論保障信息系統(tǒng)安全的戰(zhàn)略策略

劉曉玉

（中共河南省委黨校，河南 鄭州 451000）

隨著信息技術(shù)的快速發(fā)展和廣泛應用，人類社會進入了信息化社會。在這個階段，信息的獲取、加工、傳遞和分配成為關(guān)系到人類生存所有領(lǐng)域的基礎(chǔ)。信息在社會經(jīng)濟中發(fā)揮著越來越重要的作用，信息已成為最具活力的生產(chǎn)要素和最重要的戰(zhàn)略資源。承載各類信息的信息系統(tǒng)是社會系統(tǒng)高度發(fā)達的產(chǎn)物，它成為社會系統(tǒng)的抽象表達，各行各業(yè)的數(shù)字化、網(wǎng)絡(luò)化進程都在全面而深入地展開，以計算機網(wǎng)絡(luò)為核心的信息系統(tǒng)成為國家的重要關(guān)鍵基礎(chǔ)設(shè)施，成為金融、能源、交通、現(xiàn)代物流、現(xiàn)代制造等行業(yè)的神經(jīng)中樞。一個現(xiàn)代化的國家，其政治、經(jīng)濟、文化、國防乃至人民生活都對信息系統(tǒng)的依賴程度越來越高。然而，以信息系統(tǒng)為基礎(chǔ)和開放性為特征的信息社會又存在著極大的脆弱性，信息系統(tǒng)的破壞將給經(jīng)濟社會發(fā)展和國家安全造成難以估計的損失和不利影響。目前，信息化整體水平已成為衡量一個國家和地區(qū)綜合競爭力、現(xiàn)代化程度和經(jīng)濟增長能力的重要標志。經(jīng)過近二十年的建設(shè)，“金”字①從1993年以來，我國信息化建設(shè)陸續(xù)啟動了以“金”字命名的一系列國家級信息應用工程。主要包括：“金宏、金稅、金關(guān)、金財、金卡、金審、金盾、金保、金農(nóng)、金水、金質(zhì)、金旅、金衛(wèi)、金土、金信、金貿(mào)、金智”等應用系統(tǒng)。工程取得了巨大的成績，對推進信息化，加快國民經(jīng)濟發(fā)展具有重要推動作用，但其安全問題也日益突出。所以，當前對信息系統(tǒng)安全戰(zhàn)略的深入系統(tǒng)研究，具有極為重要的理論價值和實踐意義。

一、構(gòu)建國家信息安全戰(zhàn)略

信息系統(tǒng)安全，是信息時代國家安全體系的重要組成部分，是維護國家安全的堅實基礎(chǔ)，是保障國家經(jīng)濟、政治、文化、社會全面發(fā)展的重要條件，是贏得未來軍事斗爭的必然要求。黨的十六屆四中全會將信息安全與文化安全、政治安全、經(jīng)濟安全并列為國家安全的重要組成部分。

近年來，特別是黨的十八大以來，在國家的頂層設(shè)計層面，網(wǎng)絡(luò)安全的地位和重要性日益提升，習近平總書記在多個場合講到了網(wǎng)絡(luò)安全之于國家安全的極端重要性。他在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組第一次會議上講話中指出，“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強國，要有自己的技術(shù)，有過硬的技術(shù)；要有豐富全面的信息服務，繁榮發(fā)展的網(wǎng)絡(luò)文化；要有良好的信息基礎(chǔ)設(shè)施，形成實力雄厚的信息經(jīng)濟；要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯(lián)網(wǎng)國際交流合作?！保?］

我國正處在信息化快速發(fā)展和社會深層轉(zhuǎn)型的關(guān)鍵時期，必須深刻認識推進信息安全工作的重要性和緊迫性，必須從國家整體發(fā)展戰(zhàn)略高度出發(fā)，切實強化頂層設(shè)計，以全球視野加大創(chuàng)新力度，強化對互聯(lián)網(wǎng)信息的主導權(quán)和控制權(quán)，進一步提升國家信息安全的保障水平和能力。必須從我國基本國情出發(fā)，建立健全符合中國國情、具有中國特色的國家信息安全戰(zhàn)略策略，進一步明確國家信息安全的戰(zhàn)略目標、任務、原則和主要內(nèi)容等。

二、改善信息安全領(lǐng)導體制機制

加快建立健全國家信息系統(tǒng)安全保障組織體制機制。改善與新形勢下國家信息安全任務相適應的領(lǐng)導機構(gòu)、管理機構(gòu)和職能部門，為信息系統(tǒng)安全保護提供堅強的組織保障。在國家宏觀戰(zhàn)略層面調(diào)整和完善國家信息化工作領(lǐng)導小組、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組和國家電子政務協(xié)調(diào)小組等機構(gòu)。組建更具權(quán)威性的國家信息安全戰(zhàn)略委員會，負責全國信息安全的全面統(tǒng)籌規(guī)劃和管理，組織和協(xié)調(diào)國家安全、公安、工信、保密、機要等職能部門，對國家信息安全政策統(tǒng)一步調(diào)，分工負責、各司其責，同時加強軍隊信息安全工作領(lǐng)導。各地區(qū)各部門各單位必須把保障信息安全納入重要議事日程，明確主管領(lǐng)導，建立完備的信息安全管理機構(gòu)，逐級建立和落實信息安全責任制，加大責任追究力度，形成自上而下的信息安全管理組織體系。

完善信息系統(tǒng)安全保障法律體系。與發(fā)達國家相比，我們的立法工作仍然滯后于信息化事業(yè)的發(fā)展。因此，我國必須加快立法進程，吸取和借鑒國家成功的關(guān)于信息安全立法經(jīng)驗，同時必須切合中國實際，逐步建立和完善信息安全法律制度體系。

通過立法保護國家信息主權(quán)和社會公共利益，使國家在信息空間的利益與社會的相關(guān)公共利益不受威脅和侵犯，并得到積極保護；信息主體的信息活動必須依法嚴格規(guī)范，通過法律對信息主體的行為進行約束、調(diào)整和強制，使信息主體能夠在正當合理的范圍內(nèi)進行規(guī)范的信息活動，對于非法、非授權(quán)的信息活動必須予以限制和取締，大力支持信息主體正常的信息活動；保護信息主體的信息權(quán)利，通過規(guī)定相關(guān)的制度機制和責任，強化運用法律保護信息權(quán)利，協(xié)調(diào)解決在信息社會中的各種各樣的矛盾，加大懲治和打擊信息空間違法行為，切實保障信息空間的正常秩序，使信息主體的信息權(quán)利得到切實保障，促進和維護信息安全。具體來講，必須加快推進《中華人民共和國信息安全法》的立法工作，從立法宗旨、適用范圍、信息安全概念、范圍、監(jiān)管機構(gòu)、計算機信息系統(tǒng)安全保護制度、互聯(lián)網(wǎng)信息服務、電子交易安全、信息采集與利用、法律責任（民事、行政及刑事責任）等方面作出明確規(guī)定。加快與信息安全法相適應的相關(guān)法律法規(guī)的調(diào)整和完善，加快制定和完善各領(lǐng)域的信息安全專門法。加快進行信息安全領(lǐng)域標準與規(guī)范的研究和制定，如:關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全保障技術(shù)標準;信息系統(tǒng)和信息技術(shù)產(chǎn)品的安全保障技術(shù)和測評標準;云計算、物聯(lián)網(wǎng)、移動互聯(lián)等新興信息技術(shù)研究和標準等。

健全高效運轉(zhuǎn)的國家信息安全防范機制。一是盡快建立健全國家信息安全風險監(jiān)測評估體制機制。信息安全風險評估應貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程，按照“嚴密組織、規(guī)范操作、講求科學、注重實效”原則展開，保證信息安全風險工作的科學性、規(guī)范性和客觀性，形成以預防為主、持續(xù)改進的信息安全風險評估機制。二是完善信息系統(tǒng)等級防護中各職能部門聯(lián)動工作機制，各部門職責清晰、分工明確、配合密切，形成協(xié)作高效的運轉(zhuǎn)機制。三是編制網(wǎng)絡(luò)與信息系統(tǒng)安全應急預案，建立健全網(wǎng)絡(luò)與信息系統(tǒng)安全應急響應機制，提高應急處理能力，以及最大限度地消除各類網(wǎng)絡(luò)與信息安全事件帶來的危害和影響。四是建立完善信息安全技術(shù)防范體系，即電磁防護技術(shù)、信息終端防護技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)防范等。五是建立完善信息安全服務支持體系，即技術(shù)檢查服務、調(diào)查取證服務、風險管理服務、系統(tǒng)測評服務、應急響應服務和咨詢培訓服務等。六是建立完善信息安全管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風險管理等方面，加強安全管理的能力建設(shè)和力度，把管理提升為信息安全工作的核心著力點。

完善國家信息安全的等級保護制度。信息安全等級保護制度是國家在國民經(jīng)濟社會發(fā)展和信息化快速發(fā)展過程中，進一步提高信息安全保障水平和能力，切實維護國家安全、公共利益和社會穩(wěn)定，促進和保障信息化建設(shè)長期可持續(xù)健康發(fā)展的一項基本策略、基本制度、基本方法。信息安全等級保護是當今發(fā)達國家保護關(guān)鍵信息基礎(chǔ)設(shè)施，保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗的總結(jié)。實施信息安全等級保護，有利于在國家信息化建設(shè)進程中與建設(shè)信息安全設(shè)施同步，與保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為國家信息系統(tǒng)安全建設(shè)和管理提供針對性、系統(tǒng)性、可行性的服務和指導；有利于優(yōu)化國家信息安全資源的合理配置，對信息系統(tǒng)實施分級保護，要重點保障基礎(chǔ)性信息網(wǎng)絡(luò)和關(guān)系到國家安全、社會穩(wěn)定、經(jīng)濟命脈等方面的重要信息系統(tǒng)的安全；有利于進一步明確和界定國家、法人和其他組織、公民的信息安全責任，提高信息安全管理實效；有利于促進信息安全產(chǎn)業(yè)的深入發(fā)展，著力探索出適應我國社會主義市場經(jīng)濟健康發(fā)展的信息安全模式。

目前，信息安全檢查工作已經(jīng)成為常態(tài)化例行工作，但仍需對有關(guān)定級、建設(shè)與改建、測評、備案和監(jiān)督檢查等工作細化完善；各級信息化工作領(lǐng)導和辦事機構(gòu)應進一步加強等級保護的部門間協(xié)調(diào)工作，探索并形成有效協(xié)調(diào)機制；公安機關(guān)、國家保密、密碼管理等職能部門應進一步加強隊伍建設(shè)，提高信息安全等級保護工作的監(jiān)督、檢查、指導等業(yè)務能力。要具體解決各職能部門協(xié)同交流不暢、不深入等問題，切實增強責任感、使命感、緊迫感，加強領(lǐng)導，落實責任，分工負責，密切配合，扎實工作，切實把信息安全等級保護工作抓緊、抓實、抓好；解決對信息安全工作宣傳力度不夠、各地區(qū)、各行業(yè)、各部門對當前信息安全保障工作面臨的嚴峻形勢認識不足等問題，解決等級測評和自查工作不開展不認真等現(xiàn)象；解決定級前期指導與定級不準問題，防止影響整改、測評和檢查等后續(xù)工作的開展；解決信息安全檢查工作任務急、時間短、不嚴不細等問題，切實把信息安全檢查工作做實做細，有效解決重要信息系統(tǒng)安全面臨的威脅和存在的主要問題，提高被檢查單位信息安全保障工作的水平。

三、加快信息安全技術(shù)攻關(guān)和產(chǎn)業(yè)扶持

當前，經(jīng)濟全球化深入發(fā)展，新一輪信息技術(shù)變革正在興起，國內(nèi)工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化日益深入發(fā)展，經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型加快，為我國信息化發(fā)展帶來了新的機遇和動力。

著力推進信息化深入發(fā)展，保障信息安全，對經(jīng)濟結(jié)構(gòu)調(diào)整和發(fā)展方式轉(zhuǎn)變，對加強和改善民生、切實維護國家安全意義重大。

黨的十八大提出，“建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進信息網(wǎng)絡(luò)技術(shù)廣泛運用。［2］我們必須深刻領(lǐng)會，認真貫徹落實。各級工業(yè)和信息化主管部門要進一步提高認識、拓寬思路、務求實效，從實際出發(fā)，堅持走自主創(chuàng)新的發(fā)展道路，大力發(fā)展自主可控的信息安全技術(shù)和產(chǎn)品，鼓勵技術(shù)與管理創(chuàng)新，積極引進和借鑒國外先進技術(shù)與管理經(jīng)驗，堅定地確立信息安全產(chǎn)業(yè)的策略，因地制宜制定關(guān)乎國計民生基礎(chǔ)和重要信息系統(tǒng)安全規(guī)劃和建設(shè)。通過統(tǒng)籌規(guī)劃，政策扶持，整合力量，進一步加大財政支持力度，進一步加大網(wǎng)絡(luò)與信息安全技術(shù)研發(fā)投入力度，強化對移動互聯(lián)網(wǎng)、、物聯(lián)網(wǎng)、云計算、以及下一代互聯(lián)網(wǎng)等新興信息技術(shù)方面的信息安全技術(shù)研究，繼續(xù)組織實施信息安全產(chǎn)業(yè)化專項，進一步完善有關(guān)信息安全政府采購管理制度和政策措施，支持信息安全產(chǎn)業(yè)快速發(fā)展，進一步增強自主創(chuàng)新意識，加快關(guān)鍵信息技術(shù)的研發(fā)和自主技術(shù)的產(chǎn)業(yè)化進程，逐步實現(xiàn)民族信息產(chǎn)品替代進口產(chǎn)品，形成本國特色的現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，保障國家信息安全。

四、加快培養(yǎng)高素質(zhì)信息安全人才

信息安全從來就不單純是一項技術(shù)、一個產(chǎn)品的安全，而是信息、設(shè)施、網(wǎng)絡(luò)與人的高度綜合的安全，人永遠是信息安全最為核心的要素，在法律法規(guī)制度提供保障下，人和技術(shù)的辯證統(tǒng)一是信息安全的根本解決之道。專業(yè)技術(shù)人員的數(shù)量、結(jié)構(gòu)、質(zhì)量等因素對信息系統(tǒng)安全建設(shè)水平的高低起著關(guān)鍵作用。培養(yǎng)和造就大批信息安全領(lǐng)域高素質(zhì)的技術(shù)與管理人才是構(gòu)筑信息安全體系的智力基礎(chǔ)。

應本著對國家、民族負責的精神,確立信息安全人才優(yōu)先發(fā)展戰(zhàn)略布局，從信息安全學的學科體系建設(shè)入手,以培養(yǎng)具備多學科知識和復合型技術(shù)的人才為目標，支持信息安全與保密學科專業(yè)院系、師資隊伍、重點實驗室、學科體系建設(shè)，培養(yǎng)出既懂信息安全防護技術(shù),又精通領(lǐng)域知識的復合型、創(chuàng)新型、應用型的高級專業(yè)人才。開展面向全社會的信息化應用和信息安全宣傳教育培訓。加強大中小學信息技術(shù)、網(wǎng)絡(luò)道德和信息安全教育；在政府機關(guān)和涉密單位定期開展信息安全教育培訓；各級財政要加大對信息安全宣傳教育和培訓等公益性活動的支持；形成范圍廣泛、素質(zhì)優(yōu)良的信息安全人員隊伍。

五、加強重點領(lǐng)域信息系統(tǒng)安全防護和管理

確保重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全。對于涉及國計民生的重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)，要按照國家確定的信息安全戰(zhàn)略，強化技術(shù)防范，嚴格安全管理，加大保障力度。

加強政府和涉密信息系統(tǒng)安全管理。嚴格政府信息技術(shù)服務外包的安全管理，鼓勵政府部門優(yōu)先選用通過信息安全管理體系認證的信息技術(shù)服務機構(gòu)提供的外包服務；明確界定使用計算機的性質(zhì)和用途，堅持“誰上網(wǎng)、誰負責”的原則，加強信息發(fā)布審核的管理；加強安全和保密防護監(jiān)測，落實涉密信息系統(tǒng)分級保護制度，強化涉密信息系統(tǒng)審查備案機制。

保障重要領(lǐng)域工業(yè)控制系統(tǒng)安全。加強重要領(lǐng)域工業(yè)控制系統(tǒng)的安全防護和管理，定期開展安全檢查和風險評估，加強監(jiān)管和安全測評，實行安全風險和漏洞通報制度。

強化信息資源和個人信息保護。加強基礎(chǔ)信息資源的保護和管理，保障信息系統(tǒng)互聯(lián)互通和部門間信息資源共享安全；加大敏感信息保護，進一步加強個人信息保護工作。

六、積極開展國際合作

信息通信新技術(shù)的迅速發(fā)展和普遍應用是當今時代一個最重要的特點。信息通信技術(shù)貫穿人類活動的所有領(lǐng)域，形成全球信息系統(tǒng)，直接影響國家安全的各個方面，包括政治、經(jīng)濟、國防、社會文化等，以及整個國際安全與穩(wěn)定體系。信息通信技術(shù)和當代威脅與挑戰(zhàn)具有跨國性質(zhì)，必須通過雙邊、地區(qū)和國際層面的合作，加大各國保障信息安全的力度。只有各國采取協(xié)調(diào)一致和互補措施，才能有效應對當代信息安全的挑戰(zhàn)與威脅。要本著謀求合作、求同存異的態(tài)度，立足我國國情，積極開展網(wǎng)絡(luò)信息安全保障領(lǐng)域的國際交流和合作，積極參與信息安全國際標準的制定工作，不斷提升我國在國際網(wǎng)絡(luò)信息合作方面的話語權(quán)和影響力。通過國際交流與合作，充分利用國際資源共同應對國際社會面臨的許多共性網(wǎng)絡(luò)信息安全問題，比如跨國網(wǎng)絡(luò)犯罪、垃圾郵件、不良信息治理等。在我國信息技術(shù)等方面仍處于弱勢地位情況下，盡早就規(guī)范各國在信息和網(wǎng)絡(luò)空間行為的國際準則和規(guī)則達成共識，在聯(lián)合國框架內(nèi)通過“信息安全國際行為準則”，以維護我國信息和網(wǎng)絡(luò)安全，維護信息網(wǎng)絡(luò)的國際公平和正義。

［1］習近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組第一次會議上講話［N］.人民日報，2014-2-27.

［2］十八大以來重要文獻選編［M］.北京：中央文獻出版社，2014.