關于加強我國基礎網絡和重要信息系統安全建設的思考

近幾年來，面對國際金融危機，我國經濟持續快速發展，一枝獨秀。信息化步伐逐步加快，在促進經濟發展、調整經濟結構、改造傳統產業和提高人民生活質量等方面發揮了不可替代的重要作用。社會經濟對信息化的依賴程度越來越高，在實踐中逐步建設和積累了一批寶貴的信息資產。

與之而來的“黑客”攻擊網絡事件等各類計算機犯罪屢有發生，手段技術化程度也越來越高，從而對各國的主權、安全和社會穩定構成了威脅。互聯網絡涉及社會經濟生活各個領域，并直接與世界相聯，可以說是國家的一個政治“關口”，一條經濟“命脈”。網絡與信息安全已上升為一個事關國家政治穩定、社會安定、經濟有序運行和社會主義精神文明建設的全局性問題。

互聯網絡涉及社會經濟生活各個領域

隨著信息技術日新月異的發展，近些年來，國家公用基礎設施對信息化的應用要求在逐步提高，信息網絡覆蓋面也越來越大，網絡的利用率穩步提高。國家政治、經濟、金融、文化越來越依賴基礎網絡和信息系統的穩定運行，信息化給我們帶來便利的同時，各種網絡與信息系統安全問題日益凸現。

我國信息安全面臨嶄新形勢和嚴峻挑戰

當前，世界信息化進入斷代發展階段，物聯網正在推動網絡空間從計算與通信世界延伸到物理實體世界。聯合國宣稱：“盡管互聯網用戶將數以幾十億，然而在物聯網時代，人類卻可能成為少數派；與物聯網促成的變化相比，互聯網帶來的安全問題將相形見絀。”物聯網等新技術發展勢必對國家安全產生巨大影響。總體說來，對于新的信息時代人們還處在“瞎子摸象”階段。

人們對新的信息時代的認識類似 “瞎子摸象”

網絡與信息安全面臨日益復雜嚴峻的形勢。進入新世紀以來，經濟社會發展對信息網絡和信息化的依賴程度越來越高，信息化已成為推動社會和經濟發展的重要力量和各國競相爭奪的制高點，國際信息化大勢不可逆轉。隨著中國迅速崛起引起國際社會的廣泛關注，信息化不僅成為經濟發展的強大推動力，而且成為中國聯接世界的重要紐帶。在全球網絡空間國際競爭日趨激烈的背景下，我國的信息安全問題更加錯綜復雜。

信息安全已成為維護國家利益和保障國家安全的重要戰場，反映和代表了國家和社會的根本利益。西方發達國家憑借在核心信息技術、產品和服務的優勢形成信息安全強勢，并借助在市場領域、國際標準領域的主導地位謀求網絡空間的主導權，信息安全問題已經成為國際網絡空間競爭的最前沿和焦點。面對網絡與信息安全的新形勢、新情況，我國信息安全工作仍然存在一些亟待解決的問題。

在我國信息化建設工作中，信息化的發展，特別是新技術與新應用迅猛發展中，出現安全問題不足為怪，但卻給管理和治理帶來新挑戰和巨大壓力。我國戰略等頂層工作有待加強；自主創新能力較弱；現有信息安全保障體系建設還不能完全滿足信息化的安全需要；保障措施不到位；我國在信息安全國際交流與爭取活語權的地位有待提高。

公安部網站最近公布的調查結果顯示，我國信息網絡安全事件發生比例連續3年呈上升趨勢，2010年已經達到65.7%，較2009年上升11.7%。我國信息安全事件的主要類型是：網絡失密和被竊現象多有發生、敵對勢力利用網絡造謠誹謗、煽動動亂、網絡攻擊和網頁篡改、惡意代碼破壞信息系統、垃圾電子郵件堵塞網絡致使網絡和系統不可用等。此外，境外敵對勢力利用信息通訊網絡造謠誹謗、組織動員、煽動鬧事和破壞，國外反華勢力加大對我意識形態和文化滲透，鼓吹利用互聯網推進民主和人權。不良和有害信息屢禁不止，利用信息網絡技術從事犯罪活動日益猖獗，網絡群體層出不窮，網上輿論傳播直接影響社會穩定。通訊與信息網絡上失泄密及竊密事件時有發生，直接影響政府管理效率和公眾形象。病毒肆虐、黑客侵擾、系統故障等造成的經濟損失呈逐年增長態勢。

波濤洶涌的信息技術革命和信息網絡化浪潮在給人類帶來良好機遇的同時，也帶來了日趨激烈的信息競爭。信息安全威脅和挑戰越來越嚴重，對人類社會的沖擊越來越廣泛、越來越深刻，迫使人們研究應對的戰略和策略。信息安全的新形勢對我國的信息安全有著全面和深刻的影響。面對日趨激烈的信息戰，科學冷靜分析測評我國信息安全的形勢，制定和實施適應新形勢的信息安全戰略和規劃，對于構建我國信息安全保障新體系意義重大。

渡過信息化和信息安全保障體系建設的磨合期

我國已經成為信息大國，但還不是信息強國。我國信息化發展不均衡，其中信息安全建設欠賬較多。從國際范圍來看，我國互聯網上信息資源和輿情掌控存在短板，我國特有的國情和社會主義體制帶來了信息安全獨特的錯綜復雜性。

網絡信息安全與我國改革進程中的熱點問題、不穩定因素互相交織，網絡信息內容安全和輿情導向已經影響到執政能力甚至政治安定和政權的穩定。信息已經成為政府、重要行業、企業以及個人的重要資產，其可靠性、安全性和完整性關系到政府、重要行業以及企業的生存力和競爭力。信息系統已經成為我國能源、交通、金融等領域的關鍵基礎。

信息安全直接影響到關鍵基礎設施的正常運轉，一旦發生安全問題，就可能導致大面積停電、交通癱瘓、通信中斷，各行業管理失控等問題，不僅會嚴重影響人們正常的生產生活，還會嚴重干擾正常的社會經濟秩序，造成重大經濟損失和社會影響（例如大型電子商務平臺造成的過境數據流問題）。信息安全成為信息化發展的重要問題之一，我們必須平穩渡過信息化和信息安全保障體系建設的磨合期。

應該看到，我國信息安全保障體系的建設工作尚存在許多不足：頂層設計不夠完整和系統；許多具體環節和實施策略重點不夠突出，容易產生眉毛胡子一把抓的現象；目前信息系統等級保護工作落實有一定的偏差，一些信息系統存在保護不夠和過保護的問題；不少系統缺失系統完整的應急預案；在信息安全戰略上缺乏持續的深入研究和綜合協調；特別是缺乏態勢感知、形勢研判、預測預警；缺乏涉及信息安全的基礎理論（如網絡協議）和核心技術的研究。

目前來看，我們對“發展與安全的辯證關系”的認識還不夠到位；依法治理網絡信息安全的法制工作不到位；落實“國家主導、行業自律、企業盡責、個人守法”的原則不到位。信息安全責任不能由國家全部包攬，而是應當由國家、行業組織、企業和個人在法律的框架下各負其責、分兵把守。

信息安全工作既不能麻痹大意，也不能驚慌失措，還要謹防對形勢的誤判。信息化進程是和社會進步進程是一并發展的，不會一帆風順。而安全問題永遠是和信息化進程相伴相生的，安全對信息化進程的穩定性存在著必然的擾動性，兩者之間的關系是一種非線性的動態關系。問題的關鍵在于如何提升信息化進程自身對安全擾動的抗干擾能力。例如做好動態分析，尋找那些朝著正面和積極方向發展的特征根，盡量減少或避開那些發生負面影響、引發震蕩的特征根或特征區間。

重要信息系統安全保障體系建設

重要信息系統是部門、單位甚至國家正常運轉不可缺少的部分，是執行其任務的重要手段。當前，國家、部門、企事業單位乃至個人對信息系統的依賴性越來越大，已成為涉及單位發展甚至國家穩定的重要問題。從另一方面看，由于重要信息系統規模大，技術復雜，涉及人員多，也使其安全保障困難，而要達到一定安全標準，所需的投入也相當大。重要信息系統的地位、功能使其安全保障水平極為關鍵。

重要信息系統不僅僅完成一般的數據處理任務，而是要擴大到對整個計劃、預測、決策管理的支持，是系統管理、經營的一環。社會重要部門的主要管理業務的信息化，系統安全一旦出現問題，就意味著許多管理工作無法正常進行。重要信息系統不能正常工作，將打亂某些經濟運行工作，無法解決出現的問題，引起管理的混亂，甚至打亂生產秩序。重要信息系統一旦中止服務，將會產生社會問題（如股票、民航等），并使社會產生動蕩，將危及國家的安全。

從信息資源保護的角度看，重要信息系統的重要特征之一是信息量大，并且涉及單位內部重要、機密的信息。因此，信息本身的泄漏、被修改或丟失等都將帶來巨大的損失。國家重要部門的信息系統中，必定有許多國家機密信息，任何形式的破壞都會給國家帶來損害。企業的信息必然涉及經營及商業秘密，在市場競爭環境中，將對企業有關鍵性的影響。

在社會主義市場經濟體制的環境下，重要信息系統及其形象信譽對單位的發展成敗關系極大。如果其信息系統不能正常工作，不僅會失去人們的信任，失去市場，而且對企業、行業都有致命性的打擊。

重要信息系統的任務，特點及重要性，使其成為攻擊者的目標，而其自身的脆弱性又使其較易受攻擊（有意或無意）而失去安全保障；而要保障任一級別的安全都需要相當的投入（人力、物力、財力等）。因此，重要信息系統的安全非常關鍵。

重要信息系統的脆弱性為安全保障帶來很大的難度，重要信息系統規模大、環節多、技術復雜，薄弱環節也多，任何一個環節的安全都將影響到整個系統。并且，不是所有系統中的信息資源都需要相同級別的保護，這比起一個相對獨立、集中于一地的信息系統安全保障要復雜得多。重要信息系統一般均包含網絡系統，網絡系統遭受攻擊的可能性大大高于簡單的獨立系統，而且受攻擊的后果也往往比獨立系統嚴重得多。另外，重要信息系統需要多人介入協同工作。因此除了有意破壞之外，人的失誤也會給系統安全帶來危害——目前信息系統安全問題多是人為的。要想對眾多的有關人員進行規范化的安全培訓，使所有人員完全按規范要求操作，對一個龐大的系統來說也非易事。

關于重要信息系統安全保障體系建設提出幾點建議：

1、提高認識，充分重視、建立信息安全工作的長效機制。

2、組織落實，人員到位，建立一支政治可靠、忠于職守、技術精湛的職業隊伍。

3、將信息系統安全工作貫穿于整個系統建設的全過程，即從系統規劃、設計、建設實施、投入運行到運維保障的所有階段都需有相應的安全保護內容。對于重要信息系統的安全，管理與技術是不可偏廢的。

4、建立經常性的管理、監督制度和應急預案，加強演練。

5、加強安全意識及安全知識、法律、制度的宣傳、教育、培訓，是保障大型信息系統安全的非常重要的措施。

信息安全保障體系建設總體思路

信息安全保障體系建設必須服務于信息化建設與發展大局；統籌規劃，整合資源，逐步加大投入，突出重點，確保我國基礎網絡和重要信息系統的信息安全保障水平與時俱進，得到不斷的提升；要求全民強化防范意識，堅持“國家主導、社會參與、行業自律”，構建專業化服務機構，加強信息安全的社會保障；以核心技術攻關為重點，加大信息安全技術研發力度；必須下大力氣，提高全民的信息安全意識；盡快補償信息安全法律法規和標準規范建設的欠債和缺失；盡快改變信息安全產業規模偏小、缺乏資金和關鍵技術支撐的局面；盡快增強信息安全管理，改變目前多頭管理、缺乏協調的管理工作低水平現象。

發展信息安全產業的基本原則包括：加強政府引導、發揮市場機制；以核心技術為支撐，以應用促發展；以企業為主體，產學研結合；以我為主、堅持開放；統籌資源、重點突破。要堅持立足國情，以我為主，還應根據國際國內的信息化發展的實際情況，特別是新技術、新業務、新應用的具體開展情況，堅持改革開放和國際合作的原則，因為信息安全保障能力的提高，不能僅僅依靠一國力量，而是需要世界范圍的共同合作，需要政府與企業、全社會每個人的互動，才能在互聯網這樣一個復雜的巨系統中，逐步建立、完善和提高信息安全保障以及應急響應的處理水平。

信息安全治理是落實解決信息安全問題方法論的重要途徑，因為面對信息安全復雜巨系統，如果缺少知識層次上的對信息安全保障體系建設的全生命周期管理，如果我們僅僅是按照線性、彼此完全分割的方式考慮信息安全保障體系的總體設計，如果只有任務的分解而沒有綜合集成，如果不能隨著過程、環境的變化而不斷變化各類應急處理預案，那就無法完成信息安全保障體系的基本任務。

信息安全保障體系的建設需要打好基礎、明確需求。一是要做扎實做好基礎工作，必須依據信息化建設的發展同步建設，前者可適度超前研究，但也必須循序漸進，不可能一步跨越；二是要明確信息化建設對信息安全保障體系建設的安全支撐與服務需求，既要強化實用性、適用性，又要重視戰略性、長遠性，盡快使得信息安全保障體系建設的投入發揮和產生應有的效果。解決信息安全問題必須求真務實，立足國情。建設信息安全保障體系必須堅持需求導向、應用主導；整合資源，切實改善信息安全管理；以“國產替代，自主可控”為原則是建設我國信息安全保障體系的必由之路。繼續推進網絡整合和三網融合，構建可信信息化網絡。

要樹立科學信息安全觀。具體包括全面觀，信息安全涉及到政權鞏固和生產力的發展，能夠全面影響國家安全。美國制定了網絡空間安全戰略，俄羅斯擁有國家安全學說，我國制定了《關于加強信息安全保障工作的意見》和新的文件。適度風險觀，它涵蓋了從絕對的安全到承擔適度風險的安全脆弱性分析。通過資產評估進行威脅分析，再進行威脅產生后果的可能性分析，從而采取相應措施降低風險、避免風險、轉嫁風險和接受風險（承受適度的風險）。積極防御觀，從被動防護到積極防御。全局觀，從“個人自掃門前雪”到依靠全社會的力量。

解決信息安全問題必須堅持抓戰略，抓戰略研究，抓好總體設計（頂層設計），找準發展戰略中永遠不變的基點。大國信息安全必須要保持戰略的連貫，必須要有宏偉的戰略設計，必須堅持持之以恒的連貫實施。歷史經驗表明，最大的失誤在于缺乏明確的戰略方向。產業是制造安全強國的“車床”，“民安”是“國安”的基礎和本意，隱秘的發展戰略意圖和清晰的戰略方向是成功的保證。切實加強國家層面的信息安全總體設計。信息安全屬于復雜巨系統，技術變革決定了安全變革，信息安全需要頂層設計。所謂總體設計是指，尋求在一定程度上能夠承受不確定參數的過程，研究確定關鍵要素（參數）合適的操作區間，選取合適的操作點，達到可治和善治的目標。在總體設計中要堅持樹立本質安全（Inherent Safety ）的觀念。以本質安全為指引，科學構建國家信息安全戰略架構。沒有絕對的安全，只有可控的安全。消除事故的最佳方法不是依靠更加可靠的保護措施，而是要在安全風險和保障投入之間尋找平衡點，用復雜巨系統理論尋找安全的關鍵參數并建立相應的數學模型，求解其穩態解和穩定性區間。

國家網絡安全態勢感知與預警建設

信息安全產業是體現綜合國力即決定生存能力的戰略性產業，是信息網絡和信息系統安全保障的重要支撐和基礎，是信息產業新的增長點和跨越式發展的突破口。重視信息安全產業的地位和重要作用，發展信息安全企業群和產業梯隊，優化產品結構，安全基礎和平臺類產品，安全測試評估與管理類產品，網絡安全類產品，安全應用類產品，專用安全產品，發展信息安全服務等，具有重要的意義。

加強態勢預警是當前信息安全的緊迫需求。信息安全事件亟待開展異常情況早期預警，強化態勢感知、態勢分析、監測預警，必須實現信息交換、信息共享，建立常態化的工作體制和評價機制，盡快規劃設計國家網絡空間安全態勢感知總體架構。基于“居安思危、未雨綢繆”的危機意識和“知己知彼、百戰不殆”的戰略思想，將網絡態勢感知體系和能力建設提升到國家戰略層面，從網絡空間安全保障的全局進行統籌部署和周密安排。應在情報預警、網絡監控、態勢分析、應急處置等方面，落實統一指揮、高效協同的體制機制，完善相應的技術設施和人才隊伍，盡快建立起平時維護網絡空間運行秩序，應急時能夠協同對抗外部攻擊的組織體系和技術支撐體系，形成保障國家網絡空間安全的全局態勢感知分析和威脅預警的整體架構。

將國家網絡安全態勢感知系統建設納入國家規劃。當前急需在國家規劃中，充分重視網絡安全態勢感知系統建設的重要意義和深遠影響，建議將其納入國家規劃擬建設的重點項目范圍并建立能夠應對當前信息安全威脅的國家信息網絡安全戰略與態勢預警平臺試點工程，逐步統一和集中管理。借鑒發達國家經驗，在關鍵網絡部位部署主動安全防御系統和網絡態勢感知系統，有效降低基礎網絡和重要信息系統的安全風險。在試點取得經驗后，再推廣到我國通訊、信息、能源、公共服務和運輸等關系國計民生的部門，在國家層面形成對網絡安全態勢的前瞻性全局掌控能力，有效應對網絡空間中的恐怖主義攻擊和有組織犯罪等安全威脅。

繼續加強網絡情報預警能力建設。進一步加強網絡與信息安全方面的信息能力建設，為國家網絡空間安全態勢感知分析和預警提供情報支撐。推進網絡安全相關信息共享方案和共享方式，匯聚不同渠道的網絡安全信息，以全面掌握入侵攻擊行為的全局信息，提高態勢感知和預警能力。建立國家級威脅情景衡量標準，用于確定各層面的危機管理決策、恢復計劃和處置的優先順序。

持續開展信息安全戰略與態勢預警評估研究。及時匯聚國家網絡空間安全保障相關方面的情報信息，進行綜合的態勢分析與綜合研判。加強網絡安全態勢研究，持續跟蹤發達國家有關網絡態勢感知體系部署和能力建設方面的經驗和新技術，參照相關國家戰略和實施計劃的未來走向，開展我國網絡空間保障的國家戰略研究，明確戰略目標和重點任務，制訂行動路線和實施計劃，推動我國網絡空間主動防御和態勢感知整體格局的形成。

建議組建國家網絡安全態勢研究機構。成立國家網絡安全態勢研究機構，加強對發達國家和周邊地區網絡態勢感知能力建設對我國的影響分析，特別關注網絡空間安全形勢變化對我國技術創新、產業發展和國家安全的深遠影響，做好積極應對準備。同時開展我國未來10年網絡空間保障的國家戰略研究，明確戰略目標和重點任務，制訂行動路線和實施計劃，推動我國網絡空間主動防御和態勢感知整體格局的形成。

信息安全保障工作的推進措施

新時期信息安全保障工作的主要措施包括，加強國家信息安全統一領導和綜合協調；加強戰略規劃政策研究制定和效果評價；加大信息化建設中信息安全資金投入；加強信息安全基礎設施建設；建立健全信息安全法律體系；建立健全信息安全標準體系；加強信息安全人才隊伍建設；開展全民信息安全教育培訓計劃；加強國際信息安全交流，積極參與國際規則制定，增強在國際信息安全領域的影響力；切實改善信息安全管理工作。

我們需要準確認識信息安全的基本問題與表現方式，清晰了解保障信息安全所依賴的信息網絡化的客觀規律，有的放矢，制定國家保障信息安全戰略。加快當前信息安全保障體系建設規劃的制訂工作。大力加強信息化信息安全基礎性工作，大力推行信息安全等級保護，開展信息安全風險評估和檢查，加強信息安全關鍵技術和相關核心技術的研究開發和產業化工作，進一步做好信息安全人才培訓工作。