導(dǎo)讀:“棱鏡門”再次掀起了各國(guó)對(duì)國(guó)家信息安全和個(gè)人隱私保護(hù)的深層思考�。一下從四個(gè)方面對(duì)如何應(yīng)對(duì)關(guān)鍵行業(yè)控制系統(tǒng)信息安全作出了闡釋。
“棱鏡門”再次掀起了各國(guó)對(duì)國(guó)家信息安全和個(gè)人隱私保護(hù)的深層思考��������;趯(duì)當(dāng)前信息安全發(fā)展形勢(shì)的研判�,筆者認(rèn)為�,保障信息安全要著重從國(guó)家重點(diǎn)行業(yè)領(lǐng)域入手,尤其是電信網(wǎng)��、廣播電視網(wǎng)和互聯(lián)網(wǎng)等國(guó)家基礎(chǔ)網(wǎng)絡(luò)和黨政專網(wǎng)等涉密信息系統(tǒng)以及能源����、交通����、金融等重要信息系統(tǒng)���、關(guān)鍵工業(yè)控制系統(tǒng)等。大力提升其信息化水平���,鼓勵(lì)和支持將信息安全產(chǎn)品和服務(wù)納入信息化建設(shè)預(yù)算����,建立長(zhǎng)期有效的信息安全保障機(jī)制�。具體而言,提出4點(diǎn)建議:
一是加強(qiáng)對(duì)關(guān)鍵行業(yè)和領(lǐng)域信息安全調(diào)研�。通過文檔審閱、脆弱性掃描��、本地審計(jì)���、現(xiàn)場(chǎng)觀測(cè)等形式����,搜集信息安全現(xiàn)狀信息���,準(zhǔn)確評(píng)估安全風(fēng)險(xiǎn)��。同時(shí)��,從信息安全管理組織��、信息安全風(fēng)險(xiǎn)管理�����、信息安全制度體系��、信息安全審計(jì)監(jiān)督�、人員信息安全控制、網(wǎng)絡(luò)安全控制等方面來調(diào)查和了解企業(yè)信息安全狀況�,并根據(jù)企業(yè)信息化程度的不同以及信息安全保障能力的高低,鼓勵(lì)和支持企業(yè)制定差異化�、針對(duì)性和可操作性較強(qiáng)的信息安全解決方案。
二是加快推進(jìn)國(guó)內(nèi)關(guān)鍵行業(yè)領(lǐng)域企業(yè)信息系統(tǒng)的安全評(píng)估測(cè)試��。在安全評(píng)估方面�����,主要針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管�����,采取文件內(nèi)容檢索����、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)���、網(wǎng)絡(luò)漏洞掃描���、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語意分析等技術(shù)���,評(píng)估分析重要信息是否發(fā)生泄漏�,并找出泄漏的原因和渠道�����。
在安全測(cè)試方面��,針對(duì)企業(yè)信息系統(tǒng)的特征和需求���,研究信息安全測(cè)評(píng)技術(shù)����,提高信息安全缺陷發(fā)現(xiàn)率,重點(diǎn)加強(qiáng)測(cè)試環(huán)境的構(gòu)造與仿真����、有效性測(cè)試、負(fù)荷與性能測(cè)試等工作���。同時(shí)���,還要完善安全測(cè)評(píng)服務(wù)體系,不斷提升信息安全服務(wù)質(zhì)量��。
三是制定信息安全關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品研發(fā)計(jì)劃�。針對(duì)當(dāng)前制約信息安全產(chǎn)業(yè)發(fā)展的關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品,匯聚國(guó)家重要資源�,制定信息安全關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品目錄,并引導(dǎo)企業(yè)和普通消費(fèi)者擴(kuò)大應(yīng)用規(guī)模�。突破一批信息安全核心技術(shù),形成一批具有市場(chǎng)競(jìng)爭(zhēng)力的產(chǎn)品�����,建立和推廣自主知識(shí)產(chǎn)權(quán)的標(biāo)準(zhǔn)規(guī)范����,構(gòu)建完整的信息安全產(chǎn)品體系和產(chǎn)業(yè)鏈�����。
四是加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺(tái)����。重點(diǎn)開展等級(jí)保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評(píng)估��、安全咨詢�、安全測(cè)評(píng)、快速預(yù)警響應(yīng)���、第三方資源共享的容災(zāi)備份�、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)�;建設(shè)企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速���、高效的信息安全咨詢��、預(yù)警�����、應(yīng)急處理等服務(wù)�����,實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用���,提高信息安全保障能力�����。
