陕西省工业和信息化发展研究成果

陕西省“十二五”网络与信息安全研究

一、网络与信息安全现状和问题

（一）研究背景

随着我国电子政务、电子商务和社会信息化的发展，网络与信息系统的基础性、全局性作用日益增强，信息安全已成为国家安全、社会安全、经济安全的重要组成部分。目前，我国信息安全工作面临着严峻的威胁和挑战，主要表现为：

1.信息化发展要求更高的信息安全保障能力

随着信息化的发展，国民经济和社会各领域对信息化的依赖程度不断加深，信息化基础网络覆盖范围越来越大，网络上运行的各种信息化应用系统越来越多，因而面临的信息安全威胁更为严峻。一旦发生大规模、突发性的信息安全事件，其影响将是全局性、灾难性和破坏性的。因此，如何进一步提高信息安全保障能力是我们面临的首要问题。

2.信息安全防御难度日益加大

随着信息化应用的日益广泛，信息系统中存储的大量有价值的信息和数据已经成为各种网络犯罪组织和恶意势力的攻击目标。网络攻击行为日趋复杂，更为频繁；各种攻击方法相互融合，攻击手段更为隐蔽，破坏性更强；黑客攻击行为组织性更强，攻击目标从单纯地追求“荣耀感”向获取多方面实际利益转变。同时，网络和应用系统中存在的安全漏洞数量也大量增加，漏洞公布到利用相应漏洞的攻击工具出现的时间缩短，使得开发相关补丁、安装补丁以及采取防范措施的时间压力大大增加。应对新技术条件下的信息安全问题，也是我们面临的信息安全挑战之一。

3.全局性和群体性信息安全事件发生的可能性在不断增加

信息和网络技术的进步使得所有的信息系统已经不再是孤立的系统，一个信息系统的安全事件完全可能影响其他系统，而以冲击波、红色代码等攻击方式为代表的攻击手段层出不穷，使得全局性和群体性信息安全事件发生的可能性越来越大。因此，如何应对这些全局性和群体性信息安全事件将是陕西省信息安全面临的又一个重要挑战。

（二）陕西省网络与信息安全现状

经过多年的发展和各职能部门的努力，陕西省网络与信息安全工作已经取得一定成效。

其一，省信息化领导小组办公室、省公安厅、省国家安全厅、省国家保密局和省委机要局等政府部门已初步建立了信息安全相关组织机构并发挥了重要作用。

其二，建立了电子政务外网平台的信息安全防范体系，部署了反垃圾邮件系统、网络防病毒软件、主页防篡改软件、漏洞扫描系统、入侵检测系统，高性能防火墙，初步建立起政府部门互联网安全接入体系和信息安全的应急处理机制。

其三，在电子政务内网平台上建立了全网安全防御体系，按照电子政务内网与电子政务外网物理隔离的要求建立了覆盖省市的传输和交换平台，并实施了国家机关和政府部门的局域网接入，加强了平台的防病毒和入侵检测能力。各接入单位使用了防火墙、入侵检测设备和数字认证等安全措施，建立了局域网的安全处理联动机制。

其四，陕西省数字证书认证中心从2004年建成正式运行以来，一直积极推进数字证书应用，发行数字证书3万余张，在省地税局、西安市、延安市等信息系统中开展证书应用取得成效。

其五，网络与信息安全测评体系初步建成，完成了11个政府部门和重要信息系统的安全检查技术实施，信息安全风险评估工作也已经启动。

其六，在信息安全产业和技术标准方面，针对县级电子政务建设中互联互通和信息安全问题，省信息化领导小组办公室组织制定了《陕西省县级电子政务建设要求和技术规范》，并在县级电子政务建设中发挥了指导和规范作用；以陕西省企业为主导制定的无线网络安全标准体系已经初步形成，目前已完成多项国家无线网络安全标准的制定，形成国际信息安全标准的工作也在积极推进，技术标准优势正在转化为产业优势。

其七，信息安全监督检查形成常态化。2009年，根据国务院和省政府相关文件要求，在全省范围内开展了政府信息安全检查，完成了政府信息系统安全检查的自查和抽查工作；组织对全省县级（含）以上的342家政府网站进行了网站漏洞和挂马检测，并通报了检查情况。

（三）存在的问题

随着陕西省信息化建设的快速发展，大量的信息化业务系统不断建设和应用，给全省信息系统安全与运行维护服务带来巨大压力和安全隐患。就全省信息化水平和发展速度而言，目前在信息安全方面的建设工作还较为滞后，信息安全保障建设工作中主要存在以下问题：

第一，信息安全意识仍然不足。不少政府机关、事业单位、公司和企业对信息安全的重要性认识不足，存在侥幸心理，信息安全工作还处于被动状态，没有普遍形成“主动采取措施、积极应对”的意识。不少部门和系统存在严重的“各自为政”的现象，缺乏信息安全的整体意识。

第二，安全防护能力不足。全省一些企事业单位的信息安全设施部署不足，管理制度和运行体制不够完善，信息安全应急处置准备不足，缺乏相应的对策和保障体系，信息系统整体防护能力低，网络与信息安全事件时有发生，如2008年5月，四川汶川发生强烈地震后，陕西省地震局网站被恶意篡改，产生了恶劣社会影响。

第三，信息安全基础设施建设与应用不足，作用有限。全省正在开展数字证书的推广和应用，但形成大规模的应用还需要时间；此外，覆盖全省的网络与信息安全技术整体防御体系、管理体系、应急响应体系、数据容灾备份和灾难恢复体系等基础安全设施还没有完全建立。

第四，信息安全相关标准、法规和规范不够完善。各单位的信息安全建设基本还处于“各自为政”的状态，缺乏统一的标准和规范指导，信息安全建设的质量无法得到有效保证，过度保护和保护不足的情况同时存在。标准的不一致还可能导致局部的防护弱点，成为潜在信息安全隐患，并影响到重大信息安全事件的应对协调处理。

第五，信息安全人才培养还远远不能满足需要。目前，全省的信息安全人才相对信息安全需求而言，无论在数量上还是在质量上都显不足。

第六，陕西省信息安全产业与国内其他省市相比较弱，产业链发展不均衡，产业化水平较低，信息安全产品市场占有份额较低，与全省科技研发实力很不相称，不能满足全省信息化发展对信息安全产品的需求，也无法为全省网络与信息安全保障体系的建设提供足够的产业支持和保障。

综上所述，随着全省信息化建设的快速发展，信息安全保障对今后信息安全体系建设提出了更高要求，局部的安全防护已经很难解决全省的整体性信息安全问题，迫切需要从全省的角度，对全省网络与信息安全保障体系进行总体规划，整合和协调各方资源，齐建共管，与全省信息化建设同步，建成覆盖全省的网络与信息安全保障体系。

二、发展思路

（一）指导思想

按照国家和陕西省信息化发展总体要求和部署，紧紧围绕陕西省信息化发展的战略定位，牢固树立科学发展观，实行管理与技术并重，并按照“积极防御、综合防范”的思想，开展等级保护；正确处理信息安全与信息化发展、信息安全与信息公开的辩证关系，以安全保发展，从发展中求安全，既要坚持信息公开，又要保障信息安全；统筹规划，突出重点，加强信息安全基础性工作；进一步明确政府、企业和个人的责任和义务，逐步建立起技术、管理和运行等多层面的网络与信息安全保障体系，完善政策、法规、标准等环境要素，积极发展信息安全产业。

（二）发展原则

1.统筹规划，协调联动

从陕西省信息化发展战略的总体高度出发，系统规划和建设陕西省网络与信息安全保障体系，明确陕西省网络与信息安全各相关单位和部门的安全责任，加强沟通和协调，建立协调联动的安全防范和响应机制，实现联防共治。

2.资源共享，注重实效

从陕西省网络与信息安全的实际情况出发，综合平衡安全成本与风险，优化信息安全资源配置，适度安全，注重实效，合理、高效地进行网络与信息安全保障体系建设。

3.分级保护，突出重点

落实信息安全等级保护政策，大力推进信息安全等级保护建设；根据信息系统应用业务重要程度及实际安全需求，实行分级、分类、分阶段保护；加强对重要信息系统的监管，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。

4.广泛参与，齐管共建

通过各种手段加强信息安全意识和常识的宣传教育，广泛组织和动员群众，形成全社会共同参与网络与信息安全保障体系建设工作的良好氛围。

5.自主创新，安全可控

坚持技术、管理和制度创新相结合，创新信息化发展模式。加强自主创新能力建设，把握信息技术发展趋势，立足省内、国内信息安全需求，培育和创新具有自主知识产权的信息安全技术产品及其管理模式和体制机制。

（三）陕西省网络与信息安全保障体系基本框架

网络与信息安全保障体系是一个层次模型，最底层横向由六大体系构成，即管理保障体系、技术保障体系、技术支撑体系、产业保障体系、法律法规和标准体系、人力资源保障体系；其上层为各体系具体组成部分；最上层是各领域信息化等，分别是电子政务、电子商务、企业信息化、社区信息化和农村信息化。（见表1）

表1　陕西省网络与信息安全保障体系基本框架

为确保陕西省网络与信息安全保障体系的整体协调性和完整性，应从整个陕西省信息化发展的实际出发，进行统一规划和建设管理保障体系、技术保障体系、技术支撑体系、产业保障体系、法律法规和标准体系、人力资源保障体系中的信息安全基础设施和工作。各地区、部门和企事业单位则根据陕西省的统一要求和规划，在充分利用基础保障体系的基础上，在各自的计算环境、信息系统边界、网络基础设施三方面落实各自的信息安全技术保障体系建设；尤其要按照国家等级保护体系的要求建立相应的安全管理体系。产业保障体系将依据全省信息产业的发展规划，以打造完整产业链为目标，在全省形成一批有实力的信息安全企业群，支撑全省网络与信息安全保障体系建设、网络与信息安全测评和安全运维。

三、发展目标

（一）总体目标

形成与陕西省“十二五”信息化发展规划相配套、与“中西部信息聚集地和网络交互中心”发展目标相适应的网络与信息安全保障体系，保障全省公共通信网络、电子政务、广播电视、企业信息化与电子商务、社区及社会信息化的信息安全；建立健全各类信息安全保障机制与措施；进一步提高全民的信息安全意识和基本防范能力；信息安全产业取得长足进步，为陕西省信息化发展提供有效的网络与信息安全保障。

（二）具体目标

1.建立和完善陕西省网络与信息安全保障体系，包括网络信任体系、信息安全技术支撑体系和信息安全服务体系。网络与信息安全保障体系具体建设内容是建立或完善8个功能中心：网络与信息安全管理中心、网络与信息安全应急处置协调中心、数字证书认证中心、网络与信息安全测评中心、数据异地备份与灾难恢复中心、网络与信息安全技术支持中心、网络与信息安全培训中心和网络与信息安全监理中心。

2.完善公共通信网络的安全保障，按照国家和陕西省对信息基础设施的安全要求，加强包括广播电视网络在内的公共通信网络安全保障系统的建设。

3.完善国民经济和社会信息化各领域的信息安全保障，包括电子政务、企业信息化、电子商务、社区与社会信息化的信息安全保障体系的建设。“十二五”末，陕西省所有政务信息系统应达到规定的安全要求。

4.实施信息安全等级保护，在“十二五”期间，陕西省所有政府部门实施网络与信息安全保护体系建设并通过相关安全等级系统测评；重点信息化项目按照等级保护相关标准建立信息安全保护体系。

5.建立和完善网络与信息安全产业支撑体系，“十二五”期间基本完成陕西省信息安全产业规划布局工作，通过积极的招商引资和政策扶持，提高信息安全产业的规模，打造陕西省信息安全产业链，做大做强信息安全产业。到“十二五”末，信息安全产业能够对全省信息安全保障提供有力支撑。

四、“十二五”期间网络与信息安全建设主要任务

（一）建立和完善陕西省网络与信息安全基础保障体系

信息安全基础设施投资规模大，技术要求高。为达到资源共享、有效投资、服务社会的目的，规划建立和完善包括网络信任体系、网络监控和应急响应体系、信息安全测评体系、信息安全支撑平台、数据异地备份与灾难恢复体系在内的陕西省信息安全基础保障体系，为陕西省政府部门、企业和社会提供各类信息安全基础保障。

1.完善网络信任体系

完善省、市（区）二级信息网络的信任体系，建设基于PKI技术的电子认证体系，完善陕西省数字证书认证中心，引入多个数字证书认证实体，构成多元化、相互补充、相互竞争、相互合作、交叉认证的陕西省信任体系格局。鼓励和引导数字证书的应用，实现对网络上信息交互双方的身份真实性、信息机密性、数据完整性和行为不可抵赖性的认证。成立陕西省数字证书管理机构，负责协调数字证书认证机构在陕西省的业务发展。根据国家、陕西省有关标准规范，制定统一的数字证书格式与接口规范，实现各认证中心之间的交叉认证。在省电子政务内网上，根据中办和国办的统一规划，按照统一的技术框架体系，建设可信的电子政务安全与应用支撑平台，建立起国家、省、市（区）、县四级政务系统的统一授权机制和可信应用环境。

2.构建网络与信息安全管理和应急响应处置体系

规划建设陕西省网络与信息安全管理和应急处置协调中心。负责协调全省各职能部门、各信息系统用户单位、专业信息安全服务机构以及公共应急响应机构，推动建立覆盖全省的信息安全监控和应急响应网络，构建起一个紧密联动的网络与信息安全管理和应急响应处置体系，提高全省信息安全事件的整体处置能力。

安全管理与应急处置协调中心具体负责全省的应急响应协调工作，同时具体负责陕西省电子政务网的安全管理和应急响应处置协调工作。重点保障网上舆论安全，提高舆情的监测分析和疏导处置能力，有效控制不良信息的扩散，尤其要加强意识形态方面的内容审查，确保对颠覆政府一类的非法内容进行实时监控和及时查处，保障信息内容的安全。

3.构建网络与信息安全服务体系

信息安全服务体系建设包括建立网络与信息安全测评机构、网络与信息安全监理和咨询机构。信息安全服务领域的重点在于扶持和指导信息安全服务企业进一步规范服务内容，建立起科学的服务品质保证体系，形成咨询、监理、运维、认证、培训、测评、外包服务的一整套服务内容。

以建立陕西省网络与信息安全测评中心为基础，构建陕西省信息安全测评体系，开展网络与信息安全测评工作。依据国家信息安全等级保护要求和国家标准，对全省电子政务信息系统以及各重点单位实施等级安全测评，对系统进行整体风险分析和安全评估，确保全省重要信息系统的安全。建立网络与信息安全监理与咨询机构，按照国家和陕西省信息安全规范，对网络与信息安全系统设计、开展等级保护、风险评估提供技术咨询，对信息安全系统建设、整改进行监督和管理，确保信息系统安全设计建设的合理性和规范性。

4.建设信息安全灾难恢复体系

灾难恢复是指利用技术、管理手段以及相关资源，确保已有的关键数据和关键业务在灾难发生后，在确定的时间内可以恢复和继续运营的过程。“十二五”期间，将在广泛、详细的需求调查基础上，按照相关标准统一规划和建设陕西省异地数据备份与灾难恢复中心，推动构建全省信息安全灾难恢复体系，切实提高抵御网络与信息安全事件和重大事故的能力，确保信息系统数据安全和业务工作的连续性。同时，鼓励各商业机构建立面向专业(或通用)领域的数据备份中心，为全省信息化应用系统提供数据备份和业务恢复服务，推动实现数据备份与灾难恢复基础设施资源的整合与共享，最大限度地满足“十二五”期间全省信息化发展对数据安全与业务不间断服务的需要，形成新的信息安全工作服务模式。

5.网络与信息安全支撑平台(www.chuimin.cn)

加强网络与信息安全基础设施建设与应用，是国民经济和社会信息化建设的重要保障。“十二五”期间，以建立陕西省网络与信息安全技术支持中心为基础构建陕西省网络与信息安全支撑平台。依据全省信息安全发展需求，针对急需解决的问题，开展网络与信息安全技术等方面的研究、开发和攻关，同时提供技术解决方案和咨询意见；开展信息安全测评技术和标准规范研究，为信息安全测评中心开展网络与信息安全测评、安全风险评估和等级保护测评等工作提供技术支撑；编制网络与信息安全发展战略、中长期发展规划、网络与安全技术标准、规范和相关管理办法及重大前沿课题的研究；承担信息安全事故应急处置和灾难恢复的技术支撑；参与网络与信息安全重点建设项目的规划、设计与实施。

6.信息安全培训和继续教育体系

成立陕西省网络与信息安全培训中心，在全省范围内开展对党政机关、大型国有企业的信息安全主管领导、信息系统管理人员和运营维护人员的信息安全培训和在职教育；建立多层次信息化人才的培养机制，搭建信息安全培训实验环境，提高学员实际操作能力；组织编写网络与信息安全知识读本和陕西省信息安全事件应急指南，提高网络与信息安全意识，普及网络与信息安全知识。

（二）保障公共通信网络的安全

电信基础网络、移动通信网络、广电网络、联通基础网络等公共通信网络是陕西省信息化的基础，确保其安全对于全省信息系统的正常运行具有重要意义。

按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，由相应的运营商负责公共通信网络的安全保障。公安、通信、广播电视管理等相关部门加以管理和提供指导，各方协调一致，共同保障公共通信网络的安全。

重视新技术引入对原有公共通信网络的影响，特别是要加强无线网络的安全防护。切实加强对互联网信息内容的监管，对垃圾邮件、欺诈、个人隐私、淫秽网站等有害信息和不良信息及时清理整治，尤其要加强意识形态方面的内容审查和对网上违法犯罪行为的打击力度，保障互联网信息内容的安全。

（三）保障国民经济和社会各领域的信息安全

“十二五”期间，将重点做好电子政务网络与信息安全保障体系建设工作，同时凝聚企业、社会各方力量，切实做好电子商务与企业信息化，以及社区与社会各领域信息化的信息安全保障工作。

1.电子政务信息安全

按照中办（2002 ) 17号文(《国家信息化领导小组关于我国电子政务建设指导意见》)要求，陕西省电子政务网络基础设施分内网和外网，内外网络平台之间为物理隔离。由省信息办总体负责电子政务内外网及其信息系统的网络与信息安全建设，会同省公安厅、省保密局、省机要局等相关职能部门，制定一系列指导意见和指南，并加强监督审查，共同保障电子政务网络与信息安全。

对电子政务信息系统，要按照国家颁布的《电子政务信息安全等级保护实施指南》要求，从安全防范技术、安全运行和维护、安全管理等多个方面，积极防御，主动防范，建立陕西省电子政务领域的网络与信息安全保障体系。

通过建立省市两级安全管理中心 (SOC)、互联网安全接入点、二级安全网管，增强电子政务网络可管理性、可控制性和可剥离性，以满足发生重大事件或敏感时期对电子政务网络和互联网管制要求。

建立电子政务信息系统的安全运行维护机制，通过对软件的升级与安全加固、数据备份、漏洞扫描和安全评估等运行维护措施，保证电子政务信息系统的运行安全。

加强电子政务信息系统的安全管理，落实信息安全责任制，将信息安全职责分工落实到人。各信息安全重点部门根据自身情况，制定包括安全责任制度、定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的信息安全规章制度。对电子政务系统的重要管理和维护人员要建立资质审查制度，要求持证上岗。对涉密信息系统，要严格从物理安全、运行安全、信息安全保密、安全保密管理四个方面进行统筹规划。

2.企业信息化与电子商务信息安全

企业信息安全保障的目标在于确保企业整体业务的连续性和企业商业秘密的安全，通过部署安全设备、建立信息安全管理和运行体系，保障企业信息系统的安全。企业在建设信息安全体系时，要充分利用陕西省的信息安全公共基础设施，避免保障不足和过度保护。对电信、银行、证券、铁道、电力、民航、交通运输和大中型国有企业等涉及国计民生的重要信息系统要强制实行信息安全等级保护。

电子商务中的信息安全，将以建立和完善网络信任体系为中心，利用身份认证、数字签名等技术，结合社会信用联合征信系统的建设和社会诚信体系的建立，从法律法规、标准规范、支付认证、安全可靠性和信息基础设施等方面，提高电子商务中的安全保障水平。“十二五”期间,陕西省将在电子商务第三方责任险、电子商务交易备案和取证、电子商务诚信体系等领域开展政策、法规、支撑技术方面的研究，并适时开展相关的试点示范工作，以充分降低电子商务的风险，促进电子商务的发展。

3.社区与社会信息化各领域信息安全

科技、教育、文化、广播电视、新闻出版、卫生等社会领域的信息化与社会生活息息相关，因此，保障这些领域的信息安全十分重要。

科技主管部门在开展科技信息服务、推进科技信息资源共享的同时，要加强对科技信息基础平台和资源的安全保护。教育部门要加强对内部敏感信息的安全防护，特别是对重要考试的试卷内容信息的保护，防止泄密事件的发生；在利用信息化改善教育质量、提高学生信息化水平的同时，要注意互联网上的各种不良信息对青少年的负面影响，在校园网络中采取技术措施对互联网的不良网站和不良信息进行屏蔽，保障未成年人的身心健康。文化部门要联合公安、工商等相关职能部门，采用日常检查、技术监控等措施，加强对网吧信息安全管理；同时，要加强对电子出版物、网络游戏、网络互动平台等的安全检查，保障信息服务业的健康发展。医疗卫生机构要注意对个人健康信息的保护，在利用各种医疗信息系统改善医疗质量的同时，要加强对医疗相关信息系统的安全防护，采取措施维护这些信息系统的稳定正常运行，保证医疗服务的连续性。

社区是社会信息化的基础和核心，是面向社区居民提供各类信息化服务的前沿，是信息安全工作的“落脚点”。一方面，在利用社区开展公共服务的过程中，要加强社区基础网络和应用系统的安全建设，重视对社区居民各类隐私信息的保护；另一方面，要利用社区信息化平台，对社区居民进行信息安全的相关宣传和培训，提高每位居民的信息安全意识，为网络与信息安全保障体系建设打下良好的群众基础。

（四）实施信息安全等级保护

1.大力推进信息安全等级保护

信息安全等级保护制度是我国开展信息安全保障工作的一项基本制度，是信息安全保障的工作重点。要按照国家在信息安全等级保护方面的相关要求，切实做好信息安全等级保护工作。

等级保护建设单位应从技术和管理上，分等级进行信息安全建设。在技术手段上，要从计算环境、边界保护、网络基础设施三个层面实施等级保护技术防御体系建设。在安全管理上，要按照计算机信息系统安全子系统的开发阶段和运行阶段的不同情况，从工程实施管理、系统运行管理、密码管理、应急处置管理、风险分析管理五个方面实施等级保护安全管理，保障对信息系统的管理可控性。

各信息资源和信息系统的运营、使用单位及其主管部门要在相关管理部门的指导下，按照等级保护的管理规范和技术标准，定期对已经完成安全等级保护建设的信息系统进行检查评估。网络与信息安全测评中心将按照等级保护相关管理规范和技术标准的要求，对各类信息系统的安全等级保护状况进行监督检查。

国家保密工作部门、密码管理部门以及其他职能部门按照职责分工进行审批、指导、监督、检查。

2.加强对重要信息系统的安全保障

等级保护的重点要优先考虑涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全。按照等级保护的相关要求，对能源、交通运输、社会保障、教育、广播电视等关系到国计民生的信息系统以及其他领域的重要信息系统，进行重点监督和管理。

对立项建设的信息化基础设施、信息化应用与推广、信息化改造与信息产业发展等重点信息化项目，应同步规划和实施相应的网络与信息安全保障体系，保证信息化重点项目建设中信息安全体系建设的资金投入。

（五）法律法规和标准体系建设

“十二五”期间，加快建立全省信息化法律法规体系，制定陕西省信息化促进条例、信息化建设项目管理办法、网络与信息安全管理办法及其他法规和规章。积极开展电子政务、信息安全等领域的标准和技术规范建设。

“十二五”期间考虑制定的信息安全技术标准和规范主要包括：电子政务统一平台信息安全技术要求；数据异地备份与灾难恢复技术规范；政府网站安全防护技术规范；电子政务业务系统访问控制及身份认证技术要求；陕西省社会保障卡信息安全技术要求；陕西省城市支付卡信息安全技术要求。

“十二五”期间考虑制定的信息安全实施指南主要包括：电子政务信息安全实施指南；电子商务信息安全实施指南；企业信息化信息安全实施指南；社区信息化信息安全实施指南；陕西省国家机关网络与信息系统安全定级指南；陕西省电子政务网络与信息安全管理指南；信息安全事件预防及应急处置指南。

“十二五”期间考虑制定的信息安全管理办法主要包括：陕西省电子政务信息安全管理办法（修订完善）；陕西省信息化建设项目管理办法；陕西省电子政务信息安全风险评估管理办法；陕西省电子政务网络与信息安全管理实施细则；陕西省电子政务等级保护管理办法；陕西省电子政务等级保护实施细则；陕西省国家机关重大信息安全事件报告制度；陕西省国家机关重大信息安全事件调查处理办法；陕西省电子政务数字证书使用管理办法。

（六）加快发展信息安全产业

“十二五”期间，要通过规划建设“信息安全产业基地”，吸引和培育一批优秀的信息安全龙头和骨干企业，围绕这些企业形成一定规模、相互配套的信息安全产业群。在产业政策指引上，根据陕西省以及国家建设网络与信息安全保障体系的需求，优先发展市场需要的信息安全产品和信息安全服务，尤其要加大对信息安全关键技术研发和自主创新、集成创新的支持力度，重点扶持有自主知识产权的软件产业。利用科技三项经费扶持信息安全领域的技术研究，推动信息安全相关研究成果的市场转化，促进信息安全产业的发展。同时，进一步优化信息安全产业发展的配套环境。

1.信息安全产品

信息安全产品包括：基础安全产品、整机类产品、安全增强信息技术产品和专用安全产品。基础信息安全产品发展的重点在提高性能，如发展高速加密芯片和模块、高速身份识别模块等产品；整机类安全产品的重点在于提高产品的整体档次，重点发展基于开放标准、具有良好兼容性和互操作性、智能集成的安全产品系列。

重点支持的产品种类有：安全管理中心产品、整合性的主机安全产品、整合性的网关类安全产品、整合类的监控产品、高性能网关类安全产品、高性能监控类安全产品。服务工具装备产品也将作为重点予以支持。专用安全产品/系统的产品线布局应该根据国家信息安全政策以及各职能部门的需求，重点扶持内容监控和管理、网上取证分析、攻防平台等。

2.产业发展配套环境

在产业发展配套环境建设方面，要在全省现有的信息产业发展政策的基础上，重点做好以下几项工作：

（1） 制定全省网络与信息安全科技和产业发展规划，为全省网络与信息安全产业的长期发展提供依据。

（2） 制定和落实全省信息安全产业发展的投融资、产品研发、产品测评、产品认证、销售管理等相关政策。根据《政府采购法》，研究制定信息安全产品政府采购政策和装备政策，在全省政府及金融、电信、电力等重要经济部门和基础设施领域推广使用国产信息安全产品，为信息安全产业发展提供市场支持。

（3） 充分发挥产业聚集效应，形成分工科学、产品结构完整的信息安全产业基地，促进信息安全企业之间的分工与协作，吸引各种产业资源，产生聚集效应，带动全省信息安全产业快速发展。

（4） 加强核心技术和重点产品的研发与产业化，提高国产信息安全产品的市场占有率。

五、保障措施

（一）建立完善组织管理体系

加强信息安全方面的组织和管理，完善全省信息安全的组织机构，确保全省信息安全工作正常开展。陕西省信息化领导小组是陕西省信息安全工作的最高决策机构。以陕西省信息化领导小组办公室作为全省信息安全工作的主要协调单位，向上对陕西省信息化领导小组负责，向下总管和协调陕西省各职能部门和单位的信息安全工作，条块结合，以块为主，健全信息安全领导负责制和信息安全通报制度。

在省信息化工作领导小组的统一领导下，建立信息安全联席会议制度，成立信息安全联席会议办公室，为陕西省信息安全各相关职能部门提供一个沟通、协调的平台，促进各个职能部门在信息安全工作上的协调一致。

（二）加强信息安全管理，落实责任制

按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的要求，分级、分层、分域管理，明确划分基础网络、业务系统和信息内容的安全责任，逐步建立健全全省网络与信息安全保障体系。加快电子政务网络信任体系建设，充分发挥监管服务职能，积极推进信息安全日常管理体系、行政执法体系、技术支撑体系和技术服务体系建设。加强互联网综合治理，强化依法监督、行业自律和社会监督，建立规范有序的互联网信息传播秩序。

（三）建立完善政策法规体系

认真贯彻落实国家和陕西省在信息安全方面的法规和政策，规范陕西省信息安全各项建设工作，切实落实各项管理措施，做到有法必依。加快地方性信息化法规建设，分类分层制定、修订相关的行政法规、规章制度，推进电子政务、电子商务、信息安全、信息资源开发利用、信息技术应用等信息安全工作走上规范化、制度化、法制化轨道。加快制定鼓励信息化及相关产业发展的政策，鼓励具有自主知识产权的网络与信息安全技术的研发，提高全省信息安全产品市场占有率。各信息安全重点单位要根据自身的信息安全等级保护要求，制定信息安全方面的各项规章制度。

（四）建立健全信息安全标准体系

根据应用需求，逐步完善信息安全标准体系，统一信息安全总体标准、应用标准、网络基础设施标准和管理运行维护等标准，为网络与信息安全保障、互联互通、信息共享、业务协同提供支持。加快制定电子政务网络与信息安全技术要求和规范等相关信息安全标准。加强标准的宣贯和培训工作，建立健全咨询与服务体系，强化标准在信息安全保障各个环节中的重要作用。

为确保信息安全标准体系的建立和完善，陕西省将在省信息化工作领导小组的统一领导下，由省信息办会同省质监局，成立相关信息安全标准管理机构，对口国家信息、安全标准化委员会。

（五）拓宽信息化资金筹措渠道

拓宽投融资渠道，吸引社会资金参与信息安全建设。加大对陕西省网络与信息安全工作的资金投入力度，在财政预算中安排信息安全建设和安全运维资金，并确保资金到位及专款专用。

（六）加大信息安全宣传、人才培养和培训力度

加强信息安全知识和文明上网的宣传工作，把信息安全宣传与科普工作、网络文明教育与培训结合起来，广泛传播信息安全基本知识，倡导网络文明，规范网络行为，强化网络道德约束。

努力加强信息安全专业人才培养，建立多层次信息安全人才的培养机制，积极进行信息安全人才储备。联合全省高等院校和科研机构，加强信息安全高层次专门人才的培养。制定信息安全人才吸引策略，建立信息安全专家信息库，提高全省信息安全专业人才培养的数量和质量。

（七）加大信息产业创新支持力度

完善高新技术产业优惠政策，引导和鼓励组建产、学、研相结合的工程技术研发中心，支持自主创新、培育集成创新和消化吸收再创新能力。扶持重大信息安全技术装备研发制造，鼓励软件企业提高产业化、工程化和具有自主知识产权产品的比重。鼓励高等院校积极开展基础信息安全技术创新、信息安全重大项目的前期研究，开展信息安全战略规划、发展评价、运营模式的软课题研究，提高政府信息安全决策、管理与服务能力。

课题组组长：朱志祥

课题组副组长：黄永宏

课题组成员：陈亚东　寇喜坤　王大江　王瑞刚　罗强强

　　　　　　许成鹏　邢林虎　汪陈伍　龙艳　刘盛辉