建立在自主研发基础上的国家信息安全体系,需要各相关部门加强统筹协调和资源整合,建立健全长链条、宽领域的长效管理机制。
全球对信息系统的安全性要求越来越高,信息安全作为非传统安全因素,已与各国的政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。
一、维护国家安全、建立信息霸权、发展信息安全产业是美国布局网络安全建设的三大目的。
美国是全球信息化程度最高的国家之一,来自网络的威胁正在给美国政府部门、金融机构、个人消费者甚至国防都带来巨大冲击。2005年针对美国政府和私营部门的网络攻击共有4095起,这一数字到2008年已增长至7.2万起。美国5月公布的网络安全评估报告称,来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一,保护网络基础设施将是维护美国国家安全的第一要务。
实际上,美国非常重视网络安全建设,采取了一系列旨在加强网络基础设施保密安全方面的政策措施。1984年以来,美国政府共发布了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划,对如何维护关键基础设施和信息系统的安全提出了具体要求。纵观多年来美国的信息安全策略可以看出,美国从基础设施建设到完善国防体系,从硬件建设到软件升级,将信息安全上升到国家安全的高度加以重视。
日前,美国国防部宣布创建网络战司令部,对目前分散在美国各军种中的网络战指挥机构进行整合。美国政府在确保网络信息安全的同时,正试图凭借技术、资源等方面的优势,为全方位实现信息霸权做准备。
美国加强网络安全建设的目的包括维护国家安全和信息霸权,发展信息安全产业,培育新的经济增长点。
二、我国信息安全产业已从初创阶段进入发展阶段,产业发展任重而道远。
党和国家高度关注和重视信息安全保护和信息安全产业的发展,《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家中长期科学和技术发展规划纲要(2006-2020年)》、《国民经济和社会发展第十一个五年规划纲要》以及《信息产业“十一五”规划》等,都对发展信息安全产业提出了明确的要求。
经过多年的发展,我国信息安全产业技术水平和创新能力得到较大提高:基于安全芯片的可信计算机开始推广应用;具有自主知识产权的安全芯片在防火墙、防病毒领域得到了应用;高速加密芯片、高速内容搜索芯片等安全产品已经开始使用;互联网内容监控技术与组织体系得到进一步发展;具有自主知识产权的安全操作系统以及安全数据库系统在一些行业得到成功应用;多项与信息安全相关的标准获得通过或发布;信息化监管技术、网络对抗技术、多代理计算、网格技术和多系统与多代理系统体系结构等信息安全新技术研究正在进行;信息安全标准体系初步建立,拥有商用密码等多个信息安全国家标准。
然而,我国信息安全技术研究仍停留在应用程序层面,即处于消极防御的阶段,核心技术严重缺乏,产业发展环境亟待完善。无论是互联网还是骨干传送网,自主创新成分所占比例较少。此外,现有的骨干网络在信息传送效率、网络透明性和可扩展性等方面存在着重大缺陷。
三、大力发展信息安全产业,抢占国际竞争的战略制高点。
为维护国家信息安全、培育新的经济增长点,加快发展我国的信息产业,努力构筑一个技术先进、管理高效、安全可靠、建立在自主研发基础上的国家信息安全体系,建议我国从以下几个方面入手:
一是建立有效的组织协调机制。研究制定促进信息安全产业发展政策措施,依法加大监管力度,规范市场竞争行为,为产业发展营造公平公正、有效有序的市场竞争环境。各相关部门加强统筹协调和资源整合,建立健全长链条、宽领域的长效管理机制。
二是完善税收投融资和采购支持政策。国家要增加对信息安全产业技术研发和产业化的投入,引导和鼓励各类境内金融机构加大对信息安全企业的支持力度,鼓励国内社会资金投入信息安全领域。
三是实施创新战略,提高产业核心竞争力。加大对于自主创新技术、自主创新服务、自主知识产权的考评权重,推广应用信息安全先进技术和产品。积极开展对外交流与合作,发展具有自主知识产权的先进适用技术。定期编制、发布我国拥有自主知识产权的信息安全关键技术和重要产品目录。组织实施一系列科技攻关和产业化重大专项,推动公共平台建设。
四是强化标准研究制定和推广应用。加强信息安全标准化工作,逐步形成具有中国特色信息安全标准体系。加大标准宣传贯彻力度,重视信息安全标准的贯彻实施。加强我国信息安全技术标准与世界其他国家的衔接,推进我国信息安全产业国际化的进程。
五是加快信息安全专业人才队伍建设。积极开展信息安全人才培养工作,支持并规范各类教育、培训机构采用多种形式培养信息安全专业人才。加强大专院校与企业的合作,依托重点企业和相关课题,探索信息安全人才培养机制。加强各级行业主管部门和人员专业化建设,提高管理人员的素质和水平。
六是规范信息安全服务业,加快行业信用体系建设。对信息安全服务机构和企业实行资质管理,提高信息安全服务能力和水平。加快信息安全行业信用体系建设,研究建立信息安全企业信用等级评定体系和失信惩戒机制。