做好信息化形势下保密的工作

做好信息化形势下保密的工作做好信息化形势下保密的工作 随着国家信息化进程的不断加快,信息安全问题也越来 越突出,引起了党和政府的高度重视及社会各界的广泛关注。 信息安全关系到国家的政治安全、军事安全、经济安全、 科技安全和社会安全,关系到改革开放和社会主义现代化建 设事业的兴衰成败,党中央、国务院在部署全国信息化建设 中,把信息安全保密工作提上了战略地位,指出要一手抓信 息化建设,一手抓信息安全保障工作。去年 9 月,国家信息 化领导小组明确提出了建立我国信息安全保障体系的总体 目标、具体对策和要求。这对于加强我国信息安全保障工 作具有重要的指导意义。贯彻落实中办 27 号文件精神,保 护国家秘密信息安全是整个信息安全保障工作的一个重要 组成部分,是当前电子政务建设中的一项十分重要而紧迫的 任务。 XX 年国家保密局开展全国范围内对涉密计算机上互联 网和在公共网络上处理涉密信息的检查,发现了许多问题, 有技术方面的,也有管理方面的。另外,与网络相关的泄密 案件近几年在不断增加,据统计已经占到泄密案件的 60%以 上。由此可见,信息安全形势非常严峻,加强对涉密网络的 技术防范和保密管理刻不容缓。对此,笔者认为:一、立足 全局,重视做好电子政务建设中的保密工作。要明确定位, 严格某地分政务内网与政务外网。政府部门内部的办公网、 政府面向社会的政务公开网与互联网是三个不同层次的网, 国家对其安全防范和管理之所以提出不同的要求,是因为政 务内网、政务外网和互联网中运行的信息的性质、服务的 对象及信息安全的等级不同。由于政务内网难免不运行涉 密信息,因此必须与政务外网和互联网之间实行物理隔离。 二是明确标准,政务内网要严格按涉密网的要求来建设和管 理。由于国家秘密基本上集中在党政机关,所以党政内网要 按涉密网对待。对此,我们要进一步统一认识,明确责任,按 中央和中央保密委员会的要求自觉地把党政内网纳入保密 部门审批管理的范围,抓紧做好内网安全防范和保密管理工 作。三是控制范围,涉密系统外延应遵循“最小化“的原则。 一个涉密系统建设的越大,涉及的范围越广、层次越多,其 安全系数就越低。因此,涉密网络边界的确定,应在充分满 足应用需求的前提下遵循“涉密系统最小化“的原则,尽量缩 小涉密信息的接触范围,尽量扩大一般信息的互通共享,做 到保所必保,放所应放。“二、双管齐下,切实加强政务内网 的技术防范和保密管理。一是同步规划、同步实施的原则。 要求规划和建设涉密计算机信息系统,应当同步规划、落实 相应的保密设施;二是保密方案经过论证的原则。政务内网 建设总体方案中要有安全保密系统设计方案,或者在保密部 门指导下单独制定安全保密全面解决方案。采取的技术措 施必须符合国家保密局颁布的技术标准并经过专家的可行 性论证。三是保密技术措施强度与所保护的信息密级等级 相一致的原则。四是资质认证的原则。涉密系统不得采用 未经国家保密部门鉴定、认可的保密设备和安全产品;涉密 信息系统建设方案的设计、系统集成及维护保障工作,必须 委托经过国家保密部门批准的具有涉密资质的单位承担。 五是管理技术并重的原则。俗话说,“三分技术,七分管理“, 对于涉密信息系统管理尤其重要。要建立健全网络保密制 度,加强信息安全保密教育和日常监管,提高工作人员的安 全保密意识和安全技能。六是使用前经过审批的原则。按 照中央的要求和国家保密局的规定,涉密系统在投入使用前,必 须经过地某级以上保密部门的审批。 总之,共同推进信息安全保密保障体系的建设。一是需 要法律的规范和政策的引导。二是要在某场需求和国外先 进技术引进借鉴基础上不断创新。三是政府相关职能部门 之间的合理分工和密切配合。 。四是需要政府各部门、企业 与社会各界的重视、认同与积极支持。 中国的信息安全产业现况: 据有关方面估计,目前我国 55%以上的计算机受到病毒 的感染,80%的中文网站缺乏完善的安全保护系统,经济部门 70%的信息安全设备来自国外,特别是我国信息系统和网络 设备使用的关键芯片与核心软件大部分依赖进口,客观上留 下了很大隐患。如果信息安全解决不好,不仅会造成巨大的 经济损失,甚至会危及国家的安全和社会的稳定。国家信息 与网络安全体系的基础是信息产品和信息系统,建立自主强 大的信息安全产业是确保国家与信息安全的关键。因此,大 力发展自主的信息安全技术和产品势在必行。 据有关方面估计,目前我国 55%以上的计算机受到病毒 的感染,80%的中文网站缺乏完善的安全保护系统,经济部门 70%的信息安全设备来自国外,特别是我国信息系统和网络 设备使用的关键芯片与核心软件大部分依赖进口,客观上留 下了很大隐患。如果信息安全解决不好,不仅会造成巨大的 经济损失,甚至会危及国家的安全和社会的稳定。国家信息 与网络安全体系的基础是信息产品和信息系统,建立自主强 大的信息安全产业是确保国家与信息安全的关键。因此,大 力发展自主的信息安全技术和产品势在必行。 困难与问题: 我国信息安全产业仍处于初创阶段,还面对很多困难和 问题。中国信息安全产品测评认证中心主任吴世忠指出,我 国信息安全产业发展的问题主要表现在:一、安全应用需求 不明,产业的技术推动性太强,应用针对性不够。主要表现 在技术、产品的发展趋向主要跟踪国外信息化发展的商业 趋势,而国内的信息安全需求得不到很好满足。二、产品过 度集中,低水平重复较为严重,产业结构失调,资源配置不当,缺 乏竞争力。主要表现在产品高度集中在网络周边防护和密 码设备上,而身份识别和信息审计等产品相对较少。三、核 心技术仍受制约,产业化水平较低,产品质量令人担忧。主 要表现在除 os、芯片、应用软件外,又多了专用协议、标准 等限制,展品、样品、试用品多,认证通过率低。 四、缺乏 产业政策支持,尤其缺乏融资政策和采购政策,难以适应 wto 的严峻挑战。政府管理多方政策应该协调一致,政府与商业 需求应该有不同的采购政策,应该在 wto/tbt 框架下制定合 理的产业保护政策。 中国信息安全产业的前景: 加入世贸组织后,我国面临着更加开放的发展环境。随 着国家信息化的不断推进,对信息安全提出了新的更高的要 求,也为我国信息安全产业提供了新的发展机遇。无论从应 对复杂多变的国际形势、增强国家信息安全角度考虑,还是 从支持我国信息产业发展的新的增长点考虑,建立我国独立 自主的信息安全产业已成当务之急。 信息产业部电子信息产品管理司司长张琪就如何推动 我国信息安全产业发展曾提出过几个重点工作: 加快研究 制定国家信息安全产业发展战略和相关政策,努力创造良好 的发展环境;制定信息安全产品相关标准,引导和促进信息 安全产业的发展;积极发展网络安全技术,支持具有自主知 识产权产品的研发和产业化;加强关键核心技术的科技攻关