韓?。簭摹袄忡R門(mén)”看中國信息安全建設<

         近日，美國一項代號為“棱鏡”的機密計劃逐步浮出水面。據美國中情局前職員愛(ài)德華·斯諾登爆料美國國家安全局和聯(lián)邦調查局從2007年起便開(kāi)始在微軟、谷歌、蘋(píng)果、雅虎、Facebook、Skype、PalTalk、美國在線(xiàn)、YouTube等九家美國互聯(lián)網(wǎng)公司中進(jìn)行數據挖掘工作，從音視頻、圖片、郵件、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。然而，這項計劃不僅僅局限于美國國內，而是涉及全球范圍，這再次掀起了全球各國對于國家信息安全以及國民個(gè)人隱私保護的深層次思考。

　　基于對當前信息安全發(fā)展形勢的分析和判斷，筆者認為保障國家信息安全和個(gè)人隱私要著(zhù)重從國家各重點(diǎn)行業(yè)領(lǐng)域企業(yè)入手，尤其是涉及電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)等國家基礎網(wǎng)絡(luò )黨政專(zhuān)網(wǎng)等涉密信息系統，以及能源、交通、金融等涉及國計民生的重要信息系統、關(guān)鍵工業(yè)控制系統等領(lǐng)域的重點(diǎn)企業(yè)。大力提升這些企業(yè)的信息化水平，并且要鼓勵和支持將信息安全產(chǎn)品和服務(wù)納入信息化建設預算，要建立長(cháng)期有效的信息安全保障機制。具體而言，有以下幾點(diǎn)建議：

　　一是加強對國內關(guān)鍵行業(yè)領(lǐng)域企業(yè)信息安全情況的調研。

　　通過(guò)信息網(wǎng)絡(luò )安全風(fēng)險評估實(shí)現對企業(yè)信息安全現狀信息收集，采用的手段包括文檔審閱、脆弱性?huà)呙?、本地審計、現場(chǎng)觀(guān)測、人員訪(fǎng)談、座談研究、問(wèn)卷采集、資料收集等。

　　同時(shí)，從信息安全管理組織、信息安全風(fēng)險管理、信息安全制度體系、信息安全審計監督、人員信息安全控制、第三方訪(fǎng)問(wèn)安全控制、系統安全建設控制、系統運維安全控制、物理和環(huán)境安全控制、網(wǎng)絡(luò )安全控制、操作系統和數據庫與基礎信息系統安全控制、應用系統安全控制、桌面安全控制等方面來(lái)調查和了解企業(yè)信息安全狀況，并根據企業(yè)信息化程度的不同以及信息安全保障能力的高低，鼓勵和支持企業(yè)制定差異化、針對性和可操作性較強的信息安全解決方案。

　　二是加快推進(jìn)國內關(guān)鍵行業(yè)領(lǐng)域企業(yè)信息系統的安全評估和測試工作。

　　在安全評估方面，主要針對企業(yè)主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術(shù)、網(wǎng)絡(luò )漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語(yǔ)意分析等技術(shù)，評估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

　　在安全測試方面，針對企業(yè)信息系統的特征和需求，研究信息安全測評技術(shù)，提高信息安全缺陷發(fā)現率，重點(diǎn)加強測試環(huán)境的構造與仿真、有效性測試、負荷與性能測試、滲透測試、故障測試、一致性與兼容性測試等工作。同時(shí)，還要完善安全測評服務(wù)體系，不斷提升信息安全服務(wù)質(zhì)量。

        三是制定國內信息安全關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品研發(fā)計劃。

　　針對當前制約我國信息安全產(chǎn)業(yè)發(fā)展的關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品，有效匯聚國家重要資源，制定信息安全關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品目錄，并積極引導企業(yè)和普通消費用戶(hù)擴大應用規模。通過(guò)突破一批信息安全核心技術(shù)，形成一批具有市場(chǎng)競爭力的產(chǎn)品，建立和推廣自主知識產(chǎn)權的標準規范，從而構建完整的信息安全產(chǎn)品體系和產(chǎn)業(yè)鏈。

　　四是加強企業(yè)信息基礎設施和重要信息系統建設，建設面向企業(yè)的信息安全專(zhuān)業(yè)服務(wù)平臺。

　　重點(diǎn)開(kāi)展等級保護設計咨詢(xún)、風(fēng)險評估、安全咨詢(xún)、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務(wù)；建設企業(yè)信息安全數據庫，包括脆弱性漏洞庫、安全事件檢測庫、軟件補丁庫、惡意代碼庫、標準信息庫等，為廣大企業(yè)提供快速、高效的信息安全咨詢(xún)、預警、應急處理等服務(wù)，實(shí)現企業(yè)信息安全公共資源的共享共用，切實(shí)提高信息安全保障能力。