政协委员严望佳三项提案建言信息安全

在日前正在召开的全国两会上，全国政协委员、北京启明星辰信息技术股份有限公司首席执行官严望佳向大会提交了三份提案，均涉及信息安全。在信息安全已被提升至国家高度的当下，作为从事该行业多年的资深人士，严望佳委员的三份提案均对我国当下的信息安全发展提出了具有实践意义的参考建议。对此，本网记者也将对严望佳委员的三分提案进行相关展示与分析。

　　关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案

案 由：关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案

审查意见：建议中央网络安全和信息化领导小组办公室研究办理

提案人：严望佳

主题词：网络安全

提案形式：个人提案

内 容：

一、问题及原因分析

我国的信息安全保障体系建设大多是在等保、分保制度基础上，满足合规性即可。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度，而又伴随着信息安全是“七分管理三分技术” “信息安全没有绝对”这种特点，以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度，交织反复，最终形成我国信息安全保障体系建设目前以合规为目标，以最低价产品为市场，整体行业低水平竞争，国家重要信息系统安全保障能力不足，国家网络空间对抗能力不足等系列恶性循环的现状。

索尼影音公司遭遇的入侵和破坏事件、Heartbleed(心脏出血)漏洞、12306撞库攻击事件等公众性网络安全事件，无不时刻警示着公众和政府，网络安全的严峻形势，国家需要打破长期以合规为导向的信息安全保障体系，出台有针对性的法律法规，来保护公众、政府等的网络安全。

二、具体建议

信息安全保障体系建设，合规是基础，效果是保障。建议国家能尽快出台、制定法律法规，建立信息安全责任落实制度，要求用户需要对安全采购的结果负责，特提出以下建议：在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度。

该制度可以把现行的合规体系变成一个责任体系，可以利用安全真正需求引导一个注重技术、产品与服务的市场环境，促使商业竞争以用户价值为导向，促进安全厂商从销售导向、集成商导向转变至以技术创新为导向。该制度对产业的生态环境、政府的管理方式、信息安全的整体架构都会产生深远影响，使我国信息安全产业形成良好、健康的生态环境。

具体建议如下：

1)划分详细的关键基础设施、敏感部门、政府机构范围。

建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围：政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。

2)在关键基础设施、敏感部门、政府机构设立首席信息安全官。

在关键基础设施、敏感部门、政府机构设立首席信息安全官职位，充分赋予首席信息安全官相应的职权，不限于以下内容：首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的IT投资计划;

3)建立首席信息安全官任职资格、考核制度。

首席信息安全官对人员的技术、管理、法规遵从等方面要求非常高，导致任职人员可能不能完全胜任该岗位。国家相应部门需要针对首席信息安全官进行选拔、培训、资格认定等一系列的人才保证措施。

国家相应部门，应该在等保、分保等制度的基础上，明确建立针对首席信息安全官考核制度，考核制度作为对用户单位整体安全建设的重要评价指标。考核制度可以进一步加强用户单位对于首席信息安全官的重视程度、安全建设力度、整体安全水平。

编辑点评：首席信息安全官(CISO),也称首席安全官 (CSO) 。一般而言，首席信息安全官是企业、组织等机构中维护信息安全运行状态的最高负责人，负责整个机构的安全策略。当前，首席信息安全官制度在国外已经形成比较完备的体系，但在我国，这一制度目前还未实现大规模普及。

当前，信息安全已被提升至国家高度，我们所面临的网络信息安全威胁形势日益严峻。但政府和企业目前对CISO制度重视度不足，甚至在政府部门和中央企业也都还没有设立CISO制度。在一部分企业，虽然设置了首席信息安全官职位，但却往往隶属于企业IT部门之下，缺乏足够的对信息安全的控制能力。同时， CISO相关机制的不健全、权责、岗位的不明确、激励机制不完善以及考核机制不健全等问题，都在一定程度上阻碍着企业或组织的信息安全建设。而另一方面，缺乏足够数量的专业信息安全管理人才也是我国信息安全领域当前所面临的一大问题。

在这样的背景之下，严望佳委员所提出的《关于在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度的提案》无疑点中了当前我国信息安全建设中至关重要、且亟待建立完善的一个环节。其在提案中所提到的“首席信息安全官直接汇报给最高决策者;全权负责信息安全保障体系建设;咨询、审批或验证现有的IT投资计划;”、“建立首席信息安全官任职资格、考核制度”等具体建议，也都直击到了当前我国信息安全主管制度及方式的弊端。这一提案是对我国建立健全CISO制度、培养CISO人才队伍的一项有力建议。

　　关于在电子政务云建设过程中做好安全保障工作的提案

案 由：关于在电子政务云建设过程中做好安全保障工作的提案

提案人：严望佳

内 容：

一、问题及原因分析

云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态，是全球信息产业变革的焦点。随着云计算的广泛应用，为电子政务建设开辟了一个全新的路径和解决方案。

当前，我国电子政务云的建设和发展面临难得的机遇，将从根本上打破了各自为政的建设思路，可以大量节约电子政务的建设资金，降低能源消耗;通过统筹规划，可以把大量的应用和服务放在云端，充分利用云资源，提供专业化的云服务，大幅提高电子政务发展质量和服务水平。部分省市如贵州、重庆、广西、山东等已经正式启动了电子政务云的建设，一些应用正在向云中迁移。

另一方面，电子政务云的建设也存在一些突出问题，特别是信息安全问题严重影响了电子政务云的发展，如果不能很好解决，甚至会威胁到国家安全。与其他云计算模式一样，电子政务云也面临网络安全恶意攻击、数据泄露等安全威胁，特别是在数据管理权与所有权分离的状态下，应用和数据高度集中，这些问题显得更加突出。有的电子政务云重建设轻安全，有的因为担心安全而拖延建设，可以说，信息安全保障已经成为电子政务云建设中最迫切的需求。我国电子政务云建设过程中面临的一些主要安全问题总结如下：

(一) 法律法规和标准不健全

当前国内缺乏完善的云计算服务平台建设规范和信息安全管理规范，传统的等级保护制度在云计算环境中无法适用，健全的云计算安全法律、法规可以从管理上最大限度地降低风险隐患。同时因为缺乏标准，云厂商、安全厂商甚至主管部门都无法深入开展工作，很多快速上马的项目都存在大量安全隐患，还有更多的部门在观望。

(二)虚拟化及多租户安全威胁

从技术层面上讲，云计算与传统IT环境最大的区别在于其虚拟的计算环境，当前国内云计算供应商的虚拟化核心技术比较欠缺，大多依赖开源软件。商业虚拟化平台对外接口匮乏，甚至不开放，新形态的安全产品没有发展起来。同时，云计算多租户的使用环境对云中资源的调配和处理提出了更高的要求，租户间资源的隔离及安全防护是一个新的挑战。

(三)应用与数据集中带来的威胁

云计算具备两个核心要素，第一个要素就是大集中，把数据和应用集中在云端;第二个核心要素就是把资源以服务的形式发布交付。这种规模化的效应对云计算的可用性及安全性都带来了很大的挑战，数据集中后，如果受到恶意攻击，产生的安全威胁规模和影响会更深远。特别是如果数据被恶意分析利用，会威胁到国家安全。

二、具体建议

综上所述，因为虚拟化多租户等新技术的引进和应用数据集中带来的风险，对电子政务云的管理、产品、技术都提出了更大的挑战，特别是数据集中后如果管理不善，可能对国家安全形成威胁。

我建议在电子政务云建设过程中，由政府牵头建立一套安全保障机制。具体措施包括：

1) 政府应建立一套电子政务云安全标准和管理规范。对电子政务云的安全需求、安全评估、安全定级、安全建设、安全审计等环节的工作制定相应的国家标准，让主管部门、政府用户、云供应商、安全厂商以及评估审计部门都有章可循。同时从制度上防止政府被云平台厂商绑架，避免关键数据泄露，强化安全管理，增强安全技术支撑和服务能力。

2) 政府应鼓励和引导国内云厂商和信息安全企业合作创新，建立良好的生态环境。云平台不单承载计算、存储和网络功能，还要支持多种第三方安全产品和服务，形成较为完整的安全保障体系。传统信息安全企业在政府、军队等用户的安全建设中参与较多，对用户的网络及应用情况比较熟悉，对用户的安全需求和现状也非常了解，积累了大量经验。国内云平台厂商对云计算技术非常擅长，但是对政企用户安全需求的理解和建设经验不足。政府应鼓励和引导双方合作，发展出能适应和满足云计算的新产品、服务和机制。

3) 政府应督促云厂商加强自身安全。云平台软件是云系统正常运行的基石，如果其自身存在的漏洞被恶意利用，会对云中的所有资产形成威胁。因此应加强云平台系统的安全生命周期管理和监控，对云平台软件研发过程保障安全，对上线的云系统和应用进行第三方安全评估，对于自身暴漏出的漏洞，应该在指定时间范围内提供修复建议和方案。逾期不解决的，应限制该软件的使用范围。

总之，建立电子政务云对于节省开支、提高电子政务办公的工作效率和政府服务水平具有重大意义，但云计算安全问题严重影响了电子政务云的发展，如果同时在标准规范上不断扩充完善，在产品技术上不断突破创新，在建设运维中严格落实，就能实现电子政务云安全可靠的运行，使其发挥出应有的作用。

　编辑点评：随着云计算技术的发展与落地，我国相关部门也制订了相应的电子政务云规划。在国家发改委《关于加强和完善国家电子政务工程建设管理的意见》中，特别指出要“推进新技术在电子政务项目中的应用。鼓励在电子政务项目中采用物联网、云计算、大数据、下一代互联网、绿色节能、模拟仿真等新技术，推动新技术在电子政务项目建设中的广泛应用”，并且强调“要保障电子政务项目安全可控。”

　　由此可见，国家对于电子政务云的应用于对其安全的可控是同等重视的。电子政务云与其他云计算模式一样，其在应用中必然会面临一系列网络威胁、恶意攻击等。对于政务云的应用而言，对数据安全、隐私保护等则有着更高的要求。在此情况下，建立安全可信的电子政务云环境，亟需完善政务云平台建设规范和信息安全管理规范，从而做到从管理上最大限度地降低风险隐患。

　　严望佳委员在提案中所提到的“对电子政务云的安全需求、安全评估、安全定级、安全建设、安全审计等环节的工作制定相应的国家标准，让主管部门、政府用户、云供应商、安全厂商以及评估审计部门都有章可循”，明确建议了规范制定中所包含的具体项目，对于相关规范的制定有着极大的借鉴意义。

　　同时，严望佳建议“政府应鼓励和引导国内云厂商和信息安全企业合作创新，建立良好的生态环境”的提案建议，也十分具有积极的引导意义。当前，任何领域的竞争都不再是单打独斗的局面，一个健康良好的生态产业链的建立对于一个产业的持续发展有着十分重要的意义，对电子政务云而言亦是如此。云计算厂商与信息安全厂商如若做到强强联合，那对于国家“推进新技术在电子政务项目中的应用”及“保障电子政务项目安全可控”的指导政策而言无疑是一次具有实践意义的呼应。

　　关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作的提案

案 由：关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作的提案

审查意见：建议中央网络安全和信息化领导小组办公室研究办理

提案人：严望佳

主题词：网络安全

提案形式：个人提案

内 容：

一、问题及原因分析

在国家高度重视和业界共同努力下，我国网络安全和信息化产业实现了较快发展，产品体系逐渐健全，产品种类不断丰富，产品功能逐步向集成化、系统化方向发展。国内网络安全和信息化产业也越来越开放，国内企业、外资企业、中外合资企业、技术引进等不同类型企业、产品在市场中充分竞争，都取得了大量的成功案例。网络安全和信息化产品普遍面临着产品生命周期、供应链风险、服务质量、安全漏洞、数据泄露等问题，特别是我国基础软件、芯片、操作系统、数据库等产品领域，至今还是主要掌握在外资企业手中，由于政治、市场、技术等方面的多种因素，外资企业产品的问题更不可控。

2000年，美国率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。随后，美国等西方国家为保障国家安全、防范供应链安全风险，逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。

我国也在积极推进网络安全审查制度，关系国家安全和公共利益的系统使用的、重要信息技术产品和服务，应通过网络安全审查。但审查内容不能仅停留在技术层面上，要进行全方位审查，才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控。可控性的保证可通过供应链的梳理完成，需要通过供应链的透明化。如果每一个供应商都能够向网络安全审查备案机构提供供应链上下游环节的情况，整个供应链就能够做到一环一环的透明化清晰，通过透明达到掌握和可控。

二、具体建议

基于以上的大背景，特提出以下建议：在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作。具体建议如下：

1)划分详细的关键基础设施、敏感部门、政府机构范围。

建议在以下关系到国防安全、国计民生的关键领域划分详细的机构范围：政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等。

2)建立详细的透明供应链登记名录。

依托政府采购，进一步完善供应商、产品市场准入和业绩评估体系，建立详细的透明供应链登记名录。供应商登记内容至少包含：机构法定名称及地址、股权结构及股东、机构人员技术能力及保密审查情况、知识产权归属、品牌和商标。产品登记内容至少包含：通信基础设施归属地;通信数据、交易数据、用户信息等存储地;产品软硬件等构成详细说明;第三方组件详细说明;供应链质量可溯源情况说明;生命周期维护情况说明;制造地及原材料器件采购来源情况说明;源代码归属地情况说明。

相关部门可以根据登记内容，设置相应门槛，以便选拔合格的供应商和产品进入登记名录。

3)在关键基础设施、敏感部门、政府机构中规范采购行为。

在关键基础设施、敏感部门、政府机构采购行为中，必须在登记名录中的供应商、产品范围内进行采购。

编辑点评：自去年5月，我国宣布将出台网络安全审查制度以来，有关这一制度的相关信息便受到了广泛关注。据了解，在此之前，我国已经建立了对信息和信息载体按照重要登记分级保护的信息安全等级保护制度。但因该制度缺少法律依据，使得这一机制并未及时启动并发挥作用。而对于相关的追责措施，虽然目前也有相关规定，但因没有量化，尚存在管理灰色地带。

建立有效的网络安全审查管理机制对于国家安全意义重大，严望佳委员此次所提的《关于在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作的提案》，从细节实施方面提出了具体的建议。其所提到的“审查内容不能仅停留在技术层面上，要进行全方位审查，才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控”明确指出了有效的网络安全审查范围及方向，对于相关法规的制定而言富有指导意义。而其所提“在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作”则为从最初的采购环节规范政府采购提出了具体实施建议，这将为从源头追溯相关产品及权责问题所在提供有效的信息与数据。如若这一建议能够落实，那将为之前所缺乏实际执行效力的相关法规进行有效地完善与补充，这对于规范和监管信息安全有着重要意义，对我国整个信息安全产业而言也将会受益匪浅。