今年以来，以OpenSSL“心脏出血”漏洞为代表的信息安全事件频频发生，政府高度重视信息安全，并将其上升到国家战略层面。自2月底宣布成立中央网络和安全信息化小组之后，国家互联网信息办公室日前透露网络信息安全审查制度也即将出台，这一举措将最大程度降低用户使用各种信息技术产品和服务的安全风险，提供制度性保障。另外，去年发酵的“棱镜门”事件的风波仍未平息，某些国家通过大型跨国IT公司在我国境内收集重要信息，仍是危及国家、企业、民众安全的重大隐患。因此，从国内企业尤其是涉及关键行业和重要领域企业出发，构建全方位的信息安全防护体系意义重大，迫在眉睫。以下主要从政府和企业两个角度来谈谈对构建我国企业信息安全防护体系的相关建议。
 
    从政府角度来看，需要加强信息安全法律法规建设，建立健全对企业信息系统的安全测试和评估检查工作，并在全国范围内建立有效的信息安全防护机制。
 
    一是加快推进信息安全法律法规和管理机制建设。明确建立信息安全相关产品和服务的安全审查制度，实行分类分级管理，比如完善数据、软件等托管，个人隐私保护以及安全管理规范等方面的标准和政策。
 
    二是加强对企业信息系统的安全评估和测试工作。加快引导和推进国内关键行业和重点领域企业信息系统的安全评估和测试工作。在安全评估方面，主要针对企业主机安全保密检查与信息监管，评估分析重要信息是否发生泄漏，并找出泄漏的原因和渠道；在安全测试方面，针对企业信息系统的特征和需求，重点加强测试环境的构造与仿真、有效性测试、负荷与性能测试、一致性与兼容性测试等工作，并不断完善安全测评服务体系。
 
    三是针对国家不同类型的信息系统建立严格的信息安全防护机制。主要涉及电信网、广播电视网和互联网等国家基础网络，国防军工和党政专网等涉密信息系统，能源、交通、金融、电子商务、电子政务等涉及国计民生的重要信息系统，关键工业控制系统，以及高校、科研院所核心信息系统。根据信息系统重要性、信息量等指标的不同，建立严格的信息安全等级防护制度,并针对系统中国外产品的集成应用，制定特定的管理办法。
 
    从企业角度来看，重点加强对信息安全关键技术和核心产品的研发及产业化，提升信息安全专业服务水平，提升企业信息安全防护意识以及加强与高校、科研机构以及其他企业间的交流合作
 
    一是加强对网络安全、数据安全等关键技术和产品的研发及产业化。面向大数据、云计算、移动互联网等新兴领域，积极研究和开发与信息安全相关的产品和解决方案，探索新的业务模式；并对标国外信息安全龙头企业开展相关业务，提升企业核心竞争力。
 
    二是积极搭建面向重点行业领域的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务；建设信息安全数据库，包括脆弱性漏洞库、安全事件检测库、软件补丁库、恶意代码库、标准信息库等，为广大用户提供快速、高效的信息安全咨询、预警、应急处理等服务，切实提高信息安全保障能力。
 
    三是加强与高校、科研机构以及其他企业间的交流合作。与信息安全相关的高校和科研机构建立长期合作机制，通过联合建立研发中心、建立技术与产业联盟、共同承担国家重大项目等方式开展信息安全关键技术和核心产品的研发，并积极推进技术成果的转移和交易，促进创新成果的产业化。
 
    四是提升企业信息安全防护意识。建议有条件的企业可考虑将信息安全服务纳入企业的信息化建设预算，并将网络安全应急处理、信息系统安全运维、数据与系统容灾备份等信息安全服务能力建设纳入重点支持范围；积极支持和应用国产关键软硬件产品和信息系统，考虑在同等条件下，优先采购和使用国产关键软硬件产品和信息系统，优先考虑与国内专业信息安全厂商合作，建立基于企业全业务流程的信息安全解决方案。

责任编辑：Lily