随着国家“互联网+”行动计划提速,“网络信息安全”进一步成为保障实施的重要环节。面对“互联网+”万物互联、万物可控的趋势,“安全”成为不可或缺的基石。恰逢国家明确“网络空间安全”为一级学科,加强安全领域的投入,拟定网络与信息安全总体构想,明确任务设想,完善政策措施,将是举国上下执行“互联网+”行动计划的重中之重。
一、背景
当前,新一轮信息技术创新应用风起云涌,以物联网、云计算、大数据为代表的新一代信息技术不断取得突破和应用创新,催生新兴产业快速发展,同时通过与传统产业的融合渗透,助推产业转型升级,给人类生产生活方式带来深刻变革。协同、智能、绿色、服务等新生产方式变革深刻影响制造业的核心价值体现;网络众包、生产消费者、协同设计、创客、个性化定制、透明供应链等新模式正在构建企业新的竞争优势;电子商务、互联网金融、社交网络等互联网经济体的形成,加速产业价值链体系的重构。新一轮科技革命和产业变革,为我国加快转变经济发展方式、寻找新的经济增长点带来新机遇。
“互联网+”俨然是2015年最热门的名词之一,按照认真贯彻落实两会精神和总理政府工作报告对重点工作的部署,国家发改委牵头组织编制“互联网+”行动计划,旨在利用互联网,加快促进传统产业转型升级和提质增效,并通过融合发展培育新业态,培育新的增长点,将以互联网与传统经济的融合作为适应新常态、谋求新发展、塑造新优势、打造我国经济升级版的新动力。
“互联网+”的本质是传统产业的在线化、数据化。这种业务模式的巨大变革改变了以往仅仅封闭在某个部门或企业内部的传统模式。可以随时在产业上下游、协作主体之间以最低的成本流动和交换。
“互联网+”的前提是互联网作为一种基础设施的普及和深化应用。因此这个过程会经历两个阶段:第一阶段是新兴产业的兴起和新基础设施的广泛安装;第二个阶段是各行各业应用的蓬勃发展和收获。
发达国家积极应对新一轮经济变革带来的挑战,纷纷鼓励信息技术变革和应用模式创新,美国《先进制造业伙伴计划》及《网络空间国际战略》、英国《信息经济战略2013》等一系列战略行动计划建议的提出和实施,旨在充分发挥信息技术领域的领先优势,加强在新兴科技领域的前瞻布局,以谋求抢占制高点、强化新优势。面临日益激烈的地区竞争,我国也应抢抓机遇,顺势而为,加快推进以互联网、物联网为载体的信息经济大发展,打造我国经济社会发展的“升级版”。
今年是我国进入互联网21 周年,中国迄今已经有 6.5 亿网民、5 亿的智能手机用户,通信网络的进步、互联网、智能手机、智能芯片在企业、人群和物体中的广泛安装,为下一阶段的“互联网+”奠定了坚实的基础。 但另一方面我国人均自然资源相对不足、环境承载量受制,传统产业粗放型发展方式所带来的结构性、素质性矛盾依然存在,发展后劲不足。在“互联网+”时代,以互联网为代表的信息技术加速各行各业渗透、融合、发展,通过改造传统产业实现存量提升,并催生新兴产业实现增量发展。为适应新常态、谋求新发展,要求我国坚持新型工业化道路,以信息化和工业化深度融合为抓手,大力发展“互联网+业务内容”的新型服务业,加快建设设施农业、制造企业、环保等工程物联网,淘汰偏低端,主攻中高端,使我国逐步步入保持中高速,打造提质、增效、升级版的现代化强国。
当前我国发展“互联网+”及其经济新业态,也存在一些问题和不足:一是技术创新体系不完善,在互联网核心芯片、基础软件和关键器件上自主创新能力不强,大部分产品处于价值链低端,附加值较低;二是创新创业环境营造还不够,新形势下传统企业的互联网意识不强,地区发展不平衡依然突出;三是基础设施有待进一步优化提升,信息技术推广应用的深度广度、信息资源的开发利用程度、两化深度融合水平有待进一步提高,网络信息安全保障体系不够健全,面临新的巨大挑战。
扎实推进“互联网+”安全首先离不开产业的支撑,因此在“互联网+”行动计划中部高度重视加快发展“互联网+”信息安全产业。要大力发展网络与信息安全产品与服务产业。推进网络安全、入侵检测、身份验证、可信计算、数据安全等网络和信息安全产品的自主研发与产业化,重点突破下一代互联网、物联网、云计算、移动互联网等领域的安全核心技术,提升信息安全服务保障能力,促进安全、自主、可控信息技术产业体系的建设。发展数据加密、电子认证、网络监测和防御、应急响应、容灾备份、安全测试、风险评估等信息安全产品和服务。建立网络安全产业基地,培育一批信息安全研究、咨询、服务的专业企业,建立完善信息安全标准体系、测评评价体系、审计监督体系,提高对信息安全事件的监测、发现、预警、研判和应急处置能力。
例如随着云计算、大数据、物联网、SDN、移动互联网的持续蓬勃发展,各领域信息安全威胁也将出现多元化发展的趋势,由此互联网+各个领域及其用户以及消费者将面临更加复杂的安全威胁和挑战。在一些安全技术领域,我国还存在短板,在更严峻复杂的形势下,必须大力加快推进互联网+信息安全行动计划,促进国内信息安全产业将走向深度合作。
特别要强调指出的是,必须积极促进发展“互联网+”信息安全服务业。加快自主可控的信息安全技术在各领域的推广应用,支持国内民族信息安全企业、信息安全服务企业与各领域包括互联网企业的合作,鼓励基于互联网的安全产品、安全技术、安全服务平台建设和服务创新,积极发展互联网下的信息安全新服务模式。探索构建政府、安全企业、基础网络和重要信息系统等共同参与的多层次网络安全保障与服务体系新模式,为“互联网+”发展营造良好安全环境。支持各类“互联网+”网络与信息安全服务平台建设,鼓励传统企业以多种模式参与“互联网+”网络与信息安全工程研究中心,研发符合市场需要的新产品、探索服务的新模式。在国家统一框架下,明确互联网安全监管职责,加强协调配合,完善监管体系,推动建立信息披露、风险防控和应急处置机制,利用大数据等技术加强互联网+安全的监管与服务,防范“互联网+”风险。
二、总体构想
扎实推进“互联网+”网络与信息安全总的思路是抓住新一轮科技革命和产业变革的历史机会,以安全保障“互联网+”促进改革创新的积极性,使互联网等新一代信息技术与我国各领域的深度融合、互联网经济模式的创新,在安全保障的大环境下得到健康可持续发展。大力推进“互联网+”发展,对调整经济结构、转变发展方式、保障和改善民生具有重大意义和深远影响。但是必须看到由于我国信息化建设和信息安全保障仍存在一些亟待解决的问题,核心技术受制于人迄今没有完全解决;信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战,因此必须进一步增强紧迫感,采取更加有力的政策措施,在大力推进“互联网+”发展的同时把“互联网+”网络信息安全纳入“互联网+”的总体布局和顶层设计内容之中,切实保障“互联网+”的网络与信息安全。
所以从制定“互联网+”行动计划的指导思想中,必须坚持深入贯彻落实科学发展观,以促进资源优化配置为着力点,加快建设下一代信息基础设施,推动信息化和网络信息安全统筹融合,进一步夯实信息安全保障体系基础,促进网络安全信息技术和产业体系健康发展,坚持积极利用、科学发展、依法管理、确保安全,加强统筹协调和顶层设计,健全国家信息安全基础设施与安全支撑服务保障体系,维护网络信息安全。
要进一步明确“互联网+”战略与行动计划中涉及网络信息安全的主要目标。要确保“互联网+”网络信息安全保障水平明显提高,有力支撑“互联网+”健康发展;新一代“互联网+”网络信息安全基础设施初步建成,“互联网+”信息安全保障体系基本形成。
三、主要任务初步设想
加快推进新一代“互联网+”网络信息安全前瞻性研究和前沿性发展布局研究,持续研究新一代互联网在创新应用中新增网络信息安全风险,研究传统业务向“互联网+”模式演进、业务迁移与商业运营中新增加的风险和挑战,研究国家现有基础网络架构面临新业务、新应用和新的安全风险时必须进行的优化,升级和改造,为确保实现高速度高质量互联互通所必须进行的安全加固、重组和能力扩充等。加快未来网络体系架构在“互联网+”运用的前期预研、战略布局,建设面向未来“互联网+”创新发展的安全保障平台。
加快推进新一代互联网环境下的安全保障体系建设。总结试点经验,在确保网络信息安全的前提下,加快网络信息安全资源共享,加强应急体系建设,加快相关法律法规和标准体系建设,健全适应于互联网不断融合的体制机制,完善可管、可控的网络信息安全保障体系。
全面提高企业信息安全保障水平。实施重大信息安全保障和国产替代示范项目,引导企业业务应用向综合信息安全协同创新转变。继续实施中小企业信息安全保障测评、检查体系建设,提高中小企业信息安全保障水平。完善企业信息安全保障水平评估认定体系,支持面向行业的信息安全公共服务平台发展。
为了健全“互联网+”安全防护和管理,保障“互联网+”信息安全, 我们提出如下建议:
(一)确保“互联网+”网络信息安全,事关全局责任重大,必须研究制定“互联网+”网络信息安全战略和规划,强化顶层设计。落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。强化网络与信息安全应急处置工作,完善应急预案,加强对基础网络与重要信息系统灾备设施建设的指导和协调。完善信息安全认证认可体系,加强信息安全产品认证工作。
必须坚持同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。加强各领域互联网网站、地址、域名和接入服务单位的管理,完善信息共享机制,规范互联网金融服务市场秩序。
(二)严格信息技术服务外包的安全管理,为国内重点业务系统提供服务的数据中心、云计算服务平台等要设在境内,加强数据流出入境管理。进一步改进和完善互联网业务开办审核、统一标识、监测和举报制度。加强安全防护监测。落实信息系统等级保护制度,强化重要信息系统审查机制。
(三)强化信息资源和个人信息保护。加强人口、法人、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任,严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点,加强个人信息保护工作。
(四)加强网络信任体系建设和密码保障。健全电子认证服务体系,推动电子签名在重点领域和电子商务中的应用。制定电子商务信用评价规范,建立互联网网站、电子商务交易平台诚信评价机制,支持符合条件的第三方机构开展信用评价服务。大力推动国家密码标准与技术在重要信息系统中的应用,强化密码在保障电子商务安全和保护公民个人信息等方面的支撑作用。
(五)提升“互联网+”下的网络与信息安全监管能力。完善国家网络与信息安全基础设施,加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设,提高风险隐患发现、监测预警和突发事件处置能力。加强信息共享和交流平台建设,健全网络与信息安全信息通报机制。加大对网络违法犯罪活动的打击力度。进一步完善监管体制,充实监管力量,加强对金融信息网络安全工作的指导和监督管理。倡导行业自律,发挥社会组织和广大网民的监督作用。
(六)加快发展“互联网+”信息安全产业。大力发展服务于各领域的网络与信息安全产品与服务产业。推进网络安全、入侵检测、身份验证、可信计算、数据安全等网络和信息安全产品的自主研发与产业化,重点突破下一代互联网、物联网、云计算、移动互联网等领域的安全核心技术,提升信息安全服务保障能力,促进安全、自主、可控信息技术产业体系的建设。发展数据加密、电子认证、网络监测和防御、应急响应、容灾备份、安全测试、风险评估等信息安全产品和服务。建立网络安全产业基地,培育一批信息安全研究、咨询、服务的专业企业,建立完善信息安全标准体系、测评评价体系、审计监督体系,提高对信息安全事件的监测、发现、预警、研判和应急处置能力。
四、完善政策措施
(一)加强组织领导。在中央网络安全和信息化领导小组的领导和中央网信办的具体协调组织下,各部门各地都要按照职责分工,认真落实各项工作任务,加强协调配合,形成合力,共同推进“互联网+”网络信息安全保障工作,将保障网络与信息安全列入重要议事日程,逐级建立并认真落实网络与信息安全责任制,明确主管领导,确定工作机构,负责督促落实网络与信息安全规章制度,组织制定应急预案,处理重大网络与信息安全事件等。
(二)加强政策和资金扶持。加大对“互联网+”网络与信息安全深度融合关键共性技术研发与推广、公共服务平台、重大示范工程建设等的支持力度。整合利用现有资金渠道,重点支持信息安全重要基础性工作。
(三)加快法规制度和标准建设。完善“互联网+”信息化发展和网络与信息安全法律法规,研究制定金融业信息安全管理、个人信息保护等管理办法。健全相关法规制度,明确并落实企事业单位和社会组织维护信息安全的责任。制定完善新一代信息技术在金融领域的应用标准,注重发挥标准对产业发展的技术支撑作用。加快制定云计算、物联网等领域安全标准。
(四)加强宣传教育和人才培养。开展面向全行业的“互联网+”信息安全宣传教育培训。支持重点实验室建设。加强大中小学信息技术、信息安全和网络道德教育,在金融业各单位定期开展信息安全教育培训。加快培养创新型、应用型信息化人才。
访问人数:
