《计算机世界》记者 胡英 毛江华

　　过去两个世纪来对工业技术的控制，代表了一个国家的军事实力和经济实力，今天，对信息技术的控制将是领导21世纪的关键。

　　有人说，信息安全就像茫茫宇宙中闪烁的星星一样无序，看得见摸不着，具有混沌特 征。

　　信息安全热热闹闹地搞了多年,无论是学术界、产业界还是应用者，都是众说纷纭，信息安全究竟应该从何处入手？信息安全的边界到底在哪里?

　　2003年7月，国家有关部门颁发了《国家信息化领导小组关于加强信息安全保障工作的意见》(下文简称《意见》)，在信息安全工作的千头万绪中，首次理出了一条明确的思路:坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

　　显然，信息安全是国家的根本利益，是国家安全的一个重要组成部分。如何贯彻落实《意见》，不只是学术界的一个“热门话题”，更是值得全社会关注的一个重要问题。

　　2003年10月17日～19日，在国务院信息化工作办公室的指导下，由国家信息化专家咨询委员会、解放军总参谋部机要局、解放军信息工程大学、河南省信息化领导小组办公室联合主办的国家信息安全战略研讨会在河南郑州举行，国务院信息化工作办公室常务副主任曲维枝同志做了非常重要的讲话，100多位来自不同部门的信息安全专家、学者共同进行了研讨。这是贯彻和落实《意见》的第一次大规模的战略研讨会，也是第一次由军队和地方共同参与的有关信息安全的战略研讨会，具有重要的现实意义。

　　一方面，信息安全问题是全球信息化发展中无法回避的问题，是信息化进程中的重大挑战，甚至能给各国之间带来新的制约关系。能否有效地化解信息化带来的风险，建立完善的国家信息安全战略，已成为保障各国政治、经济地位的重要手段。从上个世纪90年代起，美国、俄罗斯、英国、德国、日本、印度等国都先后指定专门机构在政府的直接领导下，进行了国家信息安全战略问题的专门研究。

　　另一方面，我国信息安全的形势尤为严峻：目前，我国信息与网络安全的防护能力很弱，许多应用系统处于不设防状态，具有极大的风险性和危险性;对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造;基础信息产业薄弱，严重依赖国外进口；国家信息安全管理机构缺乏权威，协调力度不够;信息犯罪在我国有发展蔓延的趋势;全社会的信息安全意识亟需提高。

　　对于贯彻落实《意见》，国家信息安全战略研讨会在10月份召开具有重大意义，标志着我们在无比复杂的信息安全建设上迈出了关键性的第一步，为信息安全事业健康、有序的发展奠定了基础。作为郑州会议惟一被邀请的媒体，本报记者全程跟踪，力图从战略思路、操作方法两个层面上，为业界提供一些具有指导和借鉴意义的东西。

　　上篇：战略思路篇

　　如果说过去的两个世纪中，对工业技术的控制是控制军事实力和经济实力的关键，那么，对信息技术的控制将是领导21世纪的关键。随着国家经济对信息化的依赖越来越强，信息安全的地位日益凸显，它已经成为了国家安全的一个重要组成部分。

　　如何构建国家信息安全保障战略，是10月郑州研讨会议的一个重要内容。国务院信息化办公室曲维枝副主任在会上高屋建瓴地阐述了《意见》对建立国家信息安全保障体系的意义，对构建国家信息安全战略体系具有重要的指导意义。

　　会上，尽管专家们对信息安全的看法不尽相同，但对《意见》的理解却基本一致，认为《意见》提出的十项工作是全方位的，既有长期考虑，又有近期安排，考虑到了技术、管理、人才、资金各个方面，第一次从国家层面上综合协调各个部门的工作，将极大地提高我国信息安全保障工作的能力和水平，促进信息化建设的健康发展。

　　安全发展两手抓

　　曲维枝同志提出:“在信息化规划和建设中,要同步考虑信息安全问题,始终坚持一手抓信息化发展,一手抓信息安全保障工作。”

　　在讨论中，一些专家发言，我国部分地区在信息安全工作中的确存在着某些问题，有的地方和单位简单地通过不上网、不共享、不互联互通来保安全，或片面强调建专网，从而使有价值的信息不能上网，业务不能用网络来处理，影响和制约信息化发展。还有些工作人员缺乏必要的网络安全知识和概念，造成不必要的泄密发生。

　　“在某种意义上讲，信息化的发展和信息安全是同时存在的一个悖论。”华中科技大学的一位专家说，“信息化发展越快，其安全问题所导致的负面影响就越大。但是，不能因噎废食，关键是要有防范意识，这一点大家都要有共识。”

　　广东省信息产业厅副厅长邹生认为，现代信息环境是趋于开放的、互联的、共享的，在此条件下，信息安全观念和信息安全工作也需要不断解放思想，信息安全工作不能再以封堵、隔离、被动防御为主，而应该代之以开放、发展、积极防御的方式。“有的政府部门对安全重视有点过了头，什么信息都不敢开放。”他说。

　　国家信息化专家委员会蔡吉人院士认为，《意见》以辨证唯物主义观点，论述了信息化发展与信息安全的关系问题。“在发展和前进中解决信息安全问题，以安全促发展，在发展中求安全。而信息安全的动态变化，是与不断发展的网络环境一起变化的。”

　　管理、技术都不放

　　信息安全保障工作包括技术和管理两个方面,曲维枝同志强调:要从法律、管理、技术、人才、意识等各个方面，从国家、企业、个人各个层面，采取综合的管理和技术措施。

　　目前，我国实际发生的安全事件，很多是由于管理不到位、责任不落实造成的。从国际上讲，据2002年美国FBI统计，83%的信息安全事故是内部人员或内外勾结所为，而且呈上升的趋势。防内为主，内外兼防，需要从提高使用节点自身的安全着手，构建积极、综合的防护系统。

　　一位专家认为，首先，要建立强有力的协调管理机制，建议加大这方面的宏观指导，进行明确的牵头和协调;其次，主管部门要协调配合，不能强调一方，否定另一方，因为我国的信息安全落后于发达国家，需要在管理上下工夫;再者，信息安全不只是主管部门和技术层面上的事情，也是全社会的义务。法律、法规等都要建立起来，才能做到管理的协调一致。“尤其是信息安全企业要参与进来，国家、企业、个人的职责都要明确。”

　　从另一方面来讲，我国的基础信息产业严重依赖国外，信息安全的技术防护工作困难较大。国家信息化专家咨询委员会委员沈昌祥院士认为，当前信息安全系统存在着不足：大部分信息安全系统主要是由防火墙、入侵检测和病毒防范组成；常规的安全手段只能是在网络层设防；对访问源端不加控制；操作系统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决。

　　“老三样:堵漏洞，做高墙，防反攻，防不胜防。”沈院士说。他建议从终端操作平台实施高等级防护。

　　尽管从整体上讲，我们技不如人，但专家们普遍支持大力推广国产软件、设备，注重自主创新，以摆脱关键技术和设备受制于人的局面。同时，要合理引进和利用信息安全产品，并加强对引进技术和产品的安全可控研究。

　　突出重点要强调

　　《意见》指出，信息安全要坚持“积极防御，综合防范”的方针，重点保障基础信息网络和重要信息系统的安全。

　　信息安全保障工作是一个复杂的系统工程，因此，要坚持“有所为有所不为”，将有限的资源用于基础部分、关键地方、要害部位，如能源、金融、交通、通信、社会服务保障等关系到国计民生的部门。

　　学科人才不能缺

　　关于信息安全的人才培养问题，在郑州研讨会上受到专家们的重视，与会专家认为信息安全学科建设和人才培养应该成为信息安全战略的一个组成部分。

　　信息安全学科的前身是通信保密、数据安全等，主要涉及电子学与信息系统、计算机科学技术与系统控制、数学以及法律、管理等相关学科领域。“信息安全人才并非单一的计算机人才。”四川大学戴宗坤教授说，“开放系统互连网络环境下的安全问题，既不能依靠某一现有学科知识解决，也不能简单地将某几种相关学科知识组合起来。”

　　据悉，我国目前的信息安全人才，已经不能适应信息社会化的高速发展;信息安全人才结构层次尚未形成；行业(国家机关、军队、企事业团体及行业、部门和单位的信息系统)需求缺口很大；从技术开发，技术管理，国家宏观控制，产品生产、销售和使用，到系统维护以及信息系统安全援助等方面，信息安全人才在数量、专业类型和层次结构上都未能满足实际需求。

　　下篇：方法经验篇

　　信息安全是一个复杂的系统，复杂的系统用复杂的方法无法解决问题，而要用简单的方法来解决问题，这是国家信息化专家咨询委员会副主任何德全院士的观点。

　　国家信息化专家咨询委员会蔡吉人院士认为，从解决信息安全关键技术的层面上来讲，信息安全工作应以电子政务为突破口。

　　一方面，在国家信息化发展中，各级政府的信息化是关键。政府信息化先行，通过政府与政府之间、政府与企业之间、政府与公众之间互动，将带动国民经济和社会发展的信息化。并且，2002年3月，国务院信息化领导小组确定把电子政务建设作为今后一个时期的信息化工作重点。

　　另一方面，电子政务所运行的环境，从政务内网、政务外网到互联网，纵横交错，连接复杂，规模很大，且边界不清晰，用户动态变化，解决互连互通、资源共享中的安全问题难度很大，对解决其他网络信息安全问题具有典型性意义。

　　上海方法

　　“上海市委、市政府始终高度关注信息安全，并把这一问题放到与关注城市安全、公共安全和国家安全同等重要的位置，贯穿信息化建设的全过程。”上海市信息化委员会范希平主任说，他介绍了上海的一些做法。

　　首先，以全局性的眼光，加强信息安全的组织管理工作。“一方面，上海明确由党政一把手作为本单位信息安全工作责任人，形成纵向到底、横向到边的领导管理体制；另一方面，建立信息安全的长效机制，加强信息安全的监管。”

　　其次，以系统性的思路，提高信息安全的技术支撑水平：发挥信息安全测评、计算机病毒防范、无线电监测、CA数字认证中心等一批覆盖信息安全防范工作主要环节的功能性机构的作用;从2000年开始，上海与科技部共同实施了信息安全应用示范(S219)工程，积极推动信息安全技术攻关。

　　再者，以前瞻性的眼光，增强信息安全的应急处置能力。“上海已经把信息安全作为城市危机管理体系的重要组成部分，并普遍制定了应急处置预案。”范希平说。

　　最后，以整体性的推动，发挥信息安全的综合带动作用。“上海以建设国家信息安全成果产业化东部基地入手，做大做强信息安全产业，促进信息安全人才的集聚与培养。”范希平说，“同时，通过信息安全营造良好的应用环境，形成了‘放心应用、保持警惕’的意识。”

　　广东经验

　　据广东省信息产业厅副厅长邹生介绍，广东省信息安全体系框架已经基本形成。目前，以广东省电子政务网络平台为基础，广东省已经建立了全省统一的密码管理和数字证书认证体系，并且颁布了一系列的管理制度和法律法规。

　　“广东省信息安全建设的基本思路是，在做好基础信息安全的基础上，大胆尝试，尽可能缩小网络保密领域，扩大网络应用领域，推进政务公开、信息共享，以发展带安全，以安全促发展。”邹生副厅长说，“广东省在信息安全建设上有五大举措。”

　　一是整合资源。目前，中国的信息化建设中一个重要瓶颈就是网络自成体系，资源分散，不能实现共享，广东省充分利用地方电子政务平台，建立了统一的网络体系，实现互连互通，提高应急保障通信能力，消除信息孤岛，保障信息的快速有效传递。

　　二是推进应用。“大胆应用逻辑隔离技术，将广东省电子政务外网平台作为逻辑隔离传送非典疫情的试点，建立全省疫情信息网，并尝试建立信息化应急处理机制，以信息公开促进社会安全。”

　　三是政务公开。建设电子政务网，促进依法行政和政务公开；建立应急机制，促进政务信息公开，确保公众的知情权。

　　四是用信息化观念应对突发的公共安全事件。“在信息时代，信息已经无法屏蔽，当出现突发公共安全事件时，封锁消息会导致主流信息不流畅、谣言四起，造成更大的混乱。应该借助先进的信息传播手段，占领传播主阵地，通过主流信息的发布，消除危机的影响。”邹生说。

　　五是加强法制建设。目前，广东已经出台了《广东省电子政务信息安全管理暂行办法》、《广东省计算机信息系统安全保护管理规定》、《广东省电子交易条例》、《广东省通信短信息服务管理办法》等管理制度和法律法规。

　　上海和广东作为信息化先行者，在信息安全建设方面积累了宝贵的经验，对其他地区建立区域性信息安全保障体系具有非常重要的借鉴意义。只有区域的信息安全体系建立完善了，才能实现国家的信息安全。

　　想全、想深、想透

　　没有大肆渲染，没有商业炒作，《国家信息化领导小组关于加强信息安全保障工作的意见》的第一次面向军队、地方政府、行业信息化领导人的宣传贯彻研讨会，就这样静悄悄地在河南郑州举行了。

　　然而，在平静的表象下面，却涌动着惊涛骇浪。它不仅向我们进一步表明了中央在推进建立国家信息安全保障体系方面的坚定的决心和信心，还明确显示了以下几点发展动态。

　　首先，本次宣贯活动首次将军队、地方、政府部门的信息化负责人召集在一起，共同研究国家信息安全问题，提出使国防建设与国家建设协调同步发展的建议，具有创新性和划时代的意义。正如国防大学张召忠教授在发言中强调的，军队和地方必须共同携手，建设中国坚固的信息安全长城。

　　其次，从《意见》的推出和本次会议代表的讨论中，我们强烈地感受到，《意见》首次从根本上解决了过去困扰信息安全产业界多年的部门条块分割、多头管理现象严重的局面，从国家层面，确立了一个明确的管理协调组织机构，杜绝了过去某些利益集团为了自身利益而操纵信息安全管理部门的现象。

　　第三，整个《意见》布局合理，考虑周全，从信息安全管理、技术、人才、投资、法律建设等多个层面，考虑保障国家信息安全问题，从而给各个地方、行业信息化部门建设信息安全提供了一套整体思路。

　　然而，《意见》毕竟只是一个纲领性的条款，它不是国家信息安全发展战略，也不是具体操作办法，不能解决全部的国家信息安全问题，要落实《意见》中的条例，需要各信息化主管部门的配合，根据各地区信息化水平和应用现状，出台相应的适合本地区、本部门信息化发展的信息安全战略和计划。正如国信办网络与信息安全小组负责人王渝次局长在此次研讨会上指示的：“在制定各地区、各部门的信息安全发展战略和规划时，我们必须根据自己的信息化应用现状，想全、想深、想透，理清思路，搞好布局，军民一心，共同将国家信息安全保障体系建好。”

　　专家观点

　　用简单方法解决复杂问题

　　国家信息化专家咨询委员会副主任

　　何德全院士

　　信息安全问题如此复杂，以至于很多人会问：我们该从何处入手解决自己的信息安全问题？我认为，我们不能用复杂的方法解决复杂的信息安全问题，而必须用简单的方法解决复杂的问题。我们可用综合集成的思路和方法。

　　大力发展可信终端计算

　　国家信息化专家咨询委员会

　　沈昌祥院士

　　目前，我国信息安全建设正处于一个关键时期，我们必须把握住正确的研究方向，制定相应的发展战略，走符合国情的发展道路，开发高效、简洁、廉价、具有自主知识产权的信息安全产品，促进我国信息安全产业发展。

　　具体来讲，我们应该以“防内为主、内外兼防”的模式，从提高使用节点自身的安全着手，构筑积极、综合的安全防护系统，应大力发展可信终端计算技术。

　　开创密码工作新局面

　　国家信息化专家咨询委员会

　　蔡吉人院士

　　信息技术的发展，给密码工作带来了前所未有的发展机遇。密码主管部门要把握机遇、加快发展、不辱使命。一方面要继续抓好密码通信保障服务，确保中央和各级党政领导的指示、政令传递的安全、保密和畅通;另一方面，要面向全社会信息安全对密码的需求，按照统一管理的要求，做好密码管理的工作。要统一规划，整合科研资源，凝聚国内密码领域的优势单位和优秀人才，协同公关，充分发挥密码在信息安全中的重要作用，努力开拓密码工作的新局面。

　　军民共对信息化战争

　　国防大学

　　张召忠教授

　　经历过4次军事变革，战争形态产生了4次较大的转变，从冷兵器战争、热兵器战争、机械化战争，发展到现在的信息化战争。新军事变革的核心是信息化，新军事变革的思维观念是系统集成和技术融合，要通过较少投入获取最大效益。

　　因此，常备军的精简裁军依然是主要趋势，但是，扩大包含各种信息人力资源在内的后备军将是长期繁重的任务，这些人员包括计算机操作人员、软件设计师、信息安全人员以及其他工程技术人员等，他们都将是未来信息化战争的主力。

　　建立区域性信息安全保障体系

　　上海市信息化委员会

　　范希平主任

　　上海市委、市政府始终高度关注信息安全，并把这一问题放到与关注城市安全、公共安全和国家安全同等重要的位置，贯穿信息化建设的全过程。

　　上海市从4个层面探索出了一条适合特大型城市信息化发展要求的区域性信息安全保障体系，即以全局性的眼光，加强信息安全的组织管理工作;以系统性的思路，提高信息安全的技术支撑水平；以前瞻性的要求，增强信息安全的应急处理能力；以整体性的推动，发挥信息安全的综合带动作用。

　　以发展带安全，以安全促发展

　　广东省信息产业厅

　　邹生副厅长

　　广东省的信息安全建设从三个层面展开：首先是信息安全技术设施建设，以广东省电子政务网络平台为基础，建立了全省统一的密码管理和数字证书认证体系；其次，进行信息安全管理制度建设，制定了《广东省电子政务信息安全管理暂行办法》、《广东省计算机信息系统安全保护管理办法》等；第三，进行信息安全法律法规建设，制定了《广东省电子交易条例》、《广东省通信短信息服务管理办法》等。在开放的互联环境下，形成了信息安全建设的基本思路：在做好信息基础设施安全的基础上，大胆尝试，尽可能缩小网络保密域，尽可能扩大网络应用域，推进政务公开、信息共享，以发展带安全，以安全促发展。

　　国家信息安全发展战略思想

　　解放军信息工程大学

　　张永福教授

　　在国家信息安全战略发展思路上，我们应该变跟进为跨越式发展；在体系建设上，从顶到底分层实施；在资源整合上，要把旧系统纳入新体制中；在决策研究上，变分散进行为协调一致。

　　信息安全技术抓住几个重点

　　国家信息化建设专家咨询委员会

　　冯登国教授

　　“十五”863计划在信息安全技术开发方向上，本着“有所为、有所不为，重点突破”的实施原则，确定了信息安全技术主题研究，重点为三类平台(PKI/PMI平台、检测/响应平台、内容安全监控平台)和两个体系(密码算法标准体系和安全应用示范体系)的建设。

　　在主题的部署与实施上，确定了三个重大项目和9个重要方向。三个重大项目是PKI/PMI关键技术、密码算法标准研究及其关键芯片集成技术、网络安全积极防御技术。9个重要方向是网络信息内容安全技术；计算机病毒防范技术；网络IDS、预警和管理技术；基础平台安全增强技术；VPN技术;无线网络安全技术;安全风险评估技术;应急响应和事故恢复技术;信息安全新技术。

　　加强信息安全学科建设和人才培养

　　四川大学

　　戴宗坤教授

　　从2000年起，我国共有30余所院校开始创建信息安全工程专业，各类信息安全技能培训班也不断涌现，但存在很多问题：如很多单位以传统的学科知识看待信息安全、缺乏专业的师资队伍、国家的宏观规划指导不够等。目前，信息安全已经具备成为一门独立学科的客观条件，建议国家加强信息安全学科规划，重视信息安全学科建设的基础建设工作，从政策上进行引导，并对信息安全非学历教育进行协调，以满足方方面面对信息安全人才的需求，提高全民信息安全意识。

　　自我风险评估是保障信息安全的基石

　　国务院信息化工作办公室

　　贾颖禾研究员

　　风险评估对信息安全具有非常重要的意义：首先是能摸清情况，评判保护措施，可对信息安全有关的决策产生决定性的影响;其次，它是信息安全规划的重要依据;第三，后评估是改进信息安全工作的依据和出发点；第四，是制定策略和战略的基础;第五，是加强信息安全风险管理的关键环节。进行风险评估后，即可对网络系统进行等级保护、分级管理、分类指导，最后分阶段实施。

　　制定具有威慑力的积极防御战略

　　解放军信息工程大学

　　韩文报教授

　　信息战是围绕信息进行的信息对抗活动，主要包括电子战、网络战和心理战。信息战威胁是国家信息安全战略关注的重点。

　　针对我国的信息安全形势，我们必须具有攻防两手。首先，要加强防范措施，减少信息攻击和破坏对国家的影响，“御敌于国门之外”。其次，要具有一定的进攻手段，在信息领域与敌人展开针锋相对的斗争，破坏敌人赖以生存的网络系统。具有一定威慑力的积极防御战略是保证国家信息安全的必由之路。

　　正确处理互联网安全与应用、发展的关系

　　解放军信息工程大学

　　陈性元教授

　　互联网安全关乎国家安全，是社会安全、政治安全、经济安全以及军事安全的核心，必须用积极的、建设的、发展的思路加以解决。

　　在考虑互联网安全的战略思路时，应该强化信息安全意识教育，进行管理体制改革，加速信息安全立法，自主发展关键技术，统筹建设信息安全基础设施，建设互联网安全保障体系，实现既要解决安全，又要使互联网能安全地应用于关键业务，在国家信息化建设中发挥更大的作用的目的，同时实现风险管理的目标。