文/尹佳音

信息安全的定義及發(fā)展演變

“信息安全”概念的提出最早出現(xiàn)于20世紀(jì)40年代，意為保護(hù)信息及信息系統(tǒng)免受偶然或有意發(fā)生的未經(jīng)授權(quán)的入侵、破壞、修改、監(jiān)控及銷毀。早期信息安全研究多關(guān)注通信保密（COMSEC），20世紀(jì)90年代后期信息安全涵蓋領(lǐng)域進(jìn)一步拓寬，研究重點(diǎn)從早先的通信保密逐漸向計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息對抗等綜合性技術(shù)轉(zhuǎn)變。近年來，隨著能源、交通、醫(yī)療和金融等部門對信息技術(shù)依賴程度的逐漸提高，信息安全相關(guān)研究也突破傳統(tǒng)邊界，開始向社會、政治、科技、軍事等多領(lǐng)域延伸，各國政府對信息安全的認(rèn)知也從早先的通信安全和數(shù)據(jù)安全向以維護(hù)國家安全為核心，構(gòu)建綜合防護(hù)體系轉(zhuǎn)變。

信息安全體系構(gòu)建的國際經(jīng)驗(yàn)

當(dāng)前網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界的邊界日漸模糊，非法組織和個(gè)人無須通過進(jìn)入該國而僅通過破壞信息系統(tǒng)便會對被攻擊國家的社會經(jīng)濟(jì)發(fā)展帶來災(zāi)難性打擊，鑒于此，各國政府近年都將信息安全擺在國家安全的核心位置，并將大量資金、人員、技術(shù)投入到本國信息安全體系建設(shè)、構(gòu)建國際信息安全網(wǎng)絡(luò)、核心技術(shù)研發(fā)工作、保護(hù)本國政府和個(gè)人數(shù)據(jù)安全性等工作當(dāng)中。

（一）將信息安全提升到國家安全戰(zhàn)略高度——美國信息安全體系構(gòu)建的特征

隨著互聯(lián)攻擊手段的多樣化，美國國家信息安全體系面臨巨大挑戰(zhàn)。據(jù)2018年美國管理和預(yù)算辦公室（OMB）報(bào)告顯示，2018年美國本土涉及黑客攻擊、互聯(lián)網(wǎng)詐騙、存儲介質(zhì)丟失等在內(nèi)的信息安全事件共計(jì)3.5萬起。為更好地維護(hù)國家安全體系，防止網(wǎng)絡(luò)攻擊對美國國家安全帶來不利影響，美國政府近年通過立法和財(cái)政撥款手段大力推進(jìn)國家信息安全體系建設(shè)。

以1946年出臺的《原子能法》為標(biāo)志，美國國會先后通過涉及國內(nèi)信息安全體系建設(shè)的相關(guān)法案共130余項(xiàng)。2018年9月，美國白宮首次發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃》，該規(guī)劃提出未來美國信息安全發(fā)展的重點(diǎn)方向，包括確保美國信息網(wǎng)絡(luò)穩(wěn)定運(yùn)行；培育數(shù)字經(jīng)濟(jì)和提升技術(shù)創(chuàng)新水平；加強(qiáng)與其戰(zhàn)略盟友合作；通過參與國際網(wǎng)絡(luò)環(huán)境治理提升美國國際影響力。2019年5月，特朗普總統(tǒng)簽署“信息產(chǎn)業(yè)供應(yīng)鏈安全”行政令，要求各級政府部門不得擅自安裝購買對美國信息安全產(chǎn)生潛在威脅的國外廠商提供的通信設(shè)備或相關(guān)服務(wù)，以防止政府部門數(shù)據(jù)泄露。2020年3月美國安全和可信通信網(wǎng)絡(luò)法案獲批通過，該法案在“信息產(chǎn)業(yè)供應(yīng)鏈安全”行政令基礎(chǔ)上將禁購令擴(kuò)大至本土企業(yè)，該項(xiàng)法案同時(shí)對未來美國5G技術(shù)發(fā)展提供了政策指導(dǎo)。

財(cái)政方面，美國政府每年投入大量經(jīng)費(fèi)以確保本國信息技術(shù)始終處于全球領(lǐng)先位置。根據(jù)白宮預(yù)算辦公室《2021財(cái)年預(yù)算計(jì)劃》，政府計(jì)劃投入188億美元用于信息安全領(lǐng)域技術(shù)的攻克。

（二）注重政府信息系統(tǒng)安全改進(jìn)——日本信息安全體系構(gòu)建的特征

日本政府主要從以下三個(gè)方面提升本國信息安全水平：大力培養(yǎng)信息技術(shù)專業(yè)人才用于協(xié)助日本政府推進(jìn)信息安全體系建設(shè)；通過同私營部門的技術(shù)研發(fā)合作降低本國企業(yè)對國家信息安全體系的不信任度；加大輿論宣傳力度，提升民眾信息安全防護(hù)意識。在應(yīng)對外部風(fēng)險(xiǎn)方面，日本政府更為重視與傳統(tǒng)戰(zhàn)略盟友特別是美國之間的信息安全合作，通過建立日美網(wǎng)絡(luò)防御政策研究工作組，日美兩國在信息安全領(lǐng)域的交流近年不斷加深。

2018年日本網(wǎng)絡(luò)戰(zhàn)略安全指揮部發(fā)布《政府機(jī)構(gòu)信息安全標(biāo)準(zhǔn)措施》，目的在于全面提升政府部門的信息系統(tǒng)管理規(guī)范性。日本政府認(rèn)為，構(gòu)建一套完善的政府信息系統(tǒng)應(yīng)做好以下幾方面工作：首先是建立信息安全保障機(jī)構(gòu)和完善職責(zé)分工體系。相較于企業(yè)信息系統(tǒng)，政府信息系統(tǒng)具有數(shù)據(jù)高度保密和傳輸網(wǎng)絡(luò)龐大兩個(gè)特點(diǎn)，因此為保證政府信息安全性，需要成立專門信息安全保證機(jī)構(gòu)，確保各部門可準(zhǔn)確完成各項(xiàng)工作。其次是制定措施標(biāo)準(zhǔn)和措施推廣方案。為全面降低信息安全風(fēng)險(xiǎn)，需要根據(jù)政府部門的具體職能制定信息保護(hù)標(biāo)準(zhǔn)，網(wǎng)絡(luò)戰(zhàn)略安全指揮部成立評估小組對標(biāo)準(zhǔn)進(jìn)行評估，相關(guān)部門可通過評估報(bào)告對本部門信息保護(hù)標(biāo)準(zhǔn)進(jìn)行進(jìn)一步改進(jìn)。再者，建立突發(fā)事件處理機(jī)制。相較于日常工作管理，信息安全突發(fā)事件往往會造成政府信息系統(tǒng)大面積癱瘓，因此，突發(fā)事件處理程序應(yīng)確保及時(shí)有效，《政府機(jī)構(gòu)信息安全標(biāo)準(zhǔn)措施》對信息安全突發(fā)事件處理制定了詳細(xì)步驟。最后是信息系統(tǒng)安全性自檢機(jī)制。為確保信息安全保障措施準(zhǔn)確有效，定期進(jìn)行自我檢查變得更加重要，各部門可通過自檢找出現(xiàn)存漏洞和潛在風(fēng)險(xiǎn)點(diǎn)，以便于在系統(tǒng)升級過程中加以防范。此外，為確保信息安全保障措施的成效，還需要委托第三方機(jī)構(gòu)對各政府部門的信息安全保障措施開展獨(dú)立審查，部門信息安全負(fù)責(zé)人需要根據(jù)第三方評審結(jié)果對部門信息安全保障措施提出指導(dǎo)性改進(jìn)方案。

（三）通過信息產(chǎn)業(yè)發(fā)展推動信息安全建設(shè)——印度信息安全體系構(gòu)建的特征

2017年，印度信息產(chǎn)業(yè)總產(chǎn)值已達(dá)1700億美元，約占GDP的7%，預(yù)計(jì)到2025年，這一數(shù)字將升至8%—10%。伴隨信息產(chǎn)業(yè)迅速發(fā)展而來的是日益嚴(yán)峻的信息安全挑戰(zhàn)，目前印度現(xiàn)已成為全球受網(wǎng)絡(luò)攻擊影響最嚴(yán)重的國家之一，僅在2018年印度計(jì)算機(jī)應(yīng)急響應(yīng)小組（ICERT）處理的信息安全事件就多達(dá)20萬件。印度信息安全體系構(gòu)建可歸納為以下三個(gè)方面：

1.通過不斷提升數(shù)據(jù)保護(hù)技術(shù)，確保國家信息安全系統(tǒng)免受威脅。為提升公共服務(wù)系統(tǒng)安全性，印度政府要求各政府部門在信息系統(tǒng)最初設(shè)計(jì)階段需要通過第三方機(jī)構(gòu)對包括系統(tǒng)開發(fā)機(jī)構(gòu)的能力、服務(wù)器安全性進(jìn)行安全評級，并針對評估結(jié)果給出改進(jìn)意見，以期將系統(tǒng)安全隱患在設(shè)計(jì)之初就加以杜絕。在個(gè)人信息保護(hù)方面，印度采取包括量子密碼學(xué)和多方計(jì)算先進(jìn)加密技術(shù)在內(nèi)的前沿?cái)?shù)據(jù)加密技術(shù)確保網(wǎng)絡(luò)接入客戶之間的高度安全通信（如密鑰共享、信息共享和特定地址訪問）和隱私信息保護(hù)，以達(dá)到消除信息傳輸過程中的非法攔截和防止惡意監(jiān)聽。此外，印度政府還專門成立從事反病毒和反惡意軟件的研究工作組，該工作組將定期向印度高新技術(shù)企業(yè)和各科研院所提供信息安全報(bào)告，以便其根據(jù)自身需求制定信息安全保護(hù)措施。

2.制定核心技術(shù)攻關(guān)時(shí)間表，針對薄弱環(huán)節(jié)開展技術(shù)攻關(guān)。由于高新技術(shù)產(chǎn)業(yè)對外依存度關(guān)系到社會、經(jīng)濟(jì)、政治、軍事等各個(gè)領(lǐng)域，因此印度政府計(jì)劃在未來幾年內(nèi)加強(qiáng)以下三方面的工作：（1）對高新技術(shù)產(chǎn)業(yè)供應(yīng)鏈進(jìn)行全面梳理，分析各產(chǎn)業(yè)對外依賴程度；（2）加大對關(guān)鍵技術(shù)的政府投資，突破關(guān)鍵環(huán)節(jié)技術(shù)瓶頸，提升核心零部件自主生產(chǎn)能力；（3）鼓勵高校和私人部門投資建立科研中心用于核心技術(shù)零部件研發(fā)。為及時(shí)找出電信基礎(chǔ)設(shè)施存在的漏洞，印度信息安全部門通過定期編制關(guān)鍵基礎(chǔ)設(shè)備風(fēng)險(xiǎn)清單的方式，對境內(nèi)通訊基礎(chǔ)設(shè)施現(xiàn)存風(fēng)險(xiǎn)進(jìn)行統(tǒng)計(jì)。此外，印度政府以五年為期，對該國現(xiàn)已使用的信息產(chǎn)業(yè)相關(guān)技術(shù)進(jìn)行包括技術(shù)發(fā)展瓶頸、技術(shù)發(fā)展對未來社會發(fā)展影響等方面的評估，分析各類技術(shù)對國外依賴程度，并將占GDP中0.25%（2025年該比重將提升到1%）的年度預(yù)算用于核心技術(shù)研發(fā)。

3.完善信息安全各項(xiàng)規(guī)章制度，從規(guī)則設(shè)計(jì)層面確保信息安全系統(tǒng)運(yùn)行。為防范未來更為復(fù)雜的網(wǎng)絡(luò)攻擊，印度數(shù)據(jù)安全委員會（DSCI）一方面完善現(xiàn)有信息安全性評估體系，包括細(xì)化網(wǎng)絡(luò)安全工作人員考核機(jī)制，縮短技術(shù)人員考核周期，適當(dāng)調(diào)整信息安全體系安全評價(jià)指標(biāo)，同時(shí)對已發(fā)生信息安全事件進(jìn)行備案，以便于此類事件再次發(fā)生時(shí)可迅速制定處理方案。另一方面，要求各政府機(jī)構(gòu)將信息安全突發(fā)事件特征分享給相關(guān)信息技術(shù)企業(yè)，便于企業(yè)有針對性地進(jìn)行突發(fā)事件防御系統(tǒng)的研發(fā)。此外，作為印度政府保障企業(yè)信息安全的重要措施之一，印度政府計(jì)劃在未來幾年內(nèi)大力拓展國內(nèi)網(wǎng)絡(luò)安全保險(xiǎn)市場，同時(shí)與國內(nèi)信息產(chǎn)業(yè)運(yùn)營商、保險(xiǎn)公司共同研討制定國家信息安全基礎(chǔ)設(shè)施保險(xiǎn)體系，開發(fā)適用于重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品。

當(dāng)前我國信息安全體系建設(shè)現(xiàn)狀和面臨的主要問題

隨著國內(nèi)信息技術(shù)的逐步成熟，政府、金融、電信、能源、交通等領(lǐng)域均已建立起較為完善的信息安全體系，并不斷從技術(shù)研發(fā)、人才培養(yǎng)、政策制定等方面加強(qiáng)信息安全能力建設(shè)。但我國信息安全體系構(gòu)建與國際特別是美、日等發(fā)達(dá)國家仍存在較大差距，主要表現(xiàn)在以下三個(gè)方面：一是我國信息安全產(chǎn)業(yè)核心技術(shù)仍存短板。目前中國信息安全產(chǎn)業(yè)發(fā)展勢頭速度遠(yuǎn)超全球平均水平，但我國信息安全產(chǎn)業(yè)存在的只大不強(qiáng)的問題并沒有得到有效解決，信息網(wǎng)絡(luò)領(lǐng)域的核心技術(shù)、關(guān)鍵設(shè)備和操作系統(tǒng)上整體性的自主研發(fā)能力不強(qiáng)，缺少真正的龍頭企業(yè)，大量民用、商用甚至國防產(chǎn)品生產(chǎn)仍依賴外國進(jìn)口，信息技術(shù)產(chǎn)業(yè)大多被壓制在產(chǎn)業(yè)鏈的低端，國內(nèi)信息安全難以得到根本保證。二是信息安全專業(yè)領(lǐng)域人才培養(yǎng)相對滯后，人才儲備同質(zhì)化程度偏高。目前我國已在全國范圍內(nèi)建立起信息安全工作的基礎(chǔ)研究、技術(shù)研發(fā)與技術(shù)服務(wù)的高科技企業(yè)和研究機(jī)構(gòu)，但由于國內(nèi)從事這類專業(yè)的技術(shù)人才嚴(yán)重短缺，表現(xiàn)為人才儲備同質(zhì)化程度較高、專業(yè)領(lǐng)域人才培養(yǎng)計(jì)劃與發(fā)達(dá)國家相比仍較為落后，國際化人才嚴(yán)重不足等。三是網(wǎng)絡(luò)攻擊事件相對頻繁，數(shù)據(jù)保護(hù)和信息傳輸安全性仍有待提升。根據(jù)《第45次中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2019年12月，國家信息安全漏洞共享平臺收集整理信息系統(tǒng)安全漏洞約1.6萬個(gè)，較2018年增長14%，其中收集整理信息系統(tǒng)高危風(fēng)險(xiǎn)漏洞4877個(gè)，境內(nèi)被篡改網(wǎng)站則多達(dá)18萬個(gè)。

美、日、印信息安全體系建設(shè)經(jīng)驗(yàn)對解決我國信息安全問題的借鑒與建議

（一）以實(shí)現(xiàn)高水平對外開放為目標(biāo)，優(yōu)化信息安全保障體系頂層設(shè)計(jì)

通過對美、日、印三國信息安全體系建設(shè)的經(jīng)驗(yàn)可以看出，隨著信息技術(shù)深刻融入本國社會經(jīng)濟(jì)發(fā)展的方方面面，逐步成為社會經(jīng)濟(jì)發(fā)展、社會進(jìn)步和科技創(chuàng)新的重要支撐，僅靠局部政策調(diào)整和規(guī)則完善已無法滿足各國政府對信息安全體系建設(shè)提出的更高要求，因此三國政府均從頂層制度設(shè)計(jì)層面，逐步探索有利于本國信息產(chǎn)業(yè)發(fā)展和國際信息技術(shù)交流的新型信息安全保障體系。鑒于此，我國十四五時(shí)期應(yīng)以堅(jiān)持國家總體安全觀、完善國家安全體系為基本要求，推進(jìn)產(chǎn)學(xué)研一體化機(jī)制建設(shè)，完善金融、人才、法律保障力度，大力扶持中小科技企業(yè)創(chuàng)新，鼓勵和支持大中科技企業(yè)、科研院所加強(qiáng)合作集中力量攻關(guān)信息核心技術(shù)，加快推進(jìn)國產(chǎn)自主可控替代計(jì)劃，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目。

（二）以共建“一帶一路”基礎(chǔ)設(shè)施互聯(lián)互通為抓手，加強(qiáng)地區(qū)信息安全合作

隨著全球互聯(lián)網(wǎng)覆蓋面積不斷擴(kuò)大，各國之間的物理邊界已被打破，國際非法勢力可借助互聯(lián)網(wǎng)對任何國家進(jìn)行有預(yù)謀的數(shù)據(jù)盜竊、金融欺詐、知識產(chǎn)權(quán)盜取等有損國家安全的攻擊。為此美、日、印三國均將建立國際信息安全合作網(wǎng)絡(luò)作為防御境外網(wǎng)絡(luò)攻擊的重要措施，例如美日通過建立日美網(wǎng)絡(luò)防御政策研究工作組，提升美日兩國在抵御國際非法勢力對其開展網(wǎng)絡(luò)攻擊的防御合作水平。我國應(yīng)借鑒美日兩國建立跨區(qū)域信息安全合作網(wǎng)絡(luò)的經(jīng)驗(yàn)，以“一帶一路”信息互聯(lián)互通為抓手，搭建地區(qū)信息安全合作平臺，通過與“一帶一路”沿線國家開展信息安全成果共享、應(yīng)急培訓(xùn)和演練等方式，探索工業(yè)信息安全應(yīng)急國際合作的新模式、新動能、新路徑。盡快制定網(wǎng)絡(luò)空間區(qū)域合作方案，包括建立信任的安全措施、建立數(shù)據(jù)流通安全標(biāo)準(zhǔn)、設(shè)立“一帶一路”地區(qū)信息中心等，推動“一帶一路”地區(qū)基礎(chǔ)設(shè)施互認(rèn)標(biāo)準(zhǔn)的確立，盡最大可能降低關(guān)鍵設(shè)備流通障礙。

（三）以改善營商環(huán)境為落腳點(diǎn)，打造安全穩(wěn)定政府信息系統(tǒng)

與日本政府建立嚴(yán)密的安全保密管理機(jī)制相比，我國政府信息系統(tǒng)建設(shè)仍存在一定提升空間，十四五期間我國應(yīng)進(jìn)一步加強(qiáng)政府部門網(wǎng)絡(luò)安全建設(shè)，通過科學(xué)的管理和防范，為我國社會穩(wěn)定運(yùn)行搭建良好的政務(wù)信息環(huán)境，具體可包括以下三方面措施：搭建穩(wěn)定安全的政府信息平臺，在信息安全管理體系規(guī)范和指導(dǎo)下，通過安全運(yùn)行管理，規(guī)范運(yùn)行管理、安全監(jiān)控、事件處理、變更管理過程，及時(shí)、準(zhǔn)確、快速地處理安全問題，保障業(yè)務(wù)平臺系統(tǒng)和應(yīng)用系統(tǒng)的穩(wěn)定可靠運(yùn)行；建立提前預(yù)警、情報(bào)共享、妥善處理、事后檢查的四階段信息安全事件響應(yīng)體系；建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確各級機(jī)構(gòu)的角色與職責(zé)，完善信息安全管理與控制的流程，提高網(wǎng)絡(luò)空間安全的突發(fā)事件處理能力。

（四）以提升關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)為前提，構(gòu)建信息安全網(wǎng)絡(luò)

金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到攻擊的重要目標(biāo)，因此必須將關(guān)鍵基礎(chǔ)設(shè)施納入新時(shí)期信息安全體系建設(shè)框架下，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)。我國可借鑒美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建立的經(jīng)驗(yàn)，建立關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)清單，對我國涉及能源、交通運(yùn)輸、金融等關(guān)系社會經(jīng)濟(jì)發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施統(tǒng)計(jì)造冊，杜絕關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫“后門”、“漏洞”隱患和威脅，構(gòu)建涵蓋“發(fā)現(xiàn)—防御—響應(yīng)—處置”于一體的安全保障體系，打造高水準(zhǔn)的安全服務(wù)保障平臺，提升關(guān)鍵信息基礎(chǔ)設(shè)施整體安全防護(hù)能力。

（五）以突破關(guān)鍵技術(shù)“卡脖子”難題為切入點(diǎn)，下大力氣攻克核心技術(shù)

大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等網(wǎng)絡(luò)數(shù)字技術(shù)正在引發(fā)以綠色、智能、共享為特征的群體性技術(shù)革命和產(chǎn)業(yè)創(chuàng)新。尤其是5G、人工智能、區(qū)塊鏈等新一代信息技術(shù)將持續(xù)促進(jìn)技術(shù)創(chuàng)新、業(yè)態(tài)創(chuàng)新和模式創(chuàng)新，使產(chǎn)業(yè)發(fā)展融合化、生產(chǎn)方式智能化、組織方式平臺化、技術(shù)創(chuàng)新開放化成為未來信息技術(shù)與社會生產(chǎn)融合的必然趨勢。因此，有必要推進(jìn)產(chǎn)學(xué)研一體化機(jī)制建設(shè)，鼓勵和支持大中科技企業(yè)、科研院所加強(qiáng)合作集中力量攻關(guān)信息核心技術(shù)，抓緊突破網(wǎng)絡(luò)發(fā)展的前沿技術(shù)和具有國際競爭力的關(guān)鍵核心技術(shù)，加快推進(jìn)國產(chǎn)自主可控替代計(jì)劃，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項(xiàng)目。