信息安全：國家戰略的視角

王興起（西南交通大學心理研究與咨詢中心）　謝宗曉（南開大學商學院）

信息安全：國家戰略的視角

王興起（西南交通大學心理研究與咨詢中心）謝宗曉（南開大學商學院）

已上升為國家戰略的信息安全需要通過治理結構調整、法律法規完善、人才培養及信息安全科研開發引導等方面的協同推進方能落到實處。

信息安全依法治網治理結構人才培養

信息安全管理系列之二

回望2014年，國家戰略和依法治網是信息安全領域的兩大關鍵詞，習近平總書記親自擔任新組建的中央網絡安全和信息化領導小組組長及一系列重要講話，以及魯煒主任提出的依法治網寫下了清晰的注腳。

謝宗曉（特約編輯）

過去的2014年對信息安全領域來說可以稱之為“具有歷史意義的一年”，年初由中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長的中央網絡安全和信息化領導小組宣告成立；年底，網信辦聯合中央編辦、公安部和工信部等八個部門舉辦首屆國家網絡安全宣傳周活動，提升全民網絡安全意識。年初的高屋建瓴，年末的群眾路線都反映出信息安全的重要性。尤其是落實十八屆三中全會精神的又一重大舉措的中央網絡安全和信息化領導小組的成立，既表明了網絡信息安全目前面臨的形勢任務復雜和所處地位的重要，也標志著信息化和網絡信息安全正式成為國家戰略的一部分。

我國采用后發優勢已迅速成為網絡大國，互聯網也幾乎與每一個公民有著千絲萬縷的關系，截至2013年底，中國網民規模突破6億，其中通過智能手機上網的網民占80%；手機用戶超過12億，國內域名總數1844萬個，網站近400萬家，全球十大互聯網企業中我國有3家。2013年網絡購物用戶達到3億，全國信息消費整體規模達到2.2萬億元，同比增長超過28%，電子商務交易規模突破10萬億元。但是，中國離網絡強國仍有距離，尤其是伴隨著網絡高速發展派生的信息安全事件頻發。幸運的是，黨和國家審時度勢將信息安全提升到國家戰略的高度，成為國家安全的重要組成部分。然而，信息安全的落實是一項復雜的系統工程，至少需要制度建設、財政投入、人才培養及技術開發等方面的協同推進才能真正地落到實處。

一、調整信息安全治理結構

長久以來，我國信息安全領域一直處于“九龍治水”各自為陣、條塊分割、職責交叉、協調不力、政出多門、多頭管理卻握不成“拳頭”的格局。2014年2月27日，中央網絡安全和信息化領導小組成立，與以往不同的是，它首先是黨中央層面上設置的最高領導和議事協調機構，組長也由過去的總理升格為黨的總書記，從根本上改變了過去政府首腦難以協調黨委、軍隊及人大的尷尬局面，大大提高了該小組的整體規劃能力和高層協調能力。其次，第一次將網絡安全放到突出的位置，并與國家信息化戰略放到同等重要的位置，改變了過去信息安全從屬于信息化的管理體制[1]。最后，中央網絡安全和信息化領導小組的成員構成也從側面反映了信息安全未來發展方向和主要任務，一方面，網絡安全是國家安全的重要組成部分，涉及政治、經濟、軍事、外交、科技、金融、意識形態等方方面面。另一方面，互聯網發展已經與工業、金融、通信等行業一樣成為國民經濟的重要支撐。發改委、央行、財政部、工信部等核心財經部委掌門人參與中央網絡安全和信息化領導小組，意味著未來信息安全將在投資、財稅、金融等各方面得到優惠和扶持，也為未來的經濟發展提供了新的增長點。

中央網絡安全和信息化領導小組的成立和運行標志著黨和國家調整信息安全治理結構邁出的第一步，也終將成為我國信息安全管理歷史上具有劃時代意義的事件。然而，我們也必須清醒地認識到，信息產業不同于歷史上以往的任何產業，信息安全管理也無章可循，尤其是在上網人數眾多，網絡普及速度驚人，信息產業發展喜人的中國，信息安全的治理結構還有很多尚待完善和加強的地方。比如，中央網絡安全和信息化領導小組辦事機構即中央網絡安全和信息化領導小組辦公室，由國家互聯網信息辦公室承擔具體職責。國家互聯網信息辦公室主任兼任中央網絡安全和信息化領導小組辦公室主任，而國家互聯網信息辦公室則隸屬于國務院，國家互聯網信息辦公室協調和動員中央網絡安全和信息化領導小組成員的權限還不明確且無章可循，國家互聯網信息辦公室所發揮的影響作用尚待實踐中進一步驗證，此外，國家互聯網信息辦公室的職責中大部分與信息化建設有關系，信息安全的重要性沒有明顯的體現。

信息安全治理結構的建設之路剛開始，未來信息安全治理結構調整方向需從我國國情出發，借鑒先進國家的治理經驗，可以總結為“一個堅持，兩大支柱，三權分立”?！耙粋€堅持”，即堅持中國共產黨的領導，信息安全涉及到黨、政、軍及人大等國家機關，與每一個公民的生活息息相關，中國共產黨有豐富的領導經驗和充分的能力協調各國家機關之間的關系，兼顧到每一個公民的利益?！皟纱笾е保次覈畔⒒M程初期采用粗放型的發展模式并取得了優異的成績，隨著信息化程度的提高，信息安全事件發生的頻率越來越高，造成的損失會越來越大，信息安全也會愈發重要，信息化的發展產生了信息安全的需求，信息安全為信息化的良性發展保駕護航，兩者是互補的關系。與信息化可能給組織直接帶來經濟利益不同，信息安全的收益是隱性的，難以直觀地體現在組織的財務報表中。作為中央網絡安全和信息化領導小組辦事機構的國家互聯網信息辦公室以往的主要工作職責更偏重于對信息化過程中包括的所有問題進行監管，其中包括信息安全，信息安全僅僅是其中一小部分。這顯然與中央網絡安全和信息化領導小組成立的初衷還有差距，因此，國家互聯網信息辦公室管理體制的設置理應加大信息安全的份額，升級信息安全部分的管理權限，形成信息化和網絡安全并駕齊驅的局面。“三權分立”即當前的國家互聯網信息辦公室同時負責政策法規制定和監管的職責，身兼裁判員、教練員的雙重角色。未來的信息安全治理結構需要借鑒發達地區的經驗，將政策法規制定、政策監管和政策執行等職責分開，形成相互制衡的局面，例如香港早在2000年4月就建立了由信息安全管理委員會（中央組織）、信息科技安全工作小組（執行部門）、政府信息安全事故應急辦事處（支援機構）、政策局/部門（基層單位）四方組成的信息安全管理架構[2]。

二、完善信息安全法律法規

黨的十八屆四中全會提出了建設社會主義法治國家的總目標，強調依法治國的治國方略，互聯網早已滲透到我國經濟發展和社會進步的每一個角落，中國特色社會主義法治體系的建設和社會主義法治國家總目標的實現離不開依法治網的貫徹實施?；ヂ摼W徹底改變知識傳播和信息溝通形式，顛覆了300多年工業大生產的社會生活方式，互聯網時代的知識增長和創新頻率遠遠超過以往的任何時代，傳統的立法方式通常會遠遠落后于信息化的實踐，無論發達國家還是發展中國家。我國表現較為明顯，首先，涉及網絡安全的現行法律法規中，部門規章所占比例大，且在制定的規章中，縱向的統籌法律和橫向的有機協調還不夠。其次，我國網絡法律結構單一，難以適應信息技術發展的需要和日益嚴重的網絡安全問題。網絡安全保護實踐的依據多為保護條例或管理辦法，缺少系統規范網絡行為的基本法律，如《網絡安全法》《網絡犯罪法》《電子信息個人出版法》《電子信息個人隱私法》等。這些條例或管理辦法更多使用綜合性基本性條款，缺少具體的取舍性條款，難以適應技術發展和越來越多的網絡問題。最后，我國現行的網絡安全法律法規中，有的條款無法與傳統的法律規則相協調。例如網絡安全與個人隱私保護之間的爭議，至今還沒解決。

信息安全領域法律的缺位導致監管部門的處境較為被動。監管部門有時不得不使用臨時的行政條例，監管的權威性就會大打折扣。另一方面，已有的法律條文已成為限制信息經濟發展的重要瓶頸，比如個體隱私保護的條框就難以適應云計算的新技術。因此，當前依法治網對我國加快信息安全領域方面的立法進程提出了更為明確的要求。即：遵循互聯網的規律，運用互聯網思維，規范網絡行為，打擊網絡犯罪，充當互聯網發展的保護神和推動者，維護網絡活力，避免阻礙和扼殺互聯網的創新和發展。

三、加大信息安全人才培養

與涉及信息科學的其他專業相比，信息安全專業起步較晚，且受到的重視也遠遠不夠，原因可能在于我國的信息化長久以來處于粗放型高速發展期，還無暇顧及信息安全。據教育部《普通高等學校本科專業目錄（2012年）》，截至2015年6月，全國有77所普通高校開設信息安全專業，有26所普通高校開設信息安全專業方向的博士研究生，26所高校開始信息安全專業方向的碩士研究生信息安全專業，相對于信息安全的重要性遠遠不夠（資料來源：http://www.chsi.com.cn）。

從學科設置上看，信息安全專業隸屬計算機大類，非常容易落入計算機專業類的偏重密碼學、信息技術的窠臼，忽略信息安全中最薄弱最關鍵的人的因素[3]。盡管在《高等學校信息安全專業指導性專業規范》中明確提出“信息安全學科是綜合計算機、電子、通信、數學、物理、生物、管理、法律、教育等學科演繹而成的交叉學科”，卻在課程設置上更加側重于計算機、電子、通信、數學、物理等自然科學類，管理、法律、教育等人文社科類課程明顯重視程度不夠，從培養人才目標看，目前信息安全專業更傾向于培養信息安全領域的研究開發工作，而與組織信息安全更為密切更接地氣的信息安全領域應用服務人才明顯不足。因此未來信息安全專業需要站在更為廣闊的視角，吸收融合管理學、法學、教育學等人文社科類的人才和師資，培養學生專業技術水平的同時，提升學生的人文社科素質，例如吸收借鑒管理學學科下的管理工程類、情報類專業成熟的人才培養目標和方式。另外，信息安全研究型人才和應用型人才的培養需要兼顧，尤其是鼓勵以培養應用型人才為主的職業技術院校開設信息安全專業，促進信息安全事業朝著更加穩固的方向發展。

四、引導信息安全研發投入

從戰略層面看，缺少自主可控的技術和能力是我國信息安全面臨的最大隱患，棱鏡門事件將我國網絡空間的軟肋暴露無遺。尤其是關系國計民生的關鍵信息基礎設施及互聯網領域的核心技術均被美國企業所壟斷。從根本上改變網絡空間領域的被動局面，一個關鍵舉措是用自主可控的國產軟硬件和服務來替代進口產品，把信息安全牢牢掌握在自己手中。經過多年的技術積累和儲備，我國的高新技術企業完全有能力為網絡建設提供安全穩定的技術設備。因此，通過稅收優惠，政策補貼等方式加大信息安全領域的投資，提高信息安全產品國產化水平和利用率勢在必行，幸運的是，我國政府已經采取相應的措施，例如，2014年政府采購目錄中的操作系統和殺毒防護軟件剔除國外品牌，增加了國內的產品。

高新技術企業流行著一句話“一流公司做標準，二流公司做技術，三流公司做生產”。這同樣適用于信息安全領域。我國的信息化采用的后發優勢，取得了卓絕的成就，但僅僅停留在做產品的層次，至多在技術上取得了長足的進步，與制定全球統一認可的標準還有很長的距離。當然，我國在參與國際標準制定上也有成功的案例值得借鑒，長期以來，國際電信標準被美標和歐標所壟斷，我國抓住國際電信聯盟向世界各國征集第三代移動通信技術標準的時機，提出TD-SCDMA標準，并躋身于3G時代的三大國際標準。2013年2月，工信部、發改委、科技部聯合成立了“IMT-2020推進組”，提升我國的5G技術，我國在通信技術上積極投入和進步得到了國際社會的一致認可，2015年1月，國際電信聯盟的秘書長被我國專家收入囊中，不出預料，未來的國際通訊標準不會沒有中國企業的身影。因此，我國政府和企業需要緊盯網絡升級和創新的時機，例如新的網絡協議IPV6的實驗和推廣，抓住稍縱即逝的機會，參與到新一代網絡標準的研究和制定中，從而能夠保證我國在信息化時代從根本上保障信息安全。

五、結語

信息安全從宏觀的戰略層到具體落實的戰術層是一項宏大復雜的系統工程，涉及到方方面面的人員，既包括政府官員、研究人員，又和每一個公民有著千絲萬縷的關系。站在國家戰略的視角上看，抓好頂層設計、理順信息安全管理體制、制定可操作性強的法律法規，制定具有前瞻性的信息安全規章制度，加大信息安全人才培養力度，引導信息安全研究開發的投資支持力度等方面都會為信息安全的真正落實起到基礎性的作用。

[1] 汪玉凱. 中央網絡安全和信息化領導小組的由來及其影響[J]. 中國信息安全，2014(03): 24-28.

[2] 蔣汝勤. 香港信息安全管理啟示錄[J]. 保密工作, 2012(03): 47-48.

[3] 謝宗曉，林潤輝，王興起. 用戶參與對信息安全管理有效性的影——多重中介方法[J]. 管理科學，2013 (03): 65 -76.

Information Security: The Perspective of National Strategy

Wang Xing-qi ( Center of Psychological Research and Counseling, Southwest Jiaotong University ) Xie Zong-xiao ( Business School, Nankai University )

Information security, which was regarded as national strategy, needs governance structure adjusting, perfecting laws and regulations, personnel training and information security research and development guide.

information security, supervising network according to law, governance structure, talent cultivation