摘 要 随着我国Internet用户的高速增长,信息安全问题受到越来越多的关注,小到网上购物,大到国家军事,都需要信息安全技术进行支撑。本文结合IT新技术、专利大数据时代的来临、专利审查协作中心快速发展、远程公办尝试等国知局临的新形式,提出了信息安全建设的一些对策。
【关键词】信息安全 IT新技术
1 引言
目前以互聯网快速发展为依托的第三次工业革命正在到来,信息技术正在经历一场新的革命,我们进入网络时代的合作经济,信息安全也越来越重要。虚拟化、云计算、物联网、IPV6等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。在“云计算”、“云存储”发展起来后,“云安全”技术也快速成熟起来,在病毒软件中得到了很好的应用,取得了不错的效果。虚拟化安全是虚拟化技术发展过程中不可忽视的重要环节,另外,物联网技术的推广和运用,对国家和企业、公民的信息安全和隐私保护问题提出了严峻的挑战。
2 专利大数据时代的来临
近几年,我国对知识产权越来越重视,国家知识产权局也在实施强局建设,政府也鼓励双创活动,人们的创新意识,对专利的需求不断提高,我国专利申请量快速增长,目前已居世界第一。我国2016年受理专利申请133.9万件,同比增长21.5%,授权发明专利40.4万件。我们必须做好专利大数据时代来临的准备工作,常规技术已经难以应对PB(1024TB)级的大规模数据量,如何在复杂的数据环境下实现高效的数据安全成为关键问题。
3 专利审查协作中心快速发展
为了更好适应我国知识产权事业的快速发展,在专利工作“十二五”规划中,明确提出构建全国专利信息公共服务体系,建立、完善1个国家专利数据中心、5个区域专利信息服务中心的专利信息服务推进工程。2011年9月8日,国家知识产权局专利审查协作中心更名为国家知识产权局专利局专利审查协作北京中心,标志着北京审协的成立。随后江苏审协、广东审协、河南审协相继成立。专利审查协作中心发展迅速并且地域分布比较散,给信息安全建设带来了巨大的挑战。
4 远程办公尝试
国知局从提高工作效率、提升人文关怀、节约行政成本、缓解交通拥堵等方面考虑,选择相关岗位上适合的人员来进行远程办公,从2009年开始探索审查岗位远程办公的业务运行模式和信息化支持能力,并于2010年9月开始了试点工作。远程办公作为一种开放式的基础环境,面临极大的信息安全风险。在开放式的环境中如何保障信息的完整性、安全性及可控性是至关重要的。
5 信息安全建设对策
国知局信息安全需要考虑组织、系统建设、技术、运维、应急、检查、创新、培训八个方面。
5.1 组织体系
信息安全组织体系是对人的管理,是信息安全保障的基础,只有信息安全组织体系有效运转,其它体系才能实现,信息安全组织体系从组成上来看可以分为信息安全组织结构、信息安全组织运作方法、信息安全岗位职责、信息安全人员构成、信息安全组织考核、处罚原则等几方面。当前我局需要完成的任务为完善信息安全组织结构、建立完善信息安全组织的运作办法、建立完善信息安全人员的岗位职责要求,然后逐步进行信息安全队伍建设,并建立完善信息安全组织的考核和处罚办法。
5.2 系统建设体系
系统建设体系是基于信息系统的全生命周期进行管理,是业务运作及管理的重要保障,是提高信息系统质量的关键。通过对系统建设体系的任务分解,并对任务从风险程度、实施难度等方面的分析,对任务的实施提出建议,当前可以考虑主要进行系统生命周期管理的制度建设、管理平台建设等,后续进行外包管理、验收交付等细化完善工作。
5.3 技术体系
信息安全技术体系可以分为物理层、网络层、系统层、应用层、数据层、终端、安全基线、安全策略、身份认证和鉴别、安全管理中心和安全审计等几部分,当前我局需要完成的任务次序为安全加固、服务器安全、漏洞管理、补丁管理和CA认证体系,这几大方面应该是风险程度较低、实施难度较小且时间较为紧迫的任务,是最先需要完成的,后续的任务应该以各个层次的安全策略设计、安全域的划分、身份认证和鉴别以及安全审计为主。
5.4 安全运维体系
信息安全运维体系可以分为配置管理、事件管理、问题管理、发布管理、服务级别管理、知识管理、财务管理、供应商管理、变更管理以及辅助流程管理等几方面,当前我局需要完成的任务为建立或完善配置管理及建立或完善供应商管理和辅助流程管理的管理制度和安全要求,这几方面应该是风险程度较低、实施难度较小且时间较为紧迫的任务,后续的任务应该以知识管理为主。
5.5 应急体系
应急体系是在紧急、灾难等事件发生时,最大限度地减小损失,最快地恢复业务的主要保障,只有建立了包括事前、事中、事后的完整的处理机制和措施,贯彻了人员职责,准备了应急处理设施,才能更有效得应对灾难事件。目前我局已有同城、异地灾备中心,后续还需要进行其它应急设施、应急预案、应急计划、应急手册等方面的全方位的建设。
5.6 检查体系
信息安全检查体系可以分为安全检查、安全度量、安全绩效、等保建设以及分保建设几方面,当前我局需要完成的任务为等保和分保的建设,虽然这两部分的风险程度偏高,但这是目前我局重点的建设部分,应该优先进行建设和部署,安全检查、安全度量和安全绩效等任务可以后续进行。
5.7 创新体系
信息安全创新体系可以分为IT新技术安全、新业务安全两方面,其中的IT新技术安全可以分为管理制度的建立、云安全研究、虚拟化安全研究、物联网安全研究、IPV6安全研究、移动互联网的安全研究,新业务安全是针对我局目前较为迫切的需求而制定的:主要分为新业务安全研究的管理制度、移动办公的安全研究,当前我局需要完成的任务为对新业务安全的保障,新业务安全研究的管理制度,建立移动办公的安全框架和安全措施,对于IT新技术应该将重点放在虚拟化和云安全的架构研究和最佳实践上面,这几大方面应该是风险程度较低、实施难度较小且时间较为紧迫的任务,如IPV6和物联网等安全研究任务可以后续再逐步进行实施。
5.8 培训体系
信息安全培训体系是将信息安全贯彻到每项具体工作中的关键,通过培训,使全员理解贯彻安全管理制度和掌握必要的安全措施,安全工作才能取得实效。可以首先建立信息安全培训管理制度,将培训工作长期化、常态化、制度化,并建立信息安全培训平台,完善信息安全知识库,最后对培训的效果进行评估和考核。
作者简介
于文奇(1982-),男。高级/硕士。研究方向为机房运维管理。
作者单位
中国专利信息中心 北京市 100088