李京生　宋壘磊

隨著“互聯(lián)網(wǎng)+”理念的提出，“創(chuàng)新2.0”形態(tài)逐步形成，“智慧江蘇”建設(shè)驅(qū)動(dòng)力進(jìn)一步增強(qiáng)，建設(shè)步伐明顯加快，但由于眾多因素的影響，“智慧江蘇”建設(shè)帶來的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)和隱患也較為突出，網(wǎng)絡(luò)與信息安全防范能力亟待加強(qiáng)。

從技術(shù)發(fā)展的視角來看，智慧江蘇建設(shè)要求通過以移動(dòng)技術(shù)為代表的物聯(lián)網(wǎng)、云計(jì)算等新一代信息技術(shù)應(yīng)用，實(shí)現(xiàn)全面感知、泛在互聯(lián)、普適計(jì)算與融合應(yīng)用，包含物聯(lián)感知層、網(wǎng)絡(luò)通信層、數(shù)據(jù)及服務(wù)支撐層、智慧應(yīng)用層等。物聯(lián)感知層主要負(fù)責(zé)物體識(shí)別和信息采集；網(wǎng)絡(luò)通信層主要負(fù)責(zé)信息傳遞，通過互聯(lián)網(wǎng)、移動(dòng)網(wǎng)、各行業(yè)專網(wǎng)等設(shè)施，為信息的流動(dòng)、共享和共用提供基礎(chǔ)；數(shù)據(jù)及服務(wù)支撐層主要負(fù)責(zé)信息資源的聚合、共享和共用；智慧應(yīng)用層主要負(fù)責(zé)為社會(huì)公眾、企業(yè)用戶、管理用戶提供各種智慧應(yīng)用。需要關(guān)注的信息安全重要環(huán)節(jié)包括信息系統(tǒng)設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全。信息系統(tǒng)的硬件結(jié)構(gòu)與操作系統(tǒng)安全是信息安全的物理基礎(chǔ)，數(shù)據(jù)安全是在信息資源管理過程中保障信息可用、可信、不中斷的狀態(tài)，內(nèi)容安全涉及信息的合法性、真實(shí)性與可控性，行為安全是城市各類主體在使用信息過程中的行為準(zhǔn)則，構(gòu)成了保障城市信息化進(jìn)程免于威脅的社會(huì)性基礎(chǔ)。

加強(qiáng)“智慧江蘇”建設(shè)，網(wǎng)絡(luò)與信息環(huán)境更加開放，系統(tǒng)建設(shè)和數(shù)據(jù)應(yīng)用更加復(fù)雜，運(yùn)營(yíng)和管理模式更加多樣。一系列新環(huán)境、新技術(shù)和新應(yīng)用，使信息安全面臨更加嚴(yán)峻的挑戰(zhàn)，安全管理制度體系尚未完善，重要基礎(chǔ)設(shè)施存在安全風(fēng)險(xiǎn)，重要信息資源受到安全威脅，新型違法犯罪問題逐步出現(xiàn)?！爸腔劢K”建設(shè)要按照系統(tǒng)工程方法，從以下四個(gè)方面加強(qiáng)信息安全防范。

強(qiáng)化安全責(zé)任意識(shí)。重視提升公眾的信息化素養(yǎng)，通過政府、非政府組織、社區(qū)和志愿者等多方力量的協(xié)作，開展面向家庭用戶、小型企業(yè)、公共服務(wù)機(jī)構(gòu)的線上和線下信息化素養(yǎng)教育與服務(wù)，普及信息安全知識(shí)，提醒用戶警惕各類安全威脅，形成合理的信息使用方式，以強(qiáng)化保障信息安全的社會(huì)性基礎(chǔ)。

完善技術(shù)防護(hù)措施。信息安全是各層面的技術(shù)防護(hù)，需按整體安全策略和防護(hù)體系要求實(shí)施。一是感知層安全防護(hù)，主要通過各類安全服務(wù)和模塊，利用對(duì)稱或非對(duì)稱密碼、安全路由、入侵檢測(cè)等技術(shù)實(shí)現(xiàn)。二是網(wǎng)絡(luò)層安全防護(hù)，主要包括端到端加密和節(jié)點(diǎn)間數(shù)據(jù)加密。端到端加密采用端到端認(rèn)證、密鑰協(xié)商、密鑰分發(fā)等技術(shù)實(shí)現(xiàn)；節(jié)點(diǎn)間數(shù)據(jù)加密采用節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商技術(shù)，同時(shí)部署入侵檢測(cè)和防御系統(tǒng)以及DDOS攻擊預(yù)防和檢測(cè)系統(tǒng)。三是虛擬化資源安全防護(hù)，主要通過部署主機(jī)防火墻、訪問控制、安裝補(bǔ)丁、系統(tǒng)鞏固、強(qiáng)認(rèn)證等手段，并通過安全事件日志、基于主機(jī)的入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)增加安全檢測(cè)。四是身份和訪問管理機(jī)制，通過強(qiáng)認(rèn)證、基于角色或聲明的授權(quán)、身份聯(lián)合、單點(diǎn)登錄、用戶行為檢測(cè)和審計(jì)等技術(shù)實(shí)現(xiàn)，同時(shí)還需在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)等方面實(shí)施全程的訪問控制。

加強(qiáng)日常安全監(jiān)管。信息系統(tǒng)等級(jí)保護(hù)是我國(guó)信息安全管理的基本國(guó)策，根據(jù)現(xiàn)行信息系統(tǒng)等級(jí)保護(hù)政策，應(yīng)該先對(duì)新建的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)，然后向相應(yīng)的管理部門進(jìn)行備案，根據(jù)新建信息系統(tǒng)的等級(jí)進(jìn)行信息系統(tǒng)安全保護(hù)整體解決方案設(shè)計(jì)和實(shí)現(xiàn)，并要求在信息系統(tǒng)上線之前進(jìn)行等級(jí)保護(hù)的測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。加強(qiáng)信息系統(tǒng)安全運(yùn)行監(jiān)管，還需要制定信息安全防護(hù)的策略、標(biāo)準(zhǔn)和安全技術(shù)指導(dǎo)框架，加強(qiáng)個(gè)人信息保護(hù)法律法規(guī)的制定和實(shí)施，適時(shí)開展信息安全評(píng)估和審計(jì)工作。

嚴(yán)打新型違法犯罪。積極推進(jìn)智慧江蘇法治建設(shè)，加快立法進(jìn)程，區(qū)分輕重緩急，抓緊制定完善最急需的法律法規(guī)，同時(shí)，加大執(zhí)法力度，壯大執(zhí)法隊(duì)伍，健全執(zhí)法體系，落實(shí)執(zhí)法責(zé)任。提升打擊違法犯罪司法水平，加強(qiáng)對(duì)執(zhí)法隊(duì)伍的新技術(shù)培訓(xùn)，提高打擊犯罪能力。加大設(shè)備投入，在科技水平上保持對(duì)犯罪分子的壓制，做到對(duì)新型違法犯罪的有效打擊和防范。推動(dòng)全社會(huì)共同參與，有針對(duì)性地進(jìn)行宣傳，預(yù)防和降低新型違法犯罪行為的危害。加強(qiáng)與有實(shí)力的網(wǎng)絡(luò)科技公司的合作，開發(fā)針對(duì)新型違法犯罪的軟、硬件產(chǎn)品，提升執(zhí)法部門打擊違法犯罪的能力。□

（作者單位：江蘇省公安廳網(wǎng)安總隊(duì)）

責(zé)任編輯：丁和平、張 寧