网络空间安全管理体系(6篇)
来源:整理
网络空间安全管理体系篇1
关键词:网络安全;问题分析;对策探讨
1前言
随着互联网、大数据、云计算时代的到来,特别是随着网络个人信息的增多,以及公众对网络资源的依赖,网络安全对用户信息(包括个人财产安全)产生严重的威胁和影响,信息安全问题已成为制约企业跨越性、可持续发展的重要因素。为此,正视网络信息安全,从信息安全现存问题入手,分析问题的成因,制定具体的应对策略,从而营造一个安全稳定的网络环境,是当前企业信息建设的一项重要任务。信息安全涉及网络通信、密码技术、中端设备、数据传输与运用等诸多学科,是一项综合性应用课题。广义上说,有关网络信息保密性、完整性、真实性、可控性的技术和理论,都是网络信息安全所关注和研究的领域。在实际应用中,网络信息安全更多地指向构成网络闭环的硬件、终端传输及其系统中的数据,如何使这些数据资源不受偶然(或者恶意)的原因破坏、失真、更改或泄露,确保系统连续可靠、正常有序地运行。
2主要问题分析
就国内企业(包括国内大型国企)而言,由于受到我国整体信息技术水平的限制,其网络信息建设无论是硬件还是软件,都存在严重依赖国外技术的问题。以通信芯片和操作系统为例,我国在自主创新上还存在较大差距。如智能手机的操作系统,华为虽启用自主研发的“鸿蒙系统”,但国外操作系统的垄断局面还较为普遍。2018年,据相关机构的统计数据,我国国内智能手机使用美国谷歌公司安卓系统的产品占了89.3%。信息安全体系建设,不只是用信息安全产品搭建起一个信息“堡垒”,更重要的是要建立一套完善的、自成体系的信息安全制度。正如“瑞星杀毒软件”安全专家指出的,“只有有形的产品和无形的制度相互配合,才能避免核心机密被类似‘棱镜’项目所窥视。”从目前网络信息安全所暴露的问题看,有三个方面的因素常常引发网络信息安全危机。
2.1自然因素(或偶发因素)引起网络信息安全问题
主机系统和终端设施遭受自然力的破坏,如:自然灾害(地震、水灾、风暴、建筑物损毁等)对计算机网络构成威胁;电源故障、设备失常、能耗崩溃等一些偶发因素,对计算机网络构成威胁。
2.2管理应用疏漏造成网络信息安全问题
如用户在网络应用过程中,因安全意识松懈、规章制度不全、管理水平低下、操作环节失误、人为渎职积弊等对网络安全造成威胁。网络信息具有宽域开放的特征,信息采集、储存、传输、应用过程中的任何疏忽,都有可能造成泄露、失真等信息安全隐患。近年来,智能终端等移动互联设备更新速度惊人,新的开发应用层出不穷,各种“小程序”的出现令人眼花缭乱。而在实际应用过程中,企业或个人均存在“盲目跟风、自由购买、随意使用”现象,网络信息安全形势日益严峻。例如,假如用户将具备联网功能的智能手机,接入已连接涉密网关的办公计算机,其目的虽是给手机充电,却无意中等于让该智能机同时联接了互联网,进入了涉密网络空间,由此给他人植入电脑病毒带来空隙和机会。
2.3安防体系建设滞后酿成的信息安全问题
多年来,人们习惯于依赖安装杀毒软件来保障网络安全,但由于没有构建严密的防护体系,系统管理不严、人员操作不当和黑客入侵引发的系列安全问题始终未能有效解决。目前看,虽然在开发环节对操作系统的安全设置已予较高重视,并为用户设置了一定的自具式防护,但是因网络黑客手段不断升级,操作系统本身的安全漏洞和缺陷,往往在“防不胜防”中逐渐被黑客所破解和攻击。其次,在实际使用过程中,防火墙只能抵御一般性的网络攻击,一旦遇到升级版本的计算机病毒,将无法形成对系统的保护。这些先天性的、不可避免的漏洞和局限,将给网络信息安全造成严重影响。从数据资源看,数据库中的海量数据和关键信息,其中有些涉及个人隐私,有些则是涉及资金安全的重要信息。数据库的安全防御措施显然尚未建构起密不可破的层层“天网”,一旦遇到网络入侵,难以形成对数据信息的有效保护。
3对策建议
3.1要普及网络安全知识,营造信息安全环境氛围
网络信息安全教育是保守国家涉密、实现信息安全的根本,也是做好网络信息安全的基础和前提。这就要求各级组织高度重视,切实增强自身网络信息安全的意识和素质,领导带头学,业务人员主动学,自觉成为信息安全的排头兵,成为工作中的行家里手,形成自我学习、自我教育的良好氛围;通过共同参与、主动防范,端正思想认识,营造一个良好的网络信息安全氛围。
3.2要强化安全监管,健全网络信息安全体系
网络信息安全建设是一项系统工程,需要完善的工作机制与高效的管理体制,籍此推动网络信息安全的健康有序发展。从企业信息化建设需求看,首先,要完善顶层设计,明确单位信息安全建设的总体思路和指导思想,细化信息安全的实施步骤、标准要求,建立网络信息安全框架协议与制度规范。其次是科学规划,理清职责,构建科学的管理体制,包括对所在单位的编制体制进行有机整合,合理调整信息从业人员的科学分工,从而理顺管理体制,明确各自职责,推动网络信息安全工作的高效运行。
3.3要优化安防系统,完善信息安全应急预案
及时更新防病毒软件,完善具有远程安装、报警和集中管理的有效功能;建立内网认证系统,实现访问控制、身份识别、机密性、不可否认服务等;建立病毒防控机制,禁止在网上随意下载的数据往内网主机复制,禁止在联网计算机上随意使用来历不明的存储设备;紧盯网络信息系统安全检测设施和手段的发展前沿,提高网络信息安全检测监控技术,完善网络信息系统安全防护手段,提高网络信息安全技术和产品的检测评估能力;加强网络安全威胁评估,做到及时预警、预案完备、应对措施得当,对可能发生的网上意外,可能引发的舆情危机进行预测,做好预案,防止意外状况发生。
3.4要理顺信息安全管理机制,加强网络信息安全研究
应理清网络信息安全建设的总体思路,细化信息安全防范的实施步骤与标准要求,完善网络信息安全框架协议和制度规范。网络信息安全是一项系统工程,要确保其高效有序的运行,需要完善工作机制,顺畅管理体制。企业各部门要通力合作,各司其职、各负其责,共同推动信息安全建设的健康、有序发展。目前,国家层面已经成立了国家安全委员会,这对企业网络信息安全建设起到了积极促进作用,但在运行机制、制度保障等方面,还需各企业(用户)进一步优化和完善。其着力点应放在“跨域融合”上,即立足于国家安全的全局,平衡好各方利益冲突,融合好各部门的利益诉求,研究解决好信息发展与跨部门、跨领域、超越局部利益、短期利益的瓶颈问题。要高度重视网络信息安全管理存在的多头管理、职能交叉、重复建设问题,拟订网络信息系统的建设、使用、管控具体实施细则,明确责、权、利约束,破除“有利益就上,有问题就让”的积弊。要紧跟信息技术发展,加快发展网络信息安全检测和监控技术,完善网络信息系统完全防护手段,提高对网络信息安全技术和产品的检测评估能力。
3.5要广揽人才,建立一支网络信息安全队伍
当前,国内外各大企业对网络空间的安全问题越来越重视,并将网络空间视作未来企业竞争的主要手段和利益空间。对于确保网络空间安全问题,各企业的做法、手段不尽相同,但建立一支有规模、结构优、素质良的专业网络空间安全队伍,已是各企业、各从业人员的一致选择。因此,确保企业在网络空间的话语权与运行自由,必须建立一支网络空间信息安全队伍,包括落实国家网络安全人才战略,提升各类人员的安全意识和能力,加强网络信息安全专业人才的教育培训等。要创新人才培养模式,优化教学环节,在学历教育、职业培训方面共同发力,通过规模化培养,解决网络信息安全人才不足的问题,填补信息安全细分领域人才缺口。目前,信息安全人才评价标准的难点,在于不能用同一把尺子,用传统的人才评价方式来对其评价和衡量,因此,建立全面、系统的网络信息安全人才评价标准,应作为我们稳定队伍的重点来抓。
3.6要加强合作,共建安全、开放的网络空间
网络空间安全管理体系篇2
网络安全是整体的而不是割裂的。指出,“网络安全对国家安全牵一发而动全身。”目前,我国网络安全整体态势感知能力还比较薄弱,亟待加强国家关键基础设施建设,实现全社会优势资源整合,依据规则实现信息共享。
网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。网络安全风险是动态的。一是系统漏洞是动态的,信息化基础设施和重要信息系统在不断改进、不断升级、不断扩容,使网络系统漏洞和脆弱性增多;二是产品漏洞是动态的,这些新技术新应用需要大量进口软硬件产品,以及国产化软硬件产品,这些产品中的脆弱性、安全漏洞和产品供应链带来的安全隐患仍然不可忽视;三是管理漏洞是动态的,这些变更的新系统、新产品在管理运维上同样可以出现安全漏洞,新的安全制度、管理规定尚未重新制定,甚至出现复杂系统资产底数不清,给网络安全管理带来潜在隐患;四是威胁手段是动态的,从近年来发生的安全事件看,很多网络攻击长期潜伏,只靠传统安全措施来保障新时期网络高度发展变化的系统,显然是不可能的。
网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。今天的网络安全概念应该立足于在恶劣的网络环境中保证网络安全。因为网络是互联互通的,封闭的网络没有大作为,封闭的网络没有大作用,要建立互联网环境下的安全保障体系。
同时,信息化建设需要国际合作,需要国际技术交流。今天,我们在国产化创新推进中仍然需要国际合作,软硬件产品供应链是全球化的,不可能不开放。供应链是开放的,产品是开放的,人才是开放的,技术是开放的,网络安全也是开放的,要达到如同“密码算法是开放的,密码保护作用是可靠”的效果。
网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。网络安全和信息化是一体之双翼,驱动之双轮,需要平衡驾驭。网络空间随信息化发展进步而延展放大,网络空间随网络安全对抗博弈而健康完善。网络安全在整个信息化建设中就如同一个庞大的免疫系统,免疫系统越完善,信息化建设就会越健康、安全稳定;免疫系统越薄弱,抵抗不住病毒侵害和网络攻击,信息化建设就会越脆弱,甚至会瘫痪停服。
因此,我们要引入“问题导向”理念,引入“风险管理”的理念,对高风险、高威胁采取有效防护措施,对低风险、低威胁采取安全监视的策略,千万不要把大量资金用到不需要加固的地方。用创新技术解决突出、高风险的安全问题;不要总是采用“千人一面”的安全解决方案。
网络空间安全管理体系篇3
空军网络空间防御作战系统(ACD)。ACD持续监控机密与非机密网络,重点检测和阻止网络攻击,并验证确认攻击来源、途径和影响。ACD由圣安东尼奥-拉克兰联合基地与空军国民警卫队合作开展。
网络安全与控制系统(CSCS)。CSCS持续监控网络活动,鉴别并标识异常活动,做出实时应对。该系统由最初负责加固指挥专用网络,发展为以管理为中心的网络,对登陆和退出空军基地网络的流量进行过滤,阻止可疑网络访问。此外,还运行并管理机密与非机密网络。
空军内联网控制系统(AFINC)。AFINC是空军各基地接入互联网的主界面,是访问空军信息网的入口,是各基地内部通信的网关。该系统整合并替代了各种区域性管理的空军网络,形成了包括纵深防御、主动防御、网络标准化与态势感知四个分支的整体网络系统。
网络空间防御分析系统(CDA)。CDA监控通过非机密系统的空军信息,判断信息是否敏感或机密。该系统的监控包括六个领域:互联网功能,电子邮件往来,非机密电话网络,涵盖手机、地面移动无线电、无线局域网在内的无线通信,以及网络风险评估。该系统向战地指挥官等报告解决方案,开展网络入侵导致的信息损失评估,和对空军非机密网站进行评估。
网络空间安全管理体系篇4
军用网络系统由于包含敏感信息和机密技术。容易遭受恶意网络攻击。在这份报告中,兰德公司对美国空军如何通过控制采办/寿期管理提高军事系统全寿期的网络安全进行了分析。报告重点关注了空军能在设计、体系结构、协议和接口上进行掌控的采办系统分系统和相关技术,如武器系统、平台信息技术等,而不是业已成熟的商用网络信息技术。
该报告的主要发现包括:当前网络安全法律和政策的制定主要针对管理商用网络信息系统。无法充分应对保护军用网络的挑战,因此可能对作战产生影响。具体如下:
网络安全存在缺陷的根源在于空军缺乏有效的网络安全控制。
网络安全环境复杂,瞬息万变,难以预测,但当前的网络安全管理政策更适合简单、稳定和可预测的环境,因此导致了网络安全管理的重大缺陷。
现行的网络安全管理不是在军事系统的全寿期中始终保持警惕,而是仅仅依靠采办推动(主要在采购期间)。这导致相关政策不足以全面覆盖网络安全问题。
军事系统网络安全的控制权和责任分散在众多机构中,没有进行有效整合。这导致责任不明确,从而削弱了对网络安全的统一指挥和控制能力。
对网络安全的监控和反馈不完整、缺乏协调,无法有效地进行决策或问责。
针对以上发现,报告提出12条建议,以提高空军军事系统在全寿期的网络安全。具体包括:
制定空军军事系统网络安全目标。
重新明确网络安全风险评估的职责分工,主要针对系统的薄弱环节、面临威胁及其对作战行动的影响,授权有关官员整合和裁决各部门之间的网络安全问题。
为授权官员分配系统资源和投入资金,确保所有系统能在全寿期得到全面监管。
鼓励项目办公室采取更全面的网络安全措施――包括合理的系统安全工程,以增加必要的安全控制。
促进网络安全创新和自适应,在各个具体的项目中分散落实所有涉及系统安全工程方法的新政策。
降低网络安全问题的复杂性,减少相互连接的数量,并尽可能改变以往默认系统连接的传统做法。
设立网络安全专家小组,可以根据需要在全寿期内构建矩阵模型,使小项目和维护人员也可调用大量资源。
以用户为优先导向,评估和解决传统系统中的网络安全问题。
对空军各项目的网络安全状态进行常规、长期的评估,并要求项目经理对其负责。
组建致力于采办/全寿期管理的空军网络安全应急小组。
网络空间安全管理体系篇5
共生的价值观――全球互联网治理的逻辑起点
任何治理体系的建立,价值观是根本。人类从原始社会走到今天,经历了许多划时代的革命,每一个时代都会形成与之相适应的观念和文化。迄今为止,我们沿用的依然是弱肉强食、零和博弈的丛林法则。但丛林法则产生的基础是物质极度匮乏下的利益争夺,这是典型的实体空间思维模式。网络时代则不同,网络空间资源可以再生,数据可以复用,信息可以共享。自然界中的石油越用越少,而大数据作为网络空间的“新石油”却越用越增值。这种可复制、可增值的资本催生了新的生产关系和生产方式。人们可以共同拥有生产资料,人类正逐渐形成“你中有我”、“我中有你”的共生关系。未来,决定人类生存的基础,不能再是“你死我活”的PK模式,而是非零和博弈的分享模式。这将改变甚至颠覆人类社会原始的竞争逻辑和处世之道,激发超越实体空间的新文明的觉醒,即构建以“共生”、“共赢”为核心的人类命运共同体。
为此,丛林法则应该让渡于休戚与共;画地为牢应该让渡于开放共享;惟我独尊应该让渡于共生共荣;以意识形态划线应该让渡于尊重差异、包容多样。尽管这些提法离当下的共识还相距甚远,但它毕竟是21世纪人类应当看到的愿景和奋斗的目标,也是当下全球互联网治理必须确立的基本共识和逻辑起点。
共同的安全观――全球互联网治理的基本规约
基本规约是确保治理体系有效运转的关键。经过半个世纪的打造,互联网不仅进入了全球高速发展期,也进入了安全威胁的上升期。在网络空间规则还未确立,共识尚未形成的情况下,采用什么样的方式应对安全威胁,成为互联网治理亟待解决的问题。
而一些传统强国往往沿用实体空间思维定势,习惯套用“动网”即“动武”的行为准则,追求一种绝对的安全。这不但解决不了网络空间面临的问题,而且会带来诸多麻烦。网络空间行为体多种多样,鱼龙混杂;数字化的东西容易伪造,溯源取证困难重重;用于实体空间的武装冲突法的很多规则难以在网络空间适用。这使得网络空间的战争与和平难以界定,军用目标和民用目标很难区分,“中立”概念的适用存在诸多问题。简单化地降低打击门槛不仅会让中立国或无辜者蒙受灾难,还会给整个世界带来犹如“多米诺骨牌”般的负面效应。当年,美国打伊拉克的理由是其存在大规模杀伤性武器,结果动用了几十万军队,直到退兵为止,也没发现一件证据,只能不了了之。但那次动武的恶果却在不断发酵,我们看到的是今天伊斯兰国家对美国仇恨的加剧,以及恐怖主义在全球的泛滥。目前,ISIS欲借加密软件构建“网络伊斯兰帝国”,招募黑客打造网络圣战队伍,计划对美、西方发动大规模黑客攻击。
新空间的复杂特性、归因溯源问题的难以解决一再警示人们,草率诉诸武力不仅伤人,也会伤己;任性地发起攻击,在给别人造成灾难的同时,自己一定会付出代价。一味谋求一方的绝对安全只能给自己,甚至整个世界带来更大的不安全。靠武力、零和来应对安全挑战的时代己经过去,取而代之的是沟通协商的和平方式。而根据《联合国》,任何国家没有权利对他国进行武力侵犯,也不支持由单一或少数国家单方制定的动武规则。因此,面对日益猖獗的网络犯罪、不断泛滥的网络恐怖主义等网络威胁,摒弃动辄使用武力的解决方式,将联合国作为规约制定和危机管控的主要平台,进行对话沟通是解决问题的上策;在此基础上,制定诸如“君子动口不动手,吵架总比打架强”的君子协定,这应该成为构建网络空间新秩序框架中的基础规约。
共商的治理观――全球互联网治理的主导模式
治理模式解决的是治理主体的问题,是治理制度落实的组织保障。在网络空间,采用何种治理模式是多方利益博弈的结果,这里既有大国关系的角逐,又有东西方文化的对冲,还需兼顾发达国家和发展中国家的利益平衡。长期以来,国际社会在互联网治理过程中,始终面临两个重要而又基础性问题:一是在互联网参与主体多元化、社会扁平化的情况下,如何充分发挥多利益攸关方(多方模式)的作用?二是在网络威胁不断蔓延,跨国犯罪层出不穷,数字鸿沟不断拉大等全球性问题日益凸显的情况下,如何发挥各国政府和联合国(多边模式)的主导作用?
从网络空间体系构成看,其由基础层、应用层、核心层组成。物理层包含的是基础设施。在这一层追求的是标准化、全球一网、互联互通。应用层包含了互联网平台在现实中的广泛运用,涉及科技、贸易、文化、社会、生活等人类活动。在这一层实现多边和多方共治,实现自由和秩序平衡。核心层包含政权、法律、政治安全和意识形态,涉及执政根基,是一个国家的核心利益。这一层重在体现政府的主导作用,即每个国家对境内的信息基础设施和承载的信息拥有天然的管辖权。可以看出,“多边”和“多方”分别在网络空间的不同层面发挥着不同的主导作用,他们之间是互补的共存关系。我们提出发挥政府在“多方治理”中的作用,并不是反对多方治理模式,而是防止以“多方”排斥“多边”在关键时候的主导作用;反对打着“多方”旗号,以事实上的“单边治理”,取代“多边共治”的做法。2016年,在浙江杭州召开的G20峰会通过了《数字经济发展与合作倡议》,强调政府、私营部门、民间社会、技术团体和国际组织等应积极参与互联网治理,在不同层面发挥不同的主导作用。
而当前,有关网络空间国际治理的“多边”和“多方”磋商、对话机制很多,如何整合这些机制已成为推动网络空间治理发展的重要问题。联合国是当今世界最具代表性和权威性的国际组织,是能够有效整合各方力量的主要平台。因此,要建立在合框架下,“多边”与“多方”互补而不是互斥的新的治理机制。2015年7月,联合国信息安全政府专家组(UNGGE),正式提交了《关于从国际安全角度看信息和电信领域的发展专家组报告》,确认了包括网络原则在内的《联合国》确立的国际法基本准则适用于网络空间。2016年,上合组织元首理事会会议发表《塔什干宣言》,支持在联合国框架内制定网络空间负责任国家行为的普遍规范、原则和准则。
共赢的发展观――全球互联网治理的重要前提
互联网是美国为人类创造的新大陆或称地球村,这个贡献无与伦比。但是由于事物的两重性,互联网在普惠人类的同时,也把更新的危机模式和更高的危机概率带给人类。如何让网络世界不仅实现互联互通,而且达到共享共治?不是单极发展,而是共同发展;不是一家安全,而是共同安全。显然,作为互联网的发明者,同样具有无与伦比的历史责任。这个问题之所以关键,是因为当前网络世界掌控资源、主导规则、最具技术优势的还是美国这样的网络强国,解铃还需系铃人。可以说,网络安全体系的钥匙都在美国手里。如果美国不首先提供安全保障,居于高度恐慌中的其他国家,很难再做出更多选择与让步;如果美国不首先释放安全信任,分享技术成果,也很难结成打击黑客和网络恐怖主义的国际联盟。如果没有安全的保障和信任,人类在网络空间的共同发展只能是“纸上谈兵”。
目前,“球”在强国手里,传好了,网络空间将加快良性发展的步伐,人类将共同收获网络发展的“红利”;传不好,网络将迟滞各国的发展,人类也将面临前所未有的严峻挑战。作为网络强国的自信不应只来自“能够绝对打赢网络战争”,更应来自“对他国有效释放安全保证、对自己进行能力约束”。要摒弃任何形式的霸权思维和单赢思维。做到强大不任性、先进不凌人;要充分尊重世界各国的网络,主动填平与发展中国家的数字鸿沟,积极让渡全球共享的网络资源和管理;要克制用不对称手段谋取短期利益的冲动。运用相互尊重、包容互鉴、照顾各方舒适度的平等方式,_启网络空间新秩序。
网络空间安全管理体系篇6
2013年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂,西方各国加强网络战备,并通过安全壁垒打压我国高技术企业。同时,基础网络、重要信息系统、工业控制系统的安全风险日益突出,网络犯罪和新兴技术的安全威胁持续加大。国内外因素交织,我国信息安全发展形势严峻而复杂。
当前,网络空间已经上升为与海、陆、空、太空并列的第五空间,世界各国都高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力。已经有美国、俄罗斯、韩国等近40个国家成立了网络部队,并逐步扩大网络部队的规模。同时,世界各国不断增加网络武器、网络安全人才等方面的投入。
随着中国经济的快速发展,西方各国频繁使用各种手段为中国企业设置贸易壁垒,如技术壁垒和绿色壁垒等,近来一些国家又启动了安全壁垒这种新的贸易保护主义工具。2012年3月份,澳大利亚政府以担心来自中国的网络攻击为由,禁止华为技术有限公司对数十亿澳元的全国宽带网设备项目进行投标。
我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品。据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。
网络安全损失日趋严重,影响程度将进一步加剧。当前,因网络安全问题产生的经济损失大幅提高,造成的危害也明显增大。2012年诺顿网络安全报告显示,在过去的一年中,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元,每秒就有18位网民遭受网络犯罪的侵害,平均每位受害者蒙受的直接经济损失总额为197美元。
我国信息安全之所以面临严峻挑战,是因为我国信息安全存在诸多问题。
我国信息安全政策法规不够完善。我国信息安全政策扶持力度不够,政府投入不足,且现有投入较为分散,难以形成拳头效应;在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性;我国尚未形成完善的信息安全监督管理制度体系,现有的信息系统等级保护制度在一些行业和领域刚刚起步、重视程度不够,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和关键产品,尚未建立有效的信息安全审查制度;我国信息安全行业监管规范还不够完善,而且目前的一些监管方式并不符合WTO规则,容易在国际上引起争议。
我国信息安全体制机制存在缺陷。我国缺少一个国家统一领导下的信息安全最高决策机构。虽然国家设立了网络与信息安全协调小组,但事实上该小组的统筹协调能力较弱。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。我国信息安全领域存在多头管理现象,相关职能部门涉及公安部、保密局、密码办、工业和信息化部等,部门之间职责界定不清晰,管理权限存在交叉。我国信息安全支撑机构管理混乱,难以形成合力,对于重大信息安全问题、核心信息安全技术的研究工作持续性不够,无法完成我国信息安全保障工作的要求。
国家信息安全防御力量建设有待加强。我国部级投入相对较少,相关企业转型也比较慢,大都没有进入到信息安全领域。大规模网络对抗能力不足。我国目前在网络空间的战略部署还很薄弱,没有建立有建制的网络部队,在信息安全人才招募和网络武器研发方面也远远落后西方国家。
信息安全技术产业支撑能力较弱。我国信息安全相关技术研发能力不足。涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。
针对上述各种问题,国家应该尽快做出相应调整,扭转当前信息安全不利的局面。
加快完善我国信息安全政策法规建设。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务;建立完善的信息安全监督管理制度体系,进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。
加强我国信息安全保障体制机制建设。进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制;逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式;成立部级的信息安全支撑机构,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。