我国信息安全发展现状

我国信息平安开展现状国家信息中心信息平安研究与效劳中心吴亚非InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter3/10/20251中央领导高度重视胡锦涛总书记2001年国家信息化领导小组成立会议上指出：把信息平安放到至关重要的位置上，认真加以考虑和解决。胡锦涛总书记近期又指出：把握信息化开展、维护国家在网络空间的平安和利益，成为信息时代的重大战略课题。3/10/20252中国政府高度重视信息平安问题中央军委副主席、国务委员兼国防部长曹刚川上午在会出席“信息平安：中国与世界〞国际学术研讨会的德国前总统赫尔佐克和外方与会代表。随着全球信息社会的来临，信息平安问题日益凸显。信息平安作为“非传统平安〞的核心内容，备受世界各国的关注，并成为国家平安体系中的关键要素。中国政府高度重视信息平安问题，认为信息平安关系到国家未来的生存和开展。中国政府决心构建符合中国国情的、科学合理的信息平安战略，以保障中国特色的信息化健康、稳定地开展。中国政府愿意与国际社会一道，抓住机遇，应对挑战，促进开展，加强合作，为构建国际信息平安体系作出应有的奉献。3/10/20253近年国家层面的主要工作完成国家信息平安顶层设计开展信息平安规划管理体制和工作机制逐步建立根底性工作和根底设施建设取得较大进展

3/10/20254一、完成国家信息平安顶层设计?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕我国第一个全面关于信息平安保障工作的文件，是我国今后一段时期内信息平安保障工作的纲领性文件3/10/20255加强以密码技术为根底的信息保护和网络信任体系：标准和加强以身份认证、授权管理、责任认定等为主要内容的的网络信任体系建设3/10/20256加强信息平安保障工作-总体要求：总体要求：坚持积极防御、综合防范的方针，全面提高信息平安防护能力，重点保障根底信息网络和重要信息系统平安，创立平安健康的网络环境，保障和促进信息化开展，保护公众利益，维护国家平安。3/10/20257加强信息平安保障工作-主要原那么主要原那么：立足国情，以我为主，坚持管理与技术并重；正确处理平安与开展的关系，以平安保开展，在开展中求平安；统筹规划，突出重点，强化根底性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息平安保障体系。3/10/20258加强信息平安保障工作-九项任务一、加强信息平安保障工作的总体要求和主要原那么二、实行信息平安等级保护三、加强以密码技术为根底的信息保护和网络信任体系建设四、建设和完善信息平安监控体系五、重视信息平安应急处理工作六、加强信息平安技术研究开发，推进信息平安产业开展七、加快信息平安人才培养，增强全民信息平安意识八、保证信息平安资金九、加强对信息平安保障工作的领导，建立健全信息平安管理责任制3/10/20259国家中长期科学和技术开展规划纲要明确未来15年信息平安技术开展重点：〔1〕掌握集成电路及关键元器件、大型软件、高性能计算、宽带无线移动通信、下一代网络等核心技术；〔2〕开发网络信息平安技术及相关产品，建立信息平安技术保障体系，具备防范各种信息平安突发事件的技术能力；〔3〕重点研究开发国家根底信息网络和重要信息系统中的平安保障技术，开发复杂大系统下的网络生存、主动实时防护、平安存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。3/10/202510?中华人民共和国国民经济和社会开展第十一个五年规划纲要?积极防御、综合防范，提高信息平安保障能力。强化平安监控、应急响应、密钥管理、网络信任等信息平安根底设施建设。加强根底信息网络和国家重要信息系统的平安防护。推进信息平安产品产业化。开展咨询、测评、灾备等专业化信息平安效劳。健全平安等级保护、风险评估和平安准入制度。3/10/202511?2006－2021年国家信息化开展战略?其战略任务可概括为完成信息平安保障六项工作和提高信息平安保障六大能力：1．信息平安保障六项工作可概括为：〔1〕建立和完善信息平安等级保护制度；〔2〕建设以密码为根底的网络信任体系；〔3〕建设和完善信息平安监控体系，加强网络防范，防止有害信息传播；〔4〕做好信息平安应急处置工作；〔5〕做好信息平安风险评估工作，综合平衡平安本钱和风险，确保重点，优化信息平安资源配置；〔6〕促进资源共享，加强灾难备份体系建设。3/10/202512?2006－2021年国家信息化开展战略?提高信息平安保障六大能力：〔1〕信息平安核心产品和技术的自主创新能力；〔2〕信息平安人才保障能力；〔3〕信息平安法律保障能力；〔4〕信息平安根底设施支撑能力；〔5〕网络宣传驾驭能力；〔6〕国际影响力。3/10/202513二、开展信息平安规划国家开展与改革委积极布局国家“十一五〞信息化开展规划，并列专题研究了信息平安问题。?国家“十一五〞科学技术开展规划?“863〞方案根据国际信息平安技术开展态势，结合我国信息平安技术实际应用需求，重点支持复杂系统下的网络生存、主动实时防护、平安存储、网络病毒防范、网络信任保障等技术和系统的研发。3/10/202514二、开展信息平安规划?国家自然科学基金“十一五〞开展规划?在完善学科布局和部署优先开展领域方面向信息科学研究倾斜，把信息平安领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。?信息产业科技开展“十一五〞规划和2021年中长期规划纲要?提出使集成电路在信息平安和国防平安领域的自给率到达70%以上的建设目标，并重点支持和开展密码技术；平安处理芯片；电子认证、责任认定、授权管理；计算环境和终端平安处理；网络和通信边界平安；应急响应和灾难恢复；信息平安测评等技术和相关产品。3/10/202515三、管理体制和工作机制逐步建立信息平安等级保护信息平安风险评估信息平安产品认证认可网络信任体系建设3/10/202516管理体制和工作机制逐步建立

〔1〕信息平安等级保护?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕

实行信息平安等级保护公安部等四部委联合下发了?关于加强信息平安等级保护的意见?3/10/202517管理体制和工作机制逐步建立

〔1〕信息平安等级保护信息平安等级保护制度的主要工作内容信息平安等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务平安应用域和区实行分级保护。对系统中使用的信息平安产品实行按分级许可管理。对等级系统的平安效劳资质分级许可管理。对信息系统中发生的信息平安事件分等级响应、处置。3/10/202518信息平安等级保护管理方法(试行)

〔公通字[2006]7号〕公布单位：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室安全等级名称对国家安全、社会秩序、经济建设和公共利益的危害程度监管方式第一级自主保护级无影响自主保护第二级指导保护级有一定损害政府职能部门指导下的自主保护第三级监督保护级较大损害政府职能部门监督下的严格保护第四级强制保护级严重损害政府职能部门的强制监督和检查下的严格保护第五级专控保护级特别严重损害政府协助下由主管部门和使用单位实施专门控制和保护3/10/202519管理体制和工作机制逐步建立

〔2〕信息平安风险评估工作?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕

要重视信息平安风险评估工作，对网络与信息系统平安的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的平安建设和管理。3/10/202520?关于开展信息平安风险评估工作的意见?〔国信办[2006]5号〕什么是信息平安风险评估信息平安风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在地脆弱性，评估平安事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。目的是：为防范和化解信息平安风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息系统提供科学依据。3/10/202521管理体制和工作机制逐步建立

〔2〕信息平安风险评估工作2006年2月国务院信息办下发?关于开展信息平安风险评估工作的意见?〔国信办[2006]5号〕3/10/202522?关于开展信息平安风险评估工作的意见?〔国信办[2006]5号〕风险评估工作的形式：信息平安风险评估分为自评估和检查评估两种形式。自评估是指网络和信息系统的拥有、运营、使用单位发起的对本单位信息系统进行的风险评估。自评估是信息平安风险评估的主要形式。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的信息平安风险评估。自评估和检查评估可以依靠自身技术力量进行，也可委托第三方专业机构提供技术支持。3/10/202523?关于开展信息平安风险评估工作的意见?〔国信办[2006]5号〕三个评估环节信息系统规划设计阶段：通过评估明确平安需求、平安目标和平安保障措施，为工程审批提供依据。信息系统验收阶段：通过评估验证已设计安装的平安措施能否实现平安目标，为工程验收提供依据。信息系统运维阶段：通过定期进行的评估，检验平安措施的有效性及对平安环境变化的适应性在信息系统使命或平安形势发生重大发生变化时，要专门进行评估3/10/202524管理体制和工作机制逐步建立

〔3〕信息平安产品认证认可认监委等八部委联合发下发了?关于建立国家信息平安产品认证认可体系的通知?2005年4月19日国家信息平安产品认证管理委员会成立，这标志着我国建立统一的信息平安产品认证认可体系已进入实质性的实施阶段。3/10/2025252006年11月17日，中国信息平安认证中心在京正式成立。认证中心为第三方公正机构和法人实体。其主要业务是，依据国家信息平安管理的法律法规、?认证认可条例?及实施规那么，在指定的业务范围内，对信息平安产品实施认证，并开展与信息平安有关的管理体系认证和人员培训、技术研发等工作。管理体制和工作机制逐步建立

〔3〕信息平安产品认证认可3/10/202526管理体制和工作机制逐步建立

〔4〕网络信任体系建设?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕加强以密码技术为根底的信息保护和网络信任体系建设2006年2月国务院办公厅下发?关于网络信任体系建设假设干意见的通知?〔国办发[2006]11号〕。对网络信任体系建设提出了总体要求。3/10/202527网络信任体系是指以密码为根底、以法律法规、技术标准和根底设施为主要内容，以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。“十一五〞期间，网络信任体系建设将是信息平安保障工作的重点。其内容包括：建设国家级面向社会公众效劳的电子认证中心；建设国家电子认证监管平台；支持符合电子认证平安标准要求、具有可控性和高可靠性的平安效劳平台建设，为数据电文、电子签名证书在国民经济各领域的应用提供效劳。管理体制和工作机制逐步建立

〔4〕网络信任体系建设3/10/202528?假设干意见?明确了信任体系建设中电子认证工作管理的责任部门，即：“信息产业部要会同有关部门，加强对电子商务中电子认证活动的指导和管理。国家密码管理局要会同有关部门做好电子政务中电子认证工作的规划和管理〞。管理体制和工作机制逐步建立

〔4〕网络信任体系建设3/10/202529管理体制和工作机制逐步建立

〔4〕网络信任体系建设2005年4月1日，?电子签名法?，以及与之配套的?电子认证效劳管理方法?正式实施，为电子商务和电子政务的网络信任体系建设和第三方认证效劳创造了良好的法律环境目前全国已有22家电子认证单位经过法律的授权许可,这22家电子认证机构已经颁发出了近564万张证书，有力地支持了电子商务的开展，推动了我国网络信任体系的建设3/10/202530管理体制和工作机制逐步建立

〔5〕信息平安应急协调机制建设?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕重视信息平安应急处理工作2004年8月成立了国家网络与信息平安通报中心2005年4月,国信办发布了?关于做好重要信息系统灾难备份工作的通知?3/10/202531四、根底性工作和根底设施建设取得较大进展

〔1〕信息平安法制取得进步国家法律8部，国家行政法规6部，部门规章文件52部，地方政府法规24部，国务院信息化办公室直接牵头制定的政策性文件14部，3/10/202532四、根底性工作和根底设施建设取得较大进展

〔2〕信息平安标准化工作2002年4月15日，全国信息平安标准化技术委员会在北京正式成立3/10/202533委员会内设立六个工作组，开始系统规划与制定全国信息平安标准。WG1：信息平安标准体系与协调工作组TC：可信计算标准WG2：涉密信息系统平安保密标准工作组WG3：密码工作组WG4：认证与鉴别工作组WG5：信息平安评估工作组WG7：信息平安管理〔含工程与开发〕工作组四、根底性工作和根底设施建设取得较大进展

〔2〕信息平安标准化工作3/10/202534该标委会的成立，标志着我国信息平安标准化工作步入了“统一领导、协调开展〞的新时期。它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。目前我国共发布的信息平安国家标准54项。全国信息平安标准化技术委员会成立后，先后研究制定信息平安等级保护、鉴别与授权、信息平安管理、信息平安测评认证等方面的国家标准33项。

四、根底性工作和根底设施建设取得较大进展

〔2〕信息平安标准化工作3/10/202535四、根底性工作和根底设施建设取得较大进展

〔3〕技术研究和产业取得重要成果?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕加强信息平安技术研究开发，推进信息平安产业开展国家发改委重点支持18个信息平安产业化工程、两个研究中心、两个国家信息平安根底设施建设工程；国家863方案2006年信息平安技术专题资金投入为0.6亿人民币，2007年将增长为一亿人民币。在“十一五〞期间国家863方案预计总投入资金约5亿人民币；1999年至2006年国家在信息平安产品产业化投入的资金共计6亿人民币；截止2007年5月，有关信息平安创造专利累计232个，实用新型专利累计47个。3/10/202536四、根底性工作和根底设施建设取得较大进展

〔3〕技术研究和产业取得重要成果2006年底，全年国内信息平安市场销售额到达53亿元人民币,占信息产业总产值的0.13%。2005年底，从事信息平安厂商约1300家：有自主研发能力的约390家，有自主研发产品的约190家，信息平安效劳的约300家，产值超过1亿人民币的企业约20家，有国家级信息平安产业基地3个,非国家级4个。3/10/202537管理体制和工作机制逐步