近年來，我國信息化進程不斷加快，信息已經成為社會發展的重要戰略資源。隨著網絡與信息系統的基礎性、全局性作用逐漸增強，信息安全對經濟發展、國家安全和社會穩定的影響也日漸突出。目前，我國的信息安全防護能力總體上還處于發展的初級階段，網絡與信息系統不設防的情況依然存在，網絡失泄密事件時有發生。黨中央和國務院已經清醒地認識到，電子政務、電子商務以及整個社會信息化的快速發展，對信息安全保障工作提出了迫切的需求。如果信息安全問題解決不好，不僅會拖信息化的后腿，也將全方位地危及我國的政治、軍事、經濟、文化和社會生活的各個方面。因此，如何健全國家信息安全保障體系已成為當前我國在信息化發展過程中亟須優先解決的一個問題。

信息安全是一個動態的概念

就“信息安全”的定義而言，國際上目前尚沒有統一的定論。事實上，人們對信息安全的認識是一個動態的過程。在20世紀的大部分時間里，人們認為信息安全就是通信保密。但到了20世紀90年代前后，隨著信息技術的發展和互聯網的興起，信息安全的概念逐步擴大到“信息的保密性、完整性和可用性”。此后，從90年代后期開始，信息安全在原有基礎上又增加了“信息的可控性、信息行為的不可否認性”等要求。同時，人們也開始認識到信息安全的概念已不再局限于對信息的保護，而是對信息以及信息系統的保護和防御。

如今，信息安全已經進入了一個全新的時期，國外有人將這個時期稱為“網絡化社會的集體安全時期”。在此階段，信息安全的概念常常被“信息保障”一詞所取代。

目前，我國法律將信息安全定義為“保障計算機及其相關的、配套的設備和設施（網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，維護計算機信息系統的安全運行”。從這一法律定義來看，信息安全主要指計算機信息系統的安全，具體反映在以下三個層面：

（1）實體安全（又稱物理安全），即：防止計算機及其網絡的硬件設備遭到自然或人為破壞，確保計算機信息系統硬件的穩定運行。

（2）數據安全（即狹義的“信息安全”），是指防止信息在收集、處理、存儲、檢索、傳輸和交換等過程中被非法泄漏、篡改、竊取、仿冒或抵賴，確保信息的保密性、完整性、可用性、可控性和抗抵賴性。

（3）運行安全（又稱系統安全），即：確保計算機及其網絡系統的軟件穩定運行。

但是，隨著垃圾郵件和各種有害信息的出現，信息安全又被賦予了一個新的含義――內容的安全，即：如何防止有害信息利用計算機網絡所提供的自由流動的環境肆意擴散。

綜上所述，信息安全目前涉及到了計算機信息系統四個層面上的安全：一、實體安全；二、數據安全；三、運行安全；四、內容安全，即對有害信息的流動進行限制，如對指定的數據進行選擇性阻斷、修改和轉發等。

總之，信息安全不是一個孤立靜止的概念，而是一個多層面、多因素、動態的概念，其內涵將隨著人類信息技術的發展而不斷更新。

我國信息安全保障體系已初步成型信息安全是信息化推進過程中出現的一個新問題，信息安全保障工作也因而涉及到信息化建設的每個環節，包括法律、管理、技術、人才、意識等各個方面，與各部門、各地方甚至普通百姓都密切相關，是一個復雜的系統工程。

在與信息安全相關的法制建設方面，我國從上世紀90年代初起相繼出臺了一系列法律法規，為信息安全保障工作提供了一定的法律支撐。目前，我國與信息安全相關的法規可大致概括為四類：第一類，由全國人民代表大會制定的國家法律，如《中華人民共和國保守國家秘密法》、《中華人民共和國電子簽名法》等；第二類，由國務院頒布的行政法規，如《中華人民共和國計算機信息系統安全保護條例》、《商用密碼管理條例》等；第三類，由最高人民法院、公安部、信息產業部、國資委、教育部、國家廣電總局、新聞出版署、國家保密局、國家證監會等中央部、委、局等頒布的部門規章，如《計算機病毒防治管理辦法》、《關于加強信息安全等級保護的意見》等；第四類，由地方人民政府發布的地方性行政規章。

據不完全統計，我國與信息安全有關的立法已經接近百部，涉及的內容包括：設施安全、專用產品安全、國際聯網安全、病毒防治安全、信息內容安全、行業安全等；涉及的法律措施包括：對破壞信息安全責任人追究刑事、行政、民事責任，對潛在的破壞人進行威懾等等。

在信息安全標準建設方面，我國近年來制定和引進了數十項重要的信息安全管理標準，如《計算機信息系統安全保護等級劃分準則》、《ISO17799：2000：信息安全管理實施準則》、《BS7799-2：2002：信息安全管理體系實施規范》、《ISO/IEC15408:1999(GB/T18336:2001)信息技術安全性評估準則》等。

在信息安全管理方面，國務院信息辦2003年成立了國家網絡與信息安全協調小組，進一步加強對國家信息化建設和信息安全工作的領導，各省、市、自治區也設立了相應的管理機構。此外，我國近年來還設立了一批信息安全專業機構，如“信息技術安全分技術委員會”、“全國信息安全標準化技術委員會”、“國家計算機網絡應急技術處理協調中心”、“中國信息安全產品測評認證中心”、“公安部計算機信息系統安全產品質量監督檢驗中心”等等，信息安全的組織保障體系已經初步形成。

在信息安全技術研究方面，我國早在“九五”末期就緊急啟動了“863計劃信息安全應急計劃”，“十五”期間科技部又在“973計劃”、“863計劃”、“國家科技攻關計劃”和“國家科技創新基金計劃”中對信息安全的技術研究和開發進行了全面部署。國家自然科學基金委員會也在“十五”期間組織實施了《網絡與信息安全重大研究計劃》，其科學目標定位在互聯網、寬帶物理承載網絡、網絡應用與管理、信息與網絡安全四個大項中的基本科學和技術問題的研究。

在信息安全人才體系建設方面，我國迄今已有數十所高校開設了信息安全本科專業，北京郵電大學等高校還擁有了密碼學專業和信息安全專業的博士點和碩士點。目前，我國信息安全專業教育已基本形成了從專科、本科、碩士、博士到博士后的正規高等教育人才培養體系。

我國信息安全保障體系當前仍存在諸多問題

與國外先進水平相比，我國目前在信息安全的法律、標準、技術和人才體系等建設方面仍存在諸多不足之處。

（一）缺乏專門的信息安全基本大法

近年來，我國在信息安全立法方面做了大量的工作，出臺了一系列的法律法規，但法階不高，真正的法律少，部門規章多，尚未形成有效的法律保障體系；部門規章之間的協調性和相通性不夠，并且操作性差，缺乏系統性和權威性；缺乏民事方面的立法，如互聯網隱私法等；法規制定周期太長，時間上滯后，往往造成無法可依的局面。目前，我國亟須進一步完善和加強信息安全領域內的法制建設，尤其是要出臺一部專門的信息安全基本大法，從而建立起一套門類齊全、結構嚴謹、層次分明、內在和諧、功能合理的信息安全法律體系，為信息安全保障工作提供更有力的支撐。

（二）信息安全標準制定工作依然落后

信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要手段。但是，我國的信息安全標準組織成立時間較晚，并且信息安全標準由多個部門根據自己的需要制定，標準項目重復、混亂、不成體系。目前，國外的信息安全標準已經達到幾百項，而我國自己制定的信息安全標準不過幾十項，大多沿用國際標準。并且，我國自己制定的一些信息安全標準也是參考國際或其他國家的標準，真正自己獨立制定、并得到國際上承認的還很少。另外，在標準的實施過程中，由于缺乏必要的國家監督管理機制和法律保護，造成即使有標準，企業或用戶也可以不執行的局面，執行過程中出現的問題也得不到及時、妥善的解決。

（三）信息安全關鍵技術和產品受制于人

當前，我國的國防、金融、電力、交通、海關、通信、能源等重要行業的信息系統大多使用國外的軟硬件設備，存在嚴重的安全隱患。在信息安全關鍵技術的研發方面，我國也面臨著自主可控能力不強及關鍵技術和產品受制于人的窘境。雖然這幾年我國的863計劃、自然科學基金、973計劃等相繼啟動了信息安全技術的研究項目，取得了許多重要的成果，為我國開發具有自主知識產權的信息安全體系奠定了良好的基礎，但離完全實現自主知識產權還有相當大的差距。

（四）信息安全意識和普及教育薄弱

目前，我國全社會還沒有形成對信息安全高度重視的局面。有關調查表明，當前信息安全管理工作存在的一個主要問題是用戶安全意識薄弱，對面臨的信息安全威脅和存在的隱患缺乏足夠的重視，安全措施不落實，導致安全事件頻發。

健全國家信息安全保障體系的幾點建議

（一）正確處理信息安全與信息化發展的關系，積極推進“三網融合”

信息安全是信息化發展過程中出現的新問題，只能在發展的過程中加以解決。因此，在建立健全信息安全保障體系的過程中，必須正確處理安全與發展的關系，用發展的辦法，改革的思路解決好信息安全問題。

我國建設信息安全保障體系的指導方針是“積極防御，綜合防范”。其中，積極防御，就是強調以安全保發展、在發展中求安全，不是被動地就安全抓安全。

在“十一五”規劃中，黨中央和國務院提出加強寬帶通信網、數字電視網和下一代互聯網等信息基礎建設，推進“三網融合”，健全信息安全保障體系，其中也明確體現出了“以安全保發展，在發展中求安全”的思路。“三網融合”是我國信息化建設的一項重要內容。“三網融合”有利于ICT行業結構的優化和管理體制及政策法規的相應變革。但是，“三網融合”必須以信息安全為前提，它所帶來的安全問題不容忽視。

目前，專家普遍認為，“三網融合”將主要帶來三個方面的安全問題：一是技術安全。互聯網、通信網和數字電視網將以IP技術為框架進行融合。雖然IP技術有眾多優點，但IP協議無法提供端到端的服務質量控制和安全機制，對實時性和安全性要求較高的業務非常不利。二是網絡安全。在孤立的網絡環境下，病毒或黑客的攻擊范圍相對有限。如果各種應用集成在一起，一旦被突破，受損的將是全部系統。再者，不同網絡的服務方式和安全特性完全不同，融合必將導致一個網絡中的安全威脅延伸到另一個網絡中。鑒于目前我國網絡安全體系尚不健全，“三網融合”勢必給用戶帶來更大的安全隱患。三是文化安全。“三網融合”還將涉及到網絡內容的意識形態問題和有害信息傳播問題，推進“三網融合”必須考慮內容安全和文化安全。

然而，在推進“三網融合”的過程中，我們必須辯證地看待信息安全問題，不能忽視信息安全威脅，也不能簡單片面地夸大信息安全問題，更不能因為信息安全問題而錯失推進“三網融合”的歷史機遇。

事實上，健全國家信息安全保障體系與推進“三網融合”是相輔相成、互相促進的。一方面，健全國家信息安全保障體系可以有效地促進“三網融合”。另一方面，推進“三網融合”是對國家信息安全保障體系的一次重大考驗，也是對該體系的進一步完善作出的一次強力推動。“三網融合”是一個復雜而漸進的過程。我國應在大力健全國家信息安全保障體系的同時，積極出臺相應的法律法規及政策，為推進“三網融合”的改革和發展提供相應的環境，真正實現“以安全保發展，在發展中求安全”。

（二）加快制定信息安全基本大法，建立一套具有中國特色的信息安全法律體系

目前，我國現有的政策法規已難以適應網絡發展的需要，信息安全法制建設亟待進一步加強。我國應從國情出發，積極探索加強信息安全法制建設的新思路，加快信息安全的立法工作，尤其是要加快信息安全基本大法的立法進程，以建立起一套既符合國際通行規則，又具有中國特色、門類齊全、層次分明、結構嚴謹的信息安全法律體系，為信息安全保障工作提供更有力的法律支撐。

（三）加強信息和信息安全關鍵技術的研發，提高自主創新能力

當前，我國在信息和信息安全領域總體上處于關鍵技術和設備受制于人的被動局面，發展信息和信息安全高端技術、提高自主創新能力已經成為我國掌握信息安全主動權的唯一出路。

為加強信息和信息安全關鍵技術的研發，我國必須采取有效措施，建立健全堅強有力、運轉靈活、工作高效的新體制，全方位地指導信息和信息安全關鍵技術的規劃、研發、成果轉化，同時組織和動員各方力量，密切跟蹤世界先進技術的發展，逐步形成基礎信息網絡、重要信息系統以自主可控技術為主的新格局。

在此過程中，務必要處理好自主研發與引進采用國外先進技術和產品的關系，絕不能簡單地認為只有自己的技術才是安全的，凡是國產設備就是可控的。要積極開展國際合作，認真學習國外的先進技術，合理引進和利用信息安全產品。同時，還要加強對引進技術和產品的安全可控研究，努力做到趨利避害，為我所用。

（四）盡快建立完善的信息安全風險評估體系，最大限度地化解重要基礎設施所面臨的安全威脅

建立完善的信息安全風險評估體系是健全國家信息安全保障體系的一項重要內容。風險評估是信息安全管理的核心工作之一。早在2003年7月，國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標準的編制工作，國家鐵路系統和北京移動通信公司已作為先行者完成了信息安全風險評估試點工作，國家其他關鍵行業或系統（如電力、電信、銀行等）也在陸續開展這方面的工作。

雖然這項工作在我國已經得到重視和開展，但系統、全面的信息安全風險評估體系目前尚未建立，信息安全風險評估標準體系也不完善，導致信息安全的需求、要保護的對象和邊界都難以確定。

目前，我國的重要信息系統和信息基礎設施日趨復雜，涉及面也越來越廣。由于缺乏系統、全面的信息安全風險評估體系，這些系統和設施所面臨的安全風險尚難以明確。

因此，我國需加大對風險評估相關核心技術的研究與攻關力度，盡快建立起一套完善的信息安全風險評估體系，并定期對國家重要信息系統和信息基礎設施進行風險評估，以最大限度地控制和化解這些系統與設施所面臨的安全威脅。