测绘地理信息领域重要信息系统商用密码应用规划(2016-2020年)
为深入贯彻落实党的十八大和十八届三中、四中、五中、六中全会精神,进一步推进测绘地理信息领域商用密码应用,强化测绘地理信息领域重要信息系统与数据安全,根据中办、国办有关文件精神,结合中央关于网络与信息安全的总体部署和《测绘地理信息事业“十三五”规划》,制定本规划。
一、规划背景
(一)规划依据
中办、国办在关于加强重要领域密码应用的有关文件中,对加强和规范测绘地理信息领域重要信息系统密码应用工作提出了明确要求。按照中央关于加强基准站建设和应用管理,进一步促进基准站应用服务的要求,国家测绘地理信息局会同有关部门研究,印发了《关于规范卫星导航定位基准站数据密级划分和管理的通知》(国测成发〔2016〕1号)和《卫星导航定位基准站建设备案办法(试行)》(国测法发〔2016〕4号),对基准站观测数据、数据中心数据、服务数据等受控管理和数据采集服务作出具体规定,提出了“普通基准站观测数据采用专网或商用密码手段加密保护后向数据中心进行传输”的要求。《测绘地理信息事业“十三五”规划》对加强关键网络基础设施和重要信息系统安全保障提出了明确要求。
(二)现状与需求
地理信息资源是国家重要的基础性、战略性信息资源,事关国家安全和战略利益,广泛应用于经济建设、社会发展和国防建设。近年来,随着地理信息应用的不断深入和普及,地理信息采集获取、网络传输、加工处理等日益智能化和自动化,地理信息行业投资主体与应用主体渐趋多元化、复杂化,给地理信息的安全保密带来严峻挑战,亟需通过密码应用等手段提高信息安全防护水平。
卫星导航定位基准站(以下简称基准站)是重要的国家空间基础设施。基准站的广泛应用,可以有效提高卫星导航定位精度,对于促进国土、测绘、交通、海洋、气象、地震等行业转型升级具有重要意义。我国基准站在迅速发展的同时,也带来一些安全隐患,例如采用互联网进行基准站的传输数据存在泄露风险、互联网服务用户身份验证不规范等,商用密码应用尚未规范,信息安全难以保障。
密码作为保护网络与信息安全的核心技术和基础支撑,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面有着不可替代的重要作用。确保测绘地理信息网络与信息系统安全,必须主动适应信息化测绘发展趋势,进一步加强测绘地理信息重要信息系统商用密码应用。
商用密码应用存在的问题
密码技术在保障测绘地理信息领域重要信息系统安全方面发挥了重要作用,但是,密码在测绘地理信息领域应用还存在许多不足,主要表现在:一是测绘地理信息领域密码应用尚处于起步阶段,有关单位和部门对地理信息重要性缺乏足够的重视,认识不到位,使用商用密码保护网络与信息安全的自觉性不够、主动性不强;二是重要信息系统商用密码应用相关标准尚未建立,亟需构建测绘地理信息领域统一的商用密码管理体系,进一步完善标准和相关制度;三是商用密码应用的深度和广度不够,面向大众服务的各类重要信息系统尚未应用安全可靠的商用密码技术,大量重要信息的保护存在较大安全隐患,在信息采集和数据交换等方面商用密码应用需加强,部分信息系统虽然应用了密码技术,但应用深度不够,尚未形成完善有效的网络信任和安全保护机制。
二、规划的目标、原则和范围
(一)总体目标
贯彻落实国家密码管理政策法规和标准,实行统一领导、归口管理、分级负责,稳步有序推进测绘地理信息领域商用密码应用推广工作,增强网络安全防护和风险防控能力,确保商用密码使用优质高效,确保商用密码管理安全可靠。基本建立测绘地理信息领域重要信息系统商用密码保障管理体系和标准体系,提升商用密码使用管理和服务水平。
对需要采取密码保护的新建网络和信息系统,应当做到系统建设与商用密码保护同步规划、同步建设、同步运行,已建重要信息系统密码应用逐步进行改造。力争到2018年完成测绘地理信息领域重要信息系统应用示范,形成可推广方案,建立商用密码应用标准规范,2020年实现密码在测绘地理信息领域重要信息系统的全面应用。
(二)基本原则
——统筹规划,协调推进。统筹各方资源,加强协调配合,强化顶层设计、分类指导,科学制定测绘地理信息领域重要信息系统商用密码应用规划,建立健全商用密码应用标准体系,分阶段、分步骤推进商用密码应用。
——着眼长远,创新发展。着眼于新形势新任务对测绘地理信息工作提出的新要求新挑战,坚持深度应用和保障安全同步推进,促进科技创新、应用创新、服务创新、管理创新,以安全保应用、以应用促安全,着力提升测绘地理信息领域网络和信息系统整体安全保障能力和水平。
——自主可控,确保安全。严格遵循国家网络与信息安全相关技术标准,以密码算法、技术和产品为依托,大力推进安全可靠的商用密码技术和产品广泛应用,为测绘地理信息领域网络和信息系统安全构筑自主可控的密码安全防线。
(三)规划范围
本规划着眼于保障测绘地理信息领域重要信息系统安全,包括已建、在建、新建的基准站网数据信息的传输和使用安全;面向社会服务的测绘地理信息政务信息系统及其他重要的网络与信息系统。
三、主要任务
(一)推进基准站网商用密码应用
1. 摸清基准站商用密码应用需求。在对基准站建设和应用情况调查的基础上,掌握其建设和运营单位、建设范围、主要用途、覆盖范围、数据传输方式及软硬件设备性能指标等基本情况,按照国测成发〔2016〕1号和国测法发〔2016〕4号文件要求,分析梳理本地区本部门基准站数据传输密码应用需求,掌握未通过专网传输基准站数据的基本情况及分发服务情况。
2. 制定商用密码应用实施方案。在梳理商用密码应用需求基础上,开展基准站网商用密码应用总体设计,对包括商用密码应用政策、密码应用标准、密码应用方案、密码产品、密码管理、密码运维等方面的内容进行规范,针对高精度空间地理数据安全需求,形成具有测绘地理信息领域重要信息系统工作特点、方便应用、安全可靠的商用密码应用体系。针对基准站建设和应用管理实际,采用商用密码算法和产品,围绕数据传输、应用服务、运维管理等方面,分步、分类、分级制定商用密码应用和升级改造实施方案。
3. 商用密码应用试点示范和推广应用。根据基准站投资建设主体多元化实际,分步开展应用试点示范。选择测绘地理信息及相关部门建设的基准站,开展商用密码应用改造试点工作。在取得示范经验基础上,再从各级各类基准站建设部门中扩大试点范围,成熟之后推广应用到全国卫星导航定位基准站。
(二)推进面向社会服务的测绘地理信息政务信息系统商用密码应用
4. 强化面向社会服务的政务信息系统商用密码应用。认真落实国务院《关于加快“互联网+政务服务”工作的指导意见》,依托“互联网+”开展政府管理创新,破解难点痛点和堵点问题,提高政务服务质量和实效。在国家测绘地理信息局网上办事服务大厅、测绘资质管理系统、行政审批管理系统、行业信用信息管理平台、测绘地理信息综合监管平台、互联网地图监管系统、网络标准过滤系统等政务服务与业务管理系统中推进商用密码应用,在身份认证、数字签名、可靠传输、移动办公、移动执法等领域开展商用密码典型应用示范,解决网络用户身份认证、隐私保护等问题,实现电子签章、安全接入和信息保护。
(三)建立健全商用密码应用标准体系
5. 制定商用密码应用标准。在基准站网商用密码应用试点示范,以及政务系统商用密码试应用基础上,开展商用密码应用标准体系研究,制定商用密码应用标准,在密码产品、密码技术、密码应用、密码管理、密码服务、密码检测等方面形成契合测绘地理信息安全需求的标准,规范商用密码在测绘地理信息领域的应用。加大商用密码标准宣传贯彻和培训力度,增进相关人员对商用密码标准的理解。建立商用密码标准应用实施的评价和监管机制,引导相关部门和单位更好地贯彻实施密码标准。
(四)加强科技创新,推动商用密码广泛应用
6. 探索测绘地理信息数据采集、生产加工、应用服务等各方面的商用密码应用科学技术研究,加大科技创新力度,规划设计符合国家标准和测绘地理信息行业特点要求的密码算法、专用算法芯片、专用平台和密码系统,形成一批满足测绘地理信息领域生产服务需求、满足信息安全保护需求的系列密码产品。结合工作实际需要,探索推动商用密码在测绘地理信息应用系统和测绘生产过程中的广泛应用。
四、时间安排
2016年4月,启动卫星导航定位基准站商用密码应用情况梳理工作,2017年8月前完成。
2016年11月,启动卫星导航定位基准站密码应用标准体系研究,2018年12月前编制形成商用密码应用标准。
2017年1月,启动面向社会服务的测绘地理信息政务信息系统商用密码应用研究,结合新政务信息系统开发建设,明确商用密码应用需求,调研商用密码应用产品。
2017年6月,启动卫星导航定位基准站、面向社会服务的政务信息系统商用密码应用试点示范建设工作,2018年6月前完成。
2018年6月前,建立第一批商用密码设备和产品采购目录。
2018年12月前,完成卫星导航定位基准站、面向社会服务的政务信息系统商用密码应用或升级改造实施方案制定。
2019年10月前,启动检测评估工作。
2020年,全面完成商用密码应用建设或升级改造。
五、保障措施
(一)加强组织领导。各级测绘地理信息行政主管部门要将商用密码应用工作摆上重要议事日程,切实加强组织领导,在密码管理部门指导下,按照“谁主管谁负责、谁建设谁负责、谁运行谁负责”的要求,坚持保障安全、分级负责、协调配合的原则,形成各负其责、齐抓共管的工作格局。要及时了解密码应用工作进展情况,积极协调解决工作中遇到的困难和问题。
(二)健全经费保障。要按照“谁建设谁负责”的原则,落实经费投入。各级测绘地理信息行政主管部门要会同密码管理部门积极争取发改、财政等有关部门支持,加大商用密码应用必要投入,对商用密码应用重点任务、应用示范、升级改造等予以大力支持。测绘地理信息、密码管理部门联合督促检查本规划确定的密码应用任务落实。
(三)加强教育培训。加强测绘地理信息领域商用密码应用人才教育与培养。组织开展多种形式的密码培训,加大密码应用宣传力度,提高各部门各单位人员对商用密码政策和技术的了解,促进密码应用工作深入开展。按照承担的商用密码应用工作任务,充实人员力量。加大适应测绘地理信息领域商用密码应用需求的人才培养力度,做好专业培训、专业技能考核、人才引进等工作。
(四)加强应急管理。各有关单位和部门要加强对密码应用推进工作中安全事件的预警预防,建立联动机制,制定工作预案,健全规章制度,细化应急流程,完善应急手段,提高应对各种复杂情况和意外突发事件的能力,及时处置重大安全事件,确保网络和信息系统的安全。
(五)强化监督检查。要建立本地区本部门密码应用工作推进情况通报机制,对工作中遇到的新情况、新问题及推进工作中的重要节点、进度情况及时进行通报和交流,将密码推进工作纳入考核内容,对工作推进不力的及时问责,确保加强密码应用各项政策措施落到实处。