活動鏈接:2012年控制網(wǎng)技術(shù)專題---設(shè)備安全與信息安全攜手2012
【來源:中國電子報】
工業(yè)和信息化部信息安全協(xié)調(diào)司司長 趙澤良
“認(rèn)真履行‘三定’職責(zé),做好信息安全相關(guān)政策文件和會議精神的貫徹落實,加強(qiáng)國家信息安全戰(zhàn)略和標(biāo)準(zhǔn)研究制定,推動政府信息安全工作,做好電子認(rèn)證服務(wù)行業(yè)監(jiān)管。”
根據(jù)國務(wù)院批準(zhǔn)的“三定”規(guī)定,信息安全協(xié)調(diào)司的主要職責(zé)是,“協(xié)調(diào)國家信息安全保障體系建設(shè);協(xié)調(diào)推進(jìn)信息安全等級保護(hù)等基礎(chǔ)性工作;指導(dǎo)監(jiān)督政府部門、重點行業(yè)的重要信息系統(tǒng)與基礎(chǔ)信息網(wǎng)絡(luò)的安全保障工作;承擔(dān)信息安全應(yīng)急協(xié)調(diào)工作,協(xié)調(diào)處理重大事件”。信息安全協(xié)調(diào)司認(rèn)真履行“三定”職能,深入分析信息安全形勢,積極開展國家信息安全戰(zhàn)略、規(guī)劃研究,不斷完善政策標(biāo)準(zhǔn),強(qiáng)化政府信息系統(tǒng)和工業(yè)控制系統(tǒng)安全管理,依法加強(qiáng)電子認(rèn)證服務(wù)行業(yè)監(jiān)管,協(xié)調(diào)推進(jìn)國家信息安全保障體系建設(shè),維護(hù)國家信息安全。
信息安全風(fēng)險突出形勢更加復(fù)雜嚴(yán)峻
當(dāng)前,信息技術(shù)日新月異,網(wǎng)絡(luò)空間中的控制與反控制、竊密與反竊密斗爭日趨激烈,“震網(wǎng)”病毒、維基解密等凸顯了信息安全對國家安全的深刻影響。
一、信息安全威脅危及生產(chǎn)安全
2010年出現(xiàn)的“震網(wǎng)”病毒,借助移動存儲設(shè)備進(jìn)入內(nèi)部網(wǎng)絡(luò),專門襲擊控制電力、化工等企業(yè)的“監(jiān)控與數(shù)據(jù)采集系統(tǒng)”(SCADA系統(tǒng)),攻擊了伊朗布什爾核電站等在內(nèi)的全球4.5萬個系統(tǒng)。這標(biāo)志著國家關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)控制系統(tǒng)已成為網(wǎng)絡(luò)攻擊目標(biāo),信息安全直接影響工業(yè)安全和經(jīng)濟(jì)安全。據(jù)專業(yè)機(jī)構(gòu)報道,多家國外廠商生產(chǎn)的工業(yè)控制系統(tǒng)產(chǎn)品存在高危漏洞,利用這些漏洞可對其進(jìn)行遠(yuǎn)程攻擊,且攻擊代碼已在互聯(lián)網(wǎng)上公開,這些產(chǎn)品在我國大量使用,安全隱患逐漸顯現(xiàn),嚴(yán)重威脅重要行業(yè)運行安全、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全。
二、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全風(fēng)險突出
隨著信息技術(shù)的發(fā)展,國家各個方面對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性持續(xù)增強(qiáng),網(wǎng)絡(luò)和信息系統(tǒng)已經(jīng)成為政府部門履行職能的有力支撐,成為金融、能源、交通、通信、現(xiàn)代制造等行業(yè)的神經(jīng)中樞,大量企業(yè)也在依托網(wǎng)絡(luò)開展生產(chǎn)經(jīng)營,信息網(wǎng)絡(luò)系統(tǒng)的安全將會影響國家經(jīng)濟(jì)正常運行。我國基礎(chǔ)設(shè)施、重要系統(tǒng)的關(guān)鍵技術(shù)、產(chǎn)品、服務(wù)依賴于人,安全可控問題日益凸顯,防護(hù)建設(shè)和管理沒有得到應(yīng)有重視,安全狀況不容樂觀。
三、信息安全問題對國民經(jīng)濟(jì)發(fā)展和公眾利益的影響越來越大
隨著我國電子政務(wù)、電子商務(wù)等信息化工程的不斷推進(jìn),網(wǎng)絡(luò)上積累的敏感數(shù)據(jù)越來越多,流失風(fēng)險越來越大。金融、通信、能源、交通、國防軍工等大型企業(yè)上市、兼并重組、信用評級、檢查認(rèn)證等過程中,都可能造成敏感經(jīng)濟(jì)信息、國家基礎(chǔ)數(shù)據(jù)和用戶個人信息的流失和泄漏。一些機(jī)構(gòu)企業(yè)通過信息網(wǎng)絡(luò)收集并掌握著大量經(jīng)濟(jì)社會重要數(shù)據(jù),越來越多的IT企業(yè)具有大面積控制用戶計算機(jī)的能力,如果管理不到位,都會削弱政府對經(jīng)濟(jì)、市場調(diào)控能力,影響國家經(jīng)濟(jì)安全和公眾利益。
四、新技術(shù)新應(yīng)用帶來了新的信息安全挑戰(zhàn)
移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展,在推動科技進(jìn)步的同時,也帶來了新的信息安全問題。例如,用戶在使用云計算提高資源利用率的同時,也面臨對數(shù)據(jù)失去掌控權(quán)的風(fēng)險。物聯(lián)網(wǎng)的發(fā)展使虛擬網(wǎng)絡(luò)空間與現(xiàn)實物理世界聯(lián)系更加緊密,通過網(wǎng)絡(luò)干擾或者攻擊現(xiàn)實世界的風(fēng)險也變得更大。移動互聯(lián)網(wǎng)的迅速發(fā)展,個人信息保護(hù)問題將更加突出。
認(rèn)真履行三定職能協(xié)調(diào)推進(jìn)各項工作
2011年,我司落實部黨組的工作要求,認(rèn)真履行“三定”職能,圍繞年度工作重點,積極協(xié)調(diào)推動各項工作。
一、加強(qiáng)信息安全戰(zhàn)略、規(guī)劃和標(biāo)準(zhǔn)研究
一是在深入分析國際國內(nèi)信息安全形勢的基礎(chǔ)上,認(rèn)真開展信息安全重大問題和國家信息安全戰(zhàn)略研究。二是在廣泛調(diào)研,充分聽取信息安全相關(guān)主管部門、院士專家、地方和企業(yè)意見建議的基礎(chǔ)上,起草了國家信息安全“十二五”規(guī)劃,印發(fā)了《電子認(rèn)證服務(wù)業(yè)“十二五”發(fā)展規(guī)劃》。三是結(jié)合信息安全保障重點工作,組織起草了政府信息安全管理基本要求、政府網(wǎng)站安全技術(shù)要求、政府網(wǎng)站安全管理要求和個人信息保護(hù)指南等急需的標(biāo)準(zhǔn)規(guī)范。
二、強(qiáng)化政府信息安全管理
一是根據(jù)《國務(wù)院辦公廳關(guān)于印發(fā)〈政府信息系統(tǒng)安全檢查辦法〉的通知》的要求,指導(dǎo)中央國家機(jī)關(guān)開展政府信息系統(tǒng)安全檢查,組織專業(yè)技術(shù)隊伍對國務(wù)院部門的信息系統(tǒng)(或網(wǎng)站)進(jìn)行了安全抽查。二是組織上海、江蘇、浙江、云南、黑龍江等省市開展了政府信息系統(tǒng)安全保障試點工作。三是組織國家專業(yè)技術(shù)隊伍對國務(wù)院部門門戶網(wǎng)站進(jìn)行了日常安全監(jiān)測,及時發(fā)出安全風(fēng)險提示。
三、加強(qiáng)工控系統(tǒng)安全管理
在深入分析工業(yè)控制系統(tǒng)面臨的安全風(fēng)險,認(rèn)真研究加強(qiáng)工業(yè)控制系統(tǒng)安全管理的工作措施的基礎(chǔ)上,起草了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的工作文件,報請國務(wù)院同意后,以我部名義印發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號),并于11月下旬組織召開了地方信息安全工作會議,對文件的貫徹落實做出部署安排。
四、依法加強(qiáng)電子認(rèn)證服務(wù)行業(yè)監(jiān)管
根據(jù)《電子認(rèn)證服務(wù)管理辦法》及換證審查工作流程,組織專業(yè)隊伍,完成了6家電子認(rèn)證服務(wù)機(jī)構(gòu)電子認(rèn)證服務(wù)許可證的換證審核工作。并按照《電子簽名法》有關(guān)規(guī)定,依據(jù)天津市工商行政主管部門對天津遠(yuǎn)博網(wǎng)絡(luò)有限公司抽逃注冊資金的認(rèn)定,依法吊銷了該公司的電子認(rèn)證服務(wù)許可證。
2012年工作基本思路
在新的一年,我們要認(rèn)真貫徹落實黨的十七屆六中全會精神,認(rèn)真履行“三定”職責(zé),加強(qiáng)溝通協(xié)調(diào),做好信息安全相關(guān)政策文件和會議精神的貫徹落實,加強(qiáng)國家信息安全戰(zhàn)略和標(biāo)準(zhǔn)研究制定,推動政府信息安全工作,推動工業(yè)控制系統(tǒng)信息安全管理,做好電子認(rèn)證服務(wù)行業(yè)監(jiān)管。重點做好以下四方面工作:
一是加強(qiáng)信息安全戰(zhàn)略和標(biāo)準(zhǔn)研究。組織好國家信息安全戰(zhàn)略的研究起草工作。加快云計算、物聯(lián)網(wǎng)、移動互聯(lián)等的安全標(biāo)準(zhǔn)研究制定。加強(qiáng)信息安全宣傳教育,提高廣大網(wǎng)民的安全意識和免疫能力。
二是加強(qiáng)政府信息安全管理。完善政府信息系統(tǒng)安全檢查工作體系,加強(qiáng)政府網(wǎng)站安全管理和專項檢查,推動政府信息系統(tǒng)和網(wǎng)站安全防護(hù)能力建設(shè)和提升。
三是強(qiáng)化工業(yè)控制系統(tǒng)安全管理。貫徹落實《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》要求,加強(qiáng)對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導(dǎo)監(jiān)督和安全檢查。
四是做好電子認(rèn)證服務(wù)行業(yè)監(jiān)管,推進(jìn)網(wǎng)絡(luò)信任環(huán)境建設(shè)。研究制定推進(jìn)網(wǎng)絡(luò)信任體系建設(shè)指導(dǎo)文件,貫徹落實《電子認(rèn)證服務(wù)業(yè)“十二五”發(fā)展規(guī)劃》,推廣電子簽名應(yīng)用。
