导读:“棱镜门”再次掀起了各国对国家信息安全和个人隐私保护的深层思考。一下从四个方面对如何应对关键行业控制系统信息安全作出了阐释。
“棱镜门”再次掀起了各国对国家信息安全和个人隐私保护的深层思考。基于对当前信息安全发展形势的研判,笔者认为,保障信息安全要着重从国家重点行业领域入手,尤其是电信网、广播电视网和互联网等国家基础网络和党政专网等涉密信息系统以及能源、交通、金融等重要信息系统、关键工业控制系统等。大力提升其信息化水平,鼓励和支持将信息安全产品和服务纳入信息化建设预算,建立长期有效的信息安全保障机制。具体而言,提出4点建议:
一是加强对关键行业和领域信息安全调研。通过文档审阅、脆弱性扫描、本地审计、现场观测等形式,搜集信息安全现状信息,准确评估安全风险。同时,从信息安全管理组织、信息安全风险管理、信息安全制度体系、信息安全审计监督、人员信息安全控制、网络安全控制等方面来调查和了解企业信息安全状况,并根据企业信息化程度的不同以及信息安全保障能力的高低,鼓励和支持企业制定差异化、针对性和可操作性较强的信息安全解决方案。
二是加快推进国内关键行业领域企业信息系统的安全评估测试。在安全评估方面,主要针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
在安全测试方面,针对企业信息系统的特征和需求,研究信息安全测评技术,提高信息安全缺陷发现率,重点加强测试环境的构造与仿真、有效性测试、负荷与性能测试等工作。同时,还要完善安全测评服务体系,不断提升信息安全服务质量。
三是制定信息安全关键技术和重点产品研发计划。针对当前制约信息安全产业发展的关键技术和重点产品,汇聚国家重要资源,制定信息安全关键技术和重点产品目录,并引导企业和普通消费者扩大应用规模。突破一批信息安全核心技术,形成一批具有市场竞争力的产品,建立和推广自主知识产权的标准规范,构建完整的信息安全产品体系和产业链。
四是加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
