| 当今世界,国际局势正在发生深刻的变化,国家安全的内涵和外延发生了很大变化,除了国家主权、领土完整等传统安全外,大规模疾病流行、环境恶化、能源危机、跨国犯罪、恐怖主义等非传统安全正显现出来。特别是随着信息化的推进,国民经济和社会对信息和信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日益突出,国家安全面临着新的挑战。
对此必须予以高度重视,必须有充分的对策。要坚持积极防御、综合防范的方针,从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。在信息化规划和建设中,同步考虑信息安全问题,始终坚持一手抓信息化发展,一手抓信息安全保障工作。必须认识到,没有安全保障的信息化,会严重威胁国家安全和社会稳定,会置党和国家于一个非常危险的境地。同时,信息安全问题解决不好,有价值的信息不能上网,可以利用网络处理的业务不能用网络来处理,会严重影响和制约信息化的发展。必须辨证地看待信息安全问题,认识到没有绝对的安全,不存在没有风险的安全,安全风险和安全事件是不可能完全避免的。在具体信息化建设中,不能忽视信息安全威胁,也不能简单片面地夸大信息安全问题,必须综合平衡安全建设成本与安全风险,从实际安全需求出发进行安全建设和管理。
信息安全是信息化推进中出现的新问题,只能在发展的过程中加以解决。要坚持保障和促进信息化发展这一根本原则,以安全保发展,在发展中求安全。目前有些单位和地方简单的通过不上网、不共享、不互联互通来保安全,或者片面强调建专网。这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加了信息化的成本,降低了信息化效益,失去了发展机遇。要立足安全防护,科学分析信息安全风险和威胁,采取多种技术和管理措施,加强预警和应急处置。要从安全保护、检测发现、应急处置、打击犯罪等各个环节,从法律、管理、技术、人才、意识等各个方面,从国家、企业个人各个方面,采取综合的管理和技术措施,提高信息安全保障水平。
信息安全保障工作包括技术和管理两个方面,两个方面都很重要。但从目前我国实际发生的安全事件看,较为薄弱的还是信息安全管理,有很多信息安全事件都是由于管理不到位,责任不落实造成的。要建立和完善信息安全管理责任制,加强管理,落实责任。信息安全是高技术的对抗,从根本上讲,解决信息安全问题还是要通过发展信息安全高技术。要坚持管理与技术并重,积极发展和采用先进技术来解决信息安全问题,同时也要注重通过加强管理弥补技术上的不足。
信息安全保障工作涉及到信息化建设的各个环节,包括法律、管理、技术、人才、意识等各个方面,与各部门、各地方都密切相关,是一个复杂的系统工程。网络中的一个环节、一个局部、一台计算机出问题,都有可能迅速地扩展到整个系统和网络,影响全局。这就要求我们十分注重统筹规划、全面防护,从各个层面,各个环节上加强综合性的信息安全保障工作。与此同时,还要突出重点,有所为有所不为,将有限的资源用于基础部分、关键地方、要害部位。要重点防止那些关系到国计民生的重要基础设施和信息系统在遭到攻击、破坏和发生事故时,导致能源、金融、交通、通信、社会服务保障等的大面积瘫痪,给经济和社会造成的巨大损失。
安全单靠花钱是买不来的。发展信息和信息安全高技术、发展国家信息产业和信息安全产业、摆脱关键技术和设备受制于人的被动局面是掌握信息安全主动权的根本出路。要注重自主创新、自主可控。要大力推广应用国产软件、设备。虽然从总体上我们技不如人,但对于国家信息化建设中的很多方面,如电子政务中的机关办公、事务处理、对公服务等,国产软件、设备和服务是能够满足需求的。我们必须从保障国家信息安全、支持国家产业发展的高度,优先使用国产软件、设备和服务。另一方面,也要处理好自主研发与引进、采用国外先进技术和产品的关系,不能简单地认为只有自己的技术才是安全的,凡是国产的设备就是可控的。要积极开展国际合作,认真学习国外信息和信息安全新技术,合理引进和利用信息安全产品。同时,要加强对引进技术和产品的安全可控研究,努力做到趋利避害,为我所用。
信息安全保障是国家的大事,是各级党委和政府的一项重要工作。政府要着重从政策引导、监督管理、人才培养、增强意识及基础技术研究开发等方面加强信息安全保障工作,同时也要做好政府本身信息系统的安全建设和管理工作,为社会做出榜样。但是,信息安全保障不仅是政府的事,仅靠政府部门是做不好信息安全保障工作的。在更大层面上,信息安全保障是广大企业、公民个人的责任和义务,需要全社会的共同努力。国家要鼓励社会力量参与信息安全建设。广大企业、科研机构应该成为信息安全技术研发、产业发展的主体,并为政府和社会提供信息安全服务。
国家信息安全战略是国家安全战略的重要组成部分,是国家信息化、信息安全保障的基本纲领,是党中央、国务院高层决策的基本依据。要根据国际国内的安全形势和国家的安全利益,全面分析评估面临的信息安全风险和威胁,形成信息安全的理论体系,重点是信息安全战略和关于信息安全重大问题的基本原则,确立战略目标、战略重点、战略步骤和总体思路,制定信息安全的中长期发展规划,指导信息安全建设和管理。
本文是根据国务院信息化工作办公室常务副主任曲维枝讲话录音整理
|