四、我国重要信息系统和工业控制系统等安全状况堪忧,国家经济发展和产业安全面临挑战
随着国民经济对信息网络和系统的依赖性增强,信息安全成为关系经济平稳运行和安全的重要因素。当前,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。据统计,我国芯片、高端元器件、通用协议和标准等80%左右依赖进口,防火墙、加密机等10类信息安全产品65%来自进口,2010年我国集成电路产品进口额为1569.9亿美元,是最大宗单项进口产品。当前,针对重要信息系统和工业控制系统的网络攻击持续增多,一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪,给我国经济发展和产业安全等带来严峻挑战。2012年我国工业经济领域使用国外信息技术和产品的状况将不可能有根本性改观。
五、信息技术应用加大了网络监管的难度和复杂性,我国信息安全监管面临更大挑战
随着网络尤其是移动互联网的快速发展,手机微博、社交网站等应用快速兴起,信息的发布和传递空前便捷、快速,“人人时时处处在线”成为现实。网民通过信息网络获取信息、表达诉求、参与政治和社会治理的要求日益强烈。现实社会的热点敏感问题和矛盾可能在网络上传播、发酵、放大,各种社会思潮借助网络平台碰撞、激荡,导致社会问题网络化、网络问题社会化。网上充斥着各种错误理论、反动思潮、腐朽落后文化、淫秽色情和虚假有害信息。所有这些都对政府的舆论掌控和网络监管能力提出了挑战。另外,当前跨国公司加快形成“黑箱式”技术,我国的海量信息和数据向跨国企业汇聚集中,关键信息和数据对国外几乎透明。
关注问题:信息技术和产业支撑能力较弱
2012年信息安全发展面临的突出问题是:组织管理体制不得力,信息技术自主可控能力低,信息安全防御能力明显不足,重要信息系统等安全事件多发,信息安全立法和标准滞后,高层次人才缺乏。
一、现有组织管理体制难以跟上新形势下信息安全发展的需要
随着信息安全上升为国家战略,很多国家都建立了信息安全的最高决策或者协调机构,大多数设立在内阁一级,以统一领导和协调国家信息安全工作。目前,我国信息安全领域存在多头管理现象,相关职能部门涉及多个部门,部门之间职责界定不清晰,管理权限存在交叉。这不仅造成了决策权分散,也容易造成各个相关管理机构之间缺乏充分的沟通和协调,部门间作用发挥不均衡。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。当前,信息安全发展面临着各种安全威胁,需要建立国家统一领导下的灵活的组织管理架构。我国现有“分工负责、各司其职”的体制难以形成应对威胁的合力,不适应信息安全发展和保障工作需要。
二、信息技术和产业支撑能力较弱,难以从根本上保障我国信息安全
信息安全发展需要技术和产业体系支撑,但当前我国信息安全技术和产业支撑能力不足。一方面,我国涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低。据统计,银行、民航、电力、铁路、工业控制、装备制造等国民经济重要部门70%以上的信息设备来自国外,特别是关键芯片、核心软件和部件严重依赖进口。进口的技术和产品不可避免地存在一定的安全漏洞和“后门”,这些漏洞和“后门”可能被利用实施入侵、修改或破坏设备程序,或从设备中窃取机密数据和信息。另一方面,我国信息安全发展要保障基础信息网络、重要信息系统和工业控制系统等的安全,需要大量产品和技术支撑,但当前我国信息安全产业基础薄弱,2010年产业规模仅为148.29亿元,产品和技术研发能力弱,对信息安全发展支撑不足。
三、我国信息安全防御能力不足以应对各种安全事件多发的挑战
我国还未形成统一的信息安全防御体系,网络攻击对抗能力、大规模网络攻击的抗打击能力等明显不足,在面对网络攻击时不能及时响应,不能实现对网络攻击的追踪核查。目前实施的等级保护、风险评估等工作相对零散,远未形成系统,而且实施中还存在诸多问题。例如信息安全风险测评机制还不完善,尚不能实现对信息系统及相关产品的实时监测,在新技术新产品新应用的安全隐患发现能力上还有很大的缺陷。与此同时,电信网、互联网等基础信息网络、重要信息系统以及党政机关信息安全防护措施还存在不足,管理上也有不到位的地方,因技术故障、系统缺陷等发生断网、停运,以及因遭受攻击篡改和漏洞利用等发生敏感信息泄露等重大安全事件多发。据国家互联网应急中心(CNCERT)监测,2011年9月,境内感染网络病毒终端数626万个,被篡改网站数量2227个。其中被篡改政府网站181个,信息系统安全漏洞528个。
四、政策法规和标准滞后、人才缺乏制约我国信息安全发展
我国对信息安全虽然重视,但是缺乏必要的政策扶持,投入不足,且现有投入较为分散,难以形成拳头效应。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性。信息安全标准工作进展较缓慢,前瞻性不足,对物联网、云计算、移动互联网等新技术带来的安全问题,还缺乏相应的标准规范;多数标准参考国际标准,没有形成符合我国国情的信息安全标准体系,在标准领域国际话语权不够;一些标准宣传贯彻力度不够,还难以变成产业、用户的可操作行为,应用上存在着差距。
同时,我国信息安全领域缺乏高层次技术人员,尤其缺乏既懂技术、又懂管理的复合型人才。目前我国尚未形成专业、完整的信息安全人才培养机制,学科建设、资源投入、教学科研能力、人才培养模式等方面的体系不够完善,人才教育水平有待提高。国家级信息安全人才培训和认证体系尚未建立,尚未形成社会化的人才培养机制。
(责任编辑:)
