对外开放背景下我国信息安全体系建设思路研究

文/尹佳音

信息安全的定义及发展演变

“信息安全”概念的提出最早出现于20世纪40年代，意为保护信息及信息系统免受偶然或有意发生的未经授权的入侵、破坏、修改、监控及销毁。早期信息安全研究多关注通信保密（COMSEC），20世纪90年代后期信息安全涵盖领域进一步拓宽，研究重点从早先的通信保密逐渐向计算机科学、网络技术、通信技术、密码技术、信息对抗等综合性技术转变。近年来，随着能源、交通、医疗和金融等部门对信息技术依赖程度的逐渐提高，信息安全相关研究也突破传统边界，开始向社会、政治、科技、军事等多领域延伸，各国政府对信息安全的认知也从早先的通信安全和数据安全向以维护国家安全为核心，构建综合防护体系转变。

信息安全体系构建的国际经验

当前网络空间与现实世界的边界日渐模糊，非法组织和个人无须通过进入该国而仅通过破坏信息系统便会对被攻击国家的社会经济发展带来灾难性打击，鉴于此，各国政府近年都将信息安全摆在国家安全的核心位置，并将大量资金、人员、技术投入到本国信息安全体系建设、构建国际信息安全网络、核心技术研发工作、保护本国政府和个人数据安全性等工作当中。

（一）将信息安全提升到国家安全战略高度——美国信息安全体系构建的特征

随着互联攻击手段的多样化，美国国家信息安全体系面临巨大挑战。据2018年美国管理和预算办公室（OMB）报告显示，2018年美国本土涉及黑客攻击、互联网诈骗、存储介质丢失等在内的信息安全事件共计3.5万起。为更好地维护国家安全体系，防止网络攻击对美国国家安全带来不利影响，美国政府近年通过立法和财政拨款手段大力推进国家信息安全体系建设。

以1946年出台的《原子能法》为标志，美国国会先后通过涉及国内信息安全体系建设的相关法案共130余项。2018年9月，美国白宫首次发布《网络安全战略规划》，该规划提出未来美国信息安全发展的重点方向，包括确保美国信息网络稳定运行；培育数字经济和提升技术创新水平；加强与其战略盟友合作；通过参与国际网络环境治理提升美国国际影响力。2019年5月，特朗普总统签署“信息产业供应链安全”行政令，要求各级政府部门不得擅自安装购买对美国信息安全产生潜在威胁的国外厂商提供的通信设备或相关服务，以防止政府部门数据泄露。2020年3月美国安全和可信通信网络法案获批通过，该法案在“信息产业供应链安全”行政令基础上将禁购令扩大至本土企业，该项法案同时对未来美国5G技术发展提供了政策指导。

财政方面，美国政府每年投入大量经费以确保本国信息技术始终处于全球领先位置。根据白宫预算办公室《2021财年预算计划》，政府计划投入188亿美元用于信息安全领域技术的攻克。

（二）注重政府信息系统安全改进——日本信息安全体系构建的特征

日本政府主要从以下三个方面提升本国信息安全水平：大力培养信息技术专业人才用于协助日本政府推进信息安全体系建设；通过同私营部门的技术研发合作降低本国企业对国家信息安全体系的不信任度；加大舆论宣传力度，提升民众信息安全防护意识。在应对外部风险方面，日本政府更为重视与传统战略盟友特别是美国之间的信息安全合作，通过建立日美网络防御政策研究工作组，日美两国在信息安全领域的交流近年不断加深。

2018年日本网络战略安全指挥部发布《政府机构信息安全标准措施》，目的在于全面提升政府部门的信息系统管理规范性。日本政府认为，构建一套完善的政府信息系统应做好以下几方面工作：首先是建立信息安全保障机构和完善职责分工体系。相较于企业信息系统，政府信息系统具有数据高度保密和传输网络庞大两个特点，因此为保证政府信息安全性，需要成立专门信息安全保证机构，确保各部门可准确完成各项工作。其次是制定措施标准和措施推广方案。为全面降低信息安全风险，需要根据政府部门的具体职能制定信息保护标准，网络战略安全指挥部成立评估小组对标准进行评估，相关部门可通过评估报告对本部门信息保护标准进行进一步改进。再者，建立突发事件处理机制。相较于日常工作管理，信息安全突发事件往往会造成政府信息系统大面积瘫痪，因此，突发事件处理程序应确保及时有效，《政府机构信息安全标准措施》对信息安全突发事件处理制定了详细步骤。最后是信息系统安全性自检机制。为确保信息安全保障措施准确有效，定期进行自我检查变得更加重要，各部门可通过自检找出现存漏洞和潜在风险点，以便于在系统升级过程中加以防范。此外，为确保信息安全保障措施的成效，还需要委托第三方机构对各政府部门的信息安全保障措施开展独立审查，部门信息安全负责人需要根据第三方评审结果对部门信息安全保障措施提出指导性改进方案。

（三）通过信息产业发展推动信息安全建设——印度信息安全体系构建的特征

2017年，印度信息产业总产值已达1700亿美元，约占GDP的7%，预计到2025年，这一数字将升至8%—10%。伴随信息产业迅速发展而来的是日益严峻的信息安全挑战，目前印度现已成为全球受网络攻击影响最严重的国家之一，仅在2018年印度计算机应急响应小组（ICERT）处理的信息安全事件就多达20万件。印度信息安全体系构建可归纳为以下三个方面：

1.通过不断提升数据保护技术，确保国家信息安全系统免受威胁。为提升公共服务系统安全性，印度政府要求各政府部门在信息系统最初设计阶段需要通过第三方机构对包括系统开发机构的能力、服务器安全性进行安全评级，并针对评估结果给出改进意见，以期将系统安全隐患在设计之初就加以杜绝。在个人信息保护方面，印度采取包括量子密码学和多方计算先进加密技术在内的前沿数据加密技术确保网络接入客户之间的高度安全通信（如密钥共享、信息共享和特定地址访问）和隐私信息保护，以达到消除信息传输过程中的非法拦截和防止恶意监听。此外，印度政府还专门成立从事反病毒和反恶意软件的研究工作组，该工作组将定期向印度高新技术企业和各科研院所提供信息安全报告，以便其根据自身需求制定信息安全保护措施。

2.制定核心技术攻关时间表，针对薄弱环节开展技术攻关。由于高新技术产业对外依存度关系到社会、经济、政治、军事等各个领域，因此印度政府计划在未来几年内加强以下三方面的工作：（1）对高新技术产业供应链进行全面梳理，分析各产业对外依赖程度；（2）加大对关键技术的政府投资，突破关键环节技术瓶颈，提升核心零部件自主生产能力；（3）鼓励高校和私人部门投资建立科研中心用于核心技术零部件研发。为及时找出电信基础设施存在的漏洞，印度信息安全部门通过定期编制关键基础设备风险清单的方式，对境内通讯基础设施现存风险进行统计。此外，印度政府以五年为期，对该国现已使用的信息产业相关技术进行包括技术发展瓶颈、技术发展对未来社会发展影响等方面的评估，分析各类技术对国外依赖程度，并将占GDP中0.25%（2025年该比重将提升到1%）的年度预算用于核心技术研发。

3.完善信息安全各项规章制度，从规则设计层面确保信息安全系统运行。为防范未来更为复杂的网络攻击，印度数据安全委员会（DSCI）一方面完善现有信息安全性评估体系，包括细化网络安全工作人员考核机制，缩短技术人员考核周期，适当调整信息安全体系安全评价指标，同时对已发生信息安全事件进行备案，以便于此类事件再次发生时可迅速制定处理方案。另一方面，要求各政府机构将信息安全突发事件特征分享给相关信息技术企业，便于企业有针对性地进行突发事件防御系统的研发。此外，作为印度政府保障企业信息安全的重要措施之一，印度政府计划在未来几年内大力拓展国内网络安全保险市场，同时与国内信息产业运营商、保险公司共同研讨制定国家信息安全基础设施保险体系，开发适用于重要基础设施的网络保险产品。

当前我国信息安全体系建设现状和面临的主要问题

随着国内信息技术的逐步成熟，政府、金融、电信、能源、交通等领域均已建立起较为完善的信息安全体系，并不断从技术研发、人才培养、政策制定等方面加强信息安全能力建设。但我国信息安全体系构建与国际特别是美、日等发达国家仍存在较大差距，主要表现在以下三个方面：一是我国信息安全产业核心技术仍存短板。目前中国信息安全产业发展势头速度远超全球平均水平，但我国信息安全产业存在的只大不强的问题并没有得到有效解决，信息网络领域的核心技术、关键设备和操作系统上整体性的自主研发能力不强，缺少真正的龙头企业，大量民用、商用甚至国防产品生产仍依赖外国进口，信息技术产业大多被压制在产业链的低端，国内信息安全难以得到根本保证。二是信息安全专业领域人才培养相对滞后，人才储备同质化程度偏高。目前我国已在全国范围内建立起信息安全工作的基础研究、技术研发与技术服务的高科技企业和研究机构，但由于国内从事这类专业的技术人才严重短缺，表现为人才储备同质化程度较高、专业领域人才培养计划与发达国家相比仍较为落后，国际化人才严重不足等。三是网络攻击事件相对频繁，数据保护和信息传输安全性仍有待提升。根据《第45次中国互联网发展状况统计报告》，截至2019年12月，国家信息安全漏洞共享平台收集整理信息系统安全漏洞约1.6万个，较2018年增长14%，其中收集整理信息系统高危风险漏洞4877个，境内被篡改网站则多达18万个。

美、日、印信息安全体系建设经验对解决我国信息安全问题的借鉴与建议

（一）以实现高水平对外开放为目标，优化信息安全保障体系顶层设计

通过对美、日、印三国信息安全体系建设的经验可以看出，随着信息技术深刻融入本国社会经济发展的方方面面，逐步成为社会经济发展、社会进步和科技创新的重要支撑，仅靠局部政策调整和规则完善已无法满足各国政府对信息安全体系建设提出的更高要求，因此三国政府均从顶层制度设计层面，逐步探索有利于本国信息产业发展和国际信息技术交流的新型信息安全保障体系。鉴于此，我国十四五时期应以坚持国家总体安全观、完善国家安全体系为基本要求，推进产学研一体化机制建设，完善金融、人才、法律保障力度，大力扶持中小科技企业创新，鼓励和支持大中科技企业、科研院所加强合作集中力量攻关信息核心技术，加快推进国产自主可控替代计划，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

（二）以共建“一带一路”基础设施互联互通为抓手，加强地区信息安全合作

随着全球互联网覆盖面积不断扩大，各国之间的物理边界已被打破，国际非法势力可借助互联网对任何国家进行有预谋的数据盗窃、金融欺诈、知识产权盗取等有损国家安全的攻击。为此美、日、印三国均将建立国际信息安全合作网络作为防御境外网络攻击的重要措施，例如美日通过建立日美网络防御政策研究工作组，提升美日两国在抵御国际非法势力对其开展网络攻击的防御合作水平。我国应借鉴美日两国建立跨区域信息安全合作网络的经验，以“一带一路”信息互联互通为抓手，搭建地区信息安全合作平台，通过与“一带一路”沿线国家开展信息安全成果共享、应急培训和演练等方式，探索工业信息安全应急国际合作的新模式、新动能、新路径。尽快制定网络空间区域合作方案，包括建立信任的安全措施、建立数据流通安全标准、设立“一带一路”地区信息中心等，推动“一带一路”地区基础设施互认标准的确立，尽最大可能降低关键设备流通障碍。

（三）以改善营商环境为落脚点，打造安全稳定政府信息系统

与日本政府建立严密的安全保密管理机制相比，我国政府信息系统建设仍存在一定提升空间，十四五期间我国应进一步加强政府部门网络安全建设，通过科学的管理和防范，为我国社会稳定运行搭建良好的政务信息环境，具体可包括以下三方面措施：搭建稳定安全的政府信息平台，在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行；建立提前预警、情报共享、妥善处理、事后检查的四阶段信息安全事件响应体系；建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程，提高网络空间安全的突发事件处理能力。

（四）以提升关键基础设施安全保护为前提，构建信息安全网络

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到攻击的重要目标，因此必须将关键基础设施纳入新时期信息安全体系建设框架下，切实做好国家关键信息基础设施安全防护。我国可借鉴美国关键信息基础设施保护体系建立的经验，建立关键基础设施风险清单，对我国涉及能源、交通运输、金融等关系社会经济发展的关键基础设施统计造册，杜绝关键基础设施和重要领域信息系统的操作系统、服务器、数据库“后门”、“漏洞”隐患和威胁，构建涵盖“发现—防御—响应—处置”于一体的安全保障体系，打造高水准的安全服务保障平台，提升关键信息基础设施整体安全防护能力。

（五）以突破关键技术“卡脖子”难题为切入点，下大力气攻克核心技术

大数据、云计算、人工智能、物联网、区块链等网络数字技术正在引发以绿色、智能、共享为特征的群体性技术革命和产业创新。尤其是5G、人工智能、区块链等新一代信息技术将持续促进技术创新、业态创新和模式创新，使产业发展融合化、生产方式智能化、组织方式平台化、技术创新开放化成为未来信息技术与社会生产融合的必然趋势。因此，有必要推进产学研一体化机制建设，鼓励和支持大中科技企业、科研院所加强合作集中力量攻关信息核心技术，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。