活動鏈接：2012年控制網(wǎng)技術專題---設備安全與信息安全攜手2012  

【來源：中國電子報】

   工業(yè)和信息化部信息安全協(xié)調司司長 趙澤良

   “認真履行‘三定’職責，做好信息安全相關政策文件和會議精神的貫徹落實，加強國家信息安全戰(zhàn)略和標準研究制定，推動政府信息安全工作，做好電子認證服務行業(yè)監(jiān)管。”

   根據(jù)國務院批準的“三定”規(guī)定，信息安全協(xié)調司的主要職責是，“協(xié)調國家信息安全保障體系建設；協(xié)調推進信息安全等級保護等基礎性工作；指導監(jiān)督政府部門、重點行業(yè)的重要信息系統(tǒng)與基礎信息網(wǎng)絡的安全保障工作；承擔信息安全應急協(xié)調工作，協(xié)調處理重大事件”。信息安全協(xié)調司認真履行“三定”職能，深入分析信息安全形勢，積極開展國家信息安全戰(zhàn)略、規(guī)劃研究，不斷完善政策標準，強化政府信息系統(tǒng)和工業(yè)控制系統(tǒng)安全管理，依法加強電子認證服務行業(yè)監(jiān)管，協(xié)調推進國家信息安全保障體系建設，維護國家信息安全。

   信息安全風險突出形勢更加復雜嚴峻

   當前，信息技術日新月異，網(wǎng)絡空間中的控制與反控制、竊密與反竊密斗爭日趨激烈，“震網(wǎng)”病毒、維基解密等凸顯了信息安全對國家安全的深刻影響。

   一、信息安全威脅危及生產安全

   2010年出現(xiàn)的“震網(wǎng)”病毒，借助移動存儲設備進入內部網(wǎng)絡，專門襲擊控制電力、化工等企業(yè)的“監(jiān)控與數(shù)據(jù)采集系統(tǒng)”(SCADA系統(tǒng))，攻擊了伊朗布什爾核電站等在內的全球4.5萬個系統(tǒng)。這標志著國家關鍵基礎設施和工業(yè)控制系統(tǒng)已成為網(wǎng)絡攻擊目標，信息安全直接影響工業(yè)安全和經(jīng)濟安全。據(jù)專業(yè)機構報道，多家國外廠商生產的工業(yè)控制系統(tǒng)產品存在高危漏洞，利用這些漏洞可對其進行遠程攻擊，且攻擊代碼已在互聯(lián)網(wǎng)上公開，這些產品在我國大量使用，安全隱患逐漸顯現(xiàn)，嚴重威脅重要行業(yè)運行安全、國家經(jīng)濟安全和人民生命財產安全。

   二、基礎信息網(wǎng)絡和重要信息系統(tǒng)安全風險突出

   隨著信息技術的發(fā)展，國家各個方面對網(wǎng)絡和信息系統(tǒng)的依賴性持續(xù)增強，網(wǎng)絡和信息系統(tǒng)已經(jīng)成為政府部門履行職能的有力支撐，成為金融、能源、交通、通信、現(xiàn)代制造等行業(yè)的神經(jīng)中樞，大量企業(yè)也在依托網(wǎng)絡開展生產經(jīng)營，信息網(wǎng)絡系統(tǒng)的安全將會影響國家經(jīng)濟正常運行。我國基礎設施、重要系統(tǒng)的關鍵技術、產品、服務依賴于人，安全可控問題日益凸顯，防護建設和管理沒有得到應有重視，安全狀況不容樂觀。

   三、信息安全問題對國民經(jīng)濟發(fā)展和公眾利益的影響越來越大

   隨著我國電子政務、電子商務等信息化工程的不斷推進，網(wǎng)絡上積累的敏感數(shù)據(jù)越來越多，流失風險越來越大。金融、通信、能源、交通、國防軍工等大型企業(yè)上市、兼并重組、信用評級、檢查認證等過程中，都可能造成敏感經(jīng)濟信息、國家基礎數(shù)據(jù)和用戶個人信息的流失和泄漏。一些機構企業(yè)通過信息網(wǎng)絡收集并掌握著大量經(jīng)濟社會重要數(shù)據(jù)，越來越多的IT企業(yè)具有大面積控制用戶計算機的能力，如果管理不到位，都會削弱政府對經(jīng)濟、市場調控能力，影響國家經(jīng)濟安全和公眾利益。

   四、新技術新應用帶來了新的信息安全挑戰(zhàn)

   移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術的發(fā)展，在推動科技進步的同時，也帶來了新的信息安全問題。例如，用戶在使用云計算提高資源利用率的同時，也面臨對數(shù)據(jù)失去掌控權的風險。物聯(lián)網(wǎng)的發(fā)展使虛擬網(wǎng)絡空間與現(xiàn)實物理世界聯(lián)系更加緊密，通過網(wǎng)絡干擾或者攻擊現(xiàn)實世界的風險也變得更大。移動互聯(lián)網(wǎng)的迅速發(fā)展，個人信息保護問題將更加突出。

   認真履行三定職能協(xié)調推進各項工作

   2011年，我司落實部黨組的工作要求，認真履行“三定”職能，圍繞年度工作重點，積極協(xié)調推動各項工作。

   一、加強信息安全戰(zhàn)略、規(guī)劃和標準研究

   一是在深入分析國際國內信息安全形勢的基礎上，認真開展信息安全重大問題和國家信息安全戰(zhàn)略研究。二是在廣泛調研，充分聽取信息安全相關主管部門、院士專家、地方和企業(yè)意見建議的基礎上，起草了國家信息安全“十二五”規(guī)劃，印發(fā)了《電子認證服務業(yè)“十二五”發(fā)展規(guī)劃》。三是結合信息安全保障重點工作，組織起草了政府信息安全管理基本要求、政府網(wǎng)站安全技術要求、政府網(wǎng)站安全管理要求和個人信息保護指南等急需的標準規(guī)范。

   二、強化政府信息安全管理

   一是根據(jù)《國務院辦公廳關于印發(fā)〈政府信息系統(tǒng)安全檢查辦法〉的通知》的要求，指導中央國家機關開展政府信息系統(tǒng)安全檢查，組織專業(yè)技術隊伍對國務院部門的信息系統(tǒng)(或網(wǎng)站)進行了安全抽查。二是組織上海、江蘇、浙江、云南、黑龍江等省市開展了政府信息系統(tǒng)安全保障試點工作。三是組織國家專業(yè)技術隊伍對國務院部門門戶網(wǎng)站進行了日常安全監(jiān)測，及時發(fā)出安全風險提示。

   三、加強工控系統(tǒng)安全管理

   在深入分析工業(yè)控制系統(tǒng)面臨的安全風險，認真研究加強工業(yè)控制系統(tǒng)安全管理的工作措施的基礎上，起草了加強工業(yè)控制系統(tǒng)信息安全管理的工作文件，報請國務院同意后，以我部名義印發(fā)了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)，并于11月下旬組織召開了地方信息安全工作會議，對文件的貫徹落實做出部署安排。

  四、依法加強電子認證服務行業(yè)監(jiān)管

   根據(jù)《電子認證服務管理辦法》及換證審查工作流程，組織專業(yè)隊伍，完成了6家電子認證服務機構電子認證服務許可證的換證審核工作。并按照《電子簽名法》有關規(guī)定，依據(jù)天津市工商行政主管部門對天津遠博網(wǎng)絡有限公司抽逃注冊資金的認定，依法吊銷了該公司的電子認證服務許可證。

   2012年工作基本思路

   在新的一年，我們要認真貫徹落實黨的十七屆六中全會精神，認真履行“三定”職責，加強溝通協(xié)調，做好信息安全相關政策文件和會議精神的貫徹落實，加強國家信息安全戰(zhàn)略和標準研究制定，推動政府信息安全工作，推動工業(yè)控制系統(tǒng)信息安全管理，做好電子認證服務行業(yè)監(jiān)管。重點做好以下四方面工作：

   一是加強信息安全戰(zhàn)略和標準研究。組織好國家信息安全戰(zhàn)略的研究起草工作。加快云計算、物聯(lián)網(wǎng)、移動互聯(lián)等的安全標準研究制定。加強信息安全宣傳教育，提高廣大網(wǎng)民的安全意識和免疫能力。

   二是加強政府信息安全管理。完善政府信息系統(tǒng)安全檢查工作體系，加強政府網(wǎng)站安全管理和專項檢查，推動政府信息系統(tǒng)和網(wǎng)站安全防護能力建設和提升。

   三是強化工業(yè)控制系統(tǒng)安全管理。貫徹落實《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要求，加強對重點領域工業(yè)控制系統(tǒng)信息安全管理工作的指導監(jiān)督和安全檢查。

   四是做好電子認證服務行業(yè)監(jiān)管，推進網(wǎng)絡信任環(huán)境建設。研究制定推進網(wǎng)絡信任體系建設指導文件，貫徹落實《電子認證服務業(yè)“十二五”發(fā)展規(guī)劃》，推廣電子簽名應用。