“棱鏡門”再次掀起了各國對國家信息安全和個人隱私保護的深層思考;趯Ξ斍靶畔踩l(fā)展形勢的研判,筆者認為,保障信息安全要著重從國家重點行業(yè)領域入手,尤其是電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)等國家基礎網(wǎng)絡和黨政專網(wǎng)等涉密信息系統(tǒng)以及能源、交通、金融等重要信息系統(tǒng)、關鍵工業(yè)控制系統(tǒng)等。大力提升其信息化水平,鼓勵和支持將信息安全產(chǎn)品和服務納入信息化建設預算,建立長期有效的信息安全保障機制。具體而言,提出4點建議:
一是加強對關鍵行業(yè)和領域信息安全調研。通過文檔審閱、脆弱性掃描、本地審計、現(xiàn)場觀測等形式,搜集信息安全現(xiàn)狀信息,準確評估安全風險。同時,從信息安全管理組織、信息安全風險管理、信息安全制度體系、信息安全審計監(jiān)督、人員信息安全控制、網(wǎng)絡安全控制等方面來調查和了解企業(yè)信息安全狀況,并根據(jù)企業(yè)信息化程度的不同以及信息安全保障能力的高低,鼓勵和支持企業(yè)制定差異化、針對性和可操作性較強的信息安全解決方案。
二是加快推進國內(nèi)關鍵行業(yè)領域企業(yè)信息系統(tǒng)的安全評估測試。在安全評估方面,主要針對企業(yè)主機安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復技術、網(wǎng)絡漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術,評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
在安全測試方面,針對企業(yè)信息系統(tǒng)的特征和需求,研究信息安全測評技術,提高信息安全缺陷發(fā)現(xiàn)率,重點加強測試環(huán)境的構造與仿真、有效性測試、負荷與性能測試等工作。同時,還要完善安全測評服務體系,不斷提升信息安全服務質量。
三是制定信息安全關鍵技術和重點產(chǎn)品研發(fā)計劃。針對當前制約信息安全產(chǎn)業(yè)發(fā)展的關鍵技術和重點產(chǎn)品,匯聚國家重要資源,制定信息安全關鍵技術和重點產(chǎn)品目錄,并引導企業(yè)和普通消費者擴大應用規(guī)模。突破一批信息安全核心技術,形成一批具有市場競爭力的產(chǎn)品,建立和推廣自主知識產(chǎn)權的標準規(guī)范,構建完整的信息安全產(chǎn)品體系和產(chǎn)業(yè)鏈。
四是加強企業(yè)信息基礎設施和重要信息系統(tǒng)建設,建設面向企業(yè)的信息安全專業(yè)服務平臺。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務;建設企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速、高效的信息安全咨詢、預警、應急處理等服務,實現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。