王雷:构建国家信息安全主要有三大战略:其一,在信息安全的总体构想下,设立信息安全法和制定信息安全法规是一条必由之路;其二,构建国家信息安全战略,应该密切结合信息安全产业自身的结构特点,鼓励相关产业的发展,从硬件到软件,从防火墙到数据恢复,建立正当的竞争机制和良好的市场秩序,普及信息安全意识,推广优秀的安全产品,从政策和市场两方面推动信息安全产业的发展;其三,信息安全标准既要注重历史发展的痕迹,又要包含当前的各种研究结果,还要具有相应的前瞻性。
信息化给发展中国家带来的安全风险日益成为社会关注的热点。日前,军事专家童兴莆指出,应把信息安全问题提上议程,信息安全工作涉及军队信息化建设的各个领域,是一项政策性、技术性极强的系统工程。而此前在“中国信息安全发展趋势与战略”高层研讨会上,中国工程院院士倪光南、沈昌祥等专家也呼吁,应重视电子政务建设中的安全问题,将其提升到国家安全的战略高度来看待。那么,如何从国家安全的战略高度来构建信息安全体系?为此,本报记者采访了信息安全专家、冠群联想信息应用事业部总经理王雷。
记者:信息安全问题现在已经成为信息化发展中必须面对的经常性问题,它不仅给国家的信息化进程带来现实的挑战,而且也给国家与国家之间带来新的制约关系。对此,您是怎么看的?
王雷:信息安全问题和信息化是共生的,但只有随着信息化的深入及应用渗透到一定程度的时候,信息安全才作为独立的产业开始形成。
当今社会,信息是无价的,对企业来说关键的信息可能决定着它生死存亡,对国家来说信息的重要性更是可想而知。因此,国家与国家之间,企业与企业之间,企业内部,都会存在着信息保密安全的问题。如何用强有力的手段来保障这些事务的正常进行,就对信息安全提出了较高的要求。除了在技术和意识上提高之外,还亟需建立信息安全的法律和法规。
信息和网络的特点决定了信息安全的法律和法规及管理的特殊性。互联网的无国界性给信息安全的法律和规范提出了新的要求。美国、俄罗斯和西欧一些国家已经有了信息安全的大法,许多国家也在积极的制定,他们的工作为我们提供了参考的蓝本。
记者:近年来,建立完善的国家信息安全战略成为国内学术界的“热门话题”,一些力图在国际政治、经济生活中发挥更大作用的国家,纷纷进行国家信息安全战略问题的专门研究。请问构建国家信息安全战略应注意哪些问题?
王雷:当前信息安全主体规模不够,最紧迫最关键的问题是统一解决国家信息安全保障的战略规划,抓住安全保障开展工作。我个人认为有五个问题。首先,信息化发展与信息安全的关系问题,这是我国信息安全战略研究必须解决的首要问题。第二,管理和技术在信息安全中的作用问题。信息安全问题的解决需要技术,但又不能单纯依靠技术,如何使管理与技术相得益彰十分重要。第三,应急处理与长效机制问题。要维护国家网络与信息的长治久安,就必须有行之有效的长效机制。但信息安全问题在信息化进程中广泛存在,且突发性强,同时又必须强调应急管理。因为一旦出现影响到国家安全利益的网络与信息安全事件,必须要采取有效措施,控制危机的发展,把损失减少到最低程度。第四,信息安全保障体系的整体性和个别性问题。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。第五,信息安全的成本问题。对信息安全问题的防范和处理,均要考虑到信息安全的经济学因素,由于网络与信息安全问题十分复杂,而且涉及面广,成本和代价问题尤为重要。
总的来说,将信息安全中的问题细分,可以分为:信息的外泄、信息被恶意篡改、信息的丢失。前两种主要通过软硬件的结合来进行防范,后一种则只能通过数据恢复软件来对其进行恢复了。
记者:这些问题将影响未来我国信息化的发展进程。您认为信息安全战略上应如何构建?或者说,您在这方面有哪些建议?
王雷:在信息安全的总体构想下,设立信息安全法和制定信息安全法规是一条必由之路。如果没有总体构想,那么法律和法规的相关性和互补性就不是很好,就会留有“空白”地带。国家的利益需要信息安全的法律和法规,市场的兴起也需要,行业的生产和研究也同样需要。法律和法规的存在将使信息安全的研究、开发产业化;使管理更规范化;使政府对信息安全的管理和调控更加规范化;使市场竞争规范化。
在信息安全领域里,战略的制定同一个国家的国情和经济实力是密切相关的。中国的国情是,IT行业的产值在我国的国民经济总产值中的比例仍处于发展中国家水平;IT行业的基础设施基本是外购的;信息安全产业起步晚,人才缺乏;对信息安全的管理仍然处在探索中。总体概括讲,中国在信息安全中处于弱势。处于弱势的国家在信息安全的定位上应该是防御,但是中国的特殊地位又要求中国的信息安全仅仅防御是不够的。积极防御应该是中国的信息安全国策。以防御为主,以攻击为辅,还必须具备有效的补救能力。信息和网络安全的着眼点不仅是对外防御,同时也是对内防御。由于信息安全很难做到万无一失,数据被破坏和丢失的情况很难完全避免。因此,建立专业的数据恢复服务中心,大力推广数据恢复软件的使用,成为当今信息安全战略中不可或缺的一环。
其次,构建国家信息安全战略,应该密切结合信息安全产业自身的结构特点,鼓励相关产业的发展。从硬件到软件,从防火墙到数据恢复,建立正当的竞争机制和良好的市场秩序,普及信息安全意识,推广优秀的安全产品,从政策和市场两方面推动信息安全产业的发展。而数据恢复作为信息安全产业链中的一个重要组成部分,无论对个人用户还是对企业和政府机构都具有相当的实效性。
还有,信息安全标准既要注重历史发展的痕迹,又要包含当前的各种研究结果,还要具有相应的前瞻性。
信息安全的着眼点已从单机移向了网络,又从网络移向了互联网和无线通讯网。在互联网和无线通讯网需要整体安全解决方案的今天,三网合一、多媒体也在呼唤着信息安全。信息安全标准的制定理应在此大环境下进行。
人在信息安全中的核心作用有两个支撑点,一是创造性,二是规范性。尤其在群体发挥作用的时候更是如此。信息安全的管理标准就是规范群体作用的规范性。信息安全管理标准的有效实施,可以避免内部的许多漏洞,也可以避免许多未授权访问和滥用,有力地保证信息的保密性、完整性和可用性。在信息安全管理标准的实施中,人的安全意识是起重要作用的,有了良好的安全意识,就可以自觉地遵守标准。对于所有的国际信息安全标准和发达国家的标准,我们应该以求实求真的态度去评估,在形成全面准确认识的基础上,在中国信息安全总体构想下,制定和建立中国的系列信息安全标准。
