對信息安全建設的四點建議

    “棱鏡門”再次掀起了各國對國家信息安全和個人隱私保護的深層思考。基於對當前信息安全發展形勢的研判，筆者認為，保障信息安全要著重從國家重點行業領域入手，尤其是電信網、廣播電視網和互聯網等國家基礎網絡和黨政專網等涉密信息系統以及能源、交通、金融等重要信息系統、關鍵工業控制系統等。大力提升其信息化水平，鼓勵和支持將信息安全產品和服務納入信息化建設預算，建立長期有效的信息安全保障機制。具體而言，提出4點建議：

　　一是加強對關鍵行業和領域信息安全調研。通過文檔審閱、脆弱性掃描、本地審計、現場觀測等形式，搜集信息安全現狀信息，准確評估安全風險。同時，從信息安全管理組織、信息安全風險管理、信息安全制度體系、信息安全審計監督、人員信息安全控制、網絡安全控制等方面來調查和了解企業信息安全狀況，並根據企業信息化程度的不同以及信息安全保障能力的高低，鼓勵和支持企業制定差異化、針對性和可操作性較強的信息安全解決方案。

　　二是加快推進國內關鍵行業領域企業信息系統的安全評估測試。在安全評估方面，主要針對企業主機安全保密檢查與信息監管，採取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，並找出泄漏的原因和渠道。

　　在安全測試方面，針對企業信息系統的特征和需求，研究信息安全測評技術，提高信息安全缺陷發現率，重點加強測試環境的構造與仿真、有效性測試、負荷與性能測試等工作。同時，還要完善安全測評服務體系，不斷提升信息安全服務質量。

　　三是制定信息安全關鍵技術和重點產品研發計劃。針對當前制約信息安全產業發展的關鍵技術和重點產品，匯聚國家重要資源，制定信息安全關鍵技術和重點產品目錄，並引導企業和普通消費者擴大應用規模。突破一批信息安全核心技術，形成一批具有市場競爭力的產品，建立和推廣自主知識產權的標准規范，構建完整的信息安全產品體系和產業鏈。

　　四是加強企業信息基礎設施和重要信息系統建設，建設面向企業的信息安全專業服務平台。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標准驗証等服務﹔建設企業信息安全數據庫，為廣大企業提供快速、高效的信息安全咨詢、預警、應急處理等服務，實現企業信息安全公共資源的共享共用，提高信息安全保障能力。（韓 健）

　　（作者為工業和信息化部賽迪智庫軟件與信息服務業研究所專家）