购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络空间安全基础范文

网络空间安全基础精选(九篇)

网络空间安全基础

第1篇:网络空间安全基础范文

网络作为一个国家重要的基础设施,和领土、领海、领空一样已经成为国家不可分割的部分。为了维护网络空间安全,加强网络空间安全战略规划和部署已经成为国际社会的共识。美国是计算机网络的发源地,也是最早从国家战略层面关注网络安全的国家。1998年5月,克林顿政府《克林顿政府对关键基础设施保护的政策》,提出美国必须具备对关键基础设施进行保护的能力;2001年10月,布什政府《信息时代的关键基础设施保护》行政令,宣布成立“总统关键基础设施保护委员会”,负责国家网络空间安全工作;2003年2月,布什政府《保护网络空间的国家战略》,将保护网络空间安全上升为国家战略;2008年1月,布什政府《国家网络安全综合纲领》,将网络空间战略全面升级为防御与攻击相结合的综合行动;2011年5月,奥巴马签署《网络空间国际战略》,目标是建造一个“开放、互通、安全和可靠”的网络空间。这一系列的政策,对美国网络安全体系的建立产生了重大而深远的影响。俄罗斯、法国、德国和欧盟在网络空间安全方面,也出台了一系列的政策。

1995年,俄罗斯宪法首次把网络信息安全纳入国家安全管理范围,颁布了《联邦信息、信息化和信息网络保护法》。2013年8月,俄罗斯联邦安全局在网上公布了《俄联邦关键网络基础设施安全》草案,提出了建立国家网络安全防护系统、建立联邦级计算机事故协调中心等建议。2008年7月,法国参议院公布了《网络防御与国家安全》专题报告,明确提出网络信息安全已成为法国国家安全不可分割的组成部分。2011年2月,德国颁布了《德国网络安全战略》,提出重点保护关键信息基础设施等十大战略举措。2013年2月,欧盟颁布了《网络安全战略:公开、安全和可靠的网络空间》,提出了保护网络空间安全的五项战略重点。目前,世界上已有50多个国家相继出台了各自的网络安全战略。我国已经成为网络应用大国,但至今缺少战略层面上的网络空间安全政策和规划,这严重影响了我国网络空间安全体系的建设,制约了我国网络安全技术的发展和网络安全防御能力的提升。党的十报告提出了要“高度关注海洋、太空、网络空间安全”,2014年2月27日,中央网络安全和信息化领导小组正式成立,这些都表明我国政府已经认识到网络空间安全在国家安全中的重要地位和作用。制定和实施网络空间安全战略,是一个涉及多部门、多领域的系统工程,需要一定的时间和逐步完善的过程,这项工作应当尽早启动。

二、完善保护网络基础设施的法律和法规

程序是为完成特定的任务用计算机语言编写的相关指令集合,是计算机运行的基础,计算机的每一步操作都是由程序控制的。除了软件外,微处理器等硬件设备中也含有程序代码。由于程序是由人编写的,其中都会存在一些系统“缺陷”,如由于考虑不周而出现的系统“漏洞”和人为编写的木马、后门等。这些系统“缺陷”经常被人用来实施网络入侵和网络攻击,是威胁网络安全的重要因素。由于国外大多数计算机产品中的代码都是不公开的(如微软的Windows),我们根本无法知道这些产品是不是百分之百的安全。只要在网络系统中使用国外的设备和产品,其安全性必定要大打折扣。经过几十年的发展,我们在IT领域已经有了不少具备一定市场竞争力的企业,它们提供的服务和产品,基本能够满足我国网络信息系统建设的要求。例如,华为和中兴通讯已经发展成为网络和通讯设备领域极具竞争力的企业,其产品远销世界多个国家和地区。据华为年报显示,2013年华为全球销售收入达2390亿元,净利润210亿元,其中65%的收入来自海外市场。联想、曙光、浪潮等企业生产的国产服务器也同样具备了较强的市场竞争力。

数据显示,2012年上半年,在全球服务器销售量排名中,联想以11.8%的份额位居第四,曙光以8.5%位居第五,浪潮以6.4%位居第六。由于过分追求设备的品牌和性能,加上网络安全意识不强,政府和企业热衷于采购国外的产品,造成在我国网络信息系统建设中大量使用国外的技术和产品。据统计,IBM在中国服务器市场的份额连续15年稳居第一,思科的网络设备依然占中国电信163骨干网约70%以上的份额。大量使用国外的技术和产品,使我国的网络系统极易遭到来自海外的监控、渗透和攻击。要改变在网络信息系统建设中“崇洋”的现状,除了要不断提高全民的网络安全意识外,必须制定相关的法律法规来规范网络设备的采购行为。目前,我国先后颁布了多部与网络信息安全有关的法律法规,但至今缺少一部专门的“网络基础设施安全保护法”。尽管在《中华人民共和国政府采购法》中规定政府采购应当优先采购本国货物、工程和服务,但由于这并非强制性的规定,所以在具体实施过程中,并没有得到很好的执行。为此,必须进一步建立和完善网络设备采购和管理方面的法律法规,以此来规范政府和企业的采购行为,促使政府和企业在今后的网络信息系统建设工程中,真正做到优先选择国产的成熟产品,以确保从源头上保障国家网络信息系统的安全。

三、加大IT核心技术和产品创新力度

网络系统由计算机硬件、网络设备和各种软件所组成,其中核心技术和关键产品,是支撑网络系统正常运行的基础,他们对网络系统安全有着至关重要的作用和影响。然而,在涉及网络信息安全的核心芯片、关键部件和基础软件等方面,我们至今还缺乏有竞争力的产品。中央处理器(CPU)是计算机的运算和控制中心,负责数据的加工和处理,是计算机和服务器的“心脏”。目前,CPU市场主要被美国的英特尔、IBM和摩托罗拉等企业所垄断。为了摆脱对国外CPU的严重依赖,中国科学院计算所从2001年开始了“龙芯”系列通用CPU的研制工作,先后完成“龙芯”1号、2号、3A、3B、2F等通用CPU的设计和生产。此外,上海高性能集成电路设计中心的“申威”、浙江大学的C-CORE等自主研发的CPU都已进入国内市场。但由于这些国产CPU在整体性能、半导体生产工艺等方面与国际主流CPU产品相比还存在较大的差距,所以至今还无法实现大规模的商业化应用。操作系统是管理计算机软硬件资源,为用户提供交互操作界面的系统软件,是计算机中最重要的软件。目前,主流的操作系统,如Windows、Unix、Linux等都是国外的产品。为打破国外操作系统的垄断,从1999年开始,国内多家研究机构和企业开始国产操作系统的研发。

中软、中科红旗等企业在国外Linux基础上,先后了各自的国产Linux操作系统。2014年,中国科学院软件研究所了具有自主知识产权的操作系统COS,该系统可用于个人电脑、智能终端等多个领域。但是,已进入市场的国产操作系统其基础都来源于国外的Linux系统,且性能与主流操作系统还存在较大的差距。具有自主知识产权的操作系统COS其性能和应用还有待市场的检验。数据库是用于存储和管理数据的系统软件,用于构建网络信息系统的数据中心。目前,全球的数据库市场一直被美国的企业所垄断,仅微软的SQLServer和甲骨文的Oracle就占据了全球数据库市场大部分的份额。计算机语言是编程的基础,目前,所有的计算机语言,如VisualBasic、Vis-ualC++、Delphi、Java、ASP、JSP等都是国外的产品。缺少核心技术,网络安全就失去了根基。使用国外的技术,我们心中总有一种不踏实感,这些技术中有多少不为人知的秘密,我们无从知晓。正是这些不为人知的秘密,给我国的网络安全留下了重大的隐患。只有当我们的核心技术、重要产品和关键设备不再受制于人时,我们才有能力和实力来构建安全、稳定、可靠的网络空间。而要实现这一目标,加强技术创新是唯一的途径。

四、把握下一代互联网发展新机遇

第一代互联网起源于美国,互联网在全球的普及给美国带来了巨大利益和持续的发展,也确保了美国对互联网的控制权。随着互联网规模的不断扩大和业务需求的不断增长,互联网发展遇到了新的挑战,尤其是IP地址严重不足,已经成为制约互联网发展的重要瓶颈。以美国为首的发达国家,在上世纪末就开始了下一代互联网技术的研究,并相继出台了各自的发展计划。下一代互联网不仅在性能上将得到很大提升,而且由于其IP地址的长度是现有互联网技术标准的四倍,所以可以彻底解决IP地址资源不足的问题。不仅如此,作为新一代互联网技术,其配套的软硬件都将发生改变,这给除美国之外的其它国家带来了打破现有网络格局的机会,也为我国实现网络技术的跨越式发展提供了难得的机遇。2002年8月,由国家发展改革委员会牵头的8家单位组建了“下一代互联网发展战略研究专家委员会”,并于2003年启动了“中国下一代互联网示范工程”(简称CNGI)。从2003年工程启动至今,CNGI取得了一系列重大成果,建成了包括6个主干网、2个交换中心、273个驻地网的下一代互联网示范网络,初步制定了较完善的下一代互联网技术标准,加速了核心设备国产化的进程,增强了自主创新能力。

目前,我国的下一代互联网发展还存在一些不足,表现在核心芯片和基础软件还没有得到实质性的突破,设备制造、软件开发等产业链尚未形成,下一代互联网国际标准还未获得国际认可。这些问题若得不到很好的解决,将严重影响我国下一代互联网的建设和发展,也无法从根本上解决我国下一代互联网的安全问题。为此,我们要做好以下几方面的工作。一是在网络核心技术方面要有新突破。在下一代互联网络技术领域,我们要重点加强对网络核心技术和产品的研究和开发,争取在核心芯片、基础软件、技术标准、安全防御与监控等领域有新的突破。二是加强基于下一代互联网域名系统的建设和部署。根域名服务器承担着全球顶级域名的管理工作,它可以控制某个顶级域名(如CN)下的网站能否正确访问。目前,全球仅有的13个根域名服务器,美国有10个,英国、瑞典、日本各1个。为满足下一代互联网的技术要求,根域名服务器将随之扩充和调整,这为我们建立自己的根域名服务器提供了难得的机遇,我们要把握好这次机会。三是积极开展国际交流与合作。通过国际交流与合作,我们可以时刻关注国外下一代互联网技术的最新发展动态,保证我国下一代互联网发展与国际同步。此外,加强国际交流与合作,我们才有更多的机会参与下一代互联网核心技术的国际标准制定工作。

五、结语

第2篇:网络空间安全基础范文

清晰的战略布局来源于对历史与现实的全面掌握和科学分析。我国网络与信息安全形势总体平稳。国家信息化建设高速健康发展,工业化与信息化融合发展强力推进,网络与信息安全领域各项重要工作全面展开,重要信息系统和基础信息网络运行情况良好,网络舆论环境不断得到治理,自主可控和产业创新的生态环境逐步形成。特别是中央网络安全与信息化领导小组的成立,标志着我国网络与信息安全战略布局取得了根本性的成果,成为我国网络与信息安全建设跨入全新阶段的里程碑。与此同时,我们也要清醒地看到,在复杂多变的国际形势和网络空间威慑凸显的大环境下,我国的网络与信息安全面临更严峻的挑战,一方面,各种传统的信息安全矛盾和威胁依然存在;另一方面,以网络空间为代表的非传统信息安全又呈现出许多新情况、新问题。

1.从战略层面看,我国网络与信息安全的战略地位与现实状况的矛盾仍然突出

网络与信息安全管理理念比较传统和狭隘,与信息化发展水平和安全防护的现实要求有比较明显的差距,有不断提升和科学化的较大空间;现有对国家基础信息网络和重要信息系统的保护范围已显狭小,一些涉及国计民生和关系到国家安全的重要资产尚未列入保护对像,对保护目标和优先保护级别的确认还存在差距;国家网络与信息安全战略布局和顶层协调工作还有待进一步完善,行业网络与信息安全领导管理体制尚需进一步理顺;网络与信息安全的监督制约机制还不够健全,紧密有效的军地协同、军民一体的合作体系尚未建立;网络与信息安全发展战略研究尚存不足,相关制度的出台也略显迟缓,网络与信息安全法律法规结构比较单一,基础信息网络和重要信息系统运营单位的安全保障法律责任尚不明确。

2.从操作层面看,我国基础信息网络和重要信息系统安全仍存在不容忽视的薄弱环节

基层单位网络安全意识与防护能力不强,防护体系上存在软肋,行业应急能力、韧性(弹性)恢复力以及工业控制系统的防护能力不足,与互联网络接口边界的防护能力不强;核心设备自主可控程度不高,核心技术、基础资源受制于人,审计评估、外包服务依赖外资企业等情况比较普遍;行业的安全态势感知和预警系统尚未形成跨系统跨部门的联动,未建设综合外部监控与态势感知平台,国家层面的态势感知、预警研究与综合分析尚未建成;军队缺乏利用人才、技术等优势资源对关键基础设施相关部门和行业提供支持的常规渠道;尚未构筑起国家针对APT攻击等大规模、高强度、长时期的网络攻击行为的技术防御体系。具体来说:

(1)关键基础设施网络与信息安全防护尚存差距。

我国不仅在关键基础设施网络与信息保护机制方面存在明显差距,而且在防护技术及手段上存在相当多的问题。比如,网络结构方面存在一些安全隐患;关键节点可能存在单点故障;不同安全等级的应用服务器未放置在相应安全域中,未做相应访问限制;网络安全设备配置存在安全隐患;部分安全设备的策略开放权限过大;部分安全设备使用Telnet远程管理,并未采用SSH等安全加密的方式进行远程管理等。

(2)工业控制系统安全防护能力不足。

面对现实或潜在的IP攻击威胁,我国工业控制系统信息安全防护还比较薄弱和不健全:一是关键资产底数不清。我国工业控制系统应用和部署在多个条块分割的垂直体系中,哪些资产和多少资产应列为国家重点防护对象,底数不清。二是漏洞与威胁情况不明。国家尚未建立工业控制系统漏洞挖掘、脆弱性分析和威胁监测等工作体系。三是关键防护技术开发滞后。大面积采用无线方式进行组网,但又缺乏相应密码技术的保护。四是安全防护各自为战。不同领域的工业控制系统关系紧密,但安全防护并没有作为相对独立的领域进行建设。五是缺乏社会力量后援。工业控制系统安全防护缺乏科研院所、大专院校乃至公众的后援。六是缺乏网络空间对抗准备。工业控制系统的部署方式缺乏对抗意识,要害部位没有针对网络空间作战要求进行设防。

(3)核心技术受制于人,关键产品自主可控能力较弱。

我国核心网络信息技术和关键信息产品长期处于跟随国外发展,大量接受进口的状态,对进口网络信息技术和产品的安全性准入门槛较低,国家关键信息基础设施的核心软硬件产品供应链安全底数不清、普遍存在难以自主可控的问题,核心技术、关键产品和运维服务受制于人、受控于人的情况相当严重,在众多的网络与信息安全事件中,漏洞(后门)的存在和被恶意利用是主要原因,已成为一个网络与信息安全带有根本性的问题。

(4)可信网络建设滞后。

可信网络建设是推动互联网商务应用的基础条件,也是网络与信息安全的重要环节。我国在构建国家可信网络上缺乏整体战略,尚无明确的构建国家可信网络空间的规划与构想,在可信技术研发、标准制定等方面也存在投入不够的问题,在CP备案信息、域名注册信息、身份认证信息等数据相互综合验证方面没有统一的规划与实施策略。

(5)网络监控和预警方面尚存较大差距。

建设强大的网络空间防御体系,有赖于完备的技术设施强力支撑。而我国目前的现实是,一方面信息技术高速发展,信息网络广泛用;而作为一个铜板另一面的网络空间安全却缺乏相应的软硬件的支撑。没有支撑服务设施建设的总体设计,缺乏网络安全监控的核心技术,特别是对大量加密数据的解析技术;尚未建立国家网络安全对抗试验环境;缺乏对信息网络新技术、新应用、新服务产生的安全问题深入、系统的研究。

(6)防御能力不足以抵御APT攻击行为。

网络与信息安全防御体系建设不能停留在对非战争时期的黑客防范的低水平上,而应着眼于国家与国家之间的对抗与制衡,着力提升应对高强度持续性的攻击行为上。相比之下,我国网络安全防护体系建设更显紧迫。

(7)信息安全产业发展规模差强人意。

我国信息安全产业缺乏明确有效的投融资政策和政府采购政策,没有形成鼓励企业创新、鼓励使用自主可控技术、产品的生态环境。尤其是信息安全产品市场缺乏有效合理监管、企业竞争力普遍薄弱,自主研发能力不足、信息安全服务需求尚未被有效拉动。目前我国信息安全产业规模仅保持在一百多亿元水平,很少有产值超过10亿元的信息安全骨干企业,这与国家信息化建设每年几万亿元的投入规模严重不匹配。近年来,国际信息安全产业界加快兼并和重组的趋势明显,大企业优势和力量更为突出。我国在国际信息安全领域的产业竞争中差距进一步拉大。

(8)法律法规层次较低,结构单一。

我国信息安全尚未形成法制体系。虽然各种规章很多,但大部分是以条例、管理办法及部门规章的形态示人,缺乏系统性和权威性。

二、我国网络与信息安全战略的架构

战略问题具有复杂性、综合性和关联性。开发和制定我国国家网络与信息安全战略,应考虑如下几个要素:第一,要体现对更高标准的追求,对过去以及现实网络与信息安全状况的不断超越,对已知困难与问题的持续解决与克服,对发展愿景与工作成功充满信心的科学预测与表述。第二,要具备实现战略规划的现实方案和行动指南。第三,要有实现目标的中期、长期规划与时间节点。第四,要具有可以复制成功与创造成功的蓝图。第五,要构建竞争对手难以逾越与模仿的机理。第六,要形成不断超越自我、突破贯性的内在动力支撑。由此推论,我国网络与信息安全战略在内容上应是一个全覆盖的战略,而不能仅仅是关注网络系统安全或仅仅涉及信息内容安全。笔者认为,我国网络与信息安全战略的架构可做如下描述:

1.总论部分

指导思想是,以科学发展观和整体安全观统领网络与信息安全建设全局。宏观目标是,坚持以社会主义经济建设为中心,以国家整体安全为基点,走出一条具有中国特色的网络与信息安全发展之路。工作方针是,贯彻“积极防御、综合防范,趋利避害、安全可控,国际合作、维护”的方针,全面布局、突出重点,立足现实、着眼长远,以我为主、创新超越。根本功能是,服务于社会和谐,服务于经济发展,服务于科技进步,服务于文化繁荣,服务于国防安全。

2.行动策略

信息是国家发展的重要战略资源和核心要素。网络与信息安全事关国家根本利益,从经济发展、社会稳定、国家安全、公众利益的高度,把网络与信息安全作为我国的一项基本国策。做到八个坚持,即:①坚持科学布局、综合协调,实现信息化与网络与信息安全同步规划、同步建设、同步运行,以安全促发展,以发展求安全;②坚持自主创新、安全可控,机制建设与科技发展并重;③坚持统筹兼顾、突出重点,确保关系国计民生的关键信息基础设施安全运行;④坚持科学管理、依法行政,建立健全网络与信息安全法律法规体系,完善安全管理体系;⑤坚持以人为本,民生为重,用户安全至上,充分实现用户信息的安全存储、使用和公民个人的隐私保护;⑥坚持军民一体、平战结合,增强网络空间积极防御能力;⑦坚持国际合作,互惠互利,提升我国在世界网络与信息安全领域的影响力;⑧坚持统一领导,各负其责,建立适合中国国情的网络与信息安全组织管理和责任体系。

3.实现目标

(1)总体目标是,深刻认识和准确把握我国网络与信息安全的规律和特点,在加速推进信息化建设的过程中,开拓进取、创新发展,实现网络与信息安全建设和发展的系统化、体系化,推动信息安全与领土安全、领空安全、领海安全、太空安全同步发展,构建我国网络与信息安全保障新体系,最大限度地控制和化解对国家安全、公民权益、网络环境造成的危害与风险,维护社会安定,建立信息秩序,推动全面进步。(2)具体目标是,经过5至10年的努力:——建成比较系统完善的网络与信息安全法规和标准规范体系,为网络与信息安全提供良好的法制环境、社会条件和技术规范基础,形成我国网络与信息安全可持续发展的能力;——建成有较强创新能力的产、学、研、用相结合的网络与信息安全产业体系,形成我国关键网络信息技术、产品、服务的自主研发、安全可控能力;——建成科学合理的等级保护和分级保护信息安全保障体系,保证要素完备全面、标准规范科学合理、管理机制顺畅、防护措施有效,形成对关键信息基础设施、重要信息系统和重要信息秘密的全面保护能力;——建成权威高效的网络信息安全产品测评认证、信息技术产品/系统安全性分析评估和重要信息系统安全检查体系,形成重要信息系统和基础信息网络的安全服务保障和监督检查能力;——建成多层次的网络与信息安全专业队伍和专门人才培养体系,形成雄厚的信息安全人力支撑保障能力;——建成高可信度的网络信息安全态势感知、综合预警的网络空间积极防御体系,形成军地协同、机制高效、平战结合的安全防御、运维管理、应急处置、灾难恢复、网络净化、打击犯罪和舆情导控、攻击反制的综合保障能力。把我国建设成为世界网络信息安全强国,满足经济建设对网络信息安全的需求,满足国防军事对网络信息安全的需求,满足党、政府、军队和广大人民群众对网络信息安全的需求,为维护国家和人民的根本利益,为实现小康社会的宏伟目标做出积极贡献。

4.中国特色

在表述我国网络与信息安全战略时,完全可以提出“中国特色网络与信息安全”概念。至少以下六个方面构成了中国特色的基本内容:一是互联网应用广泛,网民众多,但是,网民素质参差不齐,安全意识和IT技能普遍不高。二是互联网应用水平较低,互联网的巨大优势没有得到充分发挥。三是国内信息化发展迅速,但东西部地区发展不平衡。四是新技术新应用新服务大量出现,与安全保障机制滞后形成鲜明反差。五是关键技术依赖进口,缺少核心竞争力。虽然,互联网在我国已经成为经济、社会的命脉,但基础信息网络和重要信息系统使用的关键技术和大型应用软件主要依赖进口,高端服务只能由国外企业提供,本国的产品和服务很少。不掌握互联网基础资源,根域名服务器没有实现共同管理。六是我国成为美国炒作黑客的主要靶子。美国可以大摇大摆设立网络战司令部,建立网络部队,开展网络演习,而我们却要疲于应付各种中国网络的攻讦。即使美国在“棱镜计划”曝光,成为千夫所指的尴尬时刻,他们仍然喋喋不休、颐指气使地指责中国对他们进行了所谓的网络攻击和窃密活动。这其中的原由是,中国与西方国家分属不同的意识形态阵营,在他们眼里,中国黑客已然是中国的一部分。另外,客观上我国的网络与信息安全防护水平不高,很容易被别人作为跳板实施攻击,也是原因之一。

三、我国网络与信息安全战略的主要内容

1.确立网络与信息安全在国家安全战略中的关键性地位

在国家安全委员会第一次会议上,全面论述我国总体安全观,并提出了包括信息安全在内的十一种安全,明确指出网络与信息安全是国家和军队整体安全的基础条件。没有网络与信息安全,就没有真正意义上的政治、经济、社会和国防安全。世界发达国家普遍将网络与信息安全列为国家安全的主要内容,作为政府和军队优先考虑和处理的战略问题。我们要深刻领会和贯彻的讲话精神,站在战略的高度,把握信息网络安全与维护国家安全、稳定、发展的内在规律,坚持以安全促发展,在发展中求安全。一是在指导思想上,将网络与信息安全确定为我国我军的一项基本国策。建议在政府、军委或总部重要文件或党和国家领导人的讲话(批示)中对此予以明确,在全党全国全军强化网络与信息安全是国家安全战略重要组成部分、处于关键地位的理念,并以此推动我国信息化建设和网络与信息安全领域的全面发展。二是在战略规划上,以建设中国特色的网络与信息安全体系为重点,牵引信息安全产业发展。要以当年抓“两弹一星”的战略决心,统一组织,密切协同,基本建成体系完备、构架合理、军民融合、攻防兼备的、具有中国特色的网络与信息安全体系。三是在工作部署上,抓好网络与信息安全各要素的建设。第一,进一步加大网络与信息安全领域经费投入和产业政策扶持力度,促进安全产业与信息化同步发展;第二,突出网络信息安全技术支撑平台建设,在网络安全态势感知和预警、互联网加密信息获取和破译、关键信息产品安全性检测能力等方面,建设一批设备齐全、力量充沛、技术高超的支撑平台。第三,加强网络与信息安全专业队伍建设。形成“国家队”与“地方队”相配合、“专控队伍”与“行业队伍”互补,“网络作战部队”与“网络技术队伍”结合的技术保障力量。

2.建立网络与信息安全法律法规体系

一是加快出台具有中国的网络与信息安全母法或基本法律,加快制定并公布我国网络与信息安全战略。二是着手对我国网络与信息安全法律体系进行全面规划与设计。三是营造文明、“绿色”、安全的互联网环境。四是逐步开展各类涉网专门法规的制定工作。五是高度重视信用管理、安全认证、电子交易、移动支付、信息资源管理等法律研究。推动网络仲裁、网络公证等法律服务与保障体系建设。六是进一步统一军队网络行为规范,加快出台我军网络作战相关条例。七是加强网络与信息安全执法队伍建设。建立权责明确、行为规范、监督有效、保障有力的执法体系,依法管理信息安全和网络空间秩序,逐步形成规范有序的网络与信息安全法制环境和责任体系,明确社会各方保障信息安全的责任和义务,依法规范各部门的职责。八是抓紧制定针对网络犯罪的法律规定。尽快出台包括刑事立法,网络执法,打击网络恐怖主义等法律法规。

3.确保包括工业控制系统在内的关键信息基础设施安全

网络与信息安全保障的重点是各行业核心业务应用的连续性,数据的保密性、完整性和可用性。一是确保基础网络设施建设和发展与国家安全需求相一致。切实做好公共电信网、互联网和广播电视网的安全保障。二是实行分类和分级的管理策略。从核心业务的重要性和相互依赖性角度,将关键基础设施进一步划分为核心关键基础设施和一般关键基础设施两个级别。实施“一大一小”战略,“一大”,即充分利用新一代互联网技术应用的契机,研究并逐步实施可信、可控、自主的关键基础设施信息网络运行环境,实现非战争时期的信息系统有序管理和安全可控。“一小”,即建立我国关键基础设施核心保护名单,在极端情况下全力保证涉及国家安危的重要设施信息网络的安全可控。三是加强工控系统安全防护技术体系建设。切实保障核设施、电力系统、石油石化、航空航天、交通运输、城市设施等重要领域工业控制系统的安全防护和管理。四是严格无线组网、远程通信管理,采取技术手段防止非法侵入。五是严格工业控制系统安全管理,对工业控制系统连接公共网络、工业控制系统产品采购与升级等提出安全要求。六是建立工业控制系统产品安全测评制度。严格产品安全性准入标准,严格产品采购管理,加强关键环节的安全检测评估。

4.营造和谐规范的互联网秩序

一是制定科学的互联网管理原则。坚持“言论自由,隐私保护”的原则,充分发挥互联网反应民情民意的窗口作用。但基本条件是,不以危害公共安全和破坏国家法律为前提。坚持“行为自律,依法治网”的原则,每个公民的网络行为都应自觉遵守基本的道德规范,遵守社会的法律秩序。坚持“舆情分析,宣传引导”的原则,科学分析和准确把握网络舆论的是非曲直,倡导文明的、负责任的网络言论行为,把有害信息传播降低到最小程度。二是建立互联网舆论工作机制。重视网络宣传引导工作,把引导网上舆论作为重要任务,形成权威有效的舆论引导机制,主动权威信息,及时回应舆论热点,满足公众知情权。重视应对境外网上舆论工作,坚决揭露批驳境外敌对势力的恶意攻击和造谣污蔑。完善网站新闻信息审核制度,时政类论坛严格实行版主实名并报网络文化信息服务行业主管部门备案。三是加强网络舆情应对体系建设。加强互联网信息服务业安全管理,重视对网络新业务、新兴社交网站的安全评估,针对可能出现的安全隐患,及时制订管理措施。建立网络舆情的快速反应机制。跟踪监控网络舆情的发展是突发事件善后舆论引导的关键。突发事件发生后,要能够快速反应,主动应对,一旦出现不实传言、谣言,迅速做出研判,连续不断提供原始权威信息。四是加强各级网络舆情系统网站的建设。主动利用各级办公系统网站,方便快捷地与群众沟通,及时公布群众迫切关注的问题。完善快速协同机制,各省市地县联手对网络舆情进行研判,随时监控网络舆情动态,积极引导。让人民群众善待网络,善用网络。五是严厉打击各种网络犯罪活动。有效治理网络上的反动宣传、迷信活动、网络和信息等违法犯罪活动。加强防范网络犯罪技术手段建设,建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪机制。对恶意散布高危病毒、木马的行为要严查严打并采取技术手段查杀。

5.强化重要信息内容安全保密

加快推进信息安全保密基础设施建设,落实信息系统分级保护制度,规范信息系统使用管理,严格信息系统立项审批和联合审查制度。要加强信息传输安全性技术研究,加大对通信密码技术的适应性研究和密钥管理技术的研究,确定保密防范技术攻研的重点,完善保密防范技术研究开发和推广应用政策措施。同时,切实落实各项信息保密制度措施。加强保密教育和保密检查,加强网络安全巡查,强化网络反窃密技术安全检查,加强互联网信息监管。一是建立信息安全和保密审查制度。确保国家敏感经济数据、国家基础数据,以及重大信息技术、装备及服务采购信息安全。对金融、通信、能源、交通、国防军工等大型企业以及具有信息系统集成资质单位上市、兼并重组、信用评级、检查认证,企业和机构收集、披露、转移等工作进行信息安全保密审查。二是强化信息资源保护与利用。加强电子商务以及各种网络经济活动中的信息资源的保护,维护企业利益、个人信息安全。加强地理空间、土地、矿产、人口、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间资源共享,发挥基础数据资源作用。三是加强信息技术服务和投资安全管理。研究制定信息技术服务专门管理办法,严格规范企业、机构在我国境内大面积采集信息数据的行为,禁止非法收集敏感经济数据、国家基础数据,禁止非法控制用户计算机。对经济社会重要领域信息系统投资项目实施备案管理。

6.构建网络空间积极防御体系

针对日益复杂激烈的网络攻击破坏行为,必须构建起我国强大的网络空间防御体系。一是确立工作目标。我国网络空间防御体系应以“构架合理、系统完备、军民融合、攻防兼备”为原则,形成防侦察窃密、防思想渗透、防破坏颠覆、防恐怖犯罪、防网战攻击等主要内容的防御能力。我国网络空间防御体系建设应遵循,将网络空间防御作为国家安全和军事斗争的独立领域;坚持积极防御、攻防兼备的战略方针;形成平时与战时相结合、军民协同配合的网络空间防御力量;充分利用后发优势,实现技术创新与跨越;着力加强基础信息网络与重要信息系统和敏感目标网络的防御;积极开展以维护我国利益为主、互利共赢的国际网络空间合作活动。二是形成符合我国政治制度的网络空间安全领导体制。明确各级领导机构与相应的办事机构的职责与上下级关系,规定国家与地区、军队与地方、政府与企业的指挥协调关系,建立发生大规模网络空间战争情况下的国家动员体制。三是建设多层配置的网络空间防御力量。合理划分构成我国网络空间防御体系各方面力量的专业分工,防御力量、攻击与反制力量、支援保障力量形成科学比例。加强国家专业力量与各地区专业力量的合理配置与密切协同,整合网络空间防御的军事力量、地方力量和民间力量等各方面,明确平时和战时可动用力量的部署与规划;各种力量的合理配置与有效利用。四是构建有力的网络空间防御设施。加大防、侦、攻一体的网络力量建设。大力发展情报获取、态势感知评估、监测预警和网络反恐处突能力。强化互联网巡查、计算机网络反窃密技术安全检查,形成常态工作机制。加强情报、技侦、舆情等部门的危机决策协调和联动配合,提高应对网络空间复杂、多维、并发危机的决策支持和应急处置能力。加强对重要装备的信息安全漏洞分析。建设网络攻防靶场,组织军民联合网络攻防演练,增强遏制和威慑能力。综合运用国家科技发展能力,加大投入力度,大力发展和完善信息安全关键技术支撑服务平台。要着力提高网络空间的密码质量、战略预警、态势感知、反击威慑、舆情掌控与反恐处突等六大核心能力,实现对信息安全全方位的技术支撑。五是建立部门和行业信息安全联动机制。整合政府、军队、专业部门、运营商等各方力量,形成跨部门、跨行业资源有效整合与合理利用的共享机制。组织专家开展信息安全态势综合分析与研判的技术、理论、战略、政策法规等重大现实问题的研究,为国家开展网络空间安全情报分析、形势研判和战略预警通报提供支撑。

7.全力推进网络与信息安全自主创新体系和可控能力建设

以政府扶持为导向,以科学发展为统领,以企业、科研机构、高等院校为主体,全面提升自主创新能力,加大对信息安全新技术的投资和政策支持力度。一是实施网络与信息安全创新战略。大力提升产业核心竞争力,紧密跟踪信息技术的最新发展,逐步实现网络与信息安全关键技术、产品、服务的自主研发、自主生产、安全可控,根本改变依赖外国的状况,实现由技术追随向科技超越的转变。把信息安全理念创新、技术创新、服务创新、体系创新纳入国家特殊奖励政策,加大自主创新技术、自主创新服务、自主知识产权的考评权重。二是突出重点攻关项目。逐步提高重要信息系统、基础信息网络、党政机关系统和军事国防系统关键技术、设备、服务的国产化率,尽早实现在关键信息基础设施中主要设备完全采用国产化产品。严格落实关键核心软硬件设备的安全性准入制度。三是逐步完善信息安全产业基础设施建设。搞好产业政策的规划、产业基础布局、产业标准的选择与推行,通过出台相关政策法规,规范和指导我国信息安全建设和信息安全产业的发展,形成产业发展的政策法规环境。四是大力培育信息安全市场。充分发挥政府的主导作用,建立有利于信息安全产业发展的投融资环境,推动自主技术成果转化与产业化,培育和打造一批信息安全龙头企业,支持一些有特色、有发展的信息安全中小企业。推进自主知识产权的信息技术装备在党政机关、军队以及关系国计民生的重要领域的优先采用。

8.加强网络与信息安全人才培养和专业队伍建设

一是大力培养高素质的信息安全专业人才。实施信息安全领军人才培养计划,建立领军人才的动态式、激励型管理机制,努力造就一支数量充足、素质较高、结构合理的信息安全理论研究、组织管理、专业技术和行政执法队伍。二是建立网络与信息安全教育体系。加强学科规划和专业建设,发展多层次的信息安全培训体系,形成高等院校的专业教育、从业人员的系统教育、全社会的普及教育相结合的宣教机制。在各级党校或行政学院增加信息安全教育内容。大众传媒应积极宣传信息安全知识,介绍重大信息安全事件,营造维护信息安全的浓厚氛围。开展全国性的信息安全宣传周或宣传月活动。三是构建与我国信息安全需求和大国地位相适应的信息安全专业队伍。包括,国家网络与信息安全专控力量,网络关口监控力量,网络舆情导控力量,网络反恐力量,网络空间作战力量、网络与信息安全专业宣教力量等。

9.形成紧急状态下的网络与信息安全应对处置机制

制定国家统一的网络与信息安全应急处置措施和标准,理顺部门间的相互协调配合,完善衔接方案,形成国家应对重大突发网络与信息安全事件的整体防范能力。一是建立国家紧急状态下的网络与信息安全策略。提高处置自然灾害、事故灾难和人为破坏等信息安全突发公共事件的能力,进一步完善信息安全突发公共事件的监测、预测、预警。按照“早发现、早报告、早处置”的原则,加强对各类信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。对信息安全突发公共事件的可控性、严重程度和影响范围做出及时准确判断。二是建立网络与信息安全应急管理综合协调部门,确保应急管理的效率。国家应将信息安全应急管理作为日常行政管理的组成部分,与政府、军队常态管理结合起来一并构建。三是建立重要信息系统异地容灾备份系统和相关机制。针对国家基础网络与重要信息系统,要建立技术储备、系统和数据异地容灾备份,保证紧急状态下系统不间断运行和受到破坏后系统和重要数据可紧急恢复。四是建立网络与信息安全应急预案制度。针对不同的信息安全突发事件,制定不同的应急预案,并且定期开展应急演练。通过演练,提高各级部门应急处置能力,检验发现应急处置体系和工作机制存在的薄弱环节,以及时修正。

10.重视网络与信息安全领域涉外斗争策略研究

第3篇:网络空间安全基础范文

当前,新型互联网体系结构研究受到世界各国普遍重视,已成为信息网络领域最重要和最迫切的研究问题。美国FIND(FutureInternetDesign,未来互联网设计)计划针对不同角度对未来网络需求,支持新型体系架构、路由机制、无线传感网络和光纤网络等50多个项目的研究。美国GENI(GlobalEnvironmentforNetworkInnovations,全球网络创新环境)计划在2008年提出了SDN及OpenFlow技术,现已成为新型网络研究的热点。美国NASA启动SCaN(SpaceCommunicationsandNavigation,空间通讯与导航)计划,通过实现深空网、近地网和空间网互联互通进而打造下一代空间网络。美国FIA(FutureInternetArchitecture,未来互联网体系结构)计划资助NDN、MobilityFirst、NEBULA、XIA、ChoiceNet五个主要项目,从不同方面研究新型互联网体系。2012年,美国启动USIGNITE计划(点燃计划),进一步完善信息网络与应用的基础研究。2015年,美国陆军启动了WIN-T项目,研发自组织、自愈合的新型综合军用网络。同时,美国的商业公司启动OneWeb项目和O3b项目,开始超大规模卫星组网以及互联网接入服务研究。在亚洲,日韩等国也相继启动了新型互联网研究。日本于2006年启动了AKARI(微光计划)项目,设计全新的互联网体系架构。2010年,日本启动NWGN(NewGenerationNetwork,新一代互联网)研究与发展计划,目标是覆盖新一代网络研究各领域的核心技术成果。2008年,韩国设立FIF(FutureInternetForum,未来互联网论坛),以针对未来互联网的关键技术开展研究,积极探讨新型网络体系与机制。在欧盟,德国启动了G-Lab计划,研究未来互联网的新应用以及相应的新技术。2014年,欧盟FP-7计划陆续启动了一系列H2020项目,比如:2014年的H2020-ICT项目关注信息通信技术,2015年的H2020-VITAL项目关注新型天地一体化网络,2016年的H2020-SEC项目关注网络安全,2017年进一步设立H2020-FI项目关注未来网络架构。

二、我国研究现状

从“十一五”开始,我国973计划和863计划相继启动了一系列项目。“十一五”期间,973计划的“一体化可信网络与普适服务体系基础研究”项目,创造性地提出并设计了以“四种标识”和“三种映射”为特征的未来互联网新体系机理与架构,改进了互联网的安全性、移动性、路由可扩展性,以及可控可管性等能力;“多域协同宽带无线通信基础研究”项目,主要探索从根本上提高频谱资源利用率,力争实现宽带无线通信技术体系及核心关键技术的创新;“可测可控可管的IP网的基础研究”项目主要探究现有IP网的可测可控可管性;“新一代互联网体系结构和协议基础研究”项目,从互联网基本组成、工作原理和实现机理上,进行新一代互联网体系结构与协议和算法设计的研究;“认知无线网络基础理论与关键技术研究”项目,围绕认知无线网络体系结构的适变性、无线网络多域环境的认知性,以及认知无线网络管理与控制的自主性三大科学问题展开研究;“信息服务的模型与基础研究”项目,在信息服务的表达性和适配性两个关键科学问题的研究上形成重要创新成果,改变了传统信息服务研究的特定性和表观性,为互联网信息处理的本征研究奠定了重要理论基础。“十二五”期间,973计划继续支持了“面向服务的未来互联网体系结构与机制研究”和“可重构信息通信基础网络体系研究”。前者以面向服务为核心的设计理念,以服务内容命名驱动路由和数据传输,在体系结构和核心机理层面进行针对性的研究;后者侧重于构建一个功能可动态重构的基础物理网络,为不同业务构建满足其需求的逻辑承载网,以解决目前网络层“静态、僵化”导致的功能瓶颈。2013年,支持了“智能协同宽带无线网络理论基础研究”和“智慧协同网络理论基础研究”两个项目。前者重点研究了宽带无线网络资源的智能协同理论与机制;后者研发了全新的网络体系架构以及相关理论机制,创建了以三层(智慧服务层、资源适配层和网络组件层)、两域(实体域、行为域)为典型特征的智慧协同标识网络体系模型与总体架构。同期,863计划则在未来一体化标识网络关键技术和示范方面进行支持。2008年支持了目标导向类课题“身份与位置分离的新型路由关键技术与实验系统”,研究身份与位置标识分离的新型路由寻址体系结构及解决方案。2010年启动了“三网融合演进技术与系统研究”重大项目,将“面向三网融合的创新网络体系结构”列为重要研究内容。2015年立项的“未来一体化标识网络关键技术和示范”项目主要探究了一体化标识网络的关键技术,并进行了一系列实验验证。进入“十三五”,国家重点研发计划在2016年支持了“天地一体化网络信息安全保障技术”和“网络空间拟态防御技术机制研究”两个项目。前者主要从物理层、运行层、数据层3个层面分析天地一体化信息网络面临的威胁,并对抗干扰、安全接入、安全传输等安全保障技术进行研究;后者主要从拟态防御的科学问题和理论框架等方面对网络空间的安全问题进行探究。2017年,支持了“地址驱动的网络安全管控体系结构及其机理研究”项目。该项目以IPv6为基础,从源地址认证的角度入手,力图提高现有IPv6网络的安全性。此外,2013年2月,国务院8号文件将“未来网络试验基础设施(CENI)”项目列入“国家重大科技基础设施建设中长期规划”;2016年12月,国家发改委立项支持“国家发展改革委关于未来网络试验设施(简称CENI项目)重大科技基础设施项目”。虽然我国持续开展相关领域研究,但总体来讲,我国互联网技术相对于发达国家自主创新能力依然不足,互联网核心技术长期受西方发达国家主导和控制,对我国网络空间主权造成了重大威胁,使得信息化和网络安全方面的任务和挑战日益复杂多元。特别是在“互联网+”的大背景下,随着我国智能制造、高铁等核心技术的对外输出,迫切需要新型自主安全可控的网络体系与系统,需要在智慧协同网络的理论研究和技术方面的持续深入研究,为我国核心支柱产业提供安全保障和技术支撑。

第4篇:网络空间安全基础范文

信息人才教育培养途径

1.学历教育

加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。

2.安全竞赛

信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。

3.单位内训

高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。

4.持续教育

信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。

信息安全人才教育培养所需条件

信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。

1.体系化教材

体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。

2.专业化师资

信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。

3.系统化实践

网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。

第5篇:网络空间安全基础范文

奥巴马正式上任前,美国战略与国际研究中心(CSIS)牵头组建的“第44届总统网络安全委员会”重磅推出《在第44届总统任内确保网络安全》报告,声称美国正经历一场“隐蔽斗争”,“敌人”们随时能侵入漏洞百出的计算机网络,美国政府却无法知道他们的真实身份,无法知道他们什么时候攻击,无法知道他们偷走了什么,无法知道他们又在计算机网络里留下了什么。但有一点能够知道:网络攻击给美国造成的危害是实实在在的。

“电子珍珠港”和“网上9.11”

2007年6月,美国防部非保密电子邮件系统遭黑客攻击,迫使五角大楼关闭了1500台电脑的网络连接。2008年夏,奥巴马和麦凯恩竞选网站大量资料被黑客下载。2008年末,病毒通过U盘传染到美军用网络,战区计算机系统及负责监控伊拉克和阿富汗战事的中央指挥部计算机系统等受高度防护的绝密军事网站也未能幸免。此外,日渐猖狂的网络犯罪、知识产权被窃也使美公民和企业遭受的损失与日俱增。美国人一直在想象未来的不久会爆发一场“电子珍珠港”,会发生“网上9.11”:“敌人”可能在系统中安装错误数据,造成关键时刻早期预警及其他涉及国家安全的系统失灵;金融或医疗信息可能会被更改,铁路或航空控制系统可能被中断;生产或运输计算机设备过程中可能会有恶意代码被秘密植入,将来某些时候有可能被激活……

1993年,克林顿政府提出兴建“国家信息基础设施”。经过十几年的发展,美国建造起了一条由高速电信网络、数据库和先进计算机系统组成的信息高速公路,从一个“汽车轮子上的”国家转变成一个“网络上的”国家。高度发达的信息技术和信息基础设施让美国成为全球“一股独大”的信息霸主,却也因此多了一条致命的“软肋”――网络空间。美国在同是由信息技术铸成的“矛”和“盾”之间博弈着、挣扎着。这场争斗注定没有输赢。

早在2000年克林顿政府出台的《信息系统保护国家计划》中,美国列出了最有可能发起网络攻击的六大“敌人”:国家、经济竞争者、各种罪犯、黑客、恐怖主义者和内部人员。近10年来,美国的判断并没有太多的变化,只是加入这个“敌对阵营”的人或组织越来越多。这主要归因于“很多很便宜”的网络攻击手段,“一夜暴富”的巨额利益和越来越脆弱的网络。在过去,许多人因为不掌握黑客技巧而“望网兴叹”,但现在,只要支付低廉的费用,就可以“买”到黑客和病毒。一个由6000台计算机组成的“僵尸网络”每周租金200美元,这些机器足够发送出八亿封垃圾邮件。正是由于“僵尸网络”,这些网络“敌人”可以跟政府玩“躲猫猫”,根本无迹可寻,无根可查。目前,传统犯罪团伙也把手伸向了网络,做起了一本万利的买卖。他们跟黑客勾结,组成了一个“地下经济产业链”,这个庞大的交易盗窃物品和提供与欺诈相关服务的全球性市场对美国经济的危害不言而喻。

发起的网络恐怖活动始终是美国的“心头大患”。他们不仅时刻瞄准美国的重要基础设施和信息系统,而且把手伸进美国国内,通过发起“互联网运动”,吸引大批美国人、尤其是年轻人加入伊斯兰极端组织,这种“本土成长的恐怖威胁”让美国防不胜防。照目前的发展势头,未来接入互联网的渠道和手段越来越多,由此带来的漏洞和攻击手段还会随之增多。无论国家还是个人,都将具备前所未有的破坏能力,都可能成为美国的网络“敌人”。

“网络基础设施是战略资产”

如何保护美国的网络空间?由谁来保护?克林顿、布什和奥巴马这三位总统都交出了各自的答卷。从他们提出的战略和政策,从他们搭建的信息安全保障体系,我们不难发现,网络安全在美国家安全中的地位稳步上升,信息安全保障体制逐步完善和健全,网络安全的保护也经历了由防转为攻防结合、再到全面进攻的过程。

克林顿时期信息网络安全的主题是“关键基础设施”和“开创”。1998年5月,克林顿第63号总统令,首次提出“信息安全”的概念和意义,要求“采取所有必要措施,迅速消除致使关键基础设施面临物理和网络攻击的明显弱点”。2000年1月,克林顿政府公布了美国历史上首个《信息系统保护国家计划》(NIPP1.0),明确划分了关键基础设施各自对应的主管部门,并成立了“国家基础设施保护中心”(NIPC)等专职机构,初步建立了美国信息网络安全保障体制的基本框架。可以说,美国的网络安全战略、政策和体制起源于这个时期。

布什时期信息网络安全的主题是“网络恐怖”。9.11事件使美国人警觉,如何保护美国国土安全、保护美国公民的利益和安全成为时任政府的头号大事。对恐怖活动的担心也一点点蔓延到信息领域,全美笼罩在网络恐怖袭击的阴云之下。2002年9月18日,布什政府颁布《网络空间国家安全战略》,并于2003年2月正式由国会批准通过。在战略中,布什政府明确表示美国已成为一个“完全依赖信息空间”的国家,网络成为美国发展的神经中枢。防止信息系统和全国性网络遭受破坏,已不再只是一个技术层面的概念,而是直接影响国家运转、经济发展和社会稳定。“战略”规定国土安全部将成为美确保网络安全的核心部门和指挥中枢,第一次实现了信息安全管理机构的整合。美国信息安全保障在布什时期被提高到一个新的层次。

早在竞选期间,奥巴马就多次表示要将网络安全列入优先考虑的要务之一。虽然目前新政府的网络安全政策还未出台,但奥巴马时期信息网络安全的主题已然显现,即“战略资产”。宣誓就职才一周,奥巴马就在白宫网站上公布了涉及环境、外交、技术及国土安全等17个领域的议程,其中就涉及网络安全。他首次以总统的名义宣称“网络基础设施是一项战略资产”,承诺“新设一名直接向总统报告、负责制订国家网络政策的网络安全顾问”,要“研制下一代安全计算机和网络”,“制订严格的新标准”。从具体内容上看,奥巴马的网络安全突显“加强领导,保护要害,打击重点”的特色,把保护信息网络系统的安全提升到能否维持美全球竞争优势的高度。奥巴马还授权前情报总监麦康奈尔的首席网络安全顾问在60天内对美网络安全的各项工作进行评估。可以预见,新一届政府将会调动所有力量来解决网络安全威胁,包括外交、军事、情报及经济手段。

“网络空间的曼哈顿计划”

经过三位总统的努力,美国保护“网络疆界”能力不断增强。布什总统卸任前,更是给新政府留下了一笔丰厚“遗产”。2008年初,布什政府推出一项预算高达300亿美元的“国家网络安全全面倡议”计划(CNCI)。该计划被称为

“网络空间的曼哈顿计划”,具体细节高度保密。但通过媒体零星的报道可以看到,CNCI包涵了12个防止美计算机系统遭受攻击的解决方案,涉及反情报、供应链安全、预防入侵、技术研发及威慑战略等。其中一些措施已开始落实。如截至目前已关闭3500个联邦政府部门与外部计算机网络的联接点,最终目标是减少至不超过100个;国土安全部专门成立“国家网络安全中心”负责计划运行,同时也作为协调各部门工作的核心,为此国会已批准2009财年度给予其两亿美元的经费。简言之,CNCI的目标非常明确,就是在政府内建立起第一道能抵挡所有类型威胁的网络防线。另外,2008年11月,国土安全部还对2006年颁布的《国家基础设施保护计划》(NIPP2.0)进行了重新评估,推出NIPP3.0征求意见版,它将重要制造业纳入保护范围,至此美关键基础设施保护所涉及的领域从16个增加到17个,并提出了一套“网络安全脆弱性评估办法”。

三届政府的网络安全战略与政策,都根据当时情况的变化做了微调,但其中有一点始终不变,即一直强调政府与企业彼此信任、相互合作,强调网络安全是一项社会工程,要发动一切社会力量进行全民防御。尤其是企业,全美80%以上的基础设施都掌握在私企手中,核心信息技术和设备也由为数不多的IT巨头掌控,没有它们的参与和配合,美国的信息网络安全无从谈起。目前,一些传统国防业承包商也开始进军网络,那斯罗蒲・格鲁曼、洛克希德・马丁、波音等公司正承担着多项秘密网络安全项目。

营造网络文化也是美全民防御的主要手段之一。每年10月是美“全国网络安全教育月”,教育民众要“分担保护网络空间的责任”,2008年已经是第15个。“官民一体”的防御体系为美抵御网络攻击筑起了一道坚固的防线。

“最好的防御就是进攻”

“最好的防御就是进攻”,这是当前美国政府和军方恪守的一个信条。做出这一判断的理由,关键就在于美国已将网络空间见为继领海、领土、领空和太空之后的又一个重要战略要地,网络也因此成为一个最有效的战争武器。美国内各界纷纷主张美国要提早具备进攻性网络战的能力,像过去取得核威慑一样赢得对他国的网络威慑。

第6篇:网络空间安全基础范文

第一,网络安全法律体系将加速形成。

《中华人民共和国网络安全法》(以下简称《网络安全法》)的出台,一方面使网络安全法律法规建设有了统领性的法律,另一方面规定的诸多制度,如关键信息基础设施保护、网络安全审查、个人数据保护、数据跨境流动等,都需要进一步落实,制定实施条例和细则,这将极大地促进法律体系的形成。

预计2017年,国家有关部门将围绕《网络安全法》出台一系列配套法律法规,完善相关司法解释,理顺网络执法体制机制,加强部门间信息共享与执法合作。

第二,关键信息基础设施面临的网络安全风险不断攀升。

一方面,网络攻击技术迅速提升。另一方面,有针对性的网络攻击日益猖獗。

2017年,随着各类网络攻击技术的迅速发展,针对关键信息基础设施的攻击频率将进一步增加,产生的后果将更加严重,值得各界高度重视。

第三,物联网智能终端引发的安全事件进一步升级。

物联网设备具有数量极其巨大、设备长期在线、处理器性能强悍、网络带宽设定很高等天然优势,利用物联网智能设备漏洞攻击已经成为黑客网络攻击的新手段。

可以预见,2017年随着物联网智能设备的进一步应用,智能设备漏洞导致的网络威胁范围更广,后果也更加严重。

第四,精准化的网络诈骗现象将更加突出。

随着O2O应用和大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”。

随着手机实名制、快递实名制、App实名新规等政策的深入实施, 2017年,通过大数据和社会工程学分析用户购物数据、社交数据、位置数据、物流数据的精准网络诈骗将成为趋势,传统“撒网”式电信诈骗将逐渐退出舞台。

第五,移动支付面临的安全形势更加严峻。

2017年,随着移动设备和移动支付用户继续“爆炸式”增长,移动支付面临的安全问题也将更加凸显。

第六,网络可信身份的互联互通加速实现。

《网络安全法》明确提出,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

为积极应对网络诈骗、网络犯罪、隐私信息泄露、网络谣言与暴力等网络安全挑战,2017年,我国势必会加强网络可信身份体系建设,积极推动已有的网络身份认证体系的互联互通,建立跨平台的网络可信身份体系。

第七,安全可控信息产业将得到爆发式增长。

近年来,安全可控已被提到国家战略高度。除了2016年11月7日《中华人民共和国网络安全法》的出台,由全国信息安全标准化技术委员会推动的《信息安全技术信息技术产品安全可控评价指标》系列标准也有望今年出台。这表明,我国网络安全和信息化发展中,安全可控的国产基础软硬件应用是保障我国信息化关键性基础设施和网络空间安全的重要基础。

第八,优秀人才脱颖而出的环境将逐步形成。

发展网络安全,人才队伍建设是根本。2017年,我国将继续加强网络安全能力建设,加大高层次网络安全人才培养力度,为领军人才的脱颖而出创造条件。

第九,网络战略威胁风险显著增加。

2017年,各国将进一步加强网络空间部署,抵御网络恐怖主义的网络攻击。全球网络空间局势将更加复杂。我国面临的网络安全外部形势也将愈发严峻。

第十,双边和多边网络安全合作将持续深化。

第7篇:网络空间安全基础范文

基础教育改革的落地逐步体现了多种方式和手段,有的是品牌中学联合普通小学组建整体校区,有的是品牌小学上延3年,扩大学区,形成9年一贯制学校,有的是建设深度教育联盟和教育集团,不同学校的师资和各种应用资源全面进行横向拉通。上述措施对于整体提高教育水平,促进教育公平起到非常积极的作用。这些教育改革措施有一个共同的特点,学校不再是一所孤立的学校,而呈现出多校区,多教学点的特色,学校间和班级间的网络联通性,资源的共享性就变的尤为重要。因此,“宽带校校通”“网络班班通”“空间人人通”的三通工程,成为师资和教育资源全面拉通的基础网络设施, “教育资源平台”,“教育管理平台”成为应用落地,实现基础教育改革的基本保障。

三通网络基础设施的建设在不同的区域,其建设程度和和效果也不尽相同,有的区域部分学校实现了三通,但网络带宽有限,维护和管理不到位,正在面临着网络改造;而有的区域三通只是个面子工程,大多数学校还没实际的互连应用,三通网络面临着重建。在三通网络建设或网络改造过程中,区域教委信息化主管和各个学校的信息化技术人员,经常会面临各种技术的选择,如何选择可靠、安全、能够很好地支持各种教育应用的网络,如何让网络和应用不但具有先进性又能够支持平滑演进等,一直是基础教育信息化过程中让人困扰的问题。到底哪些可以助力教育三通网络建设呢?下面三个方面是教育三通网络建设过程中必须要考虑的:

稳定可靠的网络能够保证示范课,名师在线,网络学校等实时课堂的高质体验

在分校区不断增加的情况下,不同校区的学生和老师间的互动,老师们的经验交流活动都在增多,远程实时课堂的教学和交流方式已经变的不可或缺,这种多媒体的实时互动对网络和设备的要求是非常高的。在网络级,只关注联通性已经不能满足应用需求,网络要能够感知业务,根据不同业务的需求提供不同的服务和优先级保证,并且要能够提供方便的手段能够维护和管理网络,改变当网络出现问题时IT维护人员不能快速定位和排除故障的现状。在设备级要能够支持大缓存,这样才能减少丢包,通常网络的核心设备节点要做集群,在某些板卡出现故障时,不会对整网出现影响,目前业界比较先进的集群技术是CCS2集群,除了专业的集群通道外,多个集群设备中即使只剩一块主控板卡在工作,整个网络就不会受到影响,只有这种能够感知业务、方便维护管理的高可靠网络才能够为远程实时多媒体课堂提供最优质的教学保障和体验。

为师生提供随时随地可接入的网络,课前、课中、课后的体验同样优质

网上作业,辅助测试,探索空间,成果展示,家校互动空间等基于网络的各种课前、课中、课后的活动,不再限于少数重点学校,在教育改革横向拉通后,会有更多的学校有这个需求。老师在不同的学校接入网络访问教育资源、批改作业、回答学生问题,学生在教室、校内操场、家里都能通过网络访问学习空间。以前的网络通常对用户的接入位置是有限制的,在不同的接入地点,其应用体验很难达到一致,而现在网络的发展趋势是在不同的地点接入时,用户访问资源的体验是相同的,那么对于老师和学生来说如何保证课前、课中、课后相同的优质体验呢?那么就需要网络能够划分用户组,并根据不同的组定制不同的网络策略。例如划分出老师用户组和学生用户组,当老师或者学生在不同的地点接入时,网络能够区分其用户组,并使用相关的网络策略,分配相关的资源,不管老师和学生从哪里接入都可以获得相同的教育网络应用体验。

教育共享资源应用,教务管理应用,需要网络能够提供高安全的保障

随着教育应用的不断增加,对网络的安全要求也越来越高,特别是网络考试和教务管理这些信息具有非常高的安全性,试题泄露、教务关键信息泄露都会带来非常恶劣的社会影响,因此教育系统信息安全的问题已经变的越来越重要。传统的安全防护在网络出口放置防火墙,进行安全防护。但是随着黑客技能的提升,以及安全威胁来源的多样性,很多威胁靠单个设备发现和防御已经难以应对,单个设备的安全能力已经不能够代表整个网络的安全能力。那么如何提升整网的安全能力呢,安全问题的发现是要基于众多安全信息的收集和统一分析来进行的,也就是基于当前流行的大数据的方法,例如网络能够通过不同学校的安全事件进行采集,对这些安全事件关联分析,发现隐藏的安全问题,并给出相关的安全策略建议。通过这种整网安全协同的方法,能够大大提升教育网络的安全防护和安全处理能力。教育网络的安全能力提升了,教育资源得到了保障,那么在使用教育应用时才能没有后顾之忧。

第8篇:网络空间安全基础范文

1网络信息安全应急机制的理论基础

1.1基础是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。

在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。

1.2社会连带责任思想社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。

首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。

其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。

美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。

1.3权利平衡理念从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。

为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。

2网络信息安全应急机制的价值目标

所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。

2.1安全价值安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。

安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。

2.2经济价值网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。

网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。

2.3发展价值发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。

网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。

3网络信息安全应急机制的法律保障

从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:

3.1建立适合我国国情的网络信息安全应急管理体系应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。

a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。

b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。

行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。

c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(NMCIAC)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBI)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。NMCIAC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响NMCIAC成员组织和普通民众的那些因素所采取的各种响应进行研究。

3.2建立准确、快速的预警检测机制建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。

美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。

笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入CNCERT/CC的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。

3.3明确应急过程中的行政紧急权力的限制和法律救济机制为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。

a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。

b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。

c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。

d.建立首席信息安全官(CIO)制度,确保对私权益的尊重和保护。

e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。

f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。

在隐私权的保护方面,美国信息系统保护国家计划V1.O要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。

在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。

法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《法》也规定,从宣布“非常”时起,司令官掌管区域内的一切行政和司法事务,在“非常”地区,司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。

3.4建立应急技术储备的法律保障网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划V1.O规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(OSTP)来领导,并与各机构和私营部门合作来进行技术开发。

建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。

【参考文献】

1商继政,傅华.“概念辨析”.四川大学学报(哲学社会科学版),2003;(6)

2郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)

3江必新.紧急状态与行政法治.中国法学,2004;(2)

4庞德.通过法律的社会控制.北京:商务印书馆.1984

第9篇:网络空间安全基础范文

【 关键词 】 信息安全;网络空间;网络信任体系

Review of China's Information Security and Development Strategies during the “12th Five-year Period”

Liu Quan

(China Center for Information Industry Development Beijing 100846)

【 Abstract 】 In order to counter the security threats in cyberspace, we should accelerate to develop information security and network trust system,and to build up China's information security system. This paper discusses the Present situation and the development trend of China's information security. Combined with China's actual situation, development ideas, goals and primary strategies of China's information security during the“12th five-year period”are proposed.

【 Keywords 】 information security; cyberspace; network trust system

1 引言

全球正处于信息安全战略的变革和调整时期,发达国家在加强网络防御的同时,纷纷组建网络攻击力量、加快发展网络威慑能力,世界正在进入一个网络争霸的新时代。未来,各国对网络空间主导权的争夺将更加激烈。在当前全球信息安全威胁出现众多新特点和新趋势的形势下,如何应对我国信息安全建设面临的新挑战提升我国信息安全保障能力,已成为我国亟待解决重大课题。

2 我国信息安全发展现状

2.1 信息安全基础设施不断完善

在“十一五”期间,我国网络与信息安全基础设施不断完善并发挥了重要作用。国家大力支持并推动信息安全监控等相关基础设施的快速建设,大幅度地提升了我国信息安全监管能力;初步建成广播电视安全播出保障体系,实现了对广播电视传输的安全监测;推动了国家密钥管理体系建设并取得重要进展,进一步保证党政军核心通信的安全疏通;初步形成了以中国信息安全测评中心和国家信息技术安全研究中心为代表的国家信息安全队伍,并在处置重大突发事件,以及保障北京奥运会、国庆60周年、上海世博会等重要活动的信息安全中发挥了重要作用。

2.2 信息安全管理得到明显提升

我国政府在信息安全管理和保密工作方面得到了明显的加强。各部门贯彻落实《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(200817号)等文件精神,切实加强信息安全管理,并初步建立政府信息安全检查制度,大幅度提升政府网站安全防护水平。通过修订《保守国家秘密法》,理顺了国家保密工作体制,进一步完善了保密工作制度,保密管理工作得到明显加强。

2.3 网络空间执法能力不断加强

我国互联网信息内容管理和网络空间执法能力不断加强。《中共中央办公厅关于加强网络文化建设和管理的意见》(中办发200716号)、《中共中央办公厅 国务院办公厅关于加强和改进互联网管理工作的意见》(中办发201024号)进一步明确了互联网管理的重大原则,初步形成了部门分工负责、齐抓共管的工作格局,建立了网络舆情监控监测、部门间舆情共享和处置联动机制,网络文化建设和舆情引导能力明显提升。加大了对破坏信息系统和利用信息技术危害公众利益和国家安全等各种违法犯罪活动的查处和打击力度,组织开展了打击手机诈骗、网络色情等专项行动,效果明显。

2.4 信息安全基础性工作得到加强

“十一五”期间,我国信息安全基础性工作取得丰硕的成果。信息安全等级保护稳步推进;信息安全标准化工作成绩明显,初步建立了信息安全标准体系框架,形成了覆盖信息安全基础、技术、管理、测评等领域的标准体系和一批支撑国家信息安全保障体系建设的国家标准;信息安全产品认证认可工作取得重要进展,制定了国家网络与信息安全事件应急预案;信息通报机制不断完善;网络信任体系建设取得进展;信息安全人才培养步伐加快;基础信息网络与重要信息系统安全防护能力得到明显加强。

2.5 信息安全技术研究取得积极进展

“十一五”期间,国家863计划、国家973计划和国家科技支撑计划等重大项目都加大了对信息安全技术研发的支持力度。与此同时,政府也加大了对信息安全技术研究人才培养的投入,国内设立信息安全专业及信息安全学科的高等院校数量明显增加,社会机构和企业也日渐重视信息安全技能、意识教育和培训,信息安全人才培养培训体系逐步形成。初步建立了涵盖技术研究、产品开发、系统运维管理、安全服务等领域的信息安全产业人才队伍。

2.6 信息安全产业不断壮大

电子信息产业发展基金、信息安全产业化专项等有效促进了信息安全产业发展,形成了比较齐全的信息安全产品体系和专业化信息安全服务体系。信息技术装备国产化水平持续提高。 “十一五”期间,我国信息安全产业规模迅速扩大,2010年达182亿元,年均增速超过30%。信息安全产业占信息产业的比重稳步提高。在产业发展的推动下,信息安全产品种类不断丰富,密码产品、防火墙、病毒防护、入侵检测、身份认证、网络隔离、安全审计、安全管理、备份恢复等技术领域产品研发取得明显进展,产品功能逐步向集成化、系统化方向发展。

3 “十二五”面临机遇与挑战

3.1 面临机遇

3.1.1 信息安全在维护国家经济、政治和文化安全方面的重要作用日益显现

国民经济对网络和信息系统的依赖性持续增强,信息安全成为经济效力的关键要素,直接关系到经济平衡运行和安全。随着网络金融、智能电网和高速铁路等现代产业的发展,以及物联网、云计算等新技术新应用的普及,网络与信息系统在银行、电力、石油、铁路等重要行业的神经中枢作用更加突出,甚至直接成为生产的控制系统。信息安全问题有可能会扰乱经济运行秩序,造成重大经济损失,危及国家经济安全。

随着工业化和信息化深度融合,互联网上的信息安全问题开始向工业控制系统延伸,直接影响铁路行车调度、油气管道、高端制造等关键基础设施的安全。随着经济全球化发展,经济领域重要敏感信息保护问题也日益突出。

与此同时,信息网络的社会属性日趋明显,现实社会同信息网络的互动更加密切,信息安全问题直接影响国家政治安全、文化安全和社会稳定。信息网络中的斗争本质上是渗透与反渗透、控制与反控制、窃密与反窃密的较量。敌对势力还会继续利用信息网络加紧对我实施意识形态渗透和宣传,进行造谣煽动、组织勾结,从事破坏、策反和颠覆活动,且隐蔽性、突发性、危害性极强,预防和处置难度很大。

我国的互联网网民还会快速增长。网民通过信息网络获取信息、表达诉求,参与政治和社会治理的广度和深度继续扩展。网络中的“非国家行为体”、“意见领袖”不断出现,对网民的号召力上升,如果监管和引导不力,将对政府权威性形成挑战。现实社会矛盾不可避免地会在网上得到反映,热点敏感问题和社会矛盾都有可能在网上传播、发酵、放大,导致简单问题复杂化、局部问题全局化、一般问题政治化、国内问题国际化。

3.1.2 国家高度重视信息安全

十六届四中全会把信息安全与政治安全、经济安全和文化安全提到同等高度。《2006~2020年国家信息化发展战略》提出“促进我国信息安全技术和产业的自主发展”;《国民经济和社会发展第十二个五年规划纲要》对“加强网络与信息安全保障”提出了明确要求;《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号)明确提出“完善网络环境下消费者隐私及企业秘密保护制度……逐步在各级政府机关和事业单位推广符合安全要求的产品”。

国家还出台了多项加强信息安全技术研发、推进产业发展的政策措施,为信息安全产业的发展、企业技术创新能力的提高和核心竞争力的提升提供了良好的市场环境和政策保障。

3.1.3 信息安全产业市场需求潜力巨大

2010年,我国信息安全产业占软件和信息服务业的比重尚不及1.5%,而全球的平均比重超过8%。随着信息化建设的不断深入,未来我国信息安全产业将有巨大的市场空间。

我国信息安全保障体系建设稳步推进,信息安全等级保护、风险评估等基础性工作扎实开展;数字产品广泛普及,隐私保护、个人终端与企业信息系统的安全、数字版权保护等方面的需求越来越受到公众的重视,为信息安全产业拓展了新的发展空间。

3.1.4 云计算等新技术、新应用和新模式带来新的发展机遇

云计算、物联网、三网融合、移动互联网等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国内外市场的全面开拓将加快国内信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国内企业与国际同步发展提供了契机。

3.2 面临挑战

3.2.1 网络空间成为国际竞争的新战场,我国信息安全面临巨大挑战

网络空间成为领土、领海、领空和太空之外的第五空间,是国家延伸的新疆域,美国等大国纷纷加强网络防御,并积极发展网络威慑能力,加紧争夺网络空间绝对权和主导权。

美国奥巴马总统上台后,国家网络安全战略从网络防御转向网络威慑,2009年美国组建了网络战司令部,今年以来又先后出台了《网络空间国际战略》、《网络空间行动战略》等战略,提出将战略威慑作为未来重点,声称将对网络空间的敌对行为做出反应,“并保留使用所有必要手段的权力,包括外交、军事和经济手段等”。俄罗斯、英国、法国、德国等也将网络攻击列为国家安全的主要威胁之一,纷纷加快建设网络攻击和威慑能力,组建网络攻击力量、发展网络武器。随着网络空间军事化进程加剧,网络战正在成为新的战争形态。

3.2.2 网络空间竞争日趋激烈,信息安全上升为国家利益竞争的战略制高点

作为国家延伸拓展的新疆域,网络安全的安全关系到国家的国际竞争力和未来的发展潜力。世界主要国家进一步提升信息安全战略地位,谋求网络空间主导权和绝对优势。西方大国大力发展网络攻击和威慑能力,网络空间军事联盟逐渐形成。专业化网络攻击工具和网络武器不断出现,国家和地区间网络对抗日趋增多,基础信息网络与重要信息系统成为重点攻击目标。网络窃密活动更加频繁,保密工作面临的形势十分严峻。

网络空间对抗延伸至外交、经贸等各个领域,信息安全成为外交、经贸活动中的重要议题。西方国家继续以人权、信息自由为借口,对我信息安全政策施压,并加紧炒作中国网络,抹黑我国际形象,遏制我在网络空间的发展。

3.2.3 关键核心技术受制于人将进一步加大信息安全风险

我国关键核心技术受制于人的问题仍然十分突出,加之新技术和新应用不断发展,面临的信息安全风险将不断加大。云计算、物联网等新技术快速发展普及,但西方国家、国外跨国公司掌握其中的核心技术,操纵着商业模式和标准规则的制定,我面临的信息安全风险将更加突出。

新技术和新应用在极大地方便人们生活、促进社会进步的同时,信息安全问题凸现,对我信息安全监管构成严峻的挑战。信息系统更趋复杂,安全漏洞难以避免,恶意代码、黑客攻击、病毒木马以及系统软硬件故障等,都可能会造成严重的信息安全问题。

3.2.4 新技术、新应用和新模式给信息安全产业带来挑战

随着云计算等应用和发展,信息安全产品形态不断发生变化,新产品的开发、交付和服务运维方式正孕育变革,产品免费和以服务方式提供信息安全防护等模式给信息安全产业发展带来重大影响,信息安全企业需要快速转型,才能适应日新月异的市场环境和多元化的用户需求。从国家安全角度看,云计算、物联网等新技术的应用,可能将使一个国家经济信息等重要信息集中在谷歌等美国跨国公司,带来新的信息安全隐患,给国家安全造成威胁。

4 “十二五”发展思路

4.1 发展思路

4.1.1整合国家各部委资源,形成合力,联合推进具自主知识产权的信息安全产业生态体系发展

信息安全产业的自主可控是保障国家网络空间安全的根本。通过整合国家各部委支持信息安全发展的资金等政府资源,聚焦支持影响产业发展的安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品,逐渐形成我国具有自主知识产权的信息安全产业生态体系,带动产业链上下游协同发展,彻底突破微软、因特尔模式对我国信息安全带来的隐患。

通过各级政府资源对产业、应用等方方面面的大力支持,带动从安全芯片、安全操作系统等信息安全基础产品到上层信息安全应用产品和服务在内的具有完全自主知识产权产业发展,逐渐形成包含信息安全技术、产品、服务和标准等在内的完整信息安全产业生态体系,真正实现我国信息安全的自主可控。

4.1.2 加大信息安全宣传力度,提升社会对信息安全重要性的认识,营造有利于信息安全建设的良好氛围

经过多年快速发展,信息化的重要性已经深入人心,信息化已经成为人们工作、学习、生活的必要工具。但人们对信息化应用带来的信息安全隐患还认识不到位,防范能力缺乏,甚至各级信息安全主管部门领导也仅仅认识上有了提高,但还没有引起足够重视,对提升我国信息安全防护能力的支持远远不够。

因此,充分利用广播、电视、报刊、网络等各种媒体,广泛开展面向全社会的信息安全教育。国家财政加大对信息安全宣传教育公益活动的支持。研究设立全民信息安全周,集中组织实施信息安全宣传教育重大活动。通过这些活动提高全民信息安全意识,以及各级领导对信息安全的重视,营造全社会都积极参与信息安全建设的良好氛围。

4.1.3 坚持市场和应用驱动,加大应用创新和集成创新,带动行业快速发展

我国信息安全能力建设已经有一定基础,在交换机、密码机等方面取得了一定进展。推动我国信息安全建设应在巩固和发展现有成果的基础上,按照市场和应用驱动、注重应用创新和集成创新,充分利用国产关键软硬件研发和产业化成果,促进产业良性发展,切实保障国家信息安全。

应抓住我国信息安全建设快速发展对信息安全产品需求的机遇,推进国产办公软件、国产操作系统和数据库等关键软硬件的大规模应用,分期分批实现关键软硬件的国产化,推动信息安全等级保护三级(含)以上的信息系统全部采用国产关键软件,在推动形成我国具有自主知识产权的产业生态体系形成的同时,提高我国信息安全保障能力。

4.2 发展目标

4.2.1信息安全法律法规和政策体系进一步完善

到“十二五”末,信息安全法制环境进一步得到完善,网络与信息安全保护、企业信息合规、个人隐私保护,以及信息收集、处理和使用等方面的法律法规相继出台,基本建立以政府信息安全条例、信息安全审查制度为重点的法律法规和政策体系。制发一系列促进信息安全产业发展的产业政策和相关措施。

4.2.2信息安全基础性工作得到加强

到“十二五”末,信息安全基础性工作得到进一步强化。信息安全等级保护制度和标准进一步完善,建立基于网络空间个人身份管理机制的网络信任体系。国家网络与信息安全事件应急预案得到进一步落实,基本建成情报、技侦、舆情等部门的危机决策协调和联动配合机制。

4.2.3 认定和培育一批国家信息安全骨干企业

到“十二五”末,培育出一批管理先进、创新能力强、规模效益好、市场竞争力强的骨干企业。通过逐步增加国家和地方财政资金对信息安全骨干企业的扶持力度,信息安全骨干企业得到快速发展。通过加大创新产品的政府采购力度,带动创新产品应用,提升骨干企业的自主创新能力和核心竞争力。通过支持骨干企业在国内外资本市场上市,进行投资、收购和兼并重组等方式,实现企业做大、做强。

4.2.4信息安全产业规模显著增长

在“十二五”期间,争取保持信息安全产业年均30%以上的增长速度,信息安全产业规模突破670亿元,占信息产业的比重进一步增加。软件和服务在信息安全产业中的比重继续提高,信息安全产业链日趋完整。具有自主知识产权的信息安全产品和服务在国内市场的占有率明显提高。基本形成集聚效应明显、协同效应突出、发展特色鲜明的区域产业发展格局。

5 “十二五”发展重点

5.1 加强政策法规制定,完善信息安全法制环境

适应新形势变化,“十二五”期间应加快制定新的信息安全法律,来规范网络空间主体的权利和义务,尤其在网络犯罪、信息资源保护使用、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。积极应对物联网、云计算等新技术带来的安全难题,加强相关标准规范制定工作;同时,加快信息安全管理标准的制定和实施工作,尽早形成适合我国的信息安全管理标准体系。

5.2 强化等级保护等基础性工作,提高信息基础设施安全防护能力

“十二五”期间,应强化等级保护、风险评估等基础性工作,确保我国基础设施、重要信息系统等安全。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。统筹建设信息安全漏洞数据库,加强国外进口技术和产品,以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。

进一步加强基础信息网络、重要信息系统、工业控制系统等的安全防护,构建完善的安全防护措施,积极落实信息安全检查等制度,有效应对信息安全问题和风险。加强网络信任体系建设,建立基于网络空间个人身份管理机制的网络信任体系,确保网络主体身份真实、行为可追溯。

5.3 加强信息内容管理,形成网络正面舆论强势

“十二五”期间,应进一步强化互联网治理工作,确保信息内容安全。要深化网络舆情监测和不良信息管理,尽快建立网络舆论工作机制,加强网络舆论的监测、研判和引导工作。加快信息收集、趋势跟踪等网络舆情监测的技术手段和平台建设,加强网络舆情监测和应急处置,建立部门间的舆情共享机制和处置联动机制。加强重点新闻网站建设和安全管理。引导互联网企业对不良内容进行过滤,加快建立网络内容分级标准,逐步建立内容分级管理制度。加强对青少年的教育和培训,采取各种措施强化网民自律意识。

5.4 推动产业结构调整,促进信息安全产业升级

自主可控是信息安全的必要条件,国家信息安全必须建立在自主、可控和产业化的基础上。“十二五”期间,应加大对信息安全保障关键技术研发的资金投入,加强高端通用芯片、操作系统、数据库、中间件等关键技术攻关,提高我国信息安全技术产品水平。加快突破云计算、物联网、移动互联网等新技术中的关键核心技术,形成拥有自主知识产权的安全产业链条。

加快国产技术和装备的应用推广,在政府采购、信息系统等级保护等实施中,对国产技术和装备应用提出要求,采取资金补贴等政策激励应用领域采用国产化的产品,逐步实现政府部门和重要领域国产化替代。

支持我国信息安全企业发展,认定一批国家信息骨干企业,鼓励信息安全研发机构和企业吸收社会资本,有针对性地开展面向信息安全骨干企业的上市咨询和培训,支持国家信息安全骨干企业通过上市等多种渠道融资,通过兼并重组做大做强,培育骨干龙头企业,推进信息安全自主可控。

5.5 加大人才培养力度,构建信息安全人才体系

“十二五”期间,针对我国信息安全人才缺乏、结构不合理、复合型人才匮乏等问题,应推动高等院校设立信息安全一级学科,加强信息安全学科、师资队伍建设,丰富信息安全教学资源,提高信息安全人才教育水平;加强大专院校与企业的合作,依托重点企业和相关课题,探索信息安全人才培养机制;设立专项的信息安全人才培养基金,与各类培训机构合作,积极开展信息安全人才社会化培训。研究多种选拔机制,借鉴印度、美国、英国等对网络人才的选拔方式,广泛从民间选拔和搜寻网络人才。

同时,培育网络安全文化,通过设立信息安全周等多种形式和手段开展面向全社会的信息安全教育,将全民信息安全教育纳入国民素质教育的整体框架,在全民中树立信息安全意识。

5.6 深化信息安全国际合作,提升国际竞争能力

信息安全是各国面临的共同挑战,只有国际合作才能有效应对。当前,国际信息安全环境发生巨变,美国等正在加强伙伴关系建设,我国更需要加强国际合作维护国家利益。

“十二五”期间,应积极参加国际社会有关信息安全的讨论,参与制订相关国际规则,规范信息和网络空间行为,阐明我国对网络敌对行为的态度,强调各国有责任和权利保护本国网络空间和关键基础设施免受威胁、干扰和攻击破坏。

同时,建立与国际社会的信息安全重大威胁风险沟通机制,探索建立国家间、地区间应对信息安全重大突发事件的信息通报、快速处理的机制,加强信息安全事件应急处理中的交流合作。加强国际社会在打击网络犯罪等方面的合作,共同打击网络违法犯罪行为,打击网络恐怖主义。

参考文献

[1] 赛迪智库信息安全研究所.《美国全方位构建网络空间安全战略》 [J].中国电子报,2011年12月20日.

[2] 刘权,陈月华.《我国电子认证服务业发展回顾及“十二五”发展对策研究》[J].信息安全与技术,2011年第12期.

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐