信息安全漏洞分析与风险评估需加强制度建设

新华08网北京10月24日电(记者刘菊花)工业和信息化部信息安全协调司副司长杨春艳日前表示，我国信息安全漏洞分析和风险评估工作需要突破一系列技术难关，不断探索方法创新，实施策略优化，并进一步增强国家在制度化上的工作安排。

杨春艳在第四届信息安全漏洞分析与风险评估大会上说，当前我国信息安全环境越来越复杂多变。一方面，信息化发展速度很快，各类信息技术被广泛应用，国民经济和工业化对信息系统的依赖程度越来越高，社会发展与互联网络的融合在不断加深，网民数量、网络规模、网络普及速度均居全球首位。但同时，各类信息安全事件层出不穷，漏洞后门普遍存在，安全风险不断增加，尤其是一些深层次、全局性的信息安全隐患开始显现，严重威胁国家经济发展和国家安全。

杨春艳表示，当前我国信息安全协调力度不足、机制不够健全，相应的法律规章制度环境仍然不完善，重要信息系统的安全防护工作还不足够稳固，难以全面、有效抵御日益加剧的各类网络威胁和安全风险。全民信息安全意识和专业人才队伍的培养与信息化的快速发展仍不相适应，国家信息安全技术和产业亟待发展。

中国信息安全测评中心有关负责人表示，漏洞分析方法如何向自动化、规模化发展将是漏洞分析工作在深度发展上的重要方向。而如何进一步将漏洞分析的对象和范围，从源代码、产品层次，扩大到系统乃至整个网络，开发适合中国信息化实践的漏洞分析模型，开展针对国内特定网络的隐患分析，是我国漏洞分析工作下一步在广度上探索和创新的重点。

这位负责人还表示，我国很多领域执行的信息安全风险评估工作需要加强顶层设计和法律化、制度化的安排，尽快从“头疼医头、脚痛医脚”的点式应对策略和阶段性、运动化的工作模式中走出来，实现对重要信息系统的持续性风险评估，提升关键行业应对重大信息安全风险的预知、预防、预止能力。同时，要扩大风险评估的范围，不仅局限于传统的计算机网络，要更加关注工业控制网络和云计算、物联网等新领域。此外，在服务方面，风险评估工作要与等级保护、灾备恢复等工作有机结合，科学有序、共同支撑国家信息安全保障体系。