我國信息安全發(fā)展現(xiàn)狀

我國信息安全發(fā)展現(xiàn)狀國家信息中心信息安全研究與服務中心吳亞非InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter3/3/20231中央領導高度重視胡錦濤總書記2001年國家信息化領導小組成立會議上指出：

把信息安全放到至關重要的位置上，認真加以考慮和解決。胡錦濤總書記近期又指出：

把握信息化發(fā)展、維護國家在網絡空間的安全和利益，成為信息時代的重大戰(zhàn)略課題。3/3/20232中國政府高度重視信息安全問題中央軍委副主席、國務委員兼國防部長曹剛川上午在會出席“信息安全：中國與世界”國際學術研討會的德國前總統(tǒng)赫爾佐克和外方與會代表。隨著全球信息社會的來臨，信息安全問題日益凸顯。信息安全作為“非傳統(tǒng)安全”的核心內容，備受世界各國的關注，并成為國家安全體系中的關鍵要素。中國政府高度重視信息安全問題，認為信息安全關系到國家未來的生存和發(fā)展。中國政府決心構建符合中國國情的、科學合理的信息安全戰(zhàn)略，以保障中國特色的信息化健康、穩(wěn)定地發(fā)展。中國政府愿意與國際社會一道，抓住機遇，應對挑戰(zhàn)，促進發(fā)展，加強合作，為構建國際信息安全體系作出應有的貢獻。3/3/20233近年國家層面的主要工作完成國家信息安全頂層設計開展信息安全規(guī)劃管理體制和工作機制逐步建立基礎性工作和基礎設施建設取得較大進展

3/3/20234一、完成國家信息安全頂層設計《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）我國第一個全面關于信息安全保障工作的文件，是我國今后一段時期內信息安全保障工作的綱領性文件3/3/20235加強以密碼技術為基礎的信息保護和網絡信任體系：規(guī)范和加強以身份認證、授權管理、責任認定等為主要內容的的網絡信任體系建設3/3/20236加強信息安全保障工作-總體要求：總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。3/3/20237加強信息安全保障工作-主要原則主要原則：立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系。3/3/20238加強信息安全保障工作-九項任務一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護三、加強以密碼技術為基礎的信息保護和網絡信任體系建設四、建設和完善信息安全監(jiān)控體系五、重視信息安全應急處理工作六、加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展七、加快信息安全人才培養(yǎng)，增強全民信息安全意識八、保證信息安全資金九、加強對信息安全保障工作的領導，建立健全信息安全管理責任制3/3/20239國家中長期科學和技術發(fā)展規(guī)劃綱要明確未來15年信息安全技術發(fā)展重點：（1）掌握集成電路及關鍵元器件、大型軟件、高性能計算、寬帶無線移動通信、下一代網絡等核心技術；（2）開發(fā)網絡信息安全技術及相關產品，建立信息安全技術保障體系，具備防范各種信息安全突發(fā)事件的技術能力；（3）重點研究開發(fā)國家基礎信息網絡和重要信息系統(tǒng)中的安全保障技術，開發(fā)復雜大系統(tǒng)下的網絡生存、主動實時防護、安全存儲、網絡病毒防范、惡意攻擊防范、網絡信任體系與新的密碼技術等。3/3/202310《中華人民共和國國民經濟和社會發(fā)展第十一個五年規(guī)劃綱要》積極防御、綜合防范，提高信息安全保障能力。強化安全監(jiān)控、應急響應、密鑰管理、網絡信任等信息安全基礎設施建設。加強基礎信息網絡和國家重要信息系統(tǒng)的安全防護。推進信息安全產品產業(yè)化。發(fā)展咨詢、測評、災備等專業(yè)化信息安全服務。健全安全等級保護、風險評估和安全準入制度。3/3/202311《2006－2020年國家信息化發(fā)展戰(zhàn)略》其戰(zhàn)略任務可概括為完成信息安全保障六項工作和提高信息安全保障六大能力：1．信息安全保障六項工作可概括為：（1）建立和完善信息安全等級保護制度；（2）建設以密碼為基礎的網絡信任體系；（3）建設和完善信息安全監(jiān)控體系，加強網絡防范，防止有害信息傳播；（4）做好信息安全應急處置工作；（5）做好信息安全風險評估工作，綜合平衡安全成本和風險，確保重點，優(yōu)化信息安全資源配置；（6）促進資源共享，加強災難備份體系建設。3/3/202312《2006－2020年國家信息化發(fā)展戰(zhàn)略》提高信息安全保障六大能力：（1）信息安全核心產品和技術的自主創(chuàng)新能力；（2）信息安全人才保障能力；（3）信息安全法律保障能力；（4）信息安全基礎設施支撐能力；（5）網絡宣傳駕馭能力；（6）國際影響力。3/3/202313二、開展信息安全規(guī)劃國家發(fā)展與改革委積極布局國家“十一五”信息化發(fā)展規(guī)劃，并列專題研究了信息安全問題?！秶摇笆晃濉笨茖W技術發(fā)展規(guī)劃》“863”計劃根據(jù)國際信息安全技術發(fā)展態(tài)勢，結合我國信息安全技術實際應用需求，重點支持復雜系統(tǒng)下的網絡生存、主動實時防護、安全存儲、網絡病毒防范、網絡信任保障等技術和系統(tǒng)的研發(fā)。3/3/202314二、開展信息安全規(guī)劃《國家自然科學基金“十一五”發(fā)展規(guī)劃》在完善學科布局和部署優(yōu)先發(fā)展領域方面向信息科學研究傾斜，把信息安全領域中的可信計算、包括量子密碼的量子調控理論和技術作為未來五年的重點支持領域?！缎畔a業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要》提出使集成電路在信息安全和國防安全領域的自給率達到70%以上的建設目標，并重點支持和發(fā)展密碼技術；安全處理芯片；電子認證、責任認定、授權管理；計算環(huán)境和終端安全處理；網絡和通信邊界安全；應急響應和災難恢復；信息安全測評等技術和相關產品。3/3/202315三、管理體制和工作機制逐步建立信息安全等級保護信息安全風險評估信息安全產品認證認可網絡信任體系建設3/3/202316管理體制和工作機制逐步建立

（1）信息安全等級保護《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

實行信息安全等級保護公安部等四部委聯(lián)合下發(fā)了《關于加強信息安全等級保護的意見》3/3/202317管理體制和工作機制逐步建立

（1）信息安全等級保護信息安全等級保護制度的主要工作內容

信息安全等級保護是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護；對信息系統(tǒng)按業(yè)務安全應用域和區(qū)實行分級保護。對系統(tǒng)中使用的信息安全產品實行按分級許可管理。對等級系統(tǒng)的安全服務資質分級許可管理。對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。3/3/202318信息安全等級保護管理辦法(試行)

（公通字[2006]7號）頒布單位：公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室

安全等級名稱對國家安全、社會秩序、經濟建設和公共利益的危害程度監(jiān)管方式第一級自主保護級無影響自主保護第二級指導保護級有一定損害政府職能部門指導下的自主保護第三級監(jiān)督保護級較大損害政府職能部門監(jiān)督下的嚴格保護第四級強制保護級嚴重損害政府職能部門的強制監(jiān)督和檢查下的嚴格保護第五級?？乇Ｗo級特別嚴重損害政府協(xié)助下由主管部門和使用單位實施專門控制和保護3/3/202319管理體制和工作機制逐步建立

（2）信息安全風險評估工作《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

要重視信息安全風險評估工作，對網絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統(tǒng)的重要性、涉密程度和面臨的風險等因素，進行相應等級的安全建設和管理。3/3/202320《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）什么是信息安全風險評估信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在地脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。目的是：為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息系統(tǒng)提供科學依據(jù)。3/3/202321管理體制和工作機制逐步建立

（2）信息安全風險評估工作2006年2月國務院信息辦下發(fā)《關于開展信息安全風險評估工作的意見》

（國信辦[2006]5號）3/3/202322《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）風險評估工作的形式：信息安全風險評估分為自評估和檢查評估兩種形式。自評估是指網絡和信息系統(tǒng)的擁有、運營、使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估。自評估是信息安全風險評估的主要形式。檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的信息安全風險評估。自評估和檢查評估可以依靠自身技術力量進行，也可委托第三方專業(yè)機構提供技術支持。3/3/202323《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）三個評估環(huán)節(jié)信息系統(tǒng)規(guī)劃設計階段：通過評估明確安全需求、安全目標和安全保障措施，為項目審批提供依據(jù)。信息系統(tǒng)驗收階段：通過評估驗證已設計安裝的安全措施能否實現(xiàn)安全目標，為項目驗收提供依據(jù)。信息系統(tǒng)運維階段：通過定期進行的評估，檢驗安全措施的有效性及對安全環(huán)境變化的適應性在信息系統(tǒng)使命或安全形勢發(fā)生重大發(fā)生變化時，要專門進行評估3/3/202324管理體制和工作機制逐步建立

（3）信息安全產品認證認可認監(jiān)委等八部委聯(lián)合發(fā)下發(fā)了《關于建立國家信息安全產品認證認可體系的通知》2005年4月19日國家信息安全產品認證管理委員會成立，這標志著我國建立統(tǒng)一的信息安全產品認證認可體系已進入實質性的實施階段。3/3/2023252006年11月17日，中國信息安全認證中心在京正式成立。認證中心為第三方公正機構和法人實體。其主要業(yè)務是，依據(jù)國家信息安全管理的法律法規(guī)、《認證認可條例》及實施規(guī)則，在指定的業(yè)務范圍內，對信息安全產品實施認證，并開展與信息安全有關的管理體系認證和人員培訓、技術研發(fā)等工作。管理體制和工作機制逐步建立

（3）信息安全產品認證認可3/3/202326管理體制和工作機制逐步建立

（4）網絡信任體系建設

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強以密碼技術為基礎的信息保護和網絡信任體系建設

2006年2月國務院辦公廳下發(fā)《關于網絡信任體系建設若干意見的通知》（國辦發(fā)[2006]11號）。對網絡信任體系建設提出了總體要求。3/3/202327網絡信任體系是指以密碼為基礎、以法律法規(guī)、技術標準和基礎設施為主要內容，以解決網絡應用中身份認證、授權管理和責任認定等為目的的完整體系?！笆晃濉逼陂g，網絡信任體系建設將是信息安全保障工作的重點。其內容包括：建設國家級面向社會公眾服務的電子認證中心；建設國家電子認證監(jiān)管平臺；支持符合電子認證安全規(guī)范要求、具有可控性和高可靠性的安全服務平臺建設，為數(shù)據(jù)電文、電子簽名證書在國民經濟各領域的應用提供服務。管理體制和工作機制逐步建立

（4）網絡信任體系建設3/3/202328《若干意見》明確了信任體系建設中電子認證工作管理的責任部門，即：“信息產業(yè)部要會同有關部門，加強對電子商務中電子認證活動的指導和管理。國家密碼管理局要會同有關部門做好電子政務中電子認證工作的規(guī)劃和管理”。管理體制和工作機制逐步建立

（4）網絡信任體系建設3/3/202329管理體制和工作機制逐步建立

（4）網絡信任體系建設2005年4月1日，《電子簽名法》，以及與之配套的《電子認證服務管理辦法》正式實施，為電子商務和電子政務的網絡信任體系建設和第三方認證服務創(chuàng)造了良好的法律環(huán)境目前全國已有22家電子認證單位經過法律的授權許可,這22家電子認證機構已經頒發(fā)出了近564萬張證書，有力地支持了電子商務的發(fā)展，推動了我國網絡信任體系的建設3/3/202330管理體制和工作機制逐步建立

（5）信息安全應急協(xié)調機制建設《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

重視信息安全應急處理工作2004年8月成立了國家網絡與信息安全通報中心2005年4月,國信辦發(fā)布了《關于做好重要信息系統(tǒng)災難備份工作的通知》3/3/202331四、基礎性工作和基礎設施建設取得較大進展

（1）信息安全法制取得進步國家法律8部，國家行政法規(guī)6部，部門規(guī)章文件52部，地方政府法規(guī)24部，國務院信息化辦公室直接牽頭制定的政策性文件14部，3/3/202332四、基礎性工作和基礎設施建設取得較大進展

（2）信息安全標準化工作2002年4月15日，全國信息安全標準化技術委員會在北京正式成立3/3/202333委員會內設立六個工作組，開始系統(tǒng)規(guī)劃與制定全國信息安全標準。WG1：信息安全標準體系與協(xié)調工作組TC：可信計算標準WG2：涉密信息系統(tǒng)安全保密標準工作組WG3：密碼工作組WG4：認證與鑒別工作組WG5：信息安全評估工作組WG7：信息安全管理（含工程與開發(fā)）工作組四、基礎性工作和基礎設施建設取得較大進展

（2）信息安全標準化工作3/3/202334該標委會的成立，標志著我國信息安全標準化工作步入了“統(tǒng)一領導、協(xié)調發(fā)展”的新時期。它的工作任務是向國家標準化管理委員會提出本專業(yè)標準化工作的方針、政策和技術措施的建議。目前我國共發(fā)布的信息安全國家標準54項。全國信息安全標準化技術委員會成立后，先后研究制定信息安全等級保護、鑒別與授權、信息安全管理、信息安全測評認證等方面的國家標準33項。

四、基礎性工作和基礎設施建設取得較大進展

（2）信息安全標準化工作3/3/202335四、基礎性工作和基礎設施建設取得較大進展

（3）技術研究和產業(yè)取得重要成果《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展國家發(fā)改委重點支持18個信息安全產業(yè)化項目、兩個研究中心、兩個國家信息安全基礎設施建設項目；國家863計劃2006年信息安全技術專題資金投入為億人民幣，2007年將增長為一億人民幣。在“十一五”期間國家863計劃預計總投入資金約5億人民幣；1999年至2006年國家在信息安全產品產業(yè)化投入的資金共計6億人民幣；截止2007年5月，有關信息安全發(fā)明專利累計232個，實用新型專利累計47個。3/3/202336四、基礎性工作和基礎設施建設取得較大進展

（3）技術研究和產業(yè)取得重要成果2006年底，全年國內信息安全市場銷售額達到53億元人民幣,占信息產業(yè)總產值的0.13%。2005年底，從事信息安全廠商約1300家：有自主研發(fā)能力的約390家，有自主研發(fā)產品的約190家，信息安全服務的約300家，產值超過1億人民幣的企業(yè)約20家，有國家級信息安全產業(yè)基地3個,非國家級4個。3/3/202337管理體制和工作機制逐步建立

（4