經濟新業態,也存在一些問題和不足:一是技術創新體系不完善,在互聯網核心芯片、基礎軟件和關鍵器件上自主創新能力不強,大部分產品處於價值鏈低端,附加值較低﹔二是創新創業環境營造還不夠,新形勢下傳統企業的互聯網意識不強,地區發展不平衡依然突出﹔三是基礎設施有待進一步優化提升,信息技術推廣應用的深度廣度、信息資源的開發利用程度、兩化深度融合水平有待進一步提高,網絡信息安全保障體系不夠健全,面臨新的巨大挑戰。
扎實推進“互聯網+”安全首先離不開產業的支撐,因此在“互聯網+”行動計劃中部高度重視加快發展“互聯網+”信息安全產業。要大力發展網絡與信息安全產品與服務產業。推進網絡安全、入侵檢測、身份驗証、可信計算、數據安全等網絡和信息安全產品的自主研發與產業化,重點突破下一代互聯網、物聯網、雲計算、移動互聯網等領域的安全核心技術,提升信息安全服務保障能力,促進安全、自主、可控信息技術產業體系的建設。發展數據加密、電子認証、網絡監測和防御、應急響應、容災備份、安全測試、風險評估等信息安全產品和服務。建立網絡安全產業基地,培育一批信息安全研究、咨詢、服務的專業企業,建立完善信息安全標准體系、測評評價體系、審計監督體系,提高對信息安全事件的監測、發現、預警、研判和應急處置能力。
例如隨著雲計算、大數據、物聯網、SDN、移動互聯網的持續蓬勃發展,各領域信息安全威脅也將出現多元化發展的趨勢,由此互聯網+各個領域及其用戶以及消費者將面臨更加復雜的安全威脅和挑戰。在一些安全技術領域,我國還存在短板,在更嚴峻復雜的形勢下,必須大力加快推進互聯網+信息安全行動計劃,促進國內信息安全產業將走向深度合作。
特別要強調指出的是,必須積極促進發展“互聯網+”信息安全服務業。加快自主可控的信息安全技術在各領域的推廣應用,支持國內民族信息安全企業、信息安全服務企業與各領域包括互聯網企業的合作,鼓勵基於互聯網的安全產品、安全技術、安全服務平台建設和服務創新,積極發展互聯網下的信息安全新服務模式。探索構建政府、安全企業、基礎網絡和重要信息系統等共同參與的多層次網絡安全保障與服務體系新模式,為“互聯網+”發展營造良好安全環境。支持各類“互聯網+”網絡與信息安全服務平台建設,鼓勵傳統企業以多種模式參與“互聯網+”網絡與信息安全工程研究中心,研發符合市場需要的新產品、探索服務的新模式。在國家統一框架下,明確互聯網安全監管職責,加強協調配合,完善監管體系,推動建立信息披露、風險防控和應急處置機制,利用大數據等技術加強互聯網+安全的監管與服務,防范“互聯網+”風險。
二、總體構想
扎實推進“互聯網+”網絡與信息安全總的思路是抓住新一輪科技革命和產業變革的歷史機會,以安全保障“互聯網+”促進改革創新的積極性,使互聯網等新一代信息技術與我國各領域的深度融合、互聯網經濟模式的創新,在安全保障的大環境下得到健康可持續發展。
大力推進“互聯網+”發展,對調整經濟結構、轉變發展方式、保障和改善民生具有重大意義和深遠影響。但是必須看到由於我國信息化建設和信息安全保障仍存在一些亟待解決的問題,核心技術受制於人迄今沒有完全解決﹔信息安全工作的戰略統籌和綜合協調不夠,重要信息系統和基礎信息網絡防護能力不強,移動互聯網等技術應用給信息安全帶來嚴峻挑戰,因此必須進一步增強緊迫感,採取更加有力的政策措施,在大力推進“互聯網+”發展的同時把“互聯網+”網絡信息安全納入“互聯網+”的總體布局和頂層設計內容之中,切實保障“互聯網+”的網絡與信息安全。
所以從制定“互聯網+”行動計劃的指導思想中,必須堅持深入貫徹落實科學發展觀,以促進資源優化配置為著力點,加快建設下一代信息基礎設施,推動信息化和網絡信息安全統籌融合,進一步夯實信息安全保障體系基礎,促進網絡安全信息技術和產業體系健康發展,堅持積極利用、科學發展、依法管理、確保安全,加強統籌協調和頂層設計,健全國家信息安全基礎設施與安全支撐服務保障體系,維護網絡信息安全。
要進一步明確“互聯網+”戰略與行動計劃中涉及網絡信息安全的主要目標。要確保“互聯網+”網絡信息安全保障水平明顯提高,有力支撐“互聯網+”健康發展﹔新一代“互聯網+”網絡信息安全基礎設施初步建成,“互聯網+”信息安全保障體系基本形成。
三、主要任務初步設想
加快推進新一代“互聯網+”網絡信息安全前瞻性研究和前沿性發展布局研究,持續研究新一代互聯網在創新應用中新增網絡信息安全風險,研究傳統業務向“互聯網+”模式演進、業務遷移與商業運營中新增加的風險和挑戰,研究國家現有基礎網絡架構面臨新業務、新應用和新的安全風險時必須進行的優化,升級和改造,為確保實現高速度高質量互聯互通所必須進行的安全加固、重組和能力擴充等。加快未來網絡體系架構在“互聯網+”運用的前期預研、戰略布局,建設面向未來“互聯網+”創新發展的安全保障平台。
加快推進新一代互聯網環境下的安全保障體系建設。總結試點經驗,在確保網絡信息安全的前提下,加快網絡信息安全資源共享,加強應急體系建設,加快相關法律法規和標准體系建設,健全適應於互聯網不斷融合的體制機制,完善可管、可控的網絡信息安全保障體系。
全面提高企業信息安全保障水平。實施重大信息安全保障和國產替代示范項目,引導企業業務應用向綜合信息安全協同創新轉變。繼續實施中小企業信息安全保障測評、檢查體系建設,提高中小企業信息安全保障水平。完善企業信息安全保障水平評估認定體系,支持面向行業的信息安全公共服務平台發展。
為了健全“互聯網+”安全防護和管理,保障“互聯網+”信息安全, 我們提出如下建議:
(一)確保“互聯網+”網絡信息安全,事關全局責任重大,必須研究制定“互聯網+”網絡信息安全戰略和規劃,強化頂層設計。落實信息安全等級保護制度,開展相應等級的安全建設和管理,做好信息系統定級備案、整改和監督檢查。強化網絡與信息安全應急處置工作,完善應急預案,加強對基礎網絡與重要信息系統災備設施建設的指導和協調。完善信息安全認証認可體系,加強信息安全產品認証工作。
必須堅持同步規劃、同步建設、同步運行安全防護設施,強化技術防范,嚴格安全管理,切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。加強各領域互聯網網站、地址、域名和接入服務單位的管理,完善信息共享機制,規范互聯網金融服務市場秩序。
(二)嚴格信息技術服務外包的安全管理,為國內重點業務系統提供服務的數據中心、雲計算服務平台等要設在境內,加強數據流出入境管理。進一步改進和完善互聯網業務開辦審核、統一標識、監測和舉報制度。加強安全防護監測。落實信息系統等級保護制度,強化重要信息系統審查機制。
(三)強化信息資源和個人信息保護。加強人口、法人、統計等基礎信息資源的保護和管理,保障信息系統互聯互通和部門間信息資源共享安全。明確敏感信息保護要求,強化企業、機構在網絡經濟活動中保護用戶數據和國家基礎數據的責任,嚴格規范企業、機構在我國境內收集數據的行為。在軟件服務外包、信息技術服務和電子商務等領域開展個人信息保護試點,加強個人信息保護工作。
(四)加強網絡信任體系建設和密碼保障。健全電子認証服務體系,推動電子簽名在重點領域和電子商務中的應用。制定電子商務信用評價規范,建立互聯網網站、電子商務交易平台誠信評價機制,支持符合條件的第三方機構開展信用評價服務。大力推動國家密碼標准與技術在重要信息系統中的應用,強化密碼在保障電子商務安全和保護公民個人信息等方面的支撐作用。
(五)提升“互聯網+”下的網絡與信息安全監管能力。完善國家網絡與信息安全基礎設施,加強網絡與信息安全專業骨干隊伍和應急技術支撐隊伍建設,提高風險隱患發現、監測預警和突發事件處置能力。加強信息共享和交流平台建設,健全網絡與信息安全信息通報機制。加大對網絡違法犯罪活動的打擊力度。進一步完善監管體制,充實監管力量,加強對金融信息網絡安全工作的指導和監督管理。倡導行業自律,發揮社會組織和廣大網民的監督作用。
(六)加快發展“互聯網+”信息安全產業。大力發展服務於各領域的網絡與信息安全產品與服務產業。推進網絡安全、入侵檢測、身份驗証、可信計算、數據安全等網絡和信息安全產品的自主研發與產業化,重點突破下一代互聯網、物聯網、雲計算、移動互聯網等領域的安全核心技術,提升信息安全服務保障能力,促進安全、自主、可控信息技術產業體系的建設。發展數據加密、電子認証、網絡監測和防御、應急響應、容災備份、安全測試、風險評估等信息安全產品和服務。建立網絡安全產業基地,培育一批信息安全研究、咨詢、服務的專業企業,建立完善信息安全標准體系、測評評價體系、審計監督體系,提高對信息安全事件的監測、發現、預警、研判和應急處置能力。
四、完善政策措施
(一)加強組織領導。在中央網絡安全和信息化領導小組的領導和中央網信辦的具體協調組織下,各部門各地都要按照職責分工,認真落實各項工作任務,加強協調配合,形成合力,共同推進“互聯網+”網絡信息安全保障工作,將保障網絡與信息安全列入重要議事日程,逐級建立並認真落實網絡與信息安全責任制,明確主管領導,確定工作機構,負責督促落實網絡與信息安全規章制度,組織制定應急預案,處理重大網絡與信息安全事件等。
(二)加強政策和資金扶持。加大對“互聯網+”網絡與信息安全深度融合關鍵共性技術研發與推廣、公共服務平台、重大示范工程建設等的支持力度。整合利用現有資金渠道,重點支持信息安全重要基礎性工作。
(三)加快法規制度和標准建設。完善“互聯網+”信息化發展和網絡與信息安全法律法規,研究制定金融業信息安全管理、個人信息保護等管理辦法。健全相關法規制度,明確並落實企事業單位和社會組織維護信息安全的責任。制定完善新一代信息技術在金融領域的應用標准,注重發揮標准對產業發展的技術支撐作用。加快制定雲計算、物聯網等領域安全標准。
(四)加強宣傳教育和人才培養。開展面向全行業的“互聯網+”信息安全宣傳教育培訓。支持重點實驗室建設。加強大中小學信息技術、信息安全和網絡道德教育,在金融業各單位定期開展信息安全教育培訓。加快培養創新型、應用型信息化人才。
(作者單位:國家信息中心)
(來源:中國信息安全)
| 相關專題 |
| · 專題報道 |
