信息安全與通信保密雜志  文／劉山泉（上海市經信委信息安全處副處長）

在過去的兩年間，我國網絡安全進入全面的戰略覺醒，國家先后成立中央國家安全委員會、中央網絡安全和信息化領導小組，對我國網絡安全和信息化的發展戰略、宏觀規劃和重大政策等做出了一系列部署。城市是一個國家發展的縮影和戰略執行的載體，上海作為我國信息化發展標桿性城市，在實施信息化領先發展戰略、加快建設面向未來的智慧城市的過程中，面對復雜嚴峻的安全形勢高度重視信息安全保障工作，堅持信息安全與信息化同步規劃、同步建設和同步運行，積極探索與特大型城市信息化發展水平相適應的區域信息安全保障體系，對我國網絡安全與信息化全局工作具有較好的啟示意義。

一、上海城市信息安全保障工作回顧

上海城市信息安全保障工作起步于”九五”，當時為適應數字化、網絡化發展的實際需要，上海在國內率先成立了市級層面的互聯網安全協調機構，并且是國內第一個在信息化工作部門設置信息安全工作機構的地方，并以解決計算機2000年問題為突破口，進行了大規模的信息安全意識啟蒙教育，初步構建了覆蓋信息化重點行業的信息安全管理工作責任網絡（信息安全重點單位）。

“十五”期間，上海城市信息安全保障進入重點布局階段，市數字證書認證中心、市信息安全測評認證中心、市計算機病毒防范服務中心等功能機構先后成立，國家信息安全成果產業化（東部）基地啟動建設，多個國家級信息安全研究機構入駐，并在國內率先組建信息安全行業協會，隨著國家信息安全應用示范工程(S219)一期、二期工程的順利實施，重點行業信息安全防護水平和信息安全產業發展得到提升。

“十一五”期間，上海在國內率先編制并印發《上海市信息安全”十一五”專項規劃》，城市信息安全保障進入體系化建設階段，在國家網絡與信息安全協調小組的統籌部署下，以深入貫徹落實”中辦發27號文”為主線，市網絡與信息安全協調小組（”市網安小組”）和市互聯網輿論宣傳領導小組（”市網宣小組”）分工負責、協調配合，信息系統安全測評、等級保護、分級保護、應急管理等基本制度相繼建立并推行，基礎網絡和重要信息系統安全防護能力進一步提升，圓滿完成2010年中國上海世博會信息安全保障工作任務。

“十二五”期間，圍繞兩輪智慧城市建設三年行動計劃的滾動實施，上海城市信息安全保障體系進入全面深化的新階段，其間，上海市電子政務災難備份中心建成并投入使用，在國內率先組建區域網絡與信息安全應急管理機構、成功舉辦信息安全宣傳周和技能競賽活動，并承擔了政府部門互聯網安全接入、關鍵城市基礎設施工控系統安全風險評估、黨政機關云計算服務網絡安全審查等多項國家試點任務，加快完善與智慧城市建設相適應的信息安全保障體系已經成為全社會的共識。

從上海城市信息安全保障工作十幾年的發展歷程不難看出，信息安全保障工作與信息化的協同發展是”一體之兩翼，驅動之雙輪”，信息技術應用程度、信息化發展水平決定了不同階段信息安全重點任務。簡而言之，”十五”至”十二五”，上海信息安全保障工作的主線經歷了”保障重點”，”強化監管”，”綜合治理”三個階段的變遷。信息化應用的社會化決定了信息安全問題的社會化，目前上海城市信息安全工作已經進入綜合治理的新階段，迫切需要加強網絡空間安全的法治化建設，明確不同主體的責任和義務，最大限度地凝聚全社會的共識。

二、上海城市信息安全保障工作面臨的形勢

隨著智慧城市建設的全面深化，智慧新城、智慧商圈、智慧園區、智慧社區、智慧村莊等”智慧+”應用遍地開花，網絡信息安全已經成為城市安全的重要環節，與國家安全、城市運行、企業經營和市民生活息息相關，正在獲得全社會前所未有的關注，加強信息安全保障已成為政府部門、企業、社會機構和民眾的強烈共識。按照需求導向、問題導向的指導方針，做好城市信息安全工作需要從五個方面把握好所面對的復雜形勢。

1.網絡空間安全的新博弈

網絡空間安全受到各國的普遍重視，已成為國家安全的重要組成部分。根據近年來的發展趨勢，網絡空間的國家間博弈正在加劇。各國”網絡空間的領土觀”日趨明顯，在力圖保衛自己本國信息疆域的同時謀求掌控其他國家或全球信息疆域的能力，維護網絡主權已成為維護國家主權的制高點。例如，美國等網絡空間安全優勢國家已將網絡電磁空間視作與陸、海、空、天同類的第五個領域，出臺了一系列國家戰略、法律和政策，力圖在網絡空間安全方面維持其主導地位。上海作為中國經濟最發達的中心城市必然面臨網絡空間國家間博弈帶來新的挑戰。一方面，當前上海正在加快建設”四大中心”和具有全球影響力的科技創新中心，不可避免地將成為各類有組織網絡犯罪和攻擊的主要目標，上海的關鍵基礎也可能被成為國家間信息戰的”軍事目標”。另一方面，上海是一個高度國際化的城市，國際知名科技公司在上海大多設立了分支機構，與上海相關企業（尤其是金融領域）的信息化建設合作緊密，這同時也為內部滲透、攻擊和情報竊取提供了條件。上海的網絡空間”邊界”概念已經模糊。

2.城市信息安全工作的新要求

面對復雜嚴峻的網絡空間安全形勢，2014年中央成立了由習總書記親自擔任組長的網絡安全和信息化領導小組，對涉及網絡安全和信息化發展的一系列重大問題做出了部署。習近平總書記在把我國從”網絡大國”建設成為”網絡強國”的論述中，指出”沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，強調兩者是”一體之兩翼，驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施，做到協調一致、齊頭并進”。上海加快建設具有全球影響力的科技創新中心，要求前瞻布局一批關鍵核心技術；”四個中心”建設、”四新”經濟、戰略性新興產業和現代服務業的發展，也需要自主可控的產品和服務，而信息安全具有重要的基礎支撐作用。

3.城市運行安全的新常態

上海經過多年信息化領先發展戰略的持續推進，發展水平領跑全國。在國家工信部2015年1月發布的全國信息化發展水平評估中，上海以綜合指數111.02繼續排名第一。城市運行已高度依賴于網絡和信息系統，但部分重點領域信息系統安全隱患突出。從上海每年實施的信息安全測評、檢查和監測的情況看，”責任不落實、制度不健全、防護不到位、外包不規范”等問題還存在相當的比例。基礎網絡出現過因設備故障而導致大量用戶通訊受損的情況，部分承擔公共服務職能的信息系統連續發生軟件故障，導致系統擁堵，業務被迫中止；多個黨政機關門戶網站遭到仿冒和攻擊，甚至發生網頁被篡改的事件。網絡和信息系統在城市運行中的全局性、基礎性作用決定了網絡安全已經成為城市運行安全的重要組成部分，及時化解智慧城市建設中的信息安全風險，有效應對安全事件高發態勢，則已經成為當前工作的”新常態”。

4.信息技術應用的新挑戰

隨著信息化對政治、經濟、社會各領域的不斷滲透和融合，”互聯網+”概念風生水起，信息技術的”雙刃劍”效應更加凸顯。”棱鏡門”事件及其后披露的大量高級持續性威脅（APT）攻擊表明，針對工業控制系統的隱蔽攻擊會對關鍵基礎設施的安全運行構成極大威脅。上海擁有大量的關鍵設施和跨國公司總部，所擁有的數據和信息資產具有極高的價值，極易成為被攻擊的目標。移動互聯網、物聯網、大數據等新技術成為信息化新一輪發展的重要驅動力。但部分新興應用的安全保障機制尚未成熟，安全隱患突出，一旦出現問題影響量大面廣。特別是現實空間與網絡空間的深度融合，信息物理系統的日益普及，網絡攻擊技術的快速演進，都對城市應急響應提出更高的要求。此外，鑒于對網絡空間的發現和感知能力的薄弱，網絡空間攻防不對稱的特點將會在較長時間內繼續存在。

5.市民社會對安全的新期待

國家第35次互聯網發展狀況調查統計顯示，我國網民規模已達6.49億人，但有近半數的網民認為互聯網不太安全或非常不安全。全社會對信息安全問題的關注度呈上升趨勢。釣魚網站、電信詐騙、網絡制售假等涉網犯罪行為時有發生，上海在相當長的一段時間是國內因電信詐騙而遭受經濟損失最多的地區之一；另一方面，信息泄露事件時有發生，嚴重侵害了個人信息安全。比如與市民生活息息相關的醫療、旅游、航空、酒店等領域都發生了個人信息被盜用或泄漏的情況，引起了公眾深深的不安全感，對信息化的持續健康發展造成負面影響。與此同時，作為信息化應用的直接參與者，廣大市民的信息安全意識和應知應會的信息安全知識與技能還不能適應移動互聯網的飛速發展。這些影響群眾切身利益的突出問題和薄弱環節需要在完善城市信息安全體系過程中加以應對和解決。

總而言之，智慧城市建設越深入、信息化應用越廣泛，城市功能對信息系統就越依賴，而面臨的信息安全形勢就越復雜和嚴峻。與國內其他地區相似，上海信息安全保障工作基礎仍存在很多薄弱環節，主要表現為：

一是信息安全保障工作的頂層設計能力必須加強。

網絡安全和信息化工作的統籌力度還不夠，對影響城市信息安全運行的動態風險評估機制尚不健全，常態化的跨領域協同機制還不夠高效，尚未形成一支適應智慧城市信息安全要求的專家智庫，對信息安全問題前瞻性研究不夠系統和深入，信息安全的法治化建設相對緩慢，尚未對信息安全保障的社會化力量進行有效的組織和動員。

二是信息安全防范的實際效果需要進一步評估研究。

目前上海涉及公共管理和公共服務的重要信息系統單位已達190多家。各類信息系統都有一定的安全防護措施，但在信息化建設管理實踐中還存在著信息安全與信息化應用脫節的問題。對系統信息安全的需求分析比較程式化，通常對共性問題分析有余，個性問題分析不足，從而影響信息安全防護措施的實效。有的信息系統甚至沒有經過嚴格的安全測評就投入了使用。

三是信息安全應急能力需要實戰加以檢驗提高。

隨著信息安全應急預案編制、修訂工作的不斷深入，城市分層、分類的信息安全應急預案體系逐步建立，但仍存在針對性、可操作性不強的問題，比如預案編制呈雷同化、模式化，難以具體高效指導應急處置工作。信息安全應急涉及管理機制、監測預警、事件通報、應急響應、災難恢復等多個層面和環節的工作，有的系統運營管理單位尚未全部形成閉環的應急管理流程，缺乏定期演練和實戰檢驗，在一定程度上影響了城市信息安全的整體應急響應能力。

四是自主可控的信息安全技術和產業支撐能力亟待提升。

目前我們的基礎信息技術產品和服務還無法做到自主可控，城市關鍵信息基礎設施對國外技術產品的依賴度較大；適應維護城市網絡空間安全的多層次信息安全人才體系尚不完善，對新興和持續的網絡安全攻擊的發現能力不強，迫切需要在信息安全的關鍵技術、基礎產品、新興服務和高端人才方面加大投入。

三、關于加強城市信息安全保障工作的思考

信息安全攸關城市安全、公眾利益和社會穩定，在實踐工作中，必須根據中央和國家部署，緊密結合上海實際，按照智慧城市信息安全保障工作的整體部署，著力理順”四個關系”。一要理順安全與發展的關系。信息安全問題最后還得靠信息化發展來解決。為此，上海新一輪智慧城市建設三年行動計劃已明確9個信息安全重點專項，力求信息安全與信息化協調一致、齊頭并進，以安全保發展、以發展促安全。二要理順面上統籌與突出重點的關系。在全面深化城市信息安全保障體系的建設過程中，要圍繞城市運行安全這個”底線”，抓住重點領域和關鍵環節，切實填補制度”短板”。三要理順政府與市場的關系。信息安全已經成為影響到所有法人和公民的社會問題，必須通過法規和標準來加以解決，充分發揮社會中介組織和市場主體的作用，政府則集中做好環境建設。四要理順立足當前與兼顧長遠的關系。今年是全面完成”十二五”規劃的收官之年，又是謀劃和編制”十三五”規劃的關鍵之年，要按照國家網絡安全和信息化戰略部署，把”十三五”期間重點任務落實到規劃設計，落實到工程方案，落實到具體措施。

當前圍繞智慧城市信息安全保障的實際情況，須重點深化細化五方面的基礎性工作。

第一，全面梳理智慧城市信息安全重點領域保障目標。在上海現有195家信息安全重點單位工作網絡的基礎上，密切跟蹤智慧城市應用推進情況，基于城市信息安全動態風險評估，圍繞國家安全、城市運行、企業法人和公民個人四個層面的信息安全保障需求，構建城市信息安全重點領域目錄體系，并以此完善”橫向到邊、縱向到底”的城市信息安全工作網絡和服務體系。具體可以從六個大類對重點目標進行梳理。第一大類是黨政機關的信息系統，這類系統至關重要，內部信息不容竊取；第二大類是關系國計民生的、不間斷運行的重要信息系統，比如銀行以及交通、民航等；第三大類是基礎信息網絡，包括公用電信網絡、廣電網絡以及互聯網的骨干網絡；第四大類是社會關鍵基礎設施的自動化、工控系統，這些系統一旦發生問題就會對社會的穩定產生重大影響，如電廠、垃圾焚燒設施等對環境產生影響的自動化系統；第五大類是對經濟社會的穩定和產業安全產生重大影響的大型企業和服務機構的信息系統，比如能源企業的供應鏈系統；第六大類是影響市民衣食住行、具有公共服務性質的重點互聯網系統，比如支付寶、付費通等第三方支付系統。

第二，系統完善智慧城市信息保障法規和制度安排。目前，上海針對重要信息系統的安全監管已經建立了檢查評估、安全測評、等級保護、應急管理等制度性機制，但制度實施中的”交叉點”和”空白點”問題日益突出，影響了制度落實的實際效果，這就迫切需要通過建立并實施網絡安全審查等基礎制度來全面規范信息安全相關技術、產品、服務、系統和人員的管理。與此同時，在全面依法治國的背景下，要按照”依法管網”的總體要求，營造公平守法的社會環境。當務之急是推動公安、工商、質監、知識產權和消費者權益保護等部門加大傳統法律法規對網上違法行為的適用和監管。上海先后出臺了與信息安全保障相關的《上海市公共信息系統安全測評管理辦法》、《上海市公共信息系統突發事件處置辦法》等政府規章和規范性文件，下一步將加快推動公共信息系統個人信息保護和關鍵信息基礎設施防護等立法工作，為國家層面出臺網絡安全法積累實踐經驗。同時，針對不同類別保障目標的實際情況，要靈活發揮法律、規章、標準和規范性文件的作用。

第三，加快建設城市信息安全保障平臺設施。智慧城市信息安全離不開公共平臺設施的支撐服務。現有的安全測評、應急管理、身份認證等平臺已經無法與日新月異的城市信息安全保障需求相適應，所以迫切需要深化面向城市網絡空間安全的監測預警和應急響應基礎平臺，實現城域網絡安全態勢感知、監測預警、應急處置和災難恢復的一體化運作；建設全市性的網絡空間主體可信身份生態體系，面向泛在網絡提供普適性的統一身份認證；加強區域信息安全測評認證機構的檢查評估和安全審查支撐平臺建設，適應智能卡芯片、云計算、物聯網等應用形態的安全評估需求，加快工控信息安全仿真測試平臺和專項實驗室建設。在具體推進，積極探索公私合作（PPP）等模式，倡導建設和運行主體的多元化，同時充分發揮行業協會、功能性機構、聯盟等第三方作用，培育互聯網金融安全等社會化公共服務平臺。

第四，大力促進信息安全技術產業和服務創新發展。擺脫我國重要信息系統基礎信息技術產品受制于人的被動局面，關鍵要靠自主可控信息技術產品和信息安全產業的整體崛起。上海是我國集成電路產業重鎮，在國產操作系統、中間件、數據庫等基礎產品，行業軟件和密碼技術研發與應用方面具有比較優勢。加快建設具有全球影響力的科技創新中心，應充分發揮新一代信息技術產業的集聚優勢，圍繞產業鏈部署創新鏈和資源鏈，發揮經濟社會發展領域的主戰場作用，充分依靠信息技術企業主體自主創新，加快移動互聯網、云計算、物聯網、大數據等領域的信息安全技術創新和成果轉化，將網絡信息安全服務作為”四新經濟”發展的主攻方向之一，通過基金、園區、聯盟等載體的聯動和協同，為自主可控信息技術、產品和服務的創新發展營造良好環境。

第五，著力壯大智慧城市信息保障的人才隊伍。信息安全是高技術的對抗，關鍵要素是人才。上海通過信息安全技能競賽的平臺，推出了像Keen Teem這樣的具有國際影響力的技術團隊。但與城市信息安全保障的龐大需求相比，信息安全專業人才顯得捉襟見肘。為此，做好多層次信息安全人才體系建設研究，準確評估智慧城市信息安全保障人才缺口，提出加快人才培訓培養的具體措施，這些就成為了信息安全人才隊伍建設的當務之急。同時要瞄準優化和改善信息安全人才的質量、數量和結構這一主線，進一步整合上海的信息安全教育、培訓資源，加快建設信息安全高技能人才實訓基地，重點培養信息安全復合型人才。要依托信息安全行業協會，打造信息安全技能競賽、人才嘉年華、智慧城市安全保障技術（用戶）大會三大品牌，建立智慧城市安全保障綜合培訓體系。同時，還要探索建立面向信息安全重點單位的首席信息安全官（CSO）制度，著力培養和匯聚一批信息安全高端人才，加快培訓一批專職從業人員，吸引領軍人才來滬創業發展，打造中國信息安全人才創新創業的高地。