國知局的信息安全建設(shè)對策

摘 要 隨著我國Internet用戶的高速增長，信息安全問題受到越來越多的關(guān)注，小到網(wǎng)上購物，大到國家軍事，都需要信息安全技術(shù)進(jìn)行支撐。本文結(jié)合IT新技術(shù)、專利大數(shù)據(jù)時代的來臨、專利審查協(xié)作中心快速發(fā)展、遠(yuǎn)程公辦嘗試等國知局臨的新形式，提出了信息安全建設(shè)的一些對策。

【關(guān)鍵詞】信息安全 IT新技術(shù)

1 引言

目前以互聯(lián)網(wǎng)快速發(fā)展為依托的第三次工業(yè)革命正在到來，信息技術(shù)正在經(jīng)歷一場新的革命，我們進(jìn)入網(wǎng)絡(luò)時代的合作經(jīng)濟(jì)，信息安全也越來越重要。虛擬化、云計算、物聯(lián)網(wǎng)、IPV6等新技術(shù)、新應(yīng)用和新模式的出現(xiàn)，對信息安全提出了新的要求，拓展了信息安全產(chǎn)業(yè)的發(fā)展空間。在“云計算”、“云存儲”發(fā)展起來后，“云安全”技術(shù)也快速成熟起來，在病毒軟件中得到了很好的應(yīng)用，取得了不錯的效果。虛擬化安全是虛擬化技術(shù)發(fā)展過程中不可忽視的重要環(huán)節(jié)，另外，物聯(lián)網(wǎng)技術(shù)的推廣和運(yùn)用，對國家和企業(yè)、公民的信息安全和隱私保護(hù)問題提出了嚴(yán)峻的挑戰(zhàn)。

2 專利大數(shù)據(jù)時代的來臨

近幾年，我國對知識產(chǎn)權(quán)越來越重視，國家知識產(chǎn)權(quán)局也在實施強(qiáng)局建設(shè)，政府也鼓勵雙創(chuàng)活動，人們的創(chuàng)新意識，對專利的需求不斷提高，我國專利申請量快速增長，目前已居世界第一。我國2016年受理專利申請133.9萬件，同比增長21.5%，授權(quán)發(fā)明專利40.4萬件。我們必須做好專利大數(shù)據(jù)時代來臨的準(zhǔn)備工作，常規(guī)技術(shù)已經(jīng)難以應(yīng)對PB（1024TB）級的大規(guī)模數(shù)據(jù)量，如何在復(fù)雜的數(shù)據(jù)環(huán)境下實現(xiàn)高效的數(shù)據(jù)安全成為關(guān)鍵問題。

3 專利審查協(xié)作中心快速發(fā)展

為了更好適應(yīng)我國知識產(chǎn)權(quán)事業(yè)的快速發(fā)展，在專利工作“十二五”規(guī)劃中，明確提出構(gòu)建全國專利信息公共服務(wù)體系，建立、完善1個國家專利數(shù)據(jù)中心、5個區(qū)域?qū)＠畔⒎?wù)中心的專利信息服務(wù)推進(jìn)工程。2011年9月8日，國家知識產(chǎn)權(quán)局專利審查協(xié)作中心更名為國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作北京中心，標(biāo)志著北京審協(xié)的成立。隨后江蘇審協(xié)、廣東審協(xié)、河南審協(xié)相繼成立。專利審查協(xié)作中心發(fā)展迅速并且地域分布比較散，給信息安全建設(shè)帶來了巨大的挑戰(zhàn)。

4 遠(yuǎn)程辦公嘗試

國知局從提高工作效率、提升人文關(guān)懷、節(jié)約行政成本、緩解交通擁堵等方面考慮，選擇相關(guān)崗位上適合的人員來進(jìn)行遠(yuǎn)程辦公，從2009年開始探索審查崗位遠(yuǎn)程辦公的業(yè)務(wù)運(yùn)行模式和信息化支持能力，并于2010年9月開始了試點工作。遠(yuǎn)程辦公作為一種開放式的基礎(chǔ)環(huán)境，面臨極大的信息安全風(fēng)險。在開放式的環(huán)境中如何保障信息的完整性、安全性及可控性是至關(guān)重要的。

5 信息安全建設(shè)對策

國知局信息安全需要考慮組織、系統(tǒng)建設(shè)、技術(shù)、運(yùn)維、應(yīng)急、檢查、創(chuàng)新、培訓(xùn)八個方面。

5.1 組織體系

信息安全組織體系是對人的管理，是信息安全保障的基礎(chǔ)，只有信息安全組織體系有效運(yùn)轉(zhuǎn)，其它體系才能實現(xiàn)，信息安全組織體系從組成上來看可以分為信息安全組織結(jié)構(gòu)、信息安全組織運(yùn)作方法、信息安全崗位職責(zé)、信息安全人員構(gòu)成、信息安全組織考核、處罰原則等幾方面。當(dāng)前我局需要完成的任務(wù)為完善信息安全組織結(jié)構(gòu)、建立完善信息安全組織的運(yùn)作辦法、建立完善信息安全人員的崗位職責(zé)要求，然后逐步進(jìn)行信息安全隊伍建設(shè)，并建立完善信息安全組織的考核和處罰辦法。

5.2 系統(tǒng)建設(shè)體系

系統(tǒng)建設(shè)體系是基于信息系統(tǒng)的全生命周期進(jìn)行管理，是業(yè)務(wù)運(yùn)作及管理的重要保障，是提高信息系統(tǒng)質(zhì)量的關(guān)鍵。通過對系統(tǒng)建設(shè)體系的任務(wù)分解，并對任務(wù)從風(fēng)險程度、實施難度等方面的分析，對任務(wù)的實施提出建議，當(dāng)前可以考慮主要進(jìn)行系統(tǒng)生命周期管理的制度建設(shè)、管理平臺建設(shè)等，后續(xù)進(jìn)行外包管理、驗收交付等細(xì)化完善工作。

5.3 技術(shù)體系

信息安全技術(shù)體系可以分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、終端、安全基線、安全策略、身份認(rèn)證和鑒別、安全管理中心和安全審計等幾部分，當(dāng)前我局需要完成的任務(wù)次序為安全加固、服務(wù)器安全、漏洞管理、補(bǔ)丁管理和CA認(rèn)證體系，這幾大方面應(yīng)該是風(fēng)險程度較低、實施難度較小且時間較為緊迫的任務(wù)，是最先需要完成的，后續(xù)的任務(wù)應(yīng)該以各個層次的安全策略設(shè)計、安全域的劃分、身份認(rèn)證和鑒別以及安全審計為主。

5.4 安全運(yùn)維體系

信息安全運(yùn)維體系可以分為配置管理、事件管理、問題管理、發(fā)布管理、服務(wù)級別管理、知識管理、財務(wù)管理、供應(yīng)商管理、變更管理以及輔助流程管理等幾方面，當(dāng)前我局需要完成的任務(wù)為建立或完善配置管理及建立或完善供應(yīng)商管理和輔助流程管理的管理制度和安全要求，這幾方面應(yīng)該是風(fēng)險程度較低、實施難度較小且時間較為緊迫的任務(wù)，后續(xù)的任務(wù)應(yīng)該以知識管理為主。

5.5 應(yīng)急體系

應(yīng)急體系是在緊急、災(zāi)難等事件發(fā)生時，最大限度地減小損失，最快地恢復(fù)業(yè)務(wù)的主要保障，只有建立了包括事前、事中、事后的完整的處理機(jī)制和措施，貫徹了人員職責(zé)，準(zhǔn)備了應(yīng)急處理設(shè)施，才能更有效得應(yīng)對災(zāi)難事件。目前我局已有同城、異地災(zāi)備中心，后續(xù)還需要進(jìn)行其它應(yīng)急設(shè)施、應(yīng)急預(yù)案、應(yīng)急計劃、應(yīng)急手冊等方面的全方位的建設(shè)。

5.6 檢查體系

信息安全檢查體系可以分為安全檢查、安全度量、安全績效、等保建設(shè)以及分保建設(shè)幾方面，當(dāng)前我局需要完成的任務(wù)為等保和分保的建設(shè)，雖然這兩部分的風(fēng)險程度偏高，但這是目前我局重點的建設(shè)部分，應(yīng)該優(yōu)先進(jìn)行建設(shè)和部署，安全檢查、安全度量和安全績效等任務(wù)可以后續(xù)進(jìn)行。

5.7 創(chuàng)新體系

信息安全創(chuàng)新體系可以分為IT新技術(shù)安全、新業(yè)務(wù)安全兩方面，其中的IT新技術(shù)安全可以分為管理制度的建立、云安全研究、虛擬化安全研究、物聯(lián)網(wǎng)安全研究、IPV6安全研究、移動互聯(lián)網(wǎng)的安全研究，新業(yè)務(wù)安全是針對我局目前較為迫切的需求而制定的：主要分為新業(yè)務(wù)安全研究的管理制度、移動辦公的安全研究，當(dāng)前我局需要完成的任務(wù)為對新業(yè)務(wù)安全的保障，新業(yè)務(wù)安全研究的管理制度，建立移動辦公的安全框架和安全措施，對于IT新技術(shù)應(yīng)該將重點放在虛擬化和云安全的架構(gòu)研究和最佳實踐上面，這幾大方面應(yīng)該是風(fēng)險程度較低、實施難度較小且時間較為緊迫的任務(wù)，如IPV6和物聯(lián)網(wǎng)等安全研究任務(wù)可以后續(xù)再逐步進(jìn)行實施。

5.8 培訓(xùn)體系

信息安全培訓(xùn)體系是將信息安全貫徹到每項具體工作中的關(guān)鍵，通過培訓(xùn)，使全員理解貫徹安全管理制度和掌握必要的安全措施，安全工作才能取得實效。可以首先建立信息安全培訓(xùn)管理制度，將培訓(xùn)工作長期化、常態(tài)化、制度化，并建立信息安全培訓(xùn)平臺，完善信息安全知識庫，最后對培訓(xùn)的效果進(jìn)行評估和考核。

作者簡介

于文奇（1982-），男。高級/碩士。研究方向為機(jī)房運(yùn)維管理。

作者單位

中國專利信息中心 北京市 100088