信息安全與通信保密雜志  文／劉山泉（上海市經(jīng)信委信息安全處副處長）

在過去的兩年間，我國網(wǎng)絡安全進入全面的戰(zhàn)略覺醒，國家先后成立中央國家安全委員會、中央網(wǎng)絡安全和信息化領導小組，對我國網(wǎng)絡安全和信息化的發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策等做出了一系列部署。城市是一個國家發(fā)展的縮影和戰(zhàn)略執(zhí)行的載體，上海作為我國信息化發(fā)展標桿性城市，在實施信息化領先發(fā)展戰(zhàn)略、加快建設面向未來的智慧城市的過程中，面對復雜嚴峻的安全形勢高度重視信息安全保障工作，堅持信息安全與信息化同步規(guī)劃、同步建設和同步運行，積極探索與特大型城市信息化發(fā)展水平相適應的區(qū)域信息安全保障體系，對我國網(wǎng)絡安全與信息化全局工作具有較好的啟示意義。

一、上海城市信息安全保障工作回顧

上海城市信息安全保障工作起步于”九五”，當時為適應數(shù)字化、網(wǎng)絡化發(fā)展的實際需要，上海在國內(nèi)率先成立了市級層面的互聯(lián)網(wǎng)安全協(xié)調(diào)機構，并且是國內(nèi)第一個在信息化工作部門設置信息安全工作機構的地方，并以解決計算機2000年問題為突破口，進行了大規(guī)模的信息安全意識啟蒙教育，初步構建了覆蓋信息化重點行業(yè)的信息安全管理工作責任網(wǎng)絡（信息安全重點單位）。

“十五”期間，上海城市信息安全保障進入重點布局階段，市數(shù)字證書認證中心、市信息安全測評認證中心、市計算機病毒防范服務中心等功能機構先后成立，國家信息安全成果產(chǎn)業(yè)化（東部）基地啟動建設，多個國家級信息安全研究機構入駐，并在國內(nèi)率先組建信息安全行業(yè)協(xié)會，隨著國家信息安全應用示范工程(S219)一期、二期工程的順利實施，重點行業(yè)信息安全防護水平和信息安全產(chǎn)業(yè)發(fā)展得到提升。

“十一五”期間，上海在國內(nèi)率先編制并印發(fā)《上海市信息安全”十一五”專項規(guī)劃》，城市信息安全保障進入體系化建設階段，在國家網(wǎng)絡與信息安全協(xié)調(diào)小組的統(tǒng)籌部署下，以深入貫徹落實”中辦發(fā)27號文”為主線，市網(wǎng)絡與信息安全協(xié)調(diào)小組（”市網(wǎng)安小組”）和市互聯(lián)網(wǎng)輿論宣傳領導小組（”市網(wǎng)宣小組”）分工負責、協(xié)調(diào)配合，信息系統(tǒng)安全測評、等級保護、分級保護、應急管理等基本制度相繼建立并推行，基礎網(wǎng)絡和重要信息系統(tǒng)安全防護能力進一步提升，圓滿完成2010年中國上海世博會信息安全保障工作任務。

“十二五”期間，圍繞兩輪智慧城市建設三年行動計劃的滾動實施，上海城市信息安全保障體系進入全面深化的新階段，其間，上海市電子政務災難備份中心建成并投入使用，在國內(nèi)率先組建區(qū)域網(wǎng)絡與信息安全應急管理機構、成功舉辦信息安全宣傳周和技能競賽活動，并承擔了政府部門互聯(lián)網(wǎng)安全接入、關鍵城市基礎設施工控系統(tǒng)安全風險評估、黨政機關云計算服務網(wǎng)絡安全審查等多項國家試點任務，加快完善與智慧城市建設相適應的信息安全保障體系已經(jīng)成為全社會的共識。

從上海城市信息安全保障工作十幾年的發(fā)展歷程不難看出，信息安全保障工作與信息化的協(xié)同發(fā)展是”一體之兩翼，驅(qū)動之雙輪”，信息技術應用程度、信息化發(fā)展水平?jīng)Q定了不同階段信息安全重點任務。簡而言之，”十五”至”十二五”，上海信息安全保障工作的主線經(jīng)歷了”保障重點”，”強化監(jiān)管”，”綜合治理”三個階段的變遷。信息化應用的社會化決定了信息安全問題的社會化，目前上海城市信息安全工作已經(jīng)進入綜合治理的新階段，迫切需要加強網(wǎng)絡空間安全的法治化建設，明確不同主體的責任和義務，最大限度地凝聚全社會的共識。

二、上海城市信息安全保障工作面臨的形勢

隨著智慧城市建設的全面深化，智慧新城、智慧商圈、智慧園區(qū)、智慧社區(qū)、智慧村莊等”智慧+”應用遍地開花，網(wǎng)絡信息安全已經(jīng)成為城市安全的重要環(huán)節(jié)，與國家安全、城市運行、企業(yè)經(jīng)營和市民生活息息相關，正在獲得全社會前所未有的關注，加強信息安全保障已成為政府部門、企業(yè)、社會機構和民眾的強烈共識。按照需求導向、問題導向的指導方針，做好城市信息安全工作需要從五個方面把握好所面對的復雜形勢。

1.網(wǎng)絡空間安全的新博弈

網(wǎng)絡空間安全受到各國的普遍重視，已成為國家安全的重要組成部分。根據(jù)近年來的發(fā)展趨勢，網(wǎng)絡空間的國家間博弈正在加劇。各國”網(wǎng)絡空間的領土觀”日趨明顯，在力圖保衛(wèi)自己本國信息疆域的同時謀求掌控其他國家或全球信息疆域的能力，維護網(wǎng)絡主權已成為維護國家主權的制高點。例如，美國等網(wǎng)絡空間安全優(yōu)勢國家已將網(wǎng)絡電磁空間視作與陸、海、空、天同類的第五個領域，出臺了一系列國家戰(zhàn)略、法律和政策，力圖在網(wǎng)絡空間安全方面維持其主導地位。上海作為中國經(jīng)濟最發(fā)達的中心城市必然面臨網(wǎng)絡空間國家間博弈帶來新的挑戰(zhàn)。一方面，當前上海正在加快建設”四大中心”和具有全球影響力的科技創(chuàng)新中心，不可避免地將成為各類有組織網(wǎng)絡犯罪和攻擊的主要目標，上海的關鍵基礎也可能被成為國家間信息戰(zhàn)的”軍事目標”。另一方面，上海是一個高度國際化的城市，國際知名科技公司在上海大多設立了分支機構，與上海相關企業(yè)（尤其是金融領域）的信息化建設合作緊密，這同時也為內(nèi)部滲透、攻擊和情報竊取提供了條件。上海的網(wǎng)絡空間”邊界”概念已經(jīng)模糊。

2.城市信息安全工作的新要求

面對復雜嚴峻的網(wǎng)絡空間安全形勢，2014年中央成立了由習總書記親自擔任組長的網(wǎng)絡安全和信息化領導小組，對涉及網(wǎng)絡安全和信息化發(fā)展的一系列重大問題做出了部署。習近平總書記在把我國從”網(wǎng)絡大國”建設成為”網(wǎng)絡強國”的論述中，指出”沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，強調(diào)兩者是”一體之兩翼，驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，做到協(xié)調(diào)一致、齊頭并進”。上海加快建設具有全球影響力的科技創(chuàng)新中心，要求前瞻布局一批關鍵核心技術；”四個中心”建設、”四新”經(jīng)濟、戰(zhàn)略性新興產(chǎn)業(yè)和現(xiàn)代服務業(yè)的發(fā)展，也需要自主可控的產(chǎn)品和服務，而信息安全具有重要的基礎支撐作用。

3.城市運行安全的新常態(tài)

上海經(jīng)過多年信息化領先發(fā)展戰(zhàn)略的持續(xù)推進，發(fā)展水平領跑全國。在國家工信部2015年1月發(fā)布的全國信息化發(fā)展水平評估中，上海以綜合指數(shù)111.02繼續(xù)排名第一。城市運行已高度依賴于網(wǎng)絡和信息系統(tǒng)，但部分重點領域信息系統(tǒng)安全隱患突出。從上海每年實施的信息安全測評、檢查和監(jiān)測的情況看，”責任不落實、制度不健全、防護不到位、外包不規(guī)范”等問題還存在相當?shù)谋壤??；A網(wǎng)絡出現(xiàn)過因設備故障而導致大量用戶通訊受損的情況，部分承擔公共服務職能的信息系統(tǒng)連續(xù)發(fā)生軟件故障，導致系統(tǒng)擁堵，業(yè)務被迫中止；多個黨政機關門戶網(wǎng)站遭到仿冒和攻擊，甚至發(fā)生網(wǎng)頁被篡改的事件。網(wǎng)絡和信息系統(tǒng)在城市運行中的全局性、基礎性作用決定了網(wǎng)絡安全已經(jīng)成為城市運行安全的重要組成部分，及時化解智慧城市建設中的信息安全風險，有效應對安全事件高發(fā)態(tài)勢，則已經(jīng)成為當前工作的”新常態(tài)”。

4.信息技術應用的新挑戰(zhàn)

隨著信息化對政治、經(jīng)濟、社會各領域的不斷滲透和融合，”互聯(lián)網(wǎng)+”概念風生水起，信息技術的”雙刃劍”效應更加凸顯。”棱鏡門”事件及其后披露的大量高級持續(xù)性威脅（APT）攻擊表明，針對工業(yè)控制系統(tǒng)的隱蔽攻擊會對關鍵基礎設施的安全運行構成極大威脅。上海擁有大量的關鍵設施和跨國公司總部，所擁有的數(shù)據(jù)和信息資產(chǎn)具有極高的價值，極易成為被攻擊的目標。移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術成為信息化新一輪發(fā)展的重要驅(qū)動力。但部分新興應用的安全保障機制尚未成熟，安全隱患突出，一旦出現(xiàn)問題影響量大面廣。特別是現(xiàn)實空間與網(wǎng)絡空間的深度融合，信息物理系統(tǒng)的日益普及，網(wǎng)絡攻擊技術的快速演進，都對城市應急響應提出更高的要求。此外，鑒于對網(wǎng)絡空間的發(fā)現(xiàn)和感知能力的薄弱，網(wǎng)絡空間攻防不對稱的特點將會在較長時間內(nèi)繼續(xù)存在。

5.市民社會對安全的新期待

國家第35次互聯(lián)網(wǎng)發(fā)展狀況調(diào)查統(tǒng)計顯示，我國網(wǎng)民規(guī)模已達6.49億人，但有近半數(shù)的網(wǎng)民認為互聯(lián)網(wǎng)不太安全或非常不安全。全社會對信息安全問題的關注度呈上升趨勢。釣魚網(wǎng)站、電信詐騙、網(wǎng)絡制售假等涉網(wǎng)犯罪行為時有發(fā)生，上海在相當長的一段時間是國內(nèi)因電信詐騙而遭受經(jīng)濟損失最多的地區(qū)之一；另一方面，信息泄露事件時有發(fā)生，嚴重侵害了個人信息安全。比如與市民生活息息相關的醫(yī)療、旅游、航空、酒店等領域都發(fā)生了個人信息被盜用或泄漏的情況，引起了公眾深深的不安全感，對信息化的持續(xù)健康發(fā)展造成負面影響。與此同時，作為信息化應用的直接參與者，廣大市民的信息安全意識和應知應會的信息安全知識與技能還不能適應移動互聯(lián)網(wǎng)的飛速發(fā)展。這些影響群眾切身利益的突出問題和薄弱環(huán)節(jié)需要在完善城市信息安全體系過程中加以應對和解決。

總而言之，智慧城市建設越深入、信息化應用越廣泛，城市功能對信息系統(tǒng)就越依賴，而面臨的信息安全形勢就越復雜和嚴峻。與國內(nèi)其他地區(qū)相似，上海信息安全保障工作基礎仍存在很多薄弱環(huán)節(jié)，主要表現(xiàn)為：

一是信息安全保障工作的頂層設計能力必須加強。

網(wǎng)絡安全和信息化工作的統(tǒng)籌力度還不夠，對影響城市信息安全運行的動態(tài)風險評估機制尚不健全，常態(tài)化的跨領域協(xié)同機制還不夠高效，尚未形成一支適應智慧城市信息安全要求的專家智庫，對信息安全問題前瞻性研究不夠系統(tǒng)和深入，信息安全的法治化建設相對緩慢，尚未對信息安全保障的社會化力量進行有效的組織和動員。

二是信息安全防范的實際效果需要進一步評估研究。

目前上海涉及公共管理和公共服務的重要信息系統(tǒng)單位已達190多家。各類信息系統(tǒng)都有一定的安全防護措施，但在信息化建設管理實踐中還存在著信息安全與信息化應用脫節(jié)的問題。對系統(tǒng)信息安全的需求分析比較程式化，通常對共性問題分析有余，個性問題分析不足，從而影響信息安全防護措施的實效。有的信息系統(tǒng)甚至沒有經(jīng)過嚴格的安全測評就投入了使用。

三是信息安全應急能力需要實戰(zhàn)加以檢驗提高。

隨著信息安全應急預案編制、修訂工作的不斷深入，城市分層、分類的信息安全應急預案體系逐步建立，但仍存在針對性、可操作性不強的問題，比如預案編制呈雷同化、模式化，難以具體高效指導應急處置工作。信息安全應急涉及管理機制、監(jiān)測預警、事件通報、應急響應、災難恢復等多個層面和環(huán)節(jié)的工作，有的系統(tǒng)運營管理單位尚未全部形成閉環(huán)的應急管理流程，缺乏定期演練和實戰(zhàn)檢驗，在一定程度上影響了城市信息安全的整體應急響應能力。

四是自主可控的信息安全技術和產(chǎn)業(yè)支撐能力亟待提升。

目前我們的基礎信息技術產(chǎn)品和服務還無法做到自主可控，城市關鍵信息基礎設施對國外技術產(chǎn)品的依賴度較大；適應維護城市網(wǎng)絡空間安全的多層次信息安全人才體系尚不完善，對新興和持續(xù)的網(wǎng)絡安全攻擊的發(fā)現(xiàn)能力不強，迫切需要在信息安全的關鍵技術、基礎產(chǎn)品、新興服務和高端人才方面加大投入。

三、關于加強城市信息安全保障工作的思考

信息安全攸關城市安全、公眾利益和社會穩(wěn)定，在實踐工作中，必須根據(jù)中央和國家部署，緊密結合上海實際，按照智慧城市信息安全保障工作的整體部署，著力理順”四個關系”。一要理順安全與發(fā)展的關系。信息安全問題最后還得靠信息化發(fā)展來解決。為此，上海新一輪智慧城市建設三年行動計劃已明確9個信息安全重點專項，力求信息安全與信息化協(xié)調(diào)一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全。二要理順面上統(tǒng)籌與突出重點的關系。在全面深化城市信息安全保障體系的建設過程中，要圍繞城市運行安全這個”底線”，抓住重點領域和關鍵環(huán)節(jié)，切實填補制度”短板”。三要理順政府與市場的關系。信息安全已經(jīng)成為影響到所有法人和公民的社會問題，必須通過法規(guī)和標準來加以解決，充分發(fā)揮社會中介組織和市場主體的作用，政府則集中做好環(huán)境建設。四要理順立足當前與兼顧長遠的關系。今年是全面完成”十二五”規(guī)劃的收官之年，又是謀劃和編制”十三五”規(guī)劃的關鍵之年，要按照國家網(wǎng)絡安全和信息化戰(zhàn)略部署，把”十三五”期間重點任務落實到規(guī)劃設計，落實到工程方案，落實到具體措施。

當前圍繞智慧城市信息安全保障的實際情況，須重點深化細化五方面的基礎性工作。

第一，全面梳理智慧城市信息安全重點領域保障目標。在上?，F(xiàn)有195家信息安全重點單位工作網(wǎng)絡的基礎上，密切跟蹤智慧城市應用推進情況，基于城市信息安全動態(tài)風險評估，圍繞國家安全、城市運行、企業(yè)法人和公民個人四個層面的信息安全保障需求，構建城市信息安全重點領域目錄體系，并以此完善”橫向到邊、縱向到底”的城市信息安全工作網(wǎng)絡和服務體系。具體可以從六個大類對重點目標進行梳理。第一大類是黨政機關的信息系統(tǒng)，這類系統(tǒng)至關重要，內(nèi)部信息不容竊?。坏诙箢愂顷P系國計民生的、不間斷運行的重要信息系統(tǒng)，比如銀行以及交通、民航等；第三大類是基礎信息網(wǎng)絡，包括公用電信網(wǎng)絡、廣電網(wǎng)絡以及互聯(lián)網(wǎng)的骨干網(wǎng)絡；第四大類是社會關鍵基礎設施的自動化、工控系統(tǒng)，這些系統(tǒng)一旦發(fā)生問題就會對社會的穩(wěn)定產(chǎn)生重大影響，如電廠、垃圾焚燒設施等對環(huán)境產(chǎn)生影響的自動化系統(tǒng)；第五大類是對經(jīng)濟社會的穩(wěn)定和產(chǎn)業(yè)安全產(chǎn)生重大影響的大型企業(yè)和服務機構的信息系統(tǒng)，比如能源企業(yè)的供應鏈系統(tǒng)；第六大類是影響市民衣食住行、具有公共服務性質(zhì)的重點互聯(lián)網(wǎng)系統(tǒng)，比如支付寶、付費通等第三方支付系統(tǒng)。

第二，系統(tǒng)完善智慧城市信息保障法規(guī)和制度安排。目前，上海針對重要信息系統(tǒng)的安全監(jiān)管已經(jīng)建立了檢查評估、安全測評、等級保護、應急管理等制度性機制，但制度實施中的”交叉點”和”空白點”問題日益突出，影響了制度落實的實際效果，這就迫切需要通過建立并實施網(wǎng)絡安全審查等基礎制度來全面規(guī)范信息安全相關技術、產(chǎn)品、服務、系統(tǒng)和人員的管理。與此同時，在全面依法治國的背景下，要按照”依法管網(wǎng)”的總體要求，營造公平守法的社會環(huán)境。當務之急是推動公安、工商、質(zhì)監(jiān)、知識產(chǎn)權和消費者權益保護等部門加大傳統(tǒng)法律法規(guī)對網(wǎng)上違法行為的適用和監(jiān)管。上海先后出臺了與信息安全保障相關的《上海市公共信息系統(tǒng)安全測評管理辦法》、《上海市公共信息系統(tǒng)突發(fā)事件處置辦法》等政府規(guī)章和規(guī)范性文件，下一步將加快推動公共信息系統(tǒng)個人信息保護和關鍵信息基礎設施防護等立法工作，為國家層面出臺網(wǎng)絡安全法積累實踐經(jīng)驗。同時，針對不同類別保障目標的實際情況，要靈活發(fā)揮法律、規(guī)章、標準和規(guī)范性文件的作用。

第三，加快建設城市信息安全保障平臺設施。智慧城市信息安全離不開公共平臺設施的支撐服務?，F(xiàn)有的安全測評、應急管理、身份認證等平臺已經(jīng)無法與日新月異的城市信息安全保障需求相適應，所以迫切需要深化面向城市網(wǎng)絡空間安全的監(jiān)測預警和應急響應基礎平臺，實現(xiàn)城域網(wǎng)絡安全態(tài)勢感知、監(jiān)測預警、應急處置和災難恢復的一體化運作；建設全市性的網(wǎng)絡空間主體可信身份生態(tài)體系，面向泛在網(wǎng)絡提供普適性的統(tǒng)一身份認證；加強區(qū)域信息安全測評認證機構的檢查評估和安全審查支撐平臺建設，適應智能卡芯片、云計算、物聯(lián)網(wǎng)等應用形態(tài)的安全評估需求，加快工控信息安全仿真測試平臺和專項實驗室建設。在具體推進，積極探索公私合作（PPP）等模式，倡導建設和運行主體的多元化，同時充分發(fā)揮行業(yè)協(xié)會、功能性機構、聯(lián)盟等第三方作用，培育互聯(lián)網(wǎng)金融安全等社會化公共服務平臺。

第四，大力促進信息安全技術產(chǎn)業(yè)和服務創(chuàng)新發(fā)展。擺脫我國重要信息系統(tǒng)基礎信息技術產(chǎn)品受制于人的被動局面，關鍵要靠自主可控信息技術產(chǎn)品和信息安全產(chǎn)業(yè)的整體崛起。上海是我國集成電路產(chǎn)業(yè)重鎮(zhèn)，在國產(chǎn)操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎產(chǎn)品，行業(yè)軟件和密碼技術研發(fā)與應用方面具有比較優(yōu)勢。加快建設具有全球影響力的科技創(chuàng)新中心，應充分發(fā)揮新一代信息技術產(chǎn)業(yè)的集聚優(yōu)勢，圍繞產(chǎn)業(yè)鏈部署創(chuàng)新鏈和資源鏈，發(fā)揮經(jīng)濟社會發(fā)展領域的主戰(zhàn)場作用，充分依靠信息技術企業(yè)主體自主創(chuàng)新，加快移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等領域的信息安全技術創(chuàng)新和成果轉(zhuǎn)化，將網(wǎng)絡信息安全服務作為”四新經(jīng)濟”發(fā)展的主攻方向之一，通過基金、園區(qū)、聯(lián)盟等載體的聯(lián)動和協(xié)同，為自主可控信息技術、產(chǎn)品和服務的創(chuàng)新發(fā)展營造良好環(huán)境。

第五，著力壯大智慧城市信息保障的人才隊伍。信息安全是高技術的對抗，關鍵要素是人才。上海通過信息安全技能競賽的平臺，推出了像Keen Teem這樣的具有國際影響力的技術團隊。但與城市信息安全保障的龐大需求相比，信息安全專業(yè)人才顯得捉襟見肘。為此，做好多層次信息安全人才體系建設研究，準確評估智慧城市信息安全保障人才缺口，提出加快人才培訓培養(yǎng)的具體措施，這些就成為了信息安全人才隊伍建設的當務之急。同時要瞄準優(yōu)化和改善信息安全人才的質(zhì)量、數(shù)量和結構這一主線，進一步整合上海的信息安全教育、培訓資源，加快建設信息安全高技能人才實訓基地，重點培養(yǎng)信息安全復合型人才。要依托信息安全行業(yè)協(xié)會，打造信息安全技能競賽、人才嘉年華、智慧城市安全保障技術（用戶）大會三大品牌，建立智慧城市安全保障綜合培訓體系。同時，還要探索建立面向信息安全重點單位的首席信息安全官（CSO）制度，著力培養(yǎng)和匯聚一批信息安全高端人才，加快培訓一批專職從業(yè)人員，吸引領軍人才來滬創(chuàng)業(yè)發(fā)展，打造中國信息安全人才創(chuàng)新創(chuàng)業(yè)的高地。