對外開放背景下我國信息安全體系建設思路研究

文/尹佳音

信息安全的定義及發展演變

“信息安全”概念的提出最早出現于20世紀40年代，意為保護信息及信息系統免受偶然或有意發生的未經授權的入侵、破壞、修改、監控及銷毀。早期信息安全研究多關注通信保密（COMSEC），20世紀90年代后期信息安全涵蓋領域進一步拓寬，研究重點從早先的通信保密逐漸向計算機科學、網絡技術、通信技術、密碼技術、信息對抗等綜合性技術轉變。近年來，隨著能源、交通、醫療和金融等部門對信息技術依賴程度的逐漸提高，信息安全相關研究也突破傳統邊界，開始向社會、政治、科技、軍事等多領域延伸，各國政府對信息安全的認知也從早先的通信安全和數據安全向以維護國家安全為核心，構建綜合防護體系轉變。

信息安全體系構建的國際經驗

當前網絡空間與現實世界的邊界日漸模糊，非法組織和個人無須通過進入該國而僅通過破壞信息系統便會對被攻擊國家的社會經濟發展帶來災難性打擊，鑒于此，各國政府近年都將信息安全擺在國家安全的核心位置，并將大量資金、人員、技術投入到本國信息安全體系建設、構建國際信息安全網絡、核心技術研發工作、保護本國政府和個人數據安全性等工作當中。

（一）將信息安全提升到國家安全戰略高度——美國信息安全體系構建的特征

隨著互聯攻擊手段的多樣化，美國國家信息安全體系面臨巨大挑戰。據2018年美國管理和預算辦公室（OMB）報告顯示，2018年美國本土涉及黑客攻擊、互聯網詐騙、存儲介質丟失等在內的信息安全事件共計3.5萬起。為更好地維護國家安全體系，防止網絡攻擊對美國國家安全帶來不利影響，美國政府近年通過立法和財政撥款手段大力推進國家信息安全體系建設。

以1946年出臺的《原子能法》為標志，美國國會先后通過涉及國內信息安全體系建設的相關法案共130余項。2018年9月，美國白宮首次發布《網絡安全戰略規劃》，該規劃提出未來美國信息安全發展的重點方向，包括確保美國信息網絡穩定運行；培育數字經濟和提升技術創新水平；加強與其戰略盟友合作；通過參與國際網絡環境治理提升美國國際影響力。2019年5月，特朗普總統簽署“信息產業供應鏈安全”行政令，要求各級政府部門不得擅自安裝購買對美國信息安全產生潛在威脅的國外廠商提供的通信設備或相關服務，以防止政府部門數據泄露。2020年3月美國安全和可信通信網絡法案獲批通過，該法案在“信息產業供應鏈安全”行政令基礎上將禁購令擴大至本土企業，該項法案同時對未來美國5G技術發展提供了政策指導。

財政方面，美國政府每年投入大量經費以確保本國信息技術始終處于全球領先位置。根據白宮預算辦公室《2021財年預算計劃》，政府計劃投入188億美元用于信息安全領域技術的攻克。

（二）注重政府信息系統安全改進——日本信息安全體系構建的特征

日本政府主要從以下三個方面提升本國信息安全水平：大力培養信息技術專業人才用于協助日本政府推進信息安全體系建設；通過同私營部門的技術研發合作降低本國企業對國家信息安全體系的不信任度；加大輿論宣傳力度，提升民眾信息安全防護意識。在應對外部風險方面，日本政府更為重視與傳統戰略盟友特別是美國之間的信息安全合作，通過建立日美網絡防御政策研究工作組，日美兩國在信息安全領域的交流近年不斷加深。

2018年日本網絡戰略安全指揮部發布《政府機構信息安全標準措施》，目的在于全面提升政府部門的信息系統管理規范性。日本政府認為，構建一套完善的政府信息系統應做好以下幾方面工作：首先是建立信息安全保障機構和完善職責分工體系。相較于企業信息系統，政府信息系統具有數據高度保密和傳輸網絡龐大兩個特點，因此為保證政府信息安全性，需要成立專門信息安全保證機構，確保各部門可準確完成各項工作。其次是制定措施標準和措施推廣方案。為全面降低信息安全風險，需要根據政府部門的具體職能制定信息保護標準，網絡戰略安全指揮部成立評估小組對標準進行評估，相關部門可通過評估報告對本部門信息保護標準進行進一步改進。再者，建立突發事件處理機制。相較于日常工作管理，信息安全突發事件往往會造成政府信息系統大面積癱瘓，因此，突發事件處理程序應確保及時有效，《政府機構信息安全標準措施》對信息安全突發事件處理制定了詳細步驟。最后是信息系統安全性自檢機制。為確保信息安全保障措施準確有效，定期進行自我檢查變得更加重要，各部門可通過自檢找出現存漏洞和潛在風險點，以便于在系統升級過程中加以防范。此外，為確保信息安全保障措施的成效，還需要委托第三方機構對各政府部門的信息安全保障措施開展獨立審查，部門信息安全負責人需要根據第三方評審結果對部門信息安全保障措施提出指導性改進方案。

（三）通過信息產業發展推動信息安全建設——印度信息安全體系構建的特征

2017年，印度信息產業總產值已達1700億美元，約占GDP的7%，預計到2025年，這一數字將升至8%—10%。伴隨信息產業迅速發展而來的是日益嚴峻的信息安全挑戰，目前印度現已成為全球受網絡攻擊影響最嚴重的國家之一，僅在2018年印度計算機應急響應小組（ICERT）處理的信息安全事件就多達20萬件。印度信息安全體系構建可歸納為以下三個方面：

1.通過不斷提升數據保護技術，確保國家信息安全系統免受威脅。為提升公共服務系統安全性，印度政府要求各政府部門在信息系統最初設計階段需要通過第三方機構對包括系統開發機構的能力、服務器安全性進行安全評級，并針對評估結果給出改進意見，以期將系統安全隱患在設計之初就加以杜絕。在個人信息保護方面，印度采取包括量子密碼學和多方計算先進加密技術在內的前沿數據加密技術確保網絡接入客戶之間的高度安全通信（如密鑰共享、信息共享和特定地址訪問）和隱私信息保護，以達到消除信息傳輸過程中的非法攔截和防止惡意監聽。此外，印度政府還專門成立從事反病毒和反惡意軟件的研究工作組，該工作組將定期向印度高新技術企業和各科研院所提供信息安全報告，以便其根據自身需求制定信息安全保護措施。

2.制定核心技術攻關時間表，針對薄弱環節開展技術攻關。由于高新技術產業對外依存度關系到社會、經濟、政治、軍事等各個領域，因此印度政府計劃在未來幾年內加強以下三方面的工作：（1）對高新技術產業供應鏈進行全面梳理，分析各產業對外依賴程度；（2）加大對關鍵技術的政府投資，突破關鍵環節技術瓶頸，提升核心零部件自主生產能力；（3）鼓勵高校和私人部門投資建立科研中心用于核心技術零部件研發。為及時找出電信基礎設施存在的漏洞，印度信息安全部門通過定期編制關鍵基礎設備風險清單的方式，對境內通訊基礎設施現存風險進行統計。此外，印度政府以五年為期，對該國現已使用的信息產業相關技術進行包括技術發展瓶頸、技術發展對未來社會發展影響等方面的評估，分析各類技術對國外依賴程度，并將占GDP中0.25%（2025年該比重將提升到1%）的年度預算用于核心技術研發。

3.完善信息安全各項規章制度，從規則設計層面確保信息安全系統運行。為防范未來更為復雜的網絡攻擊，印度數據安全委員會（DSCI）一方面完善現有信息安全性評估體系，包括細化網絡安全工作人員考核機制，縮短技術人員考核周期，適當調整信息安全體系安全評價指標，同時對已發生信息安全事件進行備案，以便于此類事件再次發生時可迅速制定處理方案。另一方面，要求各政府機構將信息安全突發事件特征分享給相關信息技術企業，便于企業有針對性地進行突發事件防御系統的研發。此外，作為印度政府保障企業信息安全的重要措施之一，印度政府計劃在未來幾年內大力拓展國內網絡安全保險市場，同時與國內信息產業運營商、保險公司共同研討制定國家信息安全基礎設施保險體系，開發適用于重要基礎設施的網絡保險產品。

當前我國信息安全體系建設現狀和面臨的主要問題

隨著國內信息技術的逐步成熟，政府、金融、電信、能源、交通等領域均已建立起較為完善的信息安全體系，并不斷從技術研發、人才培養、政策制定等方面加強信息安全能力建設。但我國信息安全體系構建與國際特別是美、日等發達國家仍存在較大差距，主要表現在以下三個方面：一是我國信息安全產業核心技術仍存短板。目前中國信息安全產業發展勢頭速度遠超全球平均水平，但我國信息安全產業存在的只大不強的問題并沒有得到有效解決，信息網絡領域的核心技術、關鍵設備和操作系統上整體性的自主研發能力不強，缺少真正的龍頭企業，大量民用、商用甚至國防產品生產仍依賴外國進口，信息技術產業大多被壓制在產業鏈的低端，國內信息安全難以得到根本保證。二是信息安全專業領域人才培養相對滯后，人才儲備同質化程度偏高。目前我國已在全國范圍內建立起信息安全工作的基礎研究、技術研發與技術服務的高科技企業和研究機構，但由于國內從事這類專業的技術人才嚴重短缺，表現為人才儲備同質化程度較高、專業領域人才培養計劃與發達國家相比仍較為落后，國際化人才嚴重不足等。三是網絡攻擊事件相對頻繁，數據保護和信息傳輸安全性仍有待提升。根據《第45次中國互聯網發展狀況統計報告》，截至2019年12月，國家信息安全漏洞共享平臺收集整理信息系統安全漏洞約1.6萬個，較2018年增長14%，其中收集整理信息系統高危風險漏洞4877個，境內被篡改網站則多達18萬個。

美、日、印信息安全體系建設經驗對解決我國信息安全問題的借鑒與建議

（一）以實現高水平對外開放為目標，優化信息安全保障體系頂層設計

通過對美、日、印三國信息安全體系建設的經驗可以看出，隨著信息技術深刻融入本國社會經濟發展的方方面面，逐步成為社會經濟發展、社會進步和科技創新的重要支撐，僅靠局部政策調整和規則完善已無法滿足各國政府對信息安全體系建設提出的更高要求，因此三國政府均從頂層制度設計層面，逐步探索有利于本國信息產業發展和國際信息技術交流的新型信息安全保障體系。鑒于此，我國十四五時期應以堅持國家總體安全觀、完善國家安全體系為基本要求，推進產學研一體化機制建設，完善金融、人才、法律保障力度，大力扶持中小科技企業創新，鼓勵和支持大中科技企業、科研院所加強合作集中力量攻關信息核心技術，加快推進國產自主可控替代計劃，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。

（二）以共建“一帶一路”基礎設施互聯互通為抓手，加強地區信息安全合作

隨著全球互聯網覆蓋面積不斷擴大，各國之間的物理邊界已被打破，國際非法勢力可借助互聯網對任何國家進行有預謀的數據盜竊、金融欺詐、知識產權盜取等有損國家安全的攻擊。為此美、日、印三國均將建立國際信息安全合作網絡作為防御境外網絡攻擊的重要措施，例如美日通過建立日美網絡防御政策研究工作組，提升美日兩國在抵御國際非法勢力對其開展網絡攻擊的防御合作水平。我國應借鑒美日兩國建立跨區域信息安全合作網絡的經驗，以“一帶一路”信息互聯互通為抓手，搭建地區信息安全合作平臺，通過與“一帶一路”沿線國家開展信息安全成果共享、應急培訓和演練等方式，探索工業信息安全應急國際合作的新模式、新動能、新路徑。盡快制定網絡空間區域合作方案，包括建立信任的安全措施、建立數據流通安全標準、設立“一帶一路”地區信息中心等，推動“一帶一路”地區基礎設施互認標準的確立，盡最大可能降低關鍵設備流通障礙。

（三）以改善營商環境為落腳點，打造安全穩定政府信息系統

與日本政府建立嚴密的安全保密管理機制相比，我國政府信息系統建設仍存在一定提升空間，十四五期間我國應進一步加強政府部門網絡安全建設，通過科學的管理和防范，為我國社會穩定運行搭建良好的政務信息環境，具體可包括以下三方面措施：搭建穩定安全的政府信息平臺，在信息安全管理體系規范和指導下，通過安全運行管理，規范運行管理、安全監控、事件處理、變更管理過程，及時、準確、快速地處理安全問題，保障業務平臺系統和應用系統的穩定可靠運行；建立提前預警、情報共享、妥善處理、事后檢查的四階段信息安全事件響應體系；建立信息安全決策、管理、執行以及監管的機構，明確各級機構的角色與職責，完善信息安全管理與控制的流程，提高網絡空間安全的突發事件處理能力。

（四）以提升關鍵基礎設施安全保護為前提，構建信息安全網絡

金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到攻擊的重要目標，因此必須將關鍵基礎設施納入新時期信息安全體系建設框架下，切實做好國家關鍵信息基礎設施安全防護。我國可借鑒美國關鍵信息基礎設施保護體系建立的經驗，建立關鍵基礎設施風險清單，對我國涉及能源、交通運輸、金融等關系社會經濟發展的關鍵基礎設施統計造冊，杜絕關鍵基礎設施和重要領域信息系統的操作系統、服務器、數據庫“后門”、“漏洞”隱患和威脅，構建涵蓋“發現—防御—響應—處置”于一體的安全保障體系，打造高水準的安全服務保障平臺，提升關鍵信息基礎設施整體安全防護能力。

（五）以突破關鍵技術“卡脖子”難題為切入點，下大力氣攻克核心技術

大數據、云計算、人工智能、物聯網、區塊鏈等網絡數字技術正在引發以綠色、智能、共享為特征的群體性技術革命和產業創新。尤其是5G、人工智能、區塊鏈等新一代信息技術將持續促進技術創新、業態創新和模式創新，使產業發展融合化、生產方式智能化、組織方式平臺化、技術創新開放化成為未來信息技術與社會生產融合的必然趨勢。因此，有必要推進產學研一體化機制建設，鼓勵和支持大中科技企業、科研院所加強合作集中力量攻關信息核心技術，抓緊突破網絡發展的前沿技術和具有國際競爭力的關鍵核心技術，加快推進國產自主可控替代計劃，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。