| 版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? | 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯系我們 |
(比特網三月訊 資深記者包俊君)在日前正在召開的全國兩會上,全國政協委員、北京啟明星辰信息技術股份有限公司首席執行官嚴望佳向大會提交了三份提案,均涉及信息安全。在信息安全已被提升至國家高度的當下,作為從事該行業多年的資深人士,嚴望佳委員的三份提案均對我國當下的信息安全發展提出了具有實踐意義的參考建議。對此,本網記者也將對嚴望佳委員的三分提案進行相關展示與分析。
關于在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度的提案
?
?
案
由:關于在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度的提案
審查意見:建議中央網絡安全和信息化領導小組辦公室研究辦理
提案人:嚴望佳
主題詞:網絡安全
提案形式:個人提案
內 容:
?
一、問題及原因分析
我國的信息安全保障體系建設大多是在等保、分保制度基礎上,滿足合規性即可。究其根本原因還在于我國對信息安全的重視沒有提高到“以效果為導向”的程度,而又伴隨著信息安全是“七分管理三分技術” “信息安全沒有絕對”這種特點,以及政府采購目錄以硬件產品為主、《采購法》以最低價為準繩的制度,交織反復,最終形成我國信息安全保障體系建設目前以合規為目標,以最低價產品為市場,整體行業低水平競爭,國家重要信息系統安全保障能力不足,國家網絡空間對抗能力不足等系列惡性循環的現狀。
?
索尼影音公司遭遇的入侵和破壞事件、Heartbleed(心臟出血)漏洞、12306撞庫攻擊事件等公眾性網絡安全事件,無不時刻警示著公眾和政府,網絡安全的嚴峻形勢,國家需要打破長期以合規為導向的信息安全保障體系,出臺有針對性的法律法規,來保護公眾、政府等的網絡安全。
?
二、具體建議
信息安全保障體系建設,合規是基礎,效果是保障。建議國家能盡快出臺、制定法律法規,建立信息安全責任落實制度,要求用戶需要對安全采購的結果負責,特提出以下建議:在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度。
?
該制度可以把現行的合規體系變成一個責任體系,可以利用安全真正需求引導一個注重技術、產品與服務的市場環境,促使商業競爭以用戶價值為導向,促進安全廠商從銷售導向、集成商導向轉變至以技術創新為導向。該制度對產業的生態環境、政府的管理方式、信息安全的整體架構都會產生深遠影響,使我國信息安全產業形成良好、健康的生態環境。
?
具體建議如下:
?
1)劃分詳細的關鍵基礎設施、敏感部門、政府機構范圍。
建議在以下關系到國防安全、國計民生的關鍵領域劃分詳細的機構范圍:政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。
?
?
2)在關鍵基礎設施、敏感部門、政府機構設立首席信息安全官。
在關鍵基礎設施、敏感部門、政府機構設立首席信息安全官職位,充分賦予首席信息安全官相應的職權,不限于以下內容:首席信息安全官直接匯報給最高決策者;全權負責信息安全保障體系建設;咨詢、審批或驗證現有的IT投資計劃;
?
3)建立首席信息安全官任職資格、考核制度。
首席信息安全官對人員的技術、管理、法規遵從等方面要求非常高,導致任職人員可能不能完全勝任該崗位。國家相應部門需要針對首席信息安全官進行選拔、培訓、資格認定等一系列的人才保證措施。
?
國家相應部門,應該在等保、分保等制度的基礎上,明確建立針對首席信息安全官考核制度,考核制度作為對用戶單位整體安全建設的重要評價指標。考核制度可以進一步加強用戶單位對于首席信息安全官的重視程度、安全建設力度、整體安全水平。
?
編輯點評:首席信息安全官(CISO),也稱首席安全官 (CSO) 。一般而言,首席信息安全官是企業、組織等機構中維護信息安全運行狀態的最高負責人,負責整個機構的安全策略。當前,首席信息安全官制度在國外已經形成比較完備的體系,但在我國,這一制度目前還未實現大規模普及。
?
當前,信息安全已被提升至國家高度,我們所面臨的網絡信息安全威脅形勢日益嚴峻。但政府和企業目前對CISO制度重視度不足,甚至在政府部門和中央企業也都還沒有設立CISO制度。在一部分企業,雖然設置了首席信息安全官職位,但卻往往隸屬于企業IT部門之下,缺乏足夠的對信息安全的控制能力。同時, CISO相關機制的不健全、權責、崗位的不明確、激勵機制不完善以及考核機制不健全等問題,都在一定程度上阻礙著企業或組織的信息安全建設。而另一方面,缺乏足夠數量的專業信息安全管理人才也是我國信息安全領域當前所面臨的一大問題。
?
在這樣的背景之下,嚴望佳委員所提出的《關于在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度的提案》無疑點中了當前我國信息安全建設中至關重要、且亟待建立完善的一個環節。其在提案中所提到的“首席信息安全官直接匯報給最高決策者;全權負責信息安全保障體系建設;咨詢、審批或驗證現有的IT投資計劃;”、“建立首席信息安全官任職資格、考核制度”等具體建議,也都直擊到了當前我國信息安全主管制度及方式的弊端。這一提案是對我國建立健全CISO制度、培養CISO人才隊伍的一項有力建議。
?
關于在電子政務云建設過程中做好安全保障工作的提案
?
案
由:關于在電子政務云建設過程中做好安全保障工作的提案
審查意見:建議中央網絡安全和信息化領導小組辦公室研究辦理
提案人:嚴望佳
主題詞:網絡安全
提案形式:個人提案
內 容:
?
一、問題及原因分析
云計算是推動信息技術能力實現按需供給、促進信息技術和數據資源充分利用的全新業態,是全球信息產業變革的焦點。隨著云計算的廣泛應用,為電子政務建設開辟了一個全新的路徑和解決方案。
?
當前,我國電子政務云的建設和發展面臨難得的機遇,將從根本上打破了各自為政的建設思路,可以大量節約電子政務的建設資金,降低能源消耗;通過統籌規劃,可以把大量的應用和服務放在云端,充分利用云資源,提供專業化的云服務,大幅提高電子政務發展質量和服務水平。部分省市如貴州、重慶、廣西、山東等已經正式啟動了電子政務云的建設,一些應用正在向云中遷移。
?
另一方面,電子政務云的建設也存在一些突出問題,特別是信息安全問題嚴重影響了電子政務云的發展,如果不能很好解決,甚至會威脅到國家安全。與其他云計算模式一樣,電子政務云也面臨網絡安全惡意攻擊、數據泄露等安全威脅,特別是在數據管理權與所有權分離的狀態下,應用和數據高度集中,這些問題顯得更加突出。有的電子政務云重建設輕安全,有的因為擔心安全而拖延建設,可以說,信息安全保障已經成為電子政務云建設中最迫切的需求。我國電子政務云建設過程中面臨的一些主要安全問題總結如下:
?
(一) 法律法規和標準不健全
當前國內缺乏完善的云計算服務平臺建設規范和信息安全管理規范,傳統的等級保護制度在云計算環境中無法適用,健全的云計算安全法律、法規可以從管理上最大限度地降低風險隱患。同時因為缺乏標準,云廠商、安全廠商甚至主管部門都無法深入開展工作,很多快速上馬的項目都存在大量安全隱患,還有更多的部門在觀望。
?
(二) 虛擬化及多租戶安全威脅
從技術層面上講,云計算與傳統IT環境最大的區別在于其虛擬的計算環境,當前國內云計算供應商的虛擬化核心技術比較欠缺,大多依賴開源軟件。商業虛擬化平臺對外接口匱乏,甚至不開放,新形態的安全產品沒有發展起來。同時,云計算多租戶的使用環境對云中資源的調配和處理提出了更高的要求,租戶間資源的隔離及安全防護是一個新的挑戰。
?
(三)應用與數據集中帶來的威脅
云計算具備兩個核心要素,第一個要素就是大集中,把數據和應用集中在云端;第二個核心要素就是把資源以服務的形式發布交付。這種規模化的效應對云計算的可用性及安全性都帶來了很大的挑戰,數據集中后,如果受到惡意攻擊,產生的安全威脅規模和影響會更深遠。特別是如果數據被惡意分析利用,會威脅到國家安全。
?
二、具體建議
綜上所述,因為虛擬化多租戶等新技術的引進和應用數據集中帶來的風險,對電子政務云的管理、產品、技術都提出了更大的挑戰,特別是數據集中后如果管理不善,可能對國家安全形成威脅。
?
我建議在電子政務云建設過程中,由政府牽頭建立一套安全保障機制。具體措施包括:
?
1) 政府應建立一套電子政務云安全標準和管理規范。對電子政務云的安全需求、安全評估、安全定級、安全建設、安全審計等環節的工作制定相應的國家標準,讓主管部門、政府用戶、云供應商、安全廠商以及評估審計部門都有章可循。同時從制度上防止政府被云平臺廠商綁架,避免關鍵數據泄露,強化安全管理,增強安全技術支撐和服務能力。
?
2) 政府應鼓勵和引導國內云廠商和信息安全企業合作創新,建立良好的生態環境。云平臺不單承載計算、存儲和網絡功能,還要支持多種第三方安全產品和服務,形成較為完整的安全保障體系。傳統信息安全企業在政府、軍隊等用戶的安全建設中參與較多,對用戶的網絡及應用情況比較熟悉,對用戶的安全需求和現狀也非常了解,積累了大量經驗。國內云平臺廠商對云計算技術非常擅長,但是對政企用戶安全需求的理解和建設經驗不足。政府應鼓勵和引導雙方合作,發展出能適應和滿足云計算的新產品、服務和機制。
?
3) 政府應督促云廠商加強自身安全。云平臺軟件是云系統正常運行的基石,如果其自身存在的漏洞被惡意利用,會對云中的所有資產形成威脅。因此應加強云平臺系統的安全生命周期管理和監控,對云平臺軟件研發過程保障安全,對上線的云系統和應用進行第三方安全評估,對于自身暴漏出的漏洞,應該在指定時間范圍內提供修復建議和方案。逾期不解決的,應限制該軟件的使用范圍。
?
總之,建立電子政務云對于節省開支、提高電子政務辦公的工作效率和政府服務水平具有重大意義,但云計算安全問題嚴重影響了電子政務云的發展,如果同時在標準規范上不斷擴充完善,在產品技術上不斷突破創新,在建設運維中嚴格落實,就能實現電子政務云安全可靠的運行,使其發揮出應有的作用。
?
編輯點評:隨著云計算技術的發展與落地,我國相關部門也制訂了相應的電子政務云規劃。在國家發改委《關于加強和完善國家電子政務工程建設管理的意見》中,特別指出要“推進新技術在電子政務項目中的應用。鼓勵在電子政務項目中采用物聯網、云計算、大數據、下一代互聯網、綠色節能、模擬仿真等新技術,推動新技術在電子政務項目建設中的廣泛應用”,并且強調“要保障電子政務項目安全可控。”
?
由此可見,國家對于電子政務云的應用于對其安全的可控是同等重視的。電子政務云與其他云計算模式一樣,其在應用中必然會面臨一系列網絡威脅、惡意攻擊等。對于政務云的應用而言,對數據安全、隱私保護等則有著更高的要求。在此情況下,建立安全可信的電子政務云環境,亟需完善政務云平臺建設規范和信息安全管理規范,從而做到從管理上最大限度地降低風險隱患。
?
嚴望佳委員在提案中所提到的“對電子政務云的安全需求、安全評估、安全定級、安全建設、安全審計等環節的工作制定相應的國家標準,讓主管部門、政府用戶、云供應商、安全廠商以及評估審計部門都有章可循”,明確建議了規范制定中所包含的具體項目,對于相關規范的制定有著極大的借鑒意義。
?
同時,嚴望佳建議“政府應鼓勵和引導國內云廠商和信息安全企業合作創新,建立良好的生態環境”的提案建議,也十分具有積極的引導意義。當前,任何領域的競爭都不再是單打獨斗的局面,一個健康良好的生態產業鏈的建立對于一個產業的持續發展有著十分重要的意義,對電子政務云而言亦是如此。云計算廠商與信息安全廠商如若做到強強聯合,那對于國家“推進新技術在電子政務項目中的應用”及“保障電子政務項目安全可控”的指導政策而言無疑是一次具有實踐意義的呼應。
?
關于在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作的提案
?
?
案
由:關于在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作的提案
審查意見:建議中央網絡安全和信息化領導小組辦公室研究辦理
提案人:嚴望佳
主題詞:網絡安全
提案形式:個人提案
內 容:
?
?
一、問題及原因分析
在國家高度重視和業界共同努力下,我國網絡安全和信息化產業實現了較快發展,產品體系逐漸健全,產品種類不斷豐富,產品功能逐步向集成化、系統化方向發展。國內網絡安全和信息化產業也越來越開放,國內企業、外資企業、中外合資企業、技術引進等不同類型企業、產品在市場中充分競爭,都取得了大量的成功案例。網絡安全和信息化產品普遍面臨著產品生命周期、供應鏈風險、服務質量、安全漏洞、數據泄露等問題,特別是我國基礎軟件、芯片、操作系統、數據庫等產品領域,至今還是主要掌握在外資企業手中,由于政治、市場、技術等方面的多種因素,外資企業產品的問題更不可控。
?
2000年,美國率先在國家安全系統中對采購的產品進行安全審查,隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策,實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務,還會針對產品和服務提供商。隨后,美國等西方國家為保障國家安全、防范供應鏈安全風險,逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。
?
我國也在積極推進網絡安全審查制度,關系國家安全和公共利益的系統使用的、重要信息技術產品和服務,應通過網絡安全審查。但審查內容不能僅停留在技術層面上,要進行全方位審查,才能保證國家重要部門和行業的信息技術產品和服務的信息安全自主可控。可控性的保證可通過供應鏈的梳理完成,需要通過供應鏈的透明化。如果每一個供應商都能夠向網絡安全審查備案機構提供供應鏈上下游環節的情況,整個供應鏈就能夠做到一環一環的透明化清晰,通過透明達到掌握和可控。
?
二、具體建議
?
基于以上的大背景,特提出以下建議:在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作。具體建議如下:
?
1)劃分詳細的關鍵基礎設施、敏感部門、政府機構范圍。
?
建議在以下關系到國防安全、國計民生的關鍵領域劃分詳細的機構范圍:政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等。
?
2)建立詳細的透明供應鏈登記名錄。
?
依托政府采購,進一步完善供應商、產品市場準入和業績評估體系,建立詳細的透明供應鏈登記名錄。供應商登記內容至少包含:機構法定名稱及地址、股權結構及股東、機構人員技術能力及保密審查情況、知識產權歸屬、品牌和商標。產品登記內容至少包含:通信基礎設施歸屬地;通信數據、交易數據、用戶信息等存儲地;產品軟硬件等構成詳細說明;第三方組件詳細說明;供應鏈質量可溯源情況說明;生命周期維護情況說明;制造地及原材料器件采購來源情況說明;源代碼歸屬地情況說明。
?
相關部門可以根據登記內容,設置相應門檻,以便選拔合格的供應商和產品進入登記名錄。
?
3)在關鍵基礎設施、敏感部門、政府機構中規范采購行為。
?
在關鍵基礎設施、敏感部門、政府機構采購行為中,必須在登記名錄中的供應商、產品范圍內進行采購。
?
編輯點評:自去年5月,我國宣布將出臺網絡安全審查制度以來,有關這一制度的相關信息便受到了廣泛關注。據了解,在此之前,我國已經建立了對信息和信息載體按照重要登記分級保護的信息安全等級保護制度。但因該制度缺少法律依據,使得這一機制并未及時啟動并發揮作用。而對于相關的追責措施,雖然目前也有相關規定,但因沒有量化,尚存在管理灰色地帶。
?
建立有效的網絡安全審查管理機制對于國家安全意義重大,嚴望佳委員此次所提的《關于在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作的提案》,從細節實施方面提出了具體的建議。其所提到的“審查內容不能僅停留在技術層面上,要進行全方位審查,才能保證國家重要部門和行業的信息技術產品和服務的信息安全自主可控”明確指出了有效的網絡安全審查范圍及方向,對于相關法規的制定而言富有指導意義。而其所提“在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作”則為從最初的采購環節規范政府采購提出了具體實施建議,這將為從源頭追溯相關產品及權責問題所在提供有效的信息與數據。如若這一建議能夠落實,那將為之前所缺乏實際執行效力的相關法規進行有效地完善與補充,這對于規范和監管信息安全有著重要意義,對我國整個信息安全產業而言也將會受益匪淺。
| 版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? | 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯系我們 |