我國信息平安開展現(xiàn)狀國家信息中心信息平安研究與效勞中心吳亞非InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter3/10/20251中央領(lǐng)導(dǎo)高度重視胡錦濤總書記2001年國家信息化領(lǐng)導(dǎo)小組成立會議上指出：把信息平安放到至關(guān)重要的位置上，認真加以考慮和解決。胡錦濤總書記近期又指出：把握信息化開展、維護國家在網(wǎng)絡(luò)空間的平安和利益，成為信息時代的重大戰(zhàn)略課題。3/10/20252中國政府高度重視信息平安問題中央軍委副主席、國務(wù)委員兼國防部長曹剛川上午在會出席“信息平安：中國與世界〞國際學(xué)術(shù)研討會的德國前總統(tǒng)赫爾佐克和外方與會代表。隨著全球信息社會的來臨，信息平安問題日益凸顯。信息平安作為“非傳統(tǒng)平安〞的核心內(nèi)容，備受世界各國的關(guān)注，并成為國家平安體系中的關(guān)鍵要素。中國政府高度重視信息平安問題，認為信息平安關(guān)系到國家未來的生存和開展。中國政府決心構(gòu)建符合中國國情的、科學(xué)合理的信息平安戰(zhàn)略，以保障中國特色的信息化健康、穩(wěn)定地開展。中國政府愿意與國際社會一道，抓住機遇，應(yīng)對挑戰(zhàn)，促進開展，加強合作，為構(gòu)建國際信息平安體系作出應(yīng)有的奉獻。3/10/20253近年國家層面的主要工作完成國家信息平安頂層設(shè)計開展信息平安規(guī)劃管理體制和工作機制逐步建立根底性工作和根底設(shè)施建設(shè)取得較大進展

3/10/20254一、完成國家信息平安頂層設(shè)計?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕我國第一個全面關(guān)于信息平安保障工作的文件，是我國今后一段時期內(nèi)信息平安保障工作的綱領(lǐng)性文件3/10/20255加強以密碼技術(shù)為根底的信息保護和網(wǎng)絡(luò)信任體系：標準和加強以身份認證、授權(quán)管理、責任認定等為主要內(nèi)容的的網(wǎng)絡(luò)信任體系建設(shè)3/10/20256加強信息平安保障工作-總體要求：總體要求：堅持積極防御、綜合防范的方針，全面提高信息平安防護能力，重點保障根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安，創(chuàng)立平安健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化開展，保護公眾利益，維護國家平安。3/10/20257加強信息平安保障工作-主要原那么主要原那么：立足國情，以我為主，堅持管理與技術(shù)并重；正確處理平安與開展的關(guān)系，以平安保開展，在開展中求平安；統(tǒng)籌規(guī)劃，突出重點，強化根底性工作；明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息平安保障體系。3/10/20258加強信息平安保障工作-九項任務(wù)一、加強信息平安保障工作的總體要求和主要原那么二、實行信息平安等級保護三、加強以密碼技術(shù)為根底的信息保護和網(wǎng)絡(luò)信任體系建設(shè)四、建設(shè)和完善信息平安監(jiān)控體系五、重視信息平安應(yīng)急處理工作六、加強信息平安技術(shù)研究開發(fā)，推進信息平安產(chǎn)業(yè)開展七、加快信息平安人才培養(yǎng)，增強全民信息平安意識八、保證信息平安資金九、加強對信息平安保障工作的領(lǐng)導(dǎo)，建立健全信息平安管理責任制3/10/20259國家中長期科學(xué)和技術(shù)開展規(guī)劃綱要明確未來15年信息平安技術(shù)開展重點：〔1〕掌握集成電路及關(guān)鍵元器件、大型軟件、高性能計算、寬帶無線移動通信、下一代網(wǎng)絡(luò)等核心技術(shù)；〔2〕開發(fā)網(wǎng)絡(luò)信息平安技術(shù)及相關(guān)產(chǎn)品，建立信息平安技術(shù)保障體系，具備防范各種信息平安突發(fā)事件的技術(shù)能力；〔3〕重點研究開發(fā)國家根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的平安保障技術(shù)，開發(fā)復(fù)雜大系統(tǒng)下的網(wǎng)絡(luò)生存、主動實時防護、平安存儲、網(wǎng)絡(luò)病毒防范、惡意攻擊防范、網(wǎng)絡(luò)信任體系與新的密碼技術(shù)等。3/10/202510?中華人民共和國國民經(jīng)濟和社會開展第十一個五年規(guī)劃綱要?積極防御、綜合防范，提高信息平安保障能力。強化平安監(jiān)控、應(yīng)急響應(yīng)、密鑰管理、網(wǎng)絡(luò)信任等信息平安根底設(shè)施建設(shè)。加強根底信息網(wǎng)絡(luò)和國家重要信息系統(tǒng)的平安防護。推進信息平安產(chǎn)品產(chǎn)業(yè)化。開展咨詢、測評、災(zāi)備等專業(yè)化信息平安效勞。健全平安等級保護、風險評估和平安準入制度。3/10/202511?2006－2021年國家信息化開展戰(zhàn)略?其戰(zhàn)略任務(wù)可概括為完成信息平安保障六項工作和提高信息平安保障六大能力：1．信息平安保障六項工作可概括為：〔1〕建立和完善信息平安等級保護制度；〔2〕建設(shè)以密碼為根底的網(wǎng)絡(luò)信任體系；〔3〕建設(shè)和完善信息平安監(jiān)控體系，加強網(wǎng)絡(luò)防范，防止有害信息傳播；〔4〕做好信息平安應(yīng)急處置工作；〔5〕做好信息平安風險評估工作，綜合平衡平安本錢和風險，確保重點，優(yōu)化信息平安資源配置；〔6〕促進資源共享，加強災(zāi)難備份體系建設(shè)。3/10/202512?2006－2021年國家信息化開展戰(zhàn)略?提高信息平安保障六大能力：〔1〕信息平安核心產(chǎn)品和技術(shù)的自主創(chuàng)新能力；〔2〕信息平安人才保障能力；〔3〕信息平安法律保障能力；〔4〕信息平安根底設(shè)施支撐能力；〔5〕網(wǎng)絡(luò)宣傳駕馭能力；〔6〕國際影響力。3/10/202513二、開展信息平安規(guī)劃國家開展與改革委積極布局國家“十一五〞信息化開展規(guī)劃，并列專題研究了信息平安問題。?國家“十一五〞科學(xué)技術(shù)開展規(guī)劃?“863〞方案根據(jù)國際信息平安技術(shù)開展態(tài)勢，結(jié)合我國信息平安技術(shù)實際應(yīng)用需求，重點支持復(fù)雜系統(tǒng)下的網(wǎng)絡(luò)生存、主動實時防護、平安存儲、網(wǎng)絡(luò)病毒防范、網(wǎng)絡(luò)信任保障等技術(shù)和系統(tǒng)的研發(fā)。3/10/202514二、開展信息平安規(guī)劃?國家自然科學(xué)基金“十一五〞開展規(guī)劃?在完善學(xué)科布局和部署優(yōu)先開展領(lǐng)域方面向信息科學(xué)研究傾斜，把信息平安領(lǐng)域中的可信計算、包括量子密碼的量子調(diào)控理論和技術(shù)作為未來五年的重點支持領(lǐng)域。?信息產(chǎn)業(yè)科技開展“十一五〞規(guī)劃和2021年中長期規(guī)劃綱要?提出使集成電路在信息平安和國防平安領(lǐng)域的自給率到達70%以上的建設(shè)目標，并重點支持和開展密碼技術(shù)；平安處理芯片；電子認證、責任認定、授權(quán)管理；計算環(huán)境和終端平安處理；網(wǎng)絡(luò)和通信邊界平安；應(yīng)急響應(yīng)和災(zāi)難恢復(fù)；信息平安測評等技術(shù)和相關(guān)產(chǎn)品。3/10/202515三、管理體制和工作機制逐步建立信息平安等級保護信息平安風險評估信息平安產(chǎn)品認證認可網(wǎng)絡(luò)信任體系建設(shè)3/10/202516管理體制和工作機制逐步建立

〔1〕信息平安等級保護?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕

實行信息平安等級保護公安部等四部委聯(lián)合下發(fā)了?關(guān)于加強信息平安等級保護的意見?3/10/202517管理體制和工作機制逐步建立

〔1〕信息平安等級保護信息平安等級保護制度的主要工作內(nèi)容信息平安等級保護是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護；對信息系統(tǒng)按業(yè)務(wù)平安應(yīng)用域和區(qū)實行分級保護。對系統(tǒng)中使用的信息平安產(chǎn)品實行按分級許可管理。對等級系統(tǒng)的平安效勞資質(zhì)分級許可管理。對信息系統(tǒng)中發(fā)生的信息平安事件分等級響應(yīng)、處置。3/10/202518信息平安等級保護管理方法(試行)

〔公通字[2006]7號〕公布單位：公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室安全等級名稱對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的危害程度監(jiān)管方式第一級自主保護級無影響自主保護第二級指導(dǎo)保護級有一定損害政府職能部門指導(dǎo)下的自主保護第三級監(jiān)督保護級較大損害政府職能部門監(jiān)督下的嚴格保護第四級強制保護級嚴重損害政府職能部門的強制監(jiān)督和檢查下的嚴格保護第五級?？乇Ｗo級特別嚴重損害政府協(xié)助下由主管部門和使用單位實施專門控制和保護3/10/202519管理體制和工作機制逐步建立

〔2〕信息平安風險評估工作?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕

要重視信息平安風險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)平安的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風險等因素，進行相應(yīng)等級的平安建設(shè)和管理。3/10/202520?關(guān)于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕什么是信息平安風險評估信息平安風險評估是從風險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在地脆弱性，評估平安事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。目的是：為防范和化解信息平安風險，或者將風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息系統(tǒng)提供科學(xué)依據(jù)。3/10/202521管理體制和工作機制逐步建立

〔2〕信息平安風險評估工作2006年2月國務(wù)院信息辦下發(fā)?關(guān)于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕3/10/202522?關(guān)于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕風險評估工作的形式：信息平安風險評估分為自評估和檢查評估兩種形式。自評估是指網(wǎng)絡(luò)和信息系統(tǒng)的擁有、運營、使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估。自評估是信息平安風險評估的主要形式。檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的信息平安風險評估。自評估和檢查評估可以依靠自身技術(shù)力量進行，也可委托第三方專業(yè)機構(gòu)提供技術(shù)支持。3/10/202523?關(guān)于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕三個評估環(huán)節(jié)信息系統(tǒng)規(guī)劃設(shè)計階段：通過評估明確平安需求、平安目標和平安保障措施，為工程審批提供依據(jù)。信息系統(tǒng)驗收階段：通過評估驗證已設(shè)計安裝的平安措施能否實現(xiàn)平安目標，為工程驗收提供依據(jù)。信息系統(tǒng)運維階段：通過定期進行的評估，檢驗平安措施的有效性及對平安環(huán)境變化的適應(yīng)性在信息系統(tǒng)使命或平安形勢發(fā)生重大發(fā)生變化時，要專門進行評估3/10/202524管理體制和工作機制逐步建立

〔3〕信息平安產(chǎn)品認證認可認監(jiān)委等八部委聯(lián)合發(fā)下發(fā)了?關(guān)于建立國家信息平安產(chǎn)品認證認可體系的通知?2005年4月19日國家信息平安產(chǎn)品認證管理委員會成立，這標志著我國建立統(tǒng)一的信息平安產(chǎn)品認證認可體系已進入實質(zhì)性的實施階段。3/10/2025252006年11月17日，中國信息平安認證中心在京正式成立。認證中心為第三方公正機構(gòu)和法人實體。其主要業(yè)務(wù)是，依據(jù)國家信息平安管理的法律法規(guī)、?認證認可條例?及實施規(guī)那么，在指定的業(yè)務(wù)范圍內(nèi)，對信息平安產(chǎn)品實施認證，并開展與信息平安有關(guān)的管理體系認證和人員培訓(xùn)、技術(shù)研發(fā)等工作。管理體制和工作機制逐步建立

〔3〕信息平安產(chǎn)品認證認可3/10/202526管理體制和工作機制逐步建立

〔4〕網(wǎng)絡(luò)信任體系建設(shè)?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕加強以密碼技術(shù)為根底的信息保護和網(wǎng)絡(luò)信任體系建設(shè)2006年2月國務(wù)院辦公廳下發(fā)?關(guān)于網(wǎng)絡(luò)信任體系建設(shè)假設(shè)干意見的通知?〔國辦發(fā)[2006]11號〕。對網(wǎng)絡(luò)信任體系建設(shè)提出了總體要求。3/10/202527網(wǎng)絡(luò)信任體系是指以密碼為根底、以法律法規(guī)、技術(shù)標準和根底設(shè)施為主要內(nèi)容，以解決網(wǎng)絡(luò)應(yīng)用中身份認證、授權(quán)管理和責任認定等為目的的完整體系?！笆晃濞暺陂g，網(wǎng)絡(luò)信任體系建設(shè)將是信息平安保障工作的重點。其內(nèi)容包括：建設(shè)國家級面向社會公眾效勞的電子認證中心；建設(shè)國家電子認證監(jiān)管平臺；支持符合電子認證平安標準要求、具有可控性和高可靠性的平安效勞平臺建設(shè)，為數(shù)據(jù)電文、電子簽名證書在國民經(jīng)濟各領(lǐng)域的應(yīng)用提供效勞。管理體制和工作機制逐步建立

〔4〕網(wǎng)絡(luò)信任體系建設(shè)3/10/202528?假設(shè)干意見?明確了信任體系建設(shè)中電子認證工作管理的責任部門，即：“信息產(chǎn)業(yè)部要會同有關(guān)部門，加強對電子商務(wù)中電子認證活動的指導(dǎo)和管理。國家密碼管理局要會同有關(guān)部門做好電子政務(wù)中電子認證工作的規(guī)劃和管理〞。管理體制和工作機制逐步建立

〔4〕網(wǎng)絡(luò)信任體系建設(shè)3/10/202529管理體制和工作機制逐步建立

〔4〕網(wǎng)絡(luò)信任體系建設(shè)2005年4月1日，?電子簽名法?，以及與之配套的?電子認證效勞管理方法?正式實施，為電子商務(wù)和電子政務(wù)的網(wǎng)絡(luò)信任體系建設(shè)和第三方認證效勞創(chuàng)造了良好的法律環(huán)境目前全國已有22家電子認證單位經(jīng)過法律的授權(quán)許可,這22家電子認證機構(gòu)已經(jīng)頒發(fā)出了近564萬張證書，有力地支持了電子商務(wù)的開展，推動了我國網(wǎng)絡(luò)信任體系的建設(shè)3/10/202530管理體制和工作機制逐步建立

〔5〕信息平安應(yīng)急協(xié)調(diào)機制建設(shè)?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕重視信息平安應(yīng)急處理工作2004年8月成立了國家網(wǎng)絡(luò)與信息平安通報中心2005年4月,國信辦發(fā)布了?關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知?3/10/202531四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔1〕信息平安法制取得進步國家法律8部，國家行政法規(guī)6部，部門規(guī)章文件52部，地方政府法規(guī)24部，國務(wù)院信息化辦公室直接牽頭制定的政策性文件14部，3/10/202532四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔2〕信息平安標準化工作2002年4月15日，全國信息平安標準化技術(shù)委員會在北京正式成立3/10/202533委員會內(nèi)設(shè)立六個工作組，開始系統(tǒng)規(guī)劃與制定全國信息平安標準。WG1：信息平安標準體系與協(xié)調(diào)工作組TC：可信計算標準WG2：涉密信息系統(tǒng)平安保密標準工作組WG3：密碼工作組WG4：認證與鑒別工作組WG5：信息平安評估工作組WG7：信息平安管理〔含工程與開發(fā)〕工作組四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔2〕信息平安標準化工作3/10/202534該標委會的成立，標志著我國信息平安標準化工作步入了“統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)開展〞的新時期。它的工作任務(wù)是向國家標準化管理委員會提出本專業(yè)標準化工作的方針、政策和技術(shù)措施的建議。目前我國共發(fā)布的信息平安國家標準54項。全國信息平安標準化技術(shù)委員會成立后，先后研究制定信息平安等級保護、鑒別與授權(quán)、信息平安管理、信息平安測評認證等方面的國家標準33項。

四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔2〕信息平安標準化工作3/10/202535四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔3〕技術(shù)研究和產(chǎn)業(yè)取得重要成果?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕加強信息平安技術(shù)研究開發(fā)，推進信息平安產(chǎn)業(yè)開展國家發(fā)改委重點支持18個信息平安產(chǎn)業(yè)化工程、兩個研究中心、兩個國家信息平安根底設(shè)施建設(shè)工程；國家863方案2006年信息平安技術(shù)專題資金投入為0.6億人民幣，2007年將增長為一億人民幣。在“十一五〞期間國家863方案預(yù)計總投入資金約5億人民幣；1999年至2006年國家在信息平安產(chǎn)品產(chǎn)業(yè)化投入的資金共計6億人民幣；截止2007年5月，有關(guān)信息平安創(chuàng)造專利累計232個，實用新型專利累計47個。3/10/202536四、根底性工作和根底設(shè)施建設(shè)取得較大進展

〔3〕技術(shù)研究和產(chǎn)業(yè)取得重要成果2006年底，全年國內(nèi)信息平安市場銷售額到達53億元人民幣,占信息產(chǎn)業(yè)總產(chǎn)值的0.13%。2005年底，從事信息平安廠商約1300家：有自主研發(fā)能力的約390家，有自主研發(fā)產(chǎn)品的約190家，信息平安效勞的約300家，產(chǎn)值超過1億人民幣的企業(yè)約20家，有國家級信息平安產(chǎn)業(yè)基地3個,非國家級4個。3/10/202537管理體制和工作機制逐步