我國信息平安開展現狀國家信息中心信息平安研究與效勞中心吳亞非InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter3/10/20251中央領導高度重視胡錦濤總書記2001年國家信息化領導小組成立會議上指出：把信息平安放到至關重要的位置上，認真加以考慮和解決。胡錦濤總書記近期又指出：把握信息化開展、維護國家在網絡空間的平安和利益，成為信息時代的重大戰略課題。3/10/20252中國政府高度重視信息平安問題中央軍委副主席、國務委員兼國防部長曹剛川上午在會出席“信息平安：中國與世界〞國際學術研討會的德國前總統赫爾佐克和外方與會代表。隨著全球信息社會的來臨，信息平安問題日益凸顯。信息平安作為“非傳統平安〞的核心內容，備受世界各國的關注，并成為國家平安體系中的關鍵要素。中國政府高度重視信息平安問題，認為信息平安關系到國家未來的生存和開展。中國政府決心構建符合中國國情的、科學合理的信息平安戰略，以保障中國特色的信息化健康、穩定地開展。中國政府愿意與國際社會一道，抓住機遇，應對挑戰，促進開展，加強合作，為構建國際信息平安體系作出應有的奉獻。3/10/20253近年國家層面的主要工作完成國家信息平安頂層設計開展信息平安規劃管理體制和工作機制逐步建立根底性工作和根底設施建設取得較大進展

3/10/20254一、完成國家信息平安頂層設計?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕我國第一個全面關于信息平安保障工作的文件，是我國今后一段時期內信息平安保障工作的綱領性文件3/10/20255加強以密碼技術為根底的信息保護和網絡信任體系：標準和加強以身份認證、授權管理、責任認定等為主要內容的的網絡信任體系建設3/10/20256加強信息平安保障工作-總體要求：總體要求：堅持積極防御、綜合防范的方針，全面提高信息平安防護能力，重點保障根底信息網絡和重要信息系統平安，創立平安健康的網絡環境，保障和促進信息化開展，保護公眾利益，維護國家平安。3/10/20257加強信息平安保障工作-主要原那么主要原那么：立足國情，以我為主，堅持管理與技術并重；正確處理平安與開展的關系，以平安保開展，在開展中求平安；統籌規劃，突出重點，強化根底性工作；明確國家、企業、個人的責任和義務，充分發揮各方面的積極性，共同構筑國家信息平安保障體系。3/10/20258加強信息平安保障工作-九項任務一、加強信息平安保障工作的總體要求和主要原那么二、實行信息平安等級保護三、加強以密碼技術為根底的信息保護和網絡信任體系建設四、建設和完善信息平安監控體系五、重視信息平安應急處理工作六、加強信息平安技術研究開發，推進信息平安產業開展七、加快信息平安人才培養，增強全民信息平安意識八、保證信息平安資金九、加強對信息平安保障工作的領導，建立健全信息平安管理責任制3/10/20259國家中長期科學和技術開展規劃綱要明確未來15年信息平安技術開展重點：〔1〕掌握集成電路及關鍵元器件、大型軟件、高性能計算、寬帶無線移動通信、下一代網絡等核心技術；〔2〕開發網絡信息平安技術及相關產品，建立信息平安技術保障體系，具備防范各種信息平安突發事件的技術能力；〔3〕重點研究開發國家根底信息網絡和重要信息系統中的平安保障技術，開發復雜大系統下的網絡生存、主動實時防護、平安存儲、網絡病毒防范、惡意攻擊防范、網絡信任體系與新的密碼技術等。3/10/202510?中華人民共和國國民經濟和社會開展第十一個五年規劃綱要?積極防御、綜合防范，提高信息平安保障能力。強化平安監控、應急響應、密鑰管理、網絡信任等信息平安根底設施建設。加強根底信息網絡和國家重要信息系統的平安防護。推進信息平安產品產業化。開展咨詢、測評、災備等專業化信息平安效勞。健全平安等級保護、風險評估和平安準入制度。3/10/202511?2006－2021年國家信息化開展戰略?其戰略任務可概括為完成信息平安保障六項工作和提高信息平安保障六大能力：1．信息平安保障六項工作可概括為：〔1〕建立和完善信息平安等級保護制度；〔2〕建設以密碼為根底的網絡信任體系；〔3〕建設和完善信息平安監控體系，加強網絡防范，防止有害信息傳播；〔4〕做好信息平安應急處置工作；〔5〕做好信息平安風險評估工作，綜合平衡平安本錢和風險，確保重點，優化信息平安資源配置；〔6〕促進資源共享，加強災難備份體系建設。3/10/202512?2006－2021年國家信息化開展戰略?提高信息平安保障六大能力：〔1〕信息平安核心產品和技術的自主創新能力；〔2〕信息平安人才保障能力；〔3〕信息平安法律保障能力；〔4〕信息平安根底設施支撐能力；〔5〕網絡宣傳駕馭能力；〔6〕國際影響力。3/10/202513二、開展信息平安規劃國家開展與改革委積極布局國家“十一五〞信息化開展規劃，并列專題研究了信息平安問題。?國家“十一五〞科學技術開展規劃?“863〞方案根據國際信息平安技術開展態勢，結合我國信息平安技術實際應用需求，重點支持復雜系統下的網絡生存、主動實時防護、平安存儲、網絡病毒防范、網絡信任保障等技術和系統的研發。3/10/202514二、開展信息平安規劃?國家自然科學基金“十一五〞開展規劃?在完善學科布局和部署優先開展領域方面向信息科學研究傾斜，把信息平安領域中的可信計算、包括量子密碼的量子調控理論和技術作為未來五年的重點支持領域。?信息產業科技開展“十一五〞規劃和2021年中長期規劃綱要?提出使集成電路在信息平安和國防平安領域的自給率到達70%以上的建設目標，并重點支持和開展密碼技術；平安處理芯片；電子認證、責任認定、授權管理；計算環境和終端平安處理；網絡和通信邊界平安；應急響應和災難恢復；信息平安測評等技術和相關產品。3/10/202515三、管理體制和工作機制逐步建立信息平安等級保護信息平安風險評估信息平安產品認證認可網絡信任體系建設3/10/202516管理體制和工作機制逐步建立

〔1〕信息平安等級保護?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕

實行信息平安等級保護公安部等四部委聯合下發了?關于加強信息平安等級保護的意見?3/10/202517管理體制和工作機制逐步建立

〔1〕信息平安等級保護信息平安等級保護制度的主要工作內容信息平安等級保護是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護；對信息系統按業務平安應用域和區實行分級保護。對系統中使用的信息平安產品實行按分級許可管理。對等級系統的平安效勞資質分級許可管理。對信息系統中發生的信息平安事件分等級響應、處置。3/10/202518信息平安等級保護管理方法(試行)

〔公通字[2006]7號〕公布單位：公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室安全等級名稱對國家安全、社會秩序、經濟建設和公共利益的危害程度監管方式第一級自主保護級無影響自主保護第二級指導保護級有一定損害政府職能部門指導下的自主保護第三級監督保護級較大損害政府職能部門監督下的嚴格保護第四級強制保護級嚴重損害政府職能部門的強制監督和檢查下的嚴格保護第五級專控保護級特別嚴重損害政府協助下由主管部門和使用單位實施專門控制和保護3/10/202519管理體制和工作機制逐步建立

〔2〕信息平安風險評估工作?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕

要重視信息平安風險評估工作，對網絡與信息系統平安的潛在威脅、薄弱環節、防護措施等進行分析評估，綜合考慮網絡與信息系統的重要性、涉密程度和面臨的風險等因素，進行相應等級的平安建設和管理。3/10/202520?關于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕什么是信息平安風險評估信息平安風險評估是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在地脆弱性，評估平安事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。目的是：為防范和化解信息平安風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息系統提供科學依據。3/10/202521管理體制和工作機制逐步建立

〔2〕信息平安風險評估工作2006年2月國務院信息辦下發?關于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕3/10/202522?關于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕風險評估工作的形式：信息平安風險評估分為自評估和檢查評估兩種形式。自評估是指網絡和信息系統的擁有、運營、使用單位發起的對本單位信息系統進行的風險評估。自評估是信息平安風險評估的主要形式。檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的信息平安風險評估。自評估和檢查評估可以依靠自身技術力量進行，也可委托第三方專業機構提供技術支持。3/10/202523?關于開展信息平安風險評估工作的意見?〔國信辦[2006]5號〕三個評估環節信息系統規劃設計階段：通過評估明確平安需求、平安目標和平安保障措施，為工程審批提供依據。信息系統驗收階段：通過評估驗證已設計安裝的平安措施能否實現平安目標，為工程驗收提供依據。信息系統運維階段：通過定期進行的評估，檢驗平安措施的有效性及對平安環境變化的適應性在信息系統使命或平安形勢發生重大發生變化時，要專門進行評估3/10/202524管理體制和工作機制逐步建立

〔3〕信息平安產品認證認可認監委等八部委聯合發下發了?關于建立國家信息平安產品認證認可體系的通知?2005年4月19日國家信息平安產品認證管理委員會成立，這標志著我國建立統一的信息平安產品認證認可體系已進入實質性的實施階段。3/10/2025252006年11月17日，中國信息平安認證中心在京正式成立。認證中心為第三方公正機構和法人實體。其主要業務是，依據國家信息平安管理的法律法規、?認證認可條例?及實施規那么，在指定的業務范圍內，對信息平安產品實施認證，并開展與信息平安有關的管理體系認證和人員培訓、技術研發等工作。管理體制和工作機制逐步建立

〔3〕信息平安產品認證認可3/10/202526管理體制和工作機制逐步建立

〔4〕網絡信任體系建設?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕加強以密碼技術為根底的信息保護和網絡信任體系建設2006年2月國務院辦公廳下發?關于網絡信任體系建設假設干意見的通知?〔國辦發[2006]11號〕。對網絡信任體系建設提出了總體要求。3/10/202527網絡信任體系是指以密碼為根底、以法律法規、技術標準和根底設施為主要內容，以解決網絡應用中身份認證、授權管理和責任認定等為目的的完整體系。“十一五〞期間，網絡信任體系建設將是信息平安保障工作的重點。其內容包括：建設國家級面向社會公眾效勞的電子認證中心；建設國家電子認證監管平臺；支持符合電子認證平安標準要求、具有可控性和高可靠性的平安效勞平臺建設，為數據電文、電子簽名證書在國民經濟各領域的應用提供效勞。管理體制和工作機制逐步建立

〔4〕網絡信任體系建設3/10/202528?假設干意見?明確了信任體系建設中電子認證工作管理的責任部門，即：“信息產業部要會同有關部門，加強對電子商務中電子認證活動的指導和管理。國家密碼管理局要會同有關部門做好電子政務中電子認證工作的規劃和管理〞。管理體制和工作機制逐步建立

〔4〕網絡信任體系建設3/10/202529管理體制和工作機制逐步建立

〔4〕網絡信任體系建設2005年4月1日，?電子簽名法?，以及與之配套的?電子認證效勞管理方法?正式實施，為電子商務和電子政務的網絡信任體系建設和第三方認證效勞創造了良好的法律環境目前全國已有22家電子認證單位經過法律的授權許可,這22家電子認證機構已經頒發出了近564萬張證書，有力地支持了電子商務的開展，推動了我國網絡信任體系的建設3/10/202530管理體制和工作機制逐步建立

〔5〕信息平安應急協調機制建設?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕重視信息平安應急處理工作2004年8月成立了國家網絡與信息平安通報中心2005年4月,國信辦發布了?關于做好重要信息系統災難備份工作的通知?3/10/202531四、根底性工作和根底設施建設取得較大進展

〔1〕信息平安法制取得進步國家法律8部，國家行政法規6部，部門規章文件52部，地方政府法規24部，國務院信息化辦公室直接牽頭制定的政策性文件14部，3/10/202532四、根底性工作和根底設施建設取得較大進展

〔2〕信息平安標準化工作2002年4月15日，全國信息平安標準化技術委員會在北京正式成立3/10/202533委員會內設立六個工作組，開始系統規劃與制定全國信息平安標準。WG1：信息平安標準體系與協調工作組TC：可信計算標準WG2：涉密信息系統平安保密標準工作組WG3：密碼工作組WG4：認證與鑒別工作組WG5：信息平安評估工作組WG7：信息平安管理〔含工程與開發〕工作組四、根底性工作和根底設施建設取得較大進展

〔2〕信息平安標準化工作3/10/202534該標委會的成立，標志著我國信息平安標準化工作步入了“統一領導、協調開展〞的新時期。它的工作任務是向國家標準化管理委員會提出本專業標準化工作的方針、政策和技術措施的建議。目前我國共發布的信息平安國家標準54項。全國信息平安標準化技術委員會成立后，先后研究制定信息平安等級保護、鑒別與授權、信息平安管理、信息平安測評認證等方面的國家標準33項。

四、根底性工作和根底設施建設取得較大進展

〔2〕信息平安標準化工作3/10/202535四、根底性工作和根底設施建設取得較大進展

〔3〕技術研究和產業取得重要成果?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發[2003]27號文件〕加強信息平安技術研究開發，推進信息平安產業開展國家發改委重點支持18個信息平安產業化工程、兩個研究中心、兩個國家信息平安根底設施建設工程；國家863方案2006年信息平安技術專題資金投入為0.6億人民幣，2007年將增長為一億人民幣。在“十一五〞期間國家863方案預計總投入資金約5億人民幣；1999年至2006年國家在信息平安產品產業化投入的資金共計6億人民幣；截止2007年5月，有關信息平安創造專利累計232個，實用新型專利累計47個。3/10/202536四、根底性工作和根底設施建設取得較大進展

〔3〕技術研究和產業取得重要成果2006年底，全年國內信息平安市場銷售額到達53億元人民幣,占信息產業總產值的0.13%。2005年底，從事信息平安廠商約1300家：有自主研發能力的約390家，有自主研發產品的約190家，信息平安效勞的約300家，產值超過1億人民幣的企業約20家，有國家級信息平安產業基地3個,非國家級4個。3/10/202537管理體制和工作機制逐步