活动链接：2012年控制网技术专题---设备安全与信息安全携手2012  

【来源：中国电子报】

   工业和信息化部信息安全协调司司长 赵泽良

   “认真履行‘三定’职责，做好信息安全相关政策文件和会议精神的贯彻落实，加强国家信息安全战略和标准研究制定，推动政府信息安全工作，做好电子认证服务行业监管。”

   根据国务院批准的“三定”规定，信息安全协调司的主要职责是，“协调国家信息安全保障体系建设；协调推进信息安全等级保护等基础性工作；指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作；承担信息安全应急协调工作，协调处理重大事件”。信息安全协调司认真履行“三定”职能，深入分析信息安全形势，积极开展国家信息安全战略、规划研究，不断完善政策标准，强化政府信息系统和工业控制系统安全管理，依法加强电子认证服务行业监管，协调推进国家信息安全保障体系建设，维护国家信息安全。

   信息安全风险突出形势更加复杂严峻

   当前，信息技术日新月异，网络空间中的控制与反控制、窃密与反窃密斗争日趋激烈，“震网”病毒、维基解密等凸显了信息安全对国家安全的深刻影响。

   一、信息安全威胁危及生产安全

   2010年出现的“震网”病毒，借助移动存储设备进入内部网络，专门袭击控制电力、化工等企业的“监控与数据采集系统”(SCADA系统)，攻击了伊朗布什尔核电站等在内的全球4.5万个系统。这标志着国家关键基础设施和工业控制系统已成为网络攻击目标，信息安全直接影响工业安全和经济安全。据专业机构报道，多家国外厂商生产的工业控制系统产品存在高危漏洞，利用这些漏洞可对其进行远程攻击，且攻击代码已在互联网上公开，这些产品在我国大量使用，安全隐患逐渐显现，严重威胁重要行业运行安全、国家经济安全和人民生命财产安全。

   二、基础信息网络和重要信息系统安全风险突出

   随着信息技术的发展，国家各个方面对网络和信息系统的依赖性持续增强，网络和信息系统已经成为政府部门履行职能的有力支撑，成为金融、能源、交通、通信、现代制造等行业的神经中枢，大量企业也在依托网络开展生产经营，信息网络系统的安全将会影响国家经济正常运行。我国基础设施、重要系统的关键技术、产品、服务依赖于人，安全可控问题日益凸显，防护建设和管理没有得到应有重视，安全状况不容乐观。

   三、信息安全问题对国民经济发展和公众利益的影响越来越大

   随着我国电子政务、电子商务等信息化工程的不断推进，网络上积累的敏感数据越来越多，流失风险越来越大。金融、通信、能源、交通、国防军工等大型企业上市、兼并重组、信用评级、检查认证等过程中，都可能造成敏感经济信息、国家基础数据和用户个人信息的流失和泄漏。一些机构企业通过信息网络收集并掌握着大量经济社会重要数据，越来越多的IT企业具有大面积控制用户计算机的能力，如果管理不到位，都会削弱政府对经济、市场调控能力，影响国家经济安全和公众利益。

   四、新技术新应用带来了新的信息安全挑战

   移动互联网、云计算、物联网等新技术的发展，在推动科技进步的同时，也带来了新的信息安全问题。例如，用户在使用云计算提高资源利用率的同时，也面临对数据失去掌控权的风险。物联网的发展使虚拟网络空间与现实物理世界联系更加紧密，通过网络干扰或者攻击现实世界的风险也变得更大。移动互联网的迅速发展，个人信息保护问题将更加突出。

   认真履行三定职能协调推进各项工作

   2011年，我司落实部党组的工作要求，认真履行“三定”职能，围绕年度工作重点，积极协调推动各项工作。

   一、加强信息安全战略、规划和标准研究

   一是在深入分析国际国内信息安全形势的基础上，认真开展信息安全重大问题和国家信息安全战略研究。二是在广泛调研，充分听取信息安全相关主管部门、院士专家、地方和企业意见建议的基础上，起草了国家信息安全“十二五”规划，印发了《电子认证服务业“十二五”发展规划》。三是结合信息安全保障重点工作，组织起草了政府信息安全管理基本要求、政府网站安全技术要求、政府网站安全管理要求和个人信息保护指南等急需的标准规范。

   二、强化政府信息安全管理

   一是根据《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》的要求，指导中央国家机关开展政府信息系统安全检查，组织专业技术队伍对国务院部门的信息系统(或网站)进行了安全抽查。二是组织上海、江苏、浙江、云南、黑龙江等省市开展了政府信息系统安全保障试点工作。三是组织国家专业技术队伍对国务院部门门户网站进行了日常安全监测，及时发出安全风险提示。

   三、加强工控系统安全管理

   在深入分析工业控制系统面临的安全风险，认真研究加强工业控制系统安全管理的工作措施的基础上，起草了加强工业控制系统信息安全管理的工作文件，报请国务院同意后，以我部名义印发了《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)，并于11月下旬组织召开了地方信息安全工作会议，对文件的贯彻落实做出部署安排。

  四、依法加强电子认证服务行业监管

   根据《电子认证服务管理办法》及换证审查工作流程，组织专业队伍，完成了6家电子认证服务机构电子认证服务许可证的换证审核工作。并按照《电子签名法》有关规定，依据天津市工商行政主管部门对天津远博网络有限公司抽逃注册资金的认定，依法吊销了该公司的电子认证服务许可证。

   2012年工作基本思路

   在新的一年，我们要认真贯彻落实党的十七届六中全会精神，认真履行“三定”职责，加强沟通协调，做好信息安全相关政策文件和会议精神的贯彻落实，加强国家信息安全战略和标准研究制定，推动政府信息安全工作，推动工业控制系统信息安全管理，做好电子认证服务行业监管。重点做好以下四方面工作：

   一是加强信息安全战略和标准研究。组织好国家信息安全战略的研究起草工作。加快云计算、物联网、移动互联等的安全标准研究制定。加强信息安全宣传教育，提高广大网民的安全意识和免疫能力。

   二是加强政府信息安全管理。完善政府信息系统安全检查工作体系，加强政府网站安全管理和专项检查，推动政府信息系统和网站安全防护能力建设和提升。

   三是强化工业控制系统安全管理。贯彻落实《关于加强工业控制系统信息安全管理的通知》要求，加强对重点领域工业控制系统信息安全管理工作的指导监督和安全检查。

   四是做好电子认证服务行业监管，推进网络信任环境建设。研究制定推进网络信任体系建设指导文件，贯彻落实《电子认证服务业“十二五”发展规划》，推广电子签名应用。