深圳市信息化发展“十二五”规划(20)

网络信任体系。建立健全电子认证兼容和综合监管平台，规范电子认证服务，加快数字证书的发放和推广应用，健全涵盖认证和注册、证书管理、密钥管理、不可否认服务的PKI体系。推动国家、省、市各级CA的互认证，加强电子商务认证体系的国际合作，构建严格层次结构和分布式结构的PKI信任模型，实现数字证书的一证通用、一证多用。鼓励企业积极参与电子认证工作，加强信息加密技术的开发，不断降低数字证书应用成本。健全包含AC（属性证书）、AA（属性权威机构）、属性证书库的PMI体系，实现权限和证书的产生、管理、存储、分发和撤销等功能，完善基于AC的授权和访问控制机制，实现资源访问控制权的统一管理，强化重要信息系统的授权与访问控制，为电子政务与电子商务应用提供坚实的安全保障。

网络系统安全防范。建设信息安全监控体系，加强网络系统安全技术保障，完善OSI（开放系统互联）安全体系结构。通过SSL/TLS（安全套接字层/传输层安全）、VPN（虚拟专用网）、IPSec（互联网协议安全）等技术保障传输层和网络层信息安全。推广SET（安全电子交易）在电子商务领域的应用，保护互联网上信用卡交易安全。支持信息安全核心技术自主研发，提高应对网络攻击、病毒入侵、网络失窃密的防范能力。

信息安全测评体系。充分发挥第三方信息安全机构在安全保障体系中的积极作用，建设覆盖全市的信息安全测评体系，通过测试环境构造与仿真、有效性测试、负荷与性能测试、攻击测试、故障测试、一致性与兼容性测试，对信息安全产品、重要的网络与信息系统的安全性进行验证、测试、评价和定级，规范系统安全特性，为信息安全厂商和用户提供测评服务。积极研究借鉴TCSEC（可信计算机系统评估准则）、ITSEC（信息技术安全评估准则）、CC（信息安全评估通用准则）等信息安全评估准则，不断建立新的检测和评估手段，保证基准测试的一致性和评估的客观性，加强对高安全等级产品和系统的形式化分析能力，重点保障基础信息网络、党政机关内部网络和财政、金融、商务、电力、交通、能源等领域信息系统的安全。

应急和灾难备份。积极开展重要信息系统风险评估和业务影响分析，确定RTO（恢复时间目标）和RPO（恢复点目标），通过自建灾难备份中心、共建灾难备份中心、服务外包等模式，统筹规划灾难备份建设。鼓励交叉备份、互为备份，鼓励社会力量参与灾难备份建设和技术服务，完善应急处理机制，提升响应恢复能力，增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力，确保重要数据的安全和关键业务可以持续服务，减少灾难造成的损失。

信息安全管理。建立健全信息安全管理制度，不断完善和更新信息安全规划，确立实施安全措施的机构、人员及其工作制度。对不同安全等级的信息系统和安全设备，开展信息安全风险评估，实行等级保护。加强信息安全预警和应急处理，重点保障基础信息网络和重要信息系统安全。积极跟踪、研究和掌握国际信息安全领域的先进理论、新型应用和发展动态，完善信息安全法律法规，加快信息安全人才培养，增强市民信息安全意识。