20世纪90年代以来,随着信息技术和互联网的迅速发展,世界各国的信息化建设不断加快,全球范围内的信息传播、信息共享和信息获取日趋便捷。但是,由于信息网络的基础性、开放性、虚拟性,信息安全对世界各国的政治、经济、文化、国防等各个领域的影响日益突出。
经过多年的努力,我国已初步建立起了信息安全保障体系,但信息安全防护能力整体上还处于初级阶段,黑客攻击、病毒木马、网络诈骗、数据窃取等各种信息安全事件层出不穷,淫秽色情、攻击党和政府、宣扬邪教等不良信息屡禁不止,信息安全已成为影响我国经济发展、国家安全、社会稳定的重要因素。
因此,加快建立健全、自主、可控的信息安全保障体系已成为当前我国信息化和工业化融合进程中亟待解决的问题。
信息安全保障体系建设初见成效
经过多年的努力,我国已经初步建立起了从信息安全标准、产品认证、测评到互联网安全管理的、较为完善的组织保障体系。
为了更好地推进我国信息安全管理工作,我国制定和引进了一批重要的信息安全管理标准。自2002年全国信息安全标准化技术委员会成立以来,围绕信息技术、信息产品、信息系统、风险评估、等级保护等领域,制定完成64项国家信息安全标准,目前在研究制定中的信息安全标准超过90项。
自上世纪九十年代以来,为配合信息安全管理的需要,我国相继制定了《计算机信息网络国际联网出入口信道管理办法》、《计算机软件著作权登记办法》、《电信网间互联管理暂行规定》、《中华人民共和国电子签名法》、《信息安全等级保护管理办法(试行)》等有关信息安全管理的法律法规。
此外,随着信息安全相关风险评估标准在铁路、电力、电信、银行等试点领域的陆续推进,我国已经全面启动了信息安全风险评估工作。
问题仍然存在
当前,我国信息安全保障体系建设仍存在多方面的问题,这些问题制约了信息安全管理的效率,严重影响了我国信息安全保障体系建设的进程。
信息安全标准规范体系不完善
我国信息安全标准的制定工作起步较晚,到目前还没有建立起较为完善的信息安全标准规范体系。一是我国信息安全标准数量少,尤其缺乏信息安全风险评估标准,导致我国信息化建设缺乏统一的国家评估规范;二是我国已出台的信息安全标准,大多沿用国际标准,缺乏自主创新;三是标准实施过程中,缺乏必要的监督管理和法律保护,致使已颁布的国家标准未能得到有效实施。
信息安全法律法规体系不健全
经过多年的努力,我国信息安全立法工作取得了很大进展,但是总体而言还存在诸多问题。一是相关法律法规数量有限,无法可依现象突出;二是缺乏权威、统一的立法管理机构,使得现有的一些法律法规政出多门、各行其是,执法主体不够明确,缺乏可操作性,执行难度较大;三是相当一部分法律法规已经跟不上信息安全的发展,例如当前网络色情、暴力等不良信息的认定、操作标准和取证等问题缺乏明确的规定。
全民信息安全意识较淡薄
全民信息安全意识淡薄是当前制约我国信息安全保障体系建设的重要瓶颈之一。很多企业和个人用户,尤其是新网民对信息安全问题认识不足,在系统缺乏保护的情况下就接入互联网,致使系统频频受到病毒、木马、黑客的攻击,经常处于被动修补状态;由于信息安全法律意识淡薄,一些网民将不该发布的信息发布到了网上,导致不良信息的影响日益突出;重“硬”轻“软”现象突出,很多企业用户把信息安全防护希望全部寄托在信息安全产品和技术解决方案上,而忽视信息安全管理和信息安全人才的培养。
缺乏自主可控的信息技术支撑
我国信息技术基础理论研究和关键技术薄弱、创新能力不强,在计算机芯片、操作系统、数据库和高端信息安全产品等方面不能自主可控,致使国内各基础信息网络和重要信息系统的核心设备、技术和整体解决方案都依赖于国外厂商,同时缺乏对所引进的信息化基础设备、信息安全产品进行有效管理和技术改造的能力。这使得我国的计算机网络经常处于被窃听、干扰、监控和欺诈等多种信息安全威胁中,2008年发生的“微软黑屏事件”彻底向我们敲响了警钟。
信息安全管理和技术人才缺乏
信息安全的竞争归根到底是人才的竞争,目前我国信息安全人才严重缺乏。一是信息安全产品研发创新人才缺乏,导致我国信息安全技术难以突破核心技术;二是信息安全管理人才不足,难以使用的信息系统、信息安全产品进行有效管理、配置,直接增加了信息安全事件的发生概率。
加快建设需要新的对策
加快建立健全信息安全体系,我们需要从多方面努力,实施新的对策予以应对。
推动信息安全立法和实施监督
加快建立健全信息安全法律法规体系,推进信息安全管理的法制化进程。加快出台《信息安全条例》及《信息安全等级保护标准》等法律法规,推动电子认证、电子交易、信用管理、隐私保护等方面法律法规的研究制定,改变当前一些信息安全事件无法可依。一些法律法规太笼统、缺乏可操作性的现状,对政府部门、产业部门、信息服务提供商、个人和企业用户等主体的权利、义务和法律责任,做出明确的法律界定。同时,加强信息安全执法队伍的建设,提高互联网信息安全的执法水平。
加快推进信息安全标准化工作
加强信息安全标准的制定和实施,不断完善信息安全标准体系。一是尽早发布基于国际标准的、适合我国国情的信息安全管理标准体系。尤其是要进一步完善《信息安全风险评估指南》,加快出台《信息安全风险管理指南》,对我国的电力、银行、能源、铁路、国防、电信等重要领域进行定期的自我评估和强制性检查评估;二是要不断增强信息安全标准的创新,提高自主开发标准的比重;三是要加大宣传培训力度,有效推动已出台标准的实施工作;四是要积极参与国际交流与合作,加快我国信息安全标准的国际化进程。
提高全民的信息安全防范意识
开展全民性的信息安全教育,增强全社会的信息安全意识。政府部门要提高自身的信息安全意识,真正认识到信息安全防护的重要性,消除“无所谓”的错误思想,把互联网信息安全工作列入重要工作;加大信息安全防护知识的普及教育工作,加强人员的培训、管理,提高企业用户和个人用户的信息安全意识,推广信息安全技术和产品应用,从技术上和管理上切实提高我国信息安全保障能力。
加强规范管理,推动行业自律
按照相关法律法规,加大信息安全规范治理,推动行业自律。依法打击各种信息安全违法犯罪行为,加强不良信息的监控力度,完善病毒、木马、恶意软件的举报和处理,严厉打击发送垃圾邮件的违法行为,推广普及优秀信息安全工具;加强对互联网企业的监管,尤其是要充分调动搜索引擎企业、互联网内容提供商、互联网服务提供商的积极性,提高企业的行业自律意识,自觉维护广大网民和国家的利益;引导企业制定内部的信息安全管理办法,提高信息安全管理人员的技术水平、管理水平,从企业内部增强安全防范能力。