金本奎

[摘要]隨著網(wǎng)絡(luò)與信息系統(tǒng)的迅猛發(fā)展，在給我們生活工作帶來很大便利的同時，也給安全工作帶來了新的問題，給許多部門和單位帶來了極大的風(fēng)險。所以在大力發(fā)展信息產(chǎn)業(yè)之前，要同步加強網(wǎng)絡(luò)信息安全管理。

[關(guān)鍵詞]信息；發(fā)展；安全

近年來，隨著網(wǎng)絡(luò)金融、智能電網(wǎng)和高速鐵路等現(xiàn)代產(chǎn)業(yè)的發(fā)展，以及物聯(lián)網(wǎng)、云計算等新技術(shù)、新應(yīng)用的普及，網(wǎng)絡(luò)與信息系統(tǒng)在銀行、電力、石油、鐵路等重要行業(yè)的應(yīng)用更廣、作用更突出，直接影響到各行業(yè)的正常運行。信息安全問題的出現(xiàn)有可能會擾亂經(jīng)濟(jì)運行秩序，造成重大經(jīng)濟(jì)損失，危及國家經(jīng)濟(jì)安全。因此，加強網(wǎng)絡(luò)信息安全管理勢在必行。

一、強化法律監(jiān)管體系建設(shè)

完善我國信息安全法律體系，規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù)，尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國流動等方面加強立法，明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù)，逐步構(gòu)建起信息安全立法框架。建立完善的信息安全監(jiān)督管理制度體系。推進(jìn)信息安全風(fēng)險評估工作，建立有效的信息安全審查制度，對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險評估。參考WTO規(guī)則制定我國信息安全行業(yè)管理規(guī)范。

二、強化信息基礎(chǔ)設(shè)施安全建設(shè)

啟動信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強國外進(jìn)口技術(shù)和產(chǎn)品，以及新技術(shù)、新產(chǎn)品和新業(yè)務(wù)的漏洞分析工作，提升安全隱患的發(fā)現(xiàn)能力，促進(jìn)漏洞信息共享。建立重要領(lǐng)域信息技術(shù)、產(chǎn)品及服務(wù)的安全檢測與審核制度，對進(jìn)口技術(shù)、產(chǎn)品和服務(wù)的安全性進(jìn)行風(fēng)險評估。逐步實現(xiàn)核心技術(shù)產(chǎn)品的國產(chǎn)化替代，真正實現(xiàn)“以我為主，自主可控”。加強關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作。

（一）加快國產(chǎn)信息技術(shù)產(chǎn)品的發(fā)展與替代

加大對信息安全保障基礎(chǔ)技術(shù)研發(fā)的資金投入，加強高端通用芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)技術(shù)攻關(guān)，提高我國信息安全技術(shù)產(chǎn)品水平。加快突破云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)中的關(guān)鍵核心技術(shù)，形成擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。加快國產(chǎn)技術(shù)和裝備的應(yīng)用推廣，在政府采購、信息系統(tǒng)等級保護(hù)等實施中，對國產(chǎn)技術(shù)和裝備應(yīng)用提出要求，采取資金補貼等政策激勵應(yīng)用領(lǐng)域采用國產(chǎn)化的產(chǎn)品，逐步實現(xiàn)政府部門和重要領(lǐng)域國產(chǎn)化替代。

（二）強化移動互聯(lián)網(wǎng)安全防護(hù)

一是加快建立移動互聯(lián)網(wǎng)的安全監(jiān)管政策體系。抓緊研究制定“移動智能終端管理辦法”，明確智能終端進(jìn)網(wǎng)檢測等重點環(huán)節(jié)的管理要求。加快智能終端安全標(biāo)準(zhǔn)的制定，包括智能終端、應(yīng)用軟件等的安全要求與評估標(biāo)準(zhǔn)，開發(fā)智能終端、應(yīng)用軟件的安全性評估工具，對智能終端和應(yīng)用軟件進(jìn)行安全性評估。二是加強移動互聯(lián)網(wǎng)安全技術(shù)研發(fā)。組織進(jìn)行核心芯片、操作系統(tǒng)、軟件平臺等技術(shù)開發(fā)，對網(wǎng)絡(luò)、終端、應(yīng)用軟件等領(lǐng)域的安全技術(shù)進(jìn)行重點攻關(guān)，集中力量突破技術(shù)瓶頸，優(yōu)先發(fā)展具有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品。三是加強對移動互聯(lián)網(wǎng)企業(yè)的監(jiān)督，建立對境外企業(yè)的信息安全審查制度，提高我國評估、發(fā)現(xiàn)和處置其所提供業(yè)務(wù)的信息安全風(fēng)險的能力。

三、整治黑客產(chǎn)業(yè)鏈，建設(shè)信息網(wǎng)絡(luò)安全屏障

近幾年，隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的快速發(fā)展，利用黑客技術(shù)實施犯罪的活動日益增多，黑客群體呈現(xiàn)出新的發(fā)展趨勢，在金錢刺激下逐漸形成了一條以盈利為目的、分工明確的黑客產(chǎn)業(yè)鏈。黑客產(chǎn)業(yè)鏈危害巨大，不僅給用戶造成經(jīng)濟(jì)損失、嚴(yán)重阻礙了互聯(lián)網(wǎng)發(fā)展，還威脅著重要信息系統(tǒng)安全，給國民經(jīng)濟(jì)、社會穩(wěn)定乃至國家安全造成影響。

（一）提高漏洞發(fā)現(xiàn)能力，降低風(fēng)險危害

漏洞是實施網(wǎng)站木馬等網(wǎng)絡(luò)攻擊的必要條件，是形成黑客產(chǎn)業(yè)鏈的第一步。漏洞普遍存在于各種設(shè)備或系統(tǒng)中的，可以及時補救，但不能完全根除。如果能減少漏洞、或縮短漏洞的生存期，則可以大大降低漏洞帶來的損失。我國在漏洞管理方面還存在一些問題：首先，對國外漏洞庫的依存度高。由于國內(nèi)在漏洞挖掘等領(lǐng)域的技術(shù)能力較為薄弱，國內(nèi)漏洞庫有相當(dāng)比例的漏洞信息是援引自國外已公布的漏洞，首次發(fā)布的漏洞相對比例較少，國產(chǎn)軟件漏洞發(fā)布的也較少。其次，缺乏對漏洞庫的有效應(yīng)用。目前國內(nèi)漏洞庫的功能主要體現(xiàn)在漏洞信息發(fā)布和安全預(yù)警上，而基于漏洞庫的安全審計、風(fēng)險評估、軟件安全性評測等有價值的應(yīng)用不多。最后，政府部門、安全組織和商業(yè)公司在漏洞庫建設(shè)工作中雖有合作，但各自的角色和職能不清晰，合作力度還不夠。

（二）加強網(wǎng)絡(luò)監(jiān)控，防范違法活動

網(wǎng)絡(luò)地下黑市是不法分子進(jìn)行溝通聯(lián)系的主要渠道。據(jù)相關(guān)研究顯示，目前黑客使用最多的方式就是百度貼吧和QQ群。國家相關(guān)主管部門可加強與騰訊、百度的合作，建立專門的數(shù)據(jù)發(fā)掘部門或機(jī)構(gòu)，針對黑客主要使用的溝通渠道進(jìn)行持續(xù)監(jiān)控和數(shù)據(jù)分析，通過分析為網(wǎng)絡(luò)犯罪事件追溯和公安機(jī)關(guān)打擊工作提供線索。同時建立黑客違法活動的舉報激勵機(jī)制，設(shè)置相應(yīng)獎賞，鼓勵社會公眾對黑客違法活動進(jìn)行舉報。