关于推进我国信息安全产业发展的意见

关于推进我国信息安全产业发展的意见
随着信息和信息系统国民经济和社会发展中的支撑性、基础性的地位与日俱增，政务、国防以及税务、海关、银行、证券、电力、民航、铁路等关系国计民生、社会稳定的重要领域，越来越依赖信息和信息系统。

这些信息系统一旦出现问题，影响面会很大，甚至给国家和社会带来灾难性的后果。

根据国家网络与信息安全协调小组的工作安排，按照部领导的要求，我司认为，促进技术转化、加快产业化进程、推进我国信息安全产业发展已刻不容缓。

网络安全是信息安全的重要组成部分，但信息产品本身的安全性也不容忽视，基于上述认识，我司提出以下几点应对措施。

一、大力扶持民族信息安全产业
目前，我国信息安全产品远不能适应信息化的发展需求。

信息网络的关键技术整体上比较落后，受制于人。

信息安全产品水平普遍不高，无论是硬件、软件还是网络系统，都还不同程度地存在着各种安全漏洞和隐患。

信息安全问题已经成为事关经济发展、公众利益、社会稳定、国家安全的全局性问题，信息安全保障工作亟待加强。

（一）在政府采购中强制采用国产信息安全产品
一方面，信息安全产品是一种特殊的信息产品，关系到国家安全，在政府采购中要求强制采用国产产品并不违反WTO原则。

另一方面，利用政府采购以保护和发展民族产业是世界各国普遍采用的手段，美国、欧盟、日本很多跨国公司的发展都得益于本国政府采购的支持。

我国加入WTO 和ITA后，电子信息产业在国际市场竞争中处于很不利的境地。

如果我部能对政府采购中计算机相关产品有关的认定进行有效管理，将在相当程度上为国内电子信息产业提供生存空间和发展机会，最终促进国内电子信息产业和整个国民经济的腾飞。

（二）加强对信息安全产品产业化的资金投入
近年来，我国对信息技术研发投入了大量的资金，也取得了一批重要研究成果，但在信息安全产品产业化方面取得的进展还远不能满足我国对信息安全的需要。

信息安全产品的产业化是一项投入大、风险高的工作。

目前，我国电子信息企业还处在相对弱小的发展时期，企业规模、资金积累、技术力量、市场拓展等方面与国际竞争对手相比都较为落后，在产业化方面，就表现为企业的抗风险能力低，在我国风险投资尚不发达的情况下，必须由政府来承担这一部分风险。

目前，我部的电子信息产业发展基金主要用于电子信息
产品的产业化工作，近年来对信息安全产品也给予了资金倾斜，但电子信息产业发展基金本身规模不大，用于信息安全产品产业化的就为有限，从社会需求的角度看，资金投入还远远不够，一些有实力的信息安全企业还得不到足够的支持，制约了我国信息安全产品的产业化进程。

因此，建议国家增加电子信息产业发展基金的规模，或者设立信息安全产品产业化专项资金，用于信息安全产品的产业化工作。

鉴于信息安全产品的特殊性，对这部分资金的管理应该与其它电子信息产品有所区别，我司倾向于设立信息安全产品产业化专项资金这种方式。

二、加强我国信息产品安全性检测
今年7月22日召开的国家信息化领导小组第三次会议特别强调：“切实加强信息安全保障工作。

坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。

完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。

”
我司认为，要达到“积极防御、综合防范”的方针，仅仅从完善信息安全监控体系着手是不够的，因为监控体系是一种事后防范机制，在发现问题的时候，已经给国家和社会造成损失了。

目前，信息技术不断发展，使得在普通信息产品中安装导致泄密的软硬件“后门”和破坏信息系统及网络
的“逻辑炸弹”成为可能。

与这种趋势不相适应的是，而当前我国在信息产品安全性检测方面还存在空白，信息产品安全性检测工作亟待加强。

（一）信息产品检测与信息安全产品检测现状
目前，我国进行得较多的是信息产品检测与信息安全产品检测。

这些检测与信息产品安全性检测是性质完全不同的检测，其侧重点各有不同。

我国对信息产品检测和信息安全产品检测工作一向非常重视，并成立了相应的检测机构，如针对信息产品性能、质量进行检测的国家计算机质量监督检验中心、中国软件评测中心等，针对信息安全产品性能检测的中国信息安全产品测评认证中心等。

这些检测机构的设立，对国产信息产品和信息安全产品的性能及质量的提高保障发挥了非常积极的作用。

但是，信息产品检测主要是检测各种信息产品的性能和质量，信息安全产品检测主要是检测信息安全产品的性能和质量。

而对信息产品的安全性，特别是各种进口的信息产品，以及使用国外部件和安装国外软件的产品中可能存在的安全隐患当前尚无相应的检测机构和检测手段。

（二）对加强我国信息产品安全性检测的建议
1．建立信息产品安全性评测体系
建议由我部会同有关部门，建立信息产品安全性评测体
系。

主要包括三个方面的内容：一是建立系统化的安全技术标准与安全管理标准；二是深入研究信息产品安全测试方法；三是制定信息产品安全测试评定规范。

2．成立信息产品安全性检测机构
建议由我部会同有关部门，成立信息产品安全性检测机构。

一方面，对信息产品安全隐患进行跟踪与预警研究；另一方面，对信息产品，尤其是政府等敏感部门和金融、电信等行业关键应用系统的信息产品安全性进行强制性检测，根据需要，还可以对市场上某些怀疑有安全隐患的信息产品进行秘密检测。

为避免重复建设和保证信息产品安全性检测工作尽快开展，建议争取国家拨付必要的经费建立环境，并依托现有的组织和技术基础组建该检测机构。

3．制定有关政策措施
建议由我部会同有关部门制定相应法律法规或管理办法，对在信息产品中设臵安全漏洞的行为做出规范，并明确相应的惩处措施。

4．深入研究信息安全技术
检测信息产品安全性的基础是相应的信息安全技术。

信息安全技术分进攻技术和防守技术两大类，我国目前在进攻技术方面相对较为落后。

单纯的防守技术具有滞后性，比较被动。

不断提高信息安全技术，尤其是进攻技术，提高对各
种软硬件“后门”检测的预见性和针对性，提高我国信息产品安全性检测能力。

电子信息产品管理司
二○○三年十一月二十一日。