基于对当前信息安全发展形势的分析和判断,个人认为保障国家信息安全和个人隐私要着重从国家各重点行业领域企业入手,尤其是涉及电信网、广播电视网和互联网等国家基础网络党政专网等涉密信息系统,以及电力、能源、交通、金融等涉及国计民生的重要信息系统、关键工业控制系统等领域的重点企业。大力提升这些企业的信息化水平,并且要鼓励和支持将信息安全产品和服务纳入信息化建设预算,要建立长期有效的信息安全保障机制。具体而言,有以下几点建议:
一是加强对国内关键行业领域企业信息安全情况的调研。
通过信息网络安全风险评估实现对企业信息安全现状信息收集,采用的手段包括文档审阅、脆弱性扫描、本地审计、现场观测、人员访谈、座谈研究、问卷采集、资料收集等。
同时,从信息安全管理组织、信息安全风险管理、信息安全制度体系、信息安全审计监督、人员信息安全控制、第三方访问安全控制、系统安全建设控制、系统运维安全控制、物理和环境安全控制、网络安全控制、操作系统和数据库与基础信息系统安全控制、应用系统安全控制、桌面安全控制等方面来调查和了解企业信息安全状况,并根据企业信息化程度的不同以及信息安全保障能力的高低,鼓励和支持企业制定差异化、针对性和可操作性较强的信息安全解决方案。
二是加快推进国内关键行业领域企业信息系统的安全评估和测试工作。
在安全评估方面,主要针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
在安全测试方面,针对企业信息系统的特征和需求,研究信息安全测评技术,提高信息安全缺陷发现率,重点加强测试环境的构造与仿真、有效性测试、负荷与性能测试、渗透测试、故障测试、一致性与兼容性测试等工作。同时,还要完善安全测评服务体系,不断提升信息安全服务质量。
三是制定国内信息安全关键技术和重点产品研发计划。
针对当前制约我国信息安全产业发展的关键技术和重点产品,有效汇聚国家重要资源,制定信息安全关键技术和重点产品目录,并积极引导企业和普通消费用户扩大应用规模。通过突破一批信息安全核心技术,形成一批具有市场竞争力的产品,建立和推广自主知识产权的标准规范,从而构建完整的信息安全产品体系和产业链。
四是加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。
重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,包括脆弱性漏洞库、安全事件检测库、软件补丁库、恶意代码库、标准信息库等,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,切实提高信息安全保障能力。(作者:韩健)