“网络安全”不得不说是2014年中国经济发展中经常被提及的词语。从习总书记直接领导的中央网络安全和信息化领导小组成立、国家网络安全宣传周顺利召开到中央军委印发《关于进一步加强军队信息安全工作的意见》,各种“国”字头的标志一次次提醒大家“网络安全”在中国经济发展和社会稳定中将会起到越来越重要的作用。
恰逢两会,“网络安全”也成为各位委员和代表的热议词汇。启明星辰集团创始人兼CEO严望佳女士作为本届政协代表提出三个与“网络安全”、“信息安全”以及“电子政务云安全”相关的提案,获得媒体与民众的广泛关注。
提案相关信息
案由:关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案
审查意见:建议中央网络安全和信息化领导小组办公室研究办理
提案人:严望佳
主题词:网络安全
提案形式:个人提案
提案内容:
提案一、关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案
提案二、关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作的提案
提案三、关于在电子政务云建设过程中做好安全保障工作的提案
提案一、关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案
1. 问题及原因分析
我国的信息安全保障体系建设大多是在等保、分保制度基础上,满足合规性即可。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度,而又伴随着信息安全是“七分管理三分技术”“信息安全没有绝对”这种特点,以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度,交织反复,最终形成我国信息安全保障体系建设目前以合规为目标,以最低价产品为市场,整体行业低水平竞争,国家重要信息系统安全保障能力不足,国家网络空间对抗能力不足等系列恶性循环的现状。
索尼影音公司遭遇的入侵和破坏事件、Heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件,无不时刻警示着公众和政府,网络安全的严峻形势,国家需要打破长期以合规为导向的信息安全保障体系,出台有针对性的法律法规,来保护公众、政府等的网络安全。
2. 具体建议
信息安全保障体系建设,合规是基础,效果是保障。建议国家能尽快出台、制定法律法规,建立信息安全责任落实制度,要求用户需要对安全采购的结果负责,特提出以下建议:在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。
该制度可以把现行的合规体系变成一个责任体系,可以利用安全真正需求引导一个注重技术、产品与服务的市场环境,促使商业竞争以用户价值为导向,促进安全厂商从销售导向、集成商导向转变至以技术创新为导向。该制度对产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响,使我国信息安全产业形成良好、健康的生态环境。具体建议如下:
1)划分详细的关键基础设施、敏感部门、政府机构范围。建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
2)在关键基础设施、敏感部门、政府机构设立首席信息安全官。在关键基础设施、敏感部门、政府机构设立首席信息安全官职位,充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的IT投资计划。
3)建立首席信息安全官任职资格、考核制度。首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高,导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。
国家相应部门,应该在等保、分保等制度的基础上,明确建立针对首席信息安全官考核制度,考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步加强用户单位对于首席信息安全官的重视程度、安全建设力度、整体安全水平。
提案二、关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作的提案
1. 问题及原因分析
在国家高度重视和业界共同努力下,我国网络安全和信息化产业实现了较快发展,产品体系逐渐健全,产品种类不断丰富,产品功能逐步向集成化、系统化方向发展。国内网络安全和信息化产业也越来越开放,国内企业、外资企业、中外合资企业、技术引进等不同类型企业、产品在市场中充分竞争,都取得了大量的成功案例。网络安全和信息化产品普遍面临着产品生命周期、供应链风险、服务质量、安全漏洞、数据泄露等问题,特别是我国基础软件、芯片、操作系统、数据库等产品领域,至今还是主要掌握在外资企业手中,由于政治、市场、技术等方面的多种因素,外资企业产品的问题更不可控。
2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。
我国也在积极推进网络安全审查制度,关系国家安全和公共利益的系统使用的、重要信息技术产品和服务,应通过网络安全审查。但审查内容不能仅停留在技术层面上,要进行全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控。可控性的保证可通过供应链的梳理完成,需要通过供应链的透明化。如果每一个供应商都能够向网络安全审查备案机构提供供应链上下游环节的情况,整个供应链就能够做到一环一环的透明化清晰,通过透明达到掌握和可控。
2. 具体建议
基于以上的大背景,特提出以下建议:在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作。具体建议如下:
1)划分详细的关键基础设施、敏感部门、政府机构范围。建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围:政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。
2)建立详细的透明供应链登记名录。依托政府采购,进一步完善供应商、产品市场准入和业绩评估体系,建立详细的透明供应链登记名录。供应商登记内容至少包含:机构法定名称及地址、股权结构及股东、机构人员技术能力及保密审查情况、知识产权归属、品牌和商标。产品登记内容至少包含:通信基础设施归属地;通信数据、交易数据、用户信息等存储地;产品软硬件等构成详细说明;第三方组件详细说明;供应链质量可溯源情况说明;生命周期维护情况说明;制造地及原材料器件采购来源情况说明;源代码归属地情况说明。
相关部门可以根据登记内容,设置相应门槛,以便选拔合格的供应商和产品进入登记名录。
3)在关键基础设施、敏感部门、政府机构中规范采购行为。在关键基础设施、敏感部门、政府机构采购行为中,必须在登记名录中的供应商、产品范围内进行采购。
提案三、关于在电子政务云建设过程中做好安全保障工作的提案
1. 问题及原因分析
云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态,是全球信息产业变革的焦点。随着云计算的广泛应用,为电子政务建设开辟了一个全新的路径和解决方案。
当前,我国电子政务云的建设和发展面临难得的机遇,将从根本上打破了各自为政的建设思路,可以大量节约电子政务的建设资金,降低能源消耗;通过统筹规划,可以把大量的应用和服务放在云端,充分利用云资源,提供专业化的云服务,大幅提高电子政务发展质量和服务水平。部分省市如贵州、重庆、广西、山东等已经正式启动了电子政务云的建设,一些应用正在向云中迁移。
另一方面,电子政务云的建设也存在一些突出问题,特别是信息安全问题严重影响了电子政务云的发展,如果不能很好解决,甚至会威胁到国家安全。与其他云计算模式一样,电子政务云也面临网络安全恶意攻击、数据泄露等安全威胁,特别是在数据管理权与所有权分离的状态下,应用和数据高度集中,这些问题显得更加突出。有的电子政务云重建设轻安全,有的因为担心安全而拖延建设,可以说,信息安全保障已经成为电子政务云建设中最迫切的需求。我国电子政务云建设过程中面临的一些主要安全问题总结如下:
1)法律法规和标准不健全。当前国内缺乏完善的云计算服务平台建设规范和信息安全管理规范,传统的等级保护制度在云计算环境中无法适用,健全的云计算安全法律、法规可以从管理上最大限度地降低风险隐患。同时因为缺乏标准,云厂商、安全厂商甚至主管部门都无法深入开展工作,很多快速上马的项目都存在大量安全隐患,还有更多的部门在观望。
2)虚拟化及多租户安全威胁。从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟的计算环境,当前国内云计算供应商的虚拟化核心技术比较欠缺,大多依赖开源软件。商业虚拟化平台对外接口匮乏,甚至不开放,新形态的安全产品没有发展起来。同时,云计算多租户的使用环境对云中资源的调配和处理提出了更高的要求,租户间资源的隔离及安全防护是一个新的挑战。
3)应用与数据集中带来的威胁。云计算具备两个核心要素,第一个要素就是大集中,把数据和应用集中在云端;第二个核心要素就是把资源以服务的形式发布交付。这种规模化的效应对云计算的可用性及安全性都带来了很大的挑战,数据集中后,如果受到恶意攻击,产生的安全威胁规模和影响会更深远。特别是如果数据被恶意分析利用,会威胁到国家安全。
2. 具体建议
综上所述,因为虚拟化多租户等新技术的引进和应用数据集中带来的风险,对电子政务云的管理、产品、技术都提出了更大的挑战,特别是数据集中后如果管理不善,可能对国家安全形成威胁。
我建议在电子政务云建设过程中,由政府牵头建立一套安全保障机制。具体措施包括:
1)政府应建立一套电子政务云安全标准和管理规范。对电子政务云的安全需求、安全评估、安全定级、安全建设、安全审计等环节的工作制定相应的国家标准,让主管部门、政府用户、云供应商、安全厂商以及评估审计部门都有章可循。同时从制度上防止政府被云平台厂商绑架,避免关键数据泄露,强化安全管理,增强安全技术支撑和服务能力。
2)政府应鼓励和引导国内云厂商和信息安全企业合作创新,建立良好的生态环境。云平台不单承载计算、存储和网络功能,还要支持多种第三方安全产品和服务,形成较为完整的安全保障体系。传统信息安全企业在政府、军队等用户的安全建设中参与较多,对用户的网络及应用情况比较熟悉,对用户的安全需求和现状也非常了解,积累了大量经验。国内云平台厂商对云计算技术非常擅长,但是对政企用户安全需求的理解和建设经验不足。政府应鼓励和引导双方合作,发展出能适应和满足云计算的新产品、服务和机制。
3)政府应督促云厂商加强自身安全。云平台软件是云系统正常运行的基石,如果其自身存在的漏洞被恶意利用,会对云中的所有资产形成威胁。因此应加强云平台系统的安全生命周期管理和监控,对云平台软件研发过程保障安全,对上线的云系统和应用进行第三方安全评估,对于自身暴漏出的漏洞,应该在指定时间范围内提供修复建议和方案。逾期不解决的,应限制该软件的使用范围。
总之,建立电子政务云对于节省开支、提高电子政务办公的工作效率和政府服务水平具有重大意义,但云计算安全问题严重影响了电子政务云的发展,如果同时在标准规范上不断扩充完善,在产品技术上不断突破创新,在建设运维中严格落实,就能实现电子政务云安全可靠的运行,使其发挥出应有的作用。
|
