随着信息技术的广泛应用,特别是我国社会信息化进程的全面加快,信息化带动了工业化的发展,网络与信息系统的基础性、全局性作用日益増强,信息网络己成为国家和社会发展新的重要战略资源。保障网络与信息系统安全,更好地维护国家安全、经济命脉和社会稳定,是信息化发展中必须要解决的重大问题。
1对信息安全的理解
信息安全战略首先要回答什么是信息安全以及我国信息安全的特殊性问题。从内涵角度讲信息安全是指在社会发展信息化的趋势和环境下信息和信息网络、信息系统的整体安全。从外延角度讲信息安全是国家安全的重要组成部分,信息安全关系到国民经济健康发展、政治稳定、文化安全、国防安全和公民、企业的合法权益。
信息安全具有完整性、专有性(保密性)、可用性、可控性、不可否认性和合法性等六个基本属性。完整性是指,保证信息在传输、处理、存储中未被増加、修改、删除、替换;专有性是指,保证信息仅为信息享有者或者其授权者所专门知晓和拥有;可用性是指,保证信息系统和其中传输、处理、存储的信息,通过正常操作能够完整实现其预期功能;可控性是指,保证信息系统和其中传输、处理、存储的信息能够始终处于系统所有者或者其授权者的正常、有效控制和管理之中;不可否认性是指,保证信息系统能够准确记录系统的运行情况,追溯信息来源;合法性是指,保证信息内容和制作、发布、复制、传播信息的行为符合宪法和法律的规定。
我国的社会制度和面临的威胁,决定了信息安全的合法性是我国信息安全的特殊要求,是我国信息安全中的关键,也是与其他国家的最大区别,具有中国特色和时代特色。我国的信息安全不仅包括信息、数据自身不受破坏的属性,还特别强调制作、发布、复制、传播的信息数据的内容必须符合法律要求;制作、发布、复制、传播信息数据的行为方式必须符合法律要求。
2我国信息安全面临的严峻形势和主要威胁胡锦涛总书记指出,“信息安全是个大问题,必须把信息安全问题放到至关重要的位置,认真加以考虑和解决”。目前研究国家信息安全是在一个特定的历史时期和特定历史环境下的信息安全,信息安全离不开国家、历史和现实发展的大背景,同时也与国家政治、经济、文化以及社会生活的方方面面紧密相关。从全局高度,综合分析,我国信息安全问题面临着非常严峻的形势,各类威胁己经突出显现。主要体现在以下八方面:
(1)我国对信息化的依赖性
从目前总的信息化水平来看,我国社会信息化水平不高,整体依赖性不强。但必须看到,第一,我国涉及国计民生、经济发展的重要领域和高科技领域对信息安全的依赖性己非常强,信息安全问题造成的危害不比信息化发达国家弱;第二,高科技领域历来都对低科技领域起到主导和控制作用,因此重要领域和高科技领域对信息化的依赖程度,己经影响到国家安全、社会秩序和管理机制;第三,我国目前社会承受能力很弱,信息安全出现的问题有可能出现连锁反应,对社会造成严重冲击,如证券、银行、电力、铁路等。
(2)我国信息化的脆弱性
我国信息化的脆弱性体现在:一是技术的脆弱性。信息安全关键技术不能自主可控,西方信息技术优势对我国信息安全产生严重影响。二是设备的脆弱性。信息化建设中的核心元件、设备我们不能生产,要依赖进口。软硬件的安全漏洞、隐患甚至“后门”大量存在,很难发现,其安全性难以根本保证。三是管理的脆弱性。相当一些单位、企业适应信息化的现代化管理体系和机制尚未建立起来,计划经济下的传统管理方式造成安全的更加脆弱。四是安全防范的脆弱性。我国信息安全基础设施投资不足、管理不善,不能满足保障信息化建设的需要。信息安全市场的国际化,使得我国部分失去信息系统建设和信息安全服务的控制权。另外在管理层面,我国信息安全管理机关职责不清,多头管理,信息安全保障制度不健全、责任不落实、监管不到位,也是我国信息安全脆弱性的具体表现。
(3)来自于境内外敌对势力宣传煽动十分突出境内外敌对势力利用信息优势有组织有计划地利用互联网对我国进行渗透和破坏,成为国家级的对抗。他们利用网络易攻难守的非对称性特点和技术优势,把互联网作为对我颠覆、渗透和破坏的重要工具和渠道。影响社会稳定的各种因素也往往通过网络进一步扩展、放大,造成很大的社会影响。
(4)网络违法犯罪快速増长,危害日趋严重近年来,利用和针对网络的违法犯罪一直呈成
倍増长的高发态势,现实危害性日益増强。传统犯罪和网络犯罪相互渗透,信息网络己经成为不法分子进行诈骗、盗窃、敲诈勒索、走私、贩毒、赌博、色情交易等各种违法犯罪活动的重要工具,网上违法犯罪案件对社会的影响和危害加重。
(5)网上情报活动和窃密、泄密现象严重各国情报机关都将互联网和网络技术作为进行情报和窃密活动的渠道和工具,我国网上窃密、泄密的情况屡屡发生,对国家安全、经济安全造成严重危害。
(6)境外意识形态和思想文化的渗透及侵略不可忽视
互联网文化从一开始就是西方文化,网上主流意识形态和主流的世界观、价值观都是西方化的。互联网己成为宣扬西方价值观念和政治准则的主要渠道,如不进行有效的控制,将对我国的青少年一代产生十分严重的负面影响。
(7)计算机病毒和黑客攻击对信息安全构成严重威胁和破坏
我国涉及国计民生的重要领域对网络的依赖性越来越强,但安全隐患大量存在,一旦遭受黑客攻击或发生信息网络安全问题,就可能导致灾难性的后果。去年以来,全球范围内较大规模的计算机病毒爆发已有数十次,均对我国造成了重大危害。
(8)信息战、电子战、心理战及网络恐怖等潜在威胁日益严重
信息战不可避免地成为未来军事战争的主要形式。信息获取、处理、传输、利用等各个环节上都存在着对抗,关键信息的泄露或破坏会给整个军事行动造成重大影响。恐怖主义向信息网络领域的渗透和扩张,网络恐怖活动威胁増大。信息网络既是恐怖活动的新领域也是恐怖活动的重要手段。一是可能以国家重要基础设施信息网络为目标,利用黑客和计算机病毒技术实施网络攻击,破坏国民经济和社会生活秩序;二是可能以互联网为媒体,进行网上恐怖心理战和宣传战,破坏政治稳定,制造社会恐慌;三是利用信息网络进行组织策划、联络和收集、窃取与恐怖活动相关的情报信息,以便在社会上实施常规恐怖活动。由于我国信息化发展起步较晚,面对信息战和网络恐怖等潜在威胁比西方发达国家更严峻。
3国家信息安全保障的战略目标、指导方针、基本原则和基本制度
3.1国家信息安全保障的战略目标
逐步建立健全系统、完整、有效的国家信息安全战略体系;全面提高信息安全防范能力、控制能力、保护能力、应急处置恢复能力和侦查打击能力;保障基础信息网络和重要信息系统的安全;创造安全健康的网络环境,实现信息安全与信息化建设同步发展,维护国家安全、社会稳定和公众合法权益。
3.2国家信息安全保障的指导方针
坚持“积极防御、综合防范”的方针,全面提高信息安全发现预警、防范控制、保护评估、应急恢复、查处打击、对抗反制、监督检查等能力,构建立体防御体系,提高我国信息安全保障的整体水平,促进信息化健康发展。
“积极防御、综合防范”是我国信息安全保障的基本方针。信息安全是防御性的安全,目前我国信息安全的被动局面在短期内不可扭转。积极防御,就是立足于安全保护、加强预警和应急处置,从更深层次和长远考虑,提高隐患发现、安全保护、应急反应、信息对抗等能力,实现对网络和信息系统的安全可控。综合防范,就是坚持预防、监控、应急处理和打击犯罪相结合,做好保护、检测、反应、恢复、预警、反制六个环节中的工作;从国家组织框架、监管、监控、打击犯罪、应急处置、法律、标准、人才、技术和产业发展等方面入手,通过全社会的共同努力,全面提高信息安全保障能力。信息安全是一个基于高技术、非对称、超常规的信息对抗过程,这个过程没有尽头。对抗的双方,主动攻击者在暗处,被动防御者在明处。少数人的主动攻击,会造成防御方很多人被动应付的局面。面对这种严重不对称现象,就必须制定一个”积极防御、综合防范”的战略方针,以扭转被动防御的局面。3.3国家信息安全保障的基本原则
信息网络把政府、企业和公民个人都联系起来,人们与信息网络的关系越来越密不可分。而随着信息网络的发展,现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全。信息安全不仅是国家、政府各部门的责任,也是各行业、各单位和每个公民的责任。国家信息安全存在于信息安全的各方面之中,也寓于所有单位和个人之中。
第一,信息安全要靠全社会的共同参与。信息安全是一项复杂的系统工程,也是一项长期的、社会化的工作,我国信息安全保障体系建设面临着非常繁重的任务,维护国家信息安全需要政府、单位、个人三方面共同参与和努力。
第二,实行“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的信息安全责任制。发挥网络使用和建设单位职能作用,提高他们对安全工作重要性的认识,建立健全各项安全管理制度和技术防范措施,完善和落实信息安全责任制,维护自身信息安全。广大网络用户要増强法制意识和网络安全防范意识,自觉遵守信息安全法规,维护信息安全。信息网络和信息系统主管部门负责领导本系统的信息安全工作,承担和落实信息安全责任,组织运营、使用单位落实安全措施。信息网络和信息系统运营、使用单位应当落实安全组织、人员和安全管理制度、安全技术措施。提供信息安全产品和安全服务的单位,应当保证其提供的服务和产品的安全,维护国家安全、公共利益,保守国家秘密,保护公民、法人和其他组织的合法权益。公民、法人和其他组织在信息网络和信息系统应用中,应当遵守国家法律、法规的规定,承担法律法规规定的安全责任。
第三,国家要在信息安全中起主导作用。各级政府必须加强对信息安全工作的领导,组织、协调信息安全监管职能部门及政府其他有关部门、企事业单位和个人共同维护信息安全,在国家信息安全保障工作中起主导作用。在发生信息安全重大事件,对国家安全、社会秩序和公共利益造成危害、威胁时,各级政府应当启动应急处置预案,组织协调有关部门、企事业单位和个人做好应急处置工作。各级政府应当支持信息安全技术的研究开发,鼓励培养信息安全专业人才,开展信息安全宣传教育。
第四,执法和监督部门要充分发挥作用。公安机关、国家保密工作部门、国家密码管理机构等信息安全监管职能部门,依法监督、指导有关部门、企事业单位和个人履行信息安全职责、责任和义务,预防、制止和惩处危害信息安全的违法行为,维护国家安全、社会秩序和公共利益,保护公民、法人和其他组织的合法权益。
3.4国家信息安全保障的基本制度
如何全面和整体解决各行各业在信息化建设中的安全问题,是国内外信息安全界多年来一直关注的问题。美国及西方发达国家为了抵御信息安全的脆弱性和安全威胁,制定了一系列强化信息安全建设的政策和标准,其中一个很重要的思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。
《国家信息化领导小组关于加强信息安全保障工作的意见》中关于实行信息安全等级保护的重要决定,是国家解决信息安全保护问题的基本政策。信息安全“等级化的管理”制度主要体现在:一是信息安全等级保护制度要求国家、社会、单位和个人共同参与等级保护工作各方主体按照规范和标准分别承担相应的、明确具体的信息安全责任。二是根据信息和信息系统的重要程度和安全需求,划分安全保护级别。信息和信息系统按照等级保护的要求进行建设、管理。重点保障涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息和信息系统的安全,优先保护重要领域的高级别的信息系统。
三是国家运用规范和标准,要求信息和信息系统按照相应的建设和管理要求,进行自主定级、自行保护。四是国家指定行政执法部门,对重要信息和信息系统的安全进行监督。
实行等级保护制度是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息安全问题的必然选择和有效途径。国家实行信息安全等级保护制度是国家统一并规范信息安全保护工作,扭转信息安全保护工作的不利局面的迫切需要;是国家基础信息网络和重要信息系统主管部门及建设、运营单位正确把握系统安全问题和安全需求,用统一规范进行信息系统安全建设与管理,改进、提高系统安全水平的需要;是信息安全检测评估机构进行科学、准确评估与验证系统和产品安全等级的需要;是信息安全职能部门有效履行信息安全等级保护职责,开展监督、检查、指导工作的需要;是信息安全企事业单位针对国家和市场需求研发信息安全等级保护科学技术和产品的需要;是提高信息安全保护职能部门查处违法犯罪案件的需要。
1980年以来,公安部组织各方面的力量就国家信息安全保护问题,从立法、管理、技术等方面做了深入的调查研究。在此基础上,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,第一次以法律的形式确定了在我国实行信息安全等级保护制度。1999年国家颁布了《计算机信息系统安全保护等级划分准则》(GB17859—1999)。该标准将信息系统划分为五个安全保护等级,为开展我国信息系统安全保护等级工作确定了技术性指导原则。2000年起,公安部组织起草了30余项等级保护技术标准,研制了等级检测评估辅助工具,并在一些单位组织开展了信息安全等级保护试点工作,为进一步开展等级保护工作打下基础。根据《条例》的授权和要求,公安部自2002年起研究起草《中华人民共和国信息安全等级保护管理办法》,同时组织编写并己初步完成了《信息安全等级保护实施指南》、《信息安全等级保护评估指南》,为信息安全等级保护工作的实施做好了前期的准备。
4国家信息安全保障的战略措施随着社会信息化程度的不断提高,信息网络己经渗透到社会领域的各个方面。单靠任何一个领域或者部门都无法支撑整个国家的信息安全,必须采用综合集成的方法,对现有的各个领域、各个层面的资源、策略、手段进行整合,共同构建国家信息安全保障体系。胡锦涛总书记指出,“意识形态领域尤其是网上斗争十分复杂,有时还十分尖锐。我们也要学会这种斗争方式。要密切关注、适时揭露对我的造谣诬蔑,増强广大群众,尤其是青年一代的识别能力”。并要求,“我们要把掌握网上斗争的主动权放到十分重要的位置,立足长远,从领导力量、体制机制、技术手段、经费保障、人才培养等方面,采取一系列的综合措施”。为了实现国家信息安全战略目标,在战略方针的指导下,提出支持国家信息安全保障体系的十大措施。
4.1建立健全国家信息安全组织领导体系,解决信息安全工作的组织保障国家信息安全保障的关键在于组织领导,国家要有一个能够协调各个有关职能部门的高层机构来统一领导信息安全保障工作。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。
国家组织领导体系要能够做到集中各级各方面的网络安全情况,及时正确地进行宏观决策;明确主管部门,有效地组织协调有关职能部门;建立统一指挥、统一行动的国家信息安全保障机制;统一指挥、调度、处置各种信息网络安全重大事件;部署各项信息安全保障措施。
各重要信息系统主管部门按照“谁主管、谁负责”的原则,组织开展本系统的信息安全保护工作,承担安全责任。公安部在信息安全领域负责指导、监督、检查。涉及国家秘密的信息系统,由保密局按照党和国家有关保密规定进行保护。涉及到密码问题,由密码办负责。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系。
4.2建立健全信息安全法律法规体系,解决信息安全管理的执法基础信息安全法律体系是依据宪法和国家信息安全保障的总体框架,制定信息安全的基本法以及与之相配套、相协调、相统一,并且与现有法律规范相衔接的信息安全法律、法规和部门规章,形成一个能够基本覆盖信息安全各种法律关系、调整范围、主要内容的相互关联的有机整体。
信息安全法律体系建设的主要任务,就是将国家信息安全保障的总体框架、基本制度和重要措施等上升为具有国家强制力保障实施的法律制度;确立信息安全领域的基本法律原则、基本法律制度和基本法律责任,规范信息安全各方主体的权利义务关系,系统、全面地解决我国信息安全立法、执法中的基本问题,为在信息安全领域维护国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益提供有力的法律保护。