随着信息化的推进和全球信息化步伐的加快,信息技术的发展、应用和网络的普及,在推动经济社会发展的同时,也使利用网络犯罪、网络恐怖活动等信息安全问题层出不穷地产生,且越来越难对付。保证国家信息安全,把握信息化发展方向,维护国家网络空间的根本利益成为信息时代的重大战略问题。
维护信息安全成为当前各国共同面临的挑战性工作之一。对网络与信息系统的高度依赖性,使我国国民经济和社会发展面临新的风险。因此,在新的信息安全形势下,我们必须按照中央提出的“确保国家的经济安全、政治安全、文化安全和信息安全”的要求,增强忧患意识和危机意识,清晰认识世界化进程中的各种困难,主动应对各种考验和挑战,积极防范出现的风险和负面影响,以新的思路,新的机制,新的方法,加强信息安全工作。
应对信息安全的发展和信息安全保障要求,不断提高防伪保证能力,信息支持能力,信息对抗能力和我国在国际信息安全领域的影响能力,是最近提出来的我国信息安全工作应达到的能力目标。要实现这个目标,需要我们建立和完善维护国家信息安全的长效机制,形成国家信息安全保障体系,掌握国家信息安全的战略主动权。
作为信息安全保障工作的核心,信息安全的风险管理具有重要的意义,因此,必须把提高信息安全风险意识、加强信息安全风险管理落实到信息安全工作的全过程。
关于如何加强信息安全风险管理,建设国家信息安全保障体系,提出以下几点必须坚持的原则。
一、正确处理好发展与安全的关系
要正确处理好发展与安全的关系,做到安全管发展,在发展中求安全。坚决两手抓,一手抓发展,一手抓安全,将其落实到实际工作中,并有效处理好如保密和公开、发展和安全等一系列有关信息安全方面的重要关系问题.
二、坚持从实际出发,保证重点
要从实际安全需求出发,综合建设成本和安全风险;分级、分类、分阶段进行信息安全建设和管理,最大限度控制和化解安全风险。同时,坚持以法先行,依法行政,加强信息安全法制建设。依法明确信息安全各方面的责任和利益,保证公民、企业和社会其它组织的合法权益,通过立法规范信息安全管理,规范维护信息安全领域的各种行为,为维护国家安全、社会稳定以及公民合法权益提供有利的法律保障。
三、坚持自主创新,加大投入力度
信息安全产业是建设信息安全保障体系的基础,解决信息安全问题离不开高科技、高技术,要坚持技术并重和自主创新,加大投入力度,加快我国信息技术和信息安全技术的发展,加大我国信息安全产业的支持力度。
政府和企业应重视新技术发展所带来的新机遇和新挑战,要不断研究新技术,提高我国企业的市场竞争力,这是我国信息安全保障的基础,也是我国信息安全技术企业面临的艰巨而光荣的任务。
现在计算机科学有两个发展方向:一个是终端安全,即在终端加入更多的安全模块;另一个是网络可信计算,即在服务器上增加安全功能。过去,计算机产品和安全产品从功能上分开,随着时间的推移,安全专用技术和信息技术的融合已成为一种发展趋势。由于网络和终端都需要安全模块,我认为,仍然需要信息安全产品,并希望国内信息技术企业能加强对这个问题的研究。我们知道,在终端安全方面,联想公司很早就开发出终端上的安全模块,走在了国内大多数企业的前面。而在网络可信技术研究方面,大型路由器生产企业华为在路由器可信计算方面起了很大的作用,但目前,国内其他许多公司对此还缺乏相关研究。
总的来说,加强信息安全风险管理,建设国家信息安全保障体系,必须重视新技术发展给信息发展和信息安全产业带来的影响,政府和企业应认真分析这个问题,并找到对策。
(本文根据国务院信息化办公室吕诚昭副司长在2005年4月“第六届中国信息安全大会”上的讲话录音整理)
