方滨兴：解读国家信息安全保障体系

方滨兴：大家好！今天我选择的题目是解读国家信息安全保障体系，本来这是一个三年前的话题，我为什么今天要讲呢？我们在这一段的回顾27号文发布5周年，作为国务院信息化专家委员会一直在回顾这一段的工作怎么样，这个时候我们突然发现大家不太知道国家有一个很公开的，很正式的文件告诉大家我们国家的信息安全保障体系是什么。这一点我也觉得比较诧异，所以我觉得我有责任把这件事再做一下宣传，这也是我今天选择这个题目的原因。

这个是中央的文件，文件注明是此件公开发布，在这个文件中强调印发了2006-2020国家信息化发展战略通知，在这个通知里面因为它是信息化发展战略，专门涵了一段就是信息安全战略。在这一块我们可以看出来有这么几个核心术语，因为比较繁杂，一般很难记住，我们就做一个解读。我们看一下这个已经定位为保障体系，在这个里面有两个要素，一个是积极防御，综合防范，一个是立足国情综合平衡安全成本，这是相当于指导思想。

再有就是要建立和完善信息安全等级保护制度，要加强密码技术的开发利用，要建设网络信用信息，要加强信息安全风险评估工作，要建设和完善信息安全监控体系，要高度重视信息安全应急处置工作，要重视灾难备份建设，这是一系列的具体工作。要掌握核心安全技术，要加快信息安全培养，最后又提出来了几个能力，要不断提高信息安全的法律保障能力，基础支撑能力，网络以及宣传的驾驭能力和我国在信息安全领域的影响力，最后要建立和完善维护国家信息安全的长效机制。

这么一个文你一看很难记住核心，所以我把这个核心总结一下，我把它叫做一、二、三、四、五国家信息安全保障体系。一是什么呢？就是机制，要维护国家信息安全的长效机制，这是一个机制。二就是两个原则，一个原则是积极预防综合防范，一个叫做立足国情优化配置，或者立足国情适度防范。三就是三个要素，人，管理和技术。四是四个核心能力，法律保障能力，国际影响力等，我们要想让国际认可我们肯定要在信息对抗方面做出相应的工作。五，五项主要技术工作，一个是评估与等保，一个是监控系统，一个是信任体系，一个是应对机制，一个是灾备。

我们说建立机制要有几个层面，组织层面、机制层面和资金层面，组织层面上现在应该说存在问题，本来是有一个国家信息化领导小组，我们有一个国家网络与信息安全小组，现在这个协调小组目前没有开展工作，也没有宣布撤销。整个协调小组的办公室是放在公信部，存在着运动员和裁判员合一，使得公信力出现了一定的问题。

再有是有一个机构，现在由于国信办合并到公信部，这些专家们曾经有一些糊涂，我们是公信部的专家还是国务院信息办的专家，前一段专门到国务院向德江副总理做了汇报，他们说你们还是国家信息化专家，但是希望同时也作为一个公信部的顾问来帮助他们工作，所以现在定位是这么定的。

机制上一直是齐抓共管，就是谁组建，谁负责，谁主管谁负责，管理机制现在明确了，比如说重要信息系统，你说海关、税务、广电、电信是谁建的谁负责。其他的事情比如说打击犯罪，或者说网络的安全建设谁负责，这都是相对明确的。再有一个是资金，资金要求多渠道投入现在做的比较好，发改委十一五期间拿出两个数量级的资金来做信息安全方面的建设，包括信息安全专项，而且信息安全专项现在也在扩充。过去只是信息安全产品，我们在两年前成功的把服务放进来了，服务放进来以后现在认为还算是成功的，所以去年和今年都还在放。去年年底我们又把示范推了进来，去年已经有了立项，我们今年又把标准推进来，这次大概有13个企业都在报标准。这些都是发改委方面的。科技部有863计划，在信息安全这个专题里面已经投了将近3个亿，后面还有两年还会再投，在重点方面投的不是太多，也就在一个亿左右。重大的比较可惜，目前还没有。

专项基金不是特别分，所以几前做了一个网络与信息重大专项，说是重大，在5000多万，这个概念搞的混淆了，网络与信息安全被理解为网络一件事，信息安全是另外一件事，所以信息安全在这里面占的数量就很低，后来又推出来了可信软件，这个有一个多亿，算信息安全方面的一个延伸，但是像软件工程方面侧重的多一些。

两个原则，第一个原则是积极防御，综合防范，基本思想一个是强调协调发展，这个协调强调的是什么呢？就是这个表现在我们主动应对，当你出现了一个新的技术，我们一定要想这个技术会不会带来安全问题，比如说B2B出来，比如说WEB2.0出来，他带来的安全问题是什么，而且要提出来怎么应对，这是一个主动与发展相协调。再一个就是综合，技术管理并重，因为我们说技术解决不了的问题需要靠管理，但是管理可能做不到的还要技术支撑，他们俩谁也离不开谁。再一个就是核心保障，提出来8+2的概念，8就是我们海关、保险、银行、证券、税务、电力、民航等。

第二个是强调立足国情，适度安全，我们的国情不是有很多钱，什么事都全力以赴往前冲的，首先是确保重点，把优化配置放在重点。然后对重点来说我们要增加投入，但是对于其他的我们要平衡安全和风险之间的平衡值，也许我这个系统风险小或者说就算出现问题损失不大，我的安全投入就会相对降低。再有一个我们要保驾护航，以安全保发展，在发展中促安全。最后就是强调国家、企业、个人的责任义务是什么，就是谁运营谁负责。

三，是三个基本要素，包含人、管理、技术。管理比较明确，我们在总理的报告中也强调对于互联网管理我们强调法律保障，行政监管，行业自律，当然了，还有一个是技术支撑，在这里面因为我们有技术，所以在这儿强调经济制约，在必要的时候要在经济上采取措施制约，不能这么做或者是那么做。表现在了法制、体制、机制几个方面，技术我们主要是靠前沿技术，科技部主要推进，装备设施这个发改委主要推进，安全服务这个是各个部门都在推进。自主产业这个是我们的企业都在推进。

需要的人才就是管理人才和技术人才，我们看人，人我们从两个方面，一个是学历教育，继续教育这个方面，学历教育我们知道国家自从在1999年以后设立了信息安全专业，大概现在有50多所院校有正式的信息安全专业，但是这是计划外的，而且可以理科也可以工科，情况不一样。去年北航设的就是理科专业，我们北邮就是工科专业。本科生是到社会上为社会服务的，研究生层面就是要搞研究的，但是研究生层面只是在二级学科，并没有像原来大家期望的能够上升到一级学科。信息安全作为一个计划外，所以各个单位可以随便放，有一些单位放到了通讯下面的二级学科，有的放在了数学下面，有的放在了计算机下面，各种情况都有。再有就是培训，再有就是网络教育。

还有一个是宣传，我们要对社会宣传，要强化宣传意识，这里面我们靠学会，这也是宣传的一种环境，还有论坛，还有媒体，我们这里有这么多的媒体都在参与。

最后一个就是提出来的要求，采取措施，吸引和用好高素质信息安全和基础人才，这句话我们也在想他落实从用好一点问题没有，现在缺人才，问题是管理和技术合在一起是不是真的有，现在并不是明确的。要不就是技术人才，要不就是管理人才，你培训就培训，双料不太容易，一般都是后面逐渐的演变。

第二个就是管理，管理我把它分解成三制一措施，我们知道我们搞预案都是要三制一案，就是法制、体制、机制和措施。法制就是解决谁来管的问题，我们行政部门领导层国务院有协调小组。我们有一个协调司，现在协调的力度不像过去那么大了，还有执行层，就是各个部委，谁分管的事谁在做，像文化就是文化部，新闻就是国务院新闻办。再有就是技术咨询体系，这个比较多，国家有一个专家咨询委，刚才说了专家咨询委经过德江副总理确认还要继续存在，这两个月就准备再换届，到今年已经是第三届了，马上要进入到第四届。

还有一个是法制，靠什么来管，宏观管理就是，政府法制就是指导思想，告诉大家怎么做，政策就是一种引导，你们要按照政策的思路走，法规就是一个约定，你必须要按照这个来做事情，标准就是大家完全按照确定的事情去做。到微观的就是各单位，单位自己需要有它的规章和制度，有它的安全策略和具体措施。涉及到机制，机制就是怎么管，目前对于信息安全主要是一个测评认证，市场准入，这方面是有。包括我们的产品，服务都在有一个侧面认证和市场准入，政府采购这方面也在做管理。最后就是措施，也就是管的是什么，过去管的比较简单，是密要啊，管的具体的人啊等等，现在就是按照标准在管了，比如说等级保护，系统安全，产品采购，测评，密码技术都是按照具体的标准在管的，这样的话就形成管理，我们说的三制一措施。

第三是技术，这个要加强对引进信息系统的安全可控，现在引进的产品安全不安全不了解，我们在关键部门不太敢用，而且要研究新技术，新任务带来的问题。在这里面国家专门提出来了比较具体的一些包括刚才我念到的文件里面也有，比如说广播电视我们知道我们经常被一些敌对分子把我们的卫星给黑了，导致我们的电视被插播，这个需要技术上解决问题。包括我们信息技术的产品漏洞和发现，你拿了产品用了之后发现里面有后门，这样带来的威胁就非常大。还有其他的常规技术像密码、安全审计，隔离防范等，测试与评估取证等等这些都是需要展开研究的。当然了，这里面还提出来了产业的问题，产业的问题就是一个政府导向和市场机制，信息安全政府的需求更大，所以政府往往起到了一种导向的作用，所以我们可以看到甲方大部分是政府，当然了政府的导向之后后面的企业、用户也都会跟进。

技术我们从863角度分成四个层面，物理安全是灾备，运行安全是包括分析、策略、防护等手段，检测包括主动式的和被动式的检测，包括应相应，包括系统恢复等，这些都是我们所关注的。数据安全是密码关注和认证关注。内容安全是内容过滤，舆情分析等，还有数据保护，像刚才介绍的物理隔离都是一种手段。包括内容保护，比如说我们的水印和版权等等。

四是四个核心能力，一个是信心安全的法律保障能力，主要是建立信息安全的法律体系框架，一个是信息安全的基础支撑能力。网络与其宣传的驾驭能力，要分析网络舆情分析系统，国际信息安全影响力。

法律保障，国家一直在互换就是信息安全法，但是现在一个问题就是信息安全法有一点遥遥无期，所以现在主要是在起草信息安全条例，但是由于信息安全条例原来是国信办在做，现在交过来以后好像是断了，本来是去年列入了计划，今年据我所知还没有列入计划，部门的更替现在出现了一种缝隙，需要填补。一旦建好了以后我们的法律应该是以信息安全法律，有了上位法下面才有意义，现在是大量的下面先出来，刑法的285、286、287都是关于信息安全的法条，行政法规有很多，像国务院的147号令有很多很多都是在做这方面的事情，部门规章在信息安全方面在所管辖的范围内都有相应的规章，再有就是标准，我们等级保护所依据的就是17859，这是最经典的一个标准。

第二个是基础支撑能力，比如说数字证书认证和基础设施体系，像计算机网络应急响应体系，灾难恢复基础设施，我认为基础设施做的不够理想化，还是简单的一对一的备份，需要多个系统备到一个系统中，现在是多个系统被分在一个基地里，这个不太理想。计算机网络应急响应、灾难恢复基础设施，病毒防治等等，这里面有的做的比较成功。

第三个是舆情驾驭能力，中央领导有一段话，这一点就是如何提高舆情的驾驭能力。一个是舆情怎么发现和获取，怎么分析、领导和预警、处理。首先是两个方面，从疏导的方面要形成正面的舆论强势，要占领网络阵地，别人的网站那么吸引人，你的网站为什么不吸引人，这就要想如何迎合网民的喜好。再有就是要做综合治理，对一个有害的行为要有手段。还有就是快速反映机制，网上喊着大家去游行，你要立即发现，或者是喊出来抵制家乐福，我们觉得不好要有应对的措施。

第四个就是国际影响力。我不输于别人，我要不输于别人我就有影响，如果我根本没有过高的本事，我肯定没有任何的影响力。这里面首先要加强管理队伍和指导队伍的建设，再有就是对整体的优势要提出来，还有就是对国内突发事件和非常时期的安全保障条件要提出。

最后五项工作，一个是风险评估和建立完善等级保护制度。第二，加强密码开发利用。第三，完善信息安全监控体系。第四，重视信息安全处置工作。第五，重视灾难备份。在这里我简单说一下风险评估和等级保护之间的关系就是风险评估我们说是一个出发点，等级划分是一个判断点，安全控制是一个落脚点。网络体系主要是对密码进行开发利用，监控体系也是对网络监控，我们刚才说的863就是很典型的网络监控。再有一个就是应急响应，最后一个是灾难备份，灾难备份也有一系列的规定。最后我们把这个框架拿出来看看，刚才我都说了一遍，整个的原文就是2006-2020年的国家信息化发展战略里面提到的，总结起来相当于两个基本的指导思想，一个是积极防御，综合防范，一个是立足国情科学化配置。在法律层要有一个信息保障体制，在组织成要有信息安全的组织管理体系，在具体措施要有信息安全的技术体系和信息安全的平台以及信息安全的基础设施。这样就形成了我们现在的国家信息安全保障体系，我就说这些，谢谢大家！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。