加强信息安全保障工作刻不容缓

近日,国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,在对加快推进信息化发展做出部署的同时,围绕切实保障信息安全工作,明确提出要健全安全防护和管理、保障重点领域信息安全,加快能力建设、提升网络与信息安全保障水平。

随着信息技术的发展和普及应用,经济社会活动对信息网络的依赖性增强,信息安全成为关系国家安全的关键因素。近年来,全球网络安全威胁情况发生新的变化,国家之间网络战争的威胁日益加剧,我国信息安全保障工作面临着严峻的形势。

一方面,全球网络安全威胁正进入新阶段,国家支持的、有组织的网络攻击开始出现。这类攻击主要针对关键基础设施及其控制系统,不以牟取经济利益为目的,而是要窃取敏感信息或者使关键基础设施运行瘫痪。这类攻击手段复杂、行为隐蔽,呈现出持续性的特点,一旦成功实施危害巨大。继“震网”、 “Duqu”病毒后,近期出现的“火焰”病毒,具有强大的间谍能力,可针对任何一个国家发动攻击。

另一方面,各国加快网络空间军备竞赛,网络战争的威胁日益加剧。各国纷纷加快研发网络武器,组建网络部队,并通过立法方式授权军队在遭受网络攻击时使用武力进行反击。网络战争不仅局限于对军事目标以及与军事相关民用目标的战时攻击,也将包括针对一国关键基础设施发动网络攻击。未来,针对一个国家发动网络攻击致使该国的关键基础设施瘫痪将成为可能,将给该国和社会造成灾难性的危害。

信息安全新形势要求我国必须加强信息安全保障工作,尤其是要确保关键基础设施的安全。确保关键基础设施安全,重点要做好两方面的工作:一是要确保能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络的安全,二是要保障重要领域工业控制系统安全。

当前,我国重要信息系统和基础信息网络安全还存在一些问题,包括安全防护措施不足,管理不到位,因技术故障、系统缺陷等发生断网、停运,因遭受攻击篡改和漏洞利用等导致敏感信息泄露等重大安全事件多发。对此,我们除应同步规划、同步建设、同步运行安全防护设施外,还要加强对新型网络威胁的跟踪研究,开展漏洞挖掘等基础技术研发。同时,加强重要信息系统和基础信息网络的安全评估,督促相关企业建立信息安全防护体系,落实信息安全技术防护和管理措施。最后,要加快推动国内技术产品对国外产品的替代。

工业控制系统广泛运用于航空航天、先进制造、石油石化、交通运输等领域。随着计算机和网络技术的发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制系统安全问题日益突出。工业控制系统一旦发生安全问题,可造成敏感信息、关键控制数据被窃取、篡改破坏,还可能导致工业生产运行的瘫痪,造成巨大经济损失。保障工业控制系统安全,一方面要加强重要领域工业控制系统安全防护和管理,建立工业控制系统安全检查和风险评估制度;另一方面要对工业控制终端、通信设备以及芯片、软件等软硬件产品进行漏洞检测和安全测评,建立工业控制系统安全风险和漏洞通报制度。