日內瓦網路安全

『壹』 信息安全面臨的外部挑戰有哪些

轉載以下資料，僅供參考：中國的信息化進程與發達國家的信息化進程幾乎同步。按照2003年日內瓦、2005年突尼西亞和2013年日內瓦三次「信息社會世界峰會」的《宣言》、《行動規劃》和目標願景，以及我國《2006-2020年國家信息化發展戰略規劃》要求，在達到「小康社會」目標之時，中國將進入信息化社會，成為一個網路化國家，信息網路安全將是今後我國國家安全面臨的最大挑戰，集中表現在：第一，盡管我國在某些尖端技術領域擁有優勢，但在信息網路領域的核心技術、關鍵設備和操作系統上整體性的自主研發能力不強，目前在民用、商用和產業領域仍大量引進和使用外國先進的晶元產品、系統設備和程序軟體，可控能力相對較差。二，中國的國情不同於發達國家，在信息傳播機制、手段和方法以及管理機制上相對落後、被動，仍停留在傳統的新聞輿論理念上，尚未形成以信息輿論為主的內外傳播機制，國家「軟實力」還不夠強大，信息輿論話語權較弱。另一方面，未來網路社交將日趨發達，微群體會更加多樣，對網路空間社會治理方式仍顯單一、經驗不足。三，信息網路安全規劃、管理和協調體制、機制仍主要沿用現實空間中的體制和管理方式，離依照信息化發展、應用方式和網路空間的規律特性形成的信息網路安全體制、機制還有較大差距，面對已經到來的雲計算、大數據時代，亟需加快進行調整革新、綜合集成。四，信息網路領域的管理、協調主要是依據行政手段、規章和全國人大常委會的《決定》，缺乏完整統一、相互銜接並且細化的法律法規，如信息網路安全法、公民信息保護法以及信息保密法律等，法制化治理和管理模式尚未形成。五，信息網路應用的特性決定了國家信息網路安全保障，若沒有企業和全民的充分參與就不可能是強大的和持久的。目前中國企業網路安全整體防護能力和水平較低，網民的安全意識和責任也很薄弱，民間機構、團體尚未參與到保障能力建設的進程中來，還主要是靠政府、靠行政手段來推行、實施和監督。信息安全是信息化社會的基石。信息網路安全問題將是一個生死攸關的重大問題。對於正在邁入信息化社會的我國來說，加快信息網路安全保障建設、增強保障能力的任務十分緊迫。中國信息化建設必須在發展中保安全、在保障中促發展。發展與安全，要相互兼顧，兩者都要硬。為應對來自內外日益復雜多樣的網路安全挑戰，應從信息化發展趨勢和中國信息化與全球信息化之間關系的角度，對中國網路信息安全與國家安全進行戰略性思考、持續性研究、整體性謀劃，以及在體制、機制上協調、整合。關鍵核心技術與設備研發的自主、創新、可控，是當務之急。保障關系國計民生的重要信息系統和基礎設施的安全與穩定運行，是重中之重。增強監控、防禦各種形式網路攻擊的應急響應能力；加強防禦反制網路戰爭能力建設；大力扶持信息網路安全產業和應用服務；完善信息安全產品與服務的國家審查、安全測評認證及風險評估機制；有力打擊黑客攻擊與各種網路犯罪行為；依法有效監管網路信息傳播輿論，掌握網路時代信息輿論的主動權，確保社會穩定等，都是網路安全保障不可缺少的重要環節。

『貳』 傳統國家安全方面面臨哪些新挑戰

一、中美貿易爭端

2019年3月22日中美貿易戰開始，其標志就是美國總統特朗普簽署對華貿易備忘錄。備忘錄中指出對中國信息通信技術、機械、航空航天等產品增加25%關稅、對中國企業在美國投資並購進行限制、對從中國進口的600億美元商品增加關稅、宣布4月16日制裁中興集團。

7月6日特朗普宣布對從中國進口的340億美元商品增加25%關稅;8月25日特朗普宣稱日後不與有共產黨和中國政府背景的企業往來。針對美國做出的一系列決定，8月3日中國政府決定對美國的600億美元產品、5207個稅目增加5%至25%的關稅。盡管中美兩國談判多次，最終由於美國政府缺乏足夠誠意而未達成共識。

二、台海局勢嚴峻

2016年蔡英文執政台灣後，對「九二共識」始終持不承認的態度，堅持走「台獨」路線。蔡英文在太平島上建立了地下小型軍事指揮所，公然挑戰中國維護國家安全的底線。最近台灣還對教科書進行全面修改，推進「去中國化」進程發展。

台灣投資大約1萬億新台幣發展或引進新型裝備武器，相繼開展了神鷹、漢光、天馬、聯字型大小、雷霆等多次不同規模的針對中國的軍事演習，體現出台灣鮮明的以武力拒絕統一的立場。

三、東北亞局勢起伏不定

東北亞的范圍包括中國、朝鮮、俄羅斯、日本、韓國以及蒙古的部分地區。2019年6月12日，朝鮮最高領導人與特朗普在新加坡會晤。在這以前，朝鮮拆除了位於平安北道的導彈試驗設施、炸毀位於豐溪里核試驗場，美國朝鮮兩國的關系略有改善。

後來兩國不斷發生糾紛，美國未對朝鮮放棄制裁和做出安全承諾，一再催促朝鮮制定放棄核武器的時間表，不斷發起針對朝鮮的軍事演習，特朗普要求政府推遲了對朝鮮的預定訪問時間。

四、內部因素多且復雜

第一，分裂問題。國家統一是每一個中國人的夢想，也是實現國家長治久安的必然途徑，分裂獨立是嚴重威脅國家安全的行為。當前，我國國內依舊存在幾股分裂勢力，如東突勢力、台獨勢力、港獨勢力等，這對國家安全造成了一定的威脅。

第二，生態問題。長久以來，我國的經濟發展側重於發展速度，在一定程度上犧牲了生態環境，造成了嚴重的生態環境問題。中國生態問題還很嚴峻：未徹底根治好中西部地區的環境惡化問題；城市水資源供需矛盾日益突出；節能減排任務未徹底完成，引起滯後效應；海洋環境污染導致漁業資源受到危害等。

可以說，環境治理工作是一項復雜性長期性工作，我國將高度重視生態環境治理工作，建立長效機制，確保國家綠水青山，給人們生活提供安全綠色環保的生態環境。

第三，民生問題。隨著現代化建設的不斷發展，我國對能源的需求不斷加大，消費壓力和能源生產顯著增加。我國能源消費遠遠大於能源產量，並且能源消費呈現出逐年增加的趨勢。如果不快速實施消費革命和能源生產戰略，那麼會對我國經濟的健康持續增長造成嚴重阻礙。

未來幾年，我國還會面臨能源高消耗、高依賴和能源短缺的難題。因此，要大力提倡節約能源意識，盡量減少能源消耗，另一方面，要大力開發新能源，利用太陽能、風能、電能等新能源替代傳統能源消耗，減少環境污染，促進我國經濟實現可持續發展。

第四，網路問題。隨著網路技術的不斷發展，我國網民的數量持續增加，據統計，我國當前有6億網民。網路信息安全在中國國家安全體現中的佔比越來越大。網路不安全，國家就不安全，沒有信息化支撐就無法實現現代化。

我國網路信息安全存在三個方面的威脅：

一是信息數據存在被竊聽的風險。

二是國產網路設施、軟體設施技術水平有待提升。

三是網路風險防控能力不強。

(2)日內瓦網路安全擴展閱讀

中國的信息化進程與發達國家的信息化進程幾乎同步。按照2003年日內瓦、2005年突尼西亞和2013年日內瓦三次「信息社會世界峰會」的《宣言》、《行動規劃》和目標願景，以及我國《2006-2020年國家信息化發展戰略規劃》要求，在達到「小康社會」目標之時，中國將進入信息化社會，成為一個網路化國家，信息網路安全將是今後我國國家安全面臨的最大挑戰，集中表現在：

一，盡管我國在某些尖端技術領域擁有優勢，但在信息網路領域的核心技術、關鍵設備和操作系統上整體性的自主研發能力不強，目前在民用、商用和產業領域仍大量引進和使用外國先進的晶元產品、系統設備和程序軟體，可控能力相對較差。

二，中國的國情不同於發達國家，在信息傳播機制、手段和方法以及管理機制上相對落後、被動，仍停留在傳統的新聞輿論理念上，尚未形成以信息輿論為主的內外傳播機制，國家「軟實力」還不夠強大，信息輿論話語權較弱。另一方面，未來網路社交將日趨發達，微群體會更加多樣，對網路空間社會治理方式仍顯單一、經驗不足。

三，信息網路安全規劃、管理和協調體制、機制仍主要沿用現實空間中的體制和管理方式，離依照信息化發展、應用方式和網路空間的規律特性形成的信息網路安全體制、機制還有較大差距，面對已經到來的雲計算、大數據時代，亟需加快進行調整革新、綜合集成。

四，信息網路領域的管理、協調主要是依據行政手段、規章和全國人大常委會的《決定》，缺乏完整統一、相互銜接並且細化的法律法規，如信息網路安全法、公民信息保護法以及信息保密法律等，法制化治理和管理模式尚未形成。

五，信息網路應用的特性決定了國家信息網路安全保障，若沒有企業和全民的充分參與就不可能是強大的和持久的。目前中國企業網路安全整體防護能力和水平較低，網民的安全意識和責任也很薄弱，民間機構、團體尚未參與到保障能力建設的進程中來，還主要是靠政府、靠行政手段來推行、實施和監督。

『叄』 談談你是怎樣理解信息對我們學習的幫助

信息安全綜論

《現代國際關系》雜志，2005年第4期

[編者按]

全球信息化方興未艾，我國信息化進程勢頭良好。信息化發展迅猛的同時，信息安全問題也日益增多。信息網路覆蓋面的擴大，信息安全問題所造成的影響和後果也隨之增大。信息安全在維護國家安全中地位日益突出，是國家安全的重要組成部分。各國信息化發展階段與特點不同，面臨的信息安全問題也有所不同，分析研究別國信息安全保障的經驗與做法，對促進我國信息化健康發展和加強信息安全保障具有有益的借鑒作用。本次對談就信息安全概念、信息安全在國家安全中的地位、信息安全重大問題和外國及我國信息安全保障問題展開探討，其中的觀點與看法供讀者參考。

主持人：俞曉秋，中國現代國際關系研究院安全與戰略研究所副所長，研究員

參與者：張 力，安全與戰略研究所危機管理研究中心主任，副研究員

唐 嵐，安全與戰略研究所信息與社會研究室副主任

張曉慧，安全與戰略研究所

張 欣，安全與戰略研究所

李 艷，安全與戰略研究所

一、重要性凸顯

俞：各位好！今天我們一起來探討有關國家信息安全研究中的一些基本問題，譬如為什麼要高度重視國家信息安全保障；如何理解信息安全概念及其演變；信息化發達國家是怎樣認識和保障其國家信息安全的；當前信息安全最突出的問題以及信息安全領域國際合作的難點主要有哪些；我國應如何加強信息安全保障等等。

張：我先說幾句。大家都看到，近年來我國信息化進程不斷加快，基礎網路與重要信息系統等基礎設施基本建成；信息產業成為國民經濟第一大支柱產業，對經濟增長的貢獻率位居其他行業首位；固定與移動通信用戶達到5億多，互聯網用戶攀升至1億多；電子商務和電子政務建設正在扎實推進；下一代互聯網Ipv6試驗網已開通，通訊網、有線電視網和互聯網走向「三網融合」乃大勢所趨。這些表明，我國信息化進程已從全面推進基礎設施建設階段，開始轉向大力加強信息資源開發利用的發展新階段。一方面信息化發展勢頭迅猛，另一方面信息安全問題也在逐年增多。

俞：究其根源，可以這樣說，沒有信息化，就沒有信息安全問題，兩者相隨相伴。另一方面，信息安全的特點、問題和造成的影響也會隨著信息化發展的不同階段而有所不同。總的趨勢是：信息化發展進程加快，信息化覆蓋面擴大，信息安全問題也就會隨之日益增多復雜，其造成的影響和後果也會不斷擴大和更加嚴重。信息化發達國家對此已有深刻的認識和經驗教訓。因此，在信息化加快發展的進程中，我們應高度重視、深入研究並切實解決國家信息安全面臨的一些重大問題，這對於保障我國國民經濟與社會信息化健康、穩步發展，促進社會主義政治文明與精神文明建設，逐步實現小康社會發展目標，十分重要。

張欣：與我國信息化發展進程加快相應的是，當今全球信息化進程方興未艾。1993年9月，美國副總統戈爾正式提出建設「國家信息基礎設施」計劃（NII）。翌年9月，他又提出將各國NII聯結起來、實現全球信息共享的「全球信息基礎設施」建設的倡議（GII）。1995年2月，歐盟在布魯塞爾主持召開主持西方「七國集團信息社會部長級會議」，支持GII倡議，共同討論「全球信息社會」（GIS）議題，並成立「全球信息基礎設施委員會」。1996年5月，又在南非召開了後續會議，即「信息社會與發展大會」部長級會議，不少發展中國家與會。2000年7月，「八國集團」首腦沖繩會議發表《全球信息社會沖繩憲章》，主張促進全球信息通訊技術發展，縮小國家間、地區間信息技術發展差距。2003年12月，在聯合國支持下，經過事先在全球舉行了3次預備會議和6次區域會議基礎上，國際電信聯盟在日內瓦主辦了全球「信息社會世界峰會」（WSIS）第一階段會議，就如何推進全球信息化發展及活動規則通過了《原則宣言》和「行動計劃」，今年11月還將在突尼西亞召開第二階段會議，審議《原則宣言》和「行動計劃」的落實情況。在第一階段會議通過的文件中，已經明確提出加強信息安全與信息安全文化的重要性。唐：是的。從經歷過去10多年全球信息基礎設施建設之後，國際社會已將關注的重點開始轉向「全球信息社會」建設的原則、標准、規則及治理上來。其中，全球信息化進程中的安全問題倍受重視。如第55屆聯大第三委員會第81次全體會議以「打擊非法濫用信息技術」為題通過了第63號決議，第56屆聯大第一委員會第68次全體會議上又以「從國際安全形度來看信息與電信領域的發展」為題通過了533號決議，呼籲會員國在多邊各級層次上審議信息安全面臨的現存威脅與潛在威脅，並採取行動遏制和消除威脅，加強全球信息與電信系統安全，防止為犯罪與恐怖主義目的利用信息資源或技術。2003年12月召開的「信息社會世界峰會」《原則宣言》中也明確提出，加強包括信息安全和網路安全及保護隱私和消費者信任框架，是發展信息社會和增強用戶信心的先決條件，要促進、發展和落實一種全球性的網路安全文化。至於信息化發達國家如美國和日本等對其國家信息安全的重視程度，大家都很清楚，這里就不多說了。

張力：信息安全問題發展到今天，已直接涉及和影響到政治、經濟、軍事、文化等各個方面。由於信息技術發展的不平衡，信息強國與信息弱國之間的「數字鴻溝」正在不斷擴大。處於弱勢的國家在政治、經濟、軍事乃至文化等方面都面臨著前所未有的沖擊、挑戰和威脅，信息技術已經成為信息強權在新世紀謀求霸權的利器。信息時代，一國的信息獲取能力以及在社會生產生活領域中的「信息制控權」（或者說是「制信息權」），成為這個國家在生存與發展競爭中能否占據主動的關鍵。信息安全問題也逐漸受到世界許多國家政府和企業等的高度關注。俞：轉過來看看我國的情況。近年來，針對我國信息化進程加快、信息化發展進入新階段，黨和政府也開始日益重視信息安全問題。十六屆四中全會《決定》報告中明確指出，堅決維護國家安全，確保國家的政治安全、經濟安全、文化安全、信息安全和國防安全。在改革開放以來歷屆黨代會的重要文件中，這樣的表述乃屬首次。我理解，這一表述有兩層含義：一個是它第一次把國家安全內容劃分為相互並列的「五大安全」，即政治安全、經濟安全、文化安全、信息安全和國防安全，「信息安全」是國家安全的重要組成部分。另一個是它從國家發展與安全的戰略高度強調認識和重視維護國家信息安全的重要性。可見，黨和政府十分重視我國的信息安全問題。

張欣：我認為，從我國信息化發展和全球信息化趨勢看，信息安全將成為國家安全的重要「基石」和「命脈」。信息資源是重要的戰略資源，信息網路和系統正在成為一切經濟與社會活動的「基礎平台」、「聯系中介」。信息網路技術應用從工商業領域已逐漸擴展到國家政治與社會生活的各個領域，信息網路安全也從技術和產業的問題上升為事關國家政治、經濟、社會、科技、文化等各領域安全的重大戰略性問題。以信息技術為核心的新軍事革命已在改變現代與未來戰爭的形態，信息網路及信息系統成為一種新攻擊武器、作戰平台和打擊目標，網路空間正在成為攸關國家安全的重要戰場。「信息戰威懾」成為與「核威懾」、「導彈防禦威懾」、「太空戰威懾」並列的第四種「戰略威懾」。此外，信息流動與傳播的高速性、廣泛性和人們對它的嚴重依賴性，以及信息武器攻擊手段、目標和過程的多樣化、遠程化、自動化，使國家安全面臨著「瞬間的」現實與潛在威脅。因而，展開對信息安全的廣泛深入研究是非常必要的，具有非常重要的現實意義。

二、如何理解信息安全

俞：人們對「信息安全」概念含義的理解，從不同的認識角度和信息化發展的不同階段出發，是有所不同的，有好多種說法。大家能不能就這個問題談談自己的看法。

張力： 「信息安全」這一名詞，是近20多年來才被人們使用的。有關「信息安全」（Information security）的定義，一直存在爭議。這里有一個佐證：2001年11月，第56屆聯大會議在通過的決議中，呼籲所有會員國就「有關信息安全的各種基本概念的定義」等向秘書長及時通報，其目的就在於要消除概念上的混亂，更好地促進信息安全國際合作。然而時至今日，國際上仍沒有一個權威、公認的有關「信息安全」的標準定義，國內也如此。

俞：說到「信息安全」這個詞，英文是Information Security 和Cyber Security。這兩個英文詞有無區別，曾請教過美國戰略與國際研究中心的信息安全專家，他們的解釋是：前者是一個含義較廣的詞，它包括網路和知識產權與數據兩個內容的安全，後者是用於網路安全的一個更恰當的詞，它的含義比較狹窄。在美國，多數人把二者視為是同義詞。布希政府公布的《保護網路空間國家安全戰略》報告中使用「網路安全」（Cyber security）而沒有使用「信息安全」（Information Security）一詞，是認為用「網路安全」一詞更恰當一些，它也反映了一種認識，即政府的作用在於保護信息網路基礎設施，而不是在於人們或企業如何處理他們個人的信息中發揮作用。這一解釋對我們理解信息安全概念是有幫助的。翻閱20世紀60、70年代有關美軍通信保密與作戰的文獻，當時使用的就是Information Security這個詞，後來隨著互聯網的普及，Cyber security一詞應運而生。美國現已是一個網路化的國家，近年來美國許多的新聞報道、學者文章和研究專著中大多使用了Cyber security一詞。中國學者談論的「信息安全」一詞，對應的英文詞顯然是Information Security。這也體現出中美信息化發展階段不同，學者對信息安全關注的側重點也不同。中國還不是一個網路化國家，我們目前更多關注的是信息內容、信息系統運行和資料庫的安全。就信息安全概念的含義，大家接著發表看法。

李：我們簡單回顧一下，二戰前，一般常見的稱謂是，通信保密和通信安全。圍繞著納粹德國製造的著名的密碼機「Enigma」展開的那場較量令人印象深刻。後來增加了電子安全的含義。50年代，歐美國家將上述兩者合稱為信號安全。60年代末，美國率先提出了計算機安全。20世紀80年代中期，美國和歐洲先後開始使用信息安全和信息系統安全的概念，主要包括通信安全、計算機安全、發射安全、傳輸安全、物理安全和相關人員安全等。在世界范圍，直到1988年才開始對信息安全問題引起重視，起因是美國康乃爾大學研究生莫里斯利用計算機病毒，使美國國防部等聯接互聯網的6000台計算機癱瘓數日，這個數字已佔當時上網總數的十分之一，造成上億元損失。接著是1989年，美國和當時的西德聯手破獲了前蘇聯收買的西德大學生計算機間諜案。這兩件事的出現，才使西方乃至全球開始高度重視信息安全問題。這也證明了一點，就是信息安全的概念是不斷演進而來的。從單純的通信保密、信號安全，到後來的計算機安全，信息安全。一般意義上而言，信息安全主要是指信息從產生、製作、傳播、收集、處理直到選取等一系列信息傳播與使用過程中信息資源的安全，其中目前對信息安全的最主要的關注點集中在信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容安全等三方面。需要進一步深化理解的是，信息安全問題更重要的是要關注信息在使用過程中，由於一系列安全疏漏給小到個人隱私、企業利益，大到社會安定、國家安全等重大問題帶來的安全隱患，所以，正是從這個角度說，我們認為信息安全包括兩層含義。另外，在對信息安全的理解中，還需要特別指出的一點是，隨著信息技術的日新月異，信息安全所涉及的領域與問題或者說重點內容也並不是一成不變的。因此，信息安全本身是一個動態的而非靜態的概念。

俞：信息安全概念的含義是一個演進的過程，有關信息安全定義一直存有爭議，眾說紛紜。除李艷談到的一種定義外，還有哪些呢？

張力：信息安全的定義多種多樣。例如，一種定義認為，信息安全就是計算機安全的延伸。另一種定義是從國家安全形度出發，認為信息安全是指一個國家的社會信息化狀態不受外來的威脅與侵害和一個國家的信息技術體系不受外來的威脅與侵害。強調的是社會信息化帶來的信息安全問題一方面是指具體的信息技術系統的安全；另一方面則是指某一特定信息體系（如國家的金融信息系統、作戰指揮系統等）的安全。還有一種定義是重在強調手段，不僅包括技術手段，還包括管理等方面。如美國國家安全電信和信息系統安全委員會（NSTISSC）定義信息安全是對信息、系統以及使用、存儲和傳輸信息的硬體的保護，是所採取的相關政策、認識、培訓和教育以及技術等必要的手段。

唐：第四種說法是將「信息安全」所涉及的內容具體化，認為信息安全是確保儲存或傳送中的數據，不被他人有意或無意的竊取及破壞。它把信息安全分解為：（1）信息設施及環境安全：包括建築物與周遭環境的安全，如門禁管制、信息線路管制、消防設備及災害應變計劃、定期維護硬體降故障機率等安全保護措施。（2）數據安全：確保數據不會被非法入侵者讀取或破壞，如設定及不定期更新密碼、數據備份、檔案區分機密等級、制定使用許可權、加裝加密及解密裝置、記錄上線使用者的使用情形。（3）程序安全：重視軟體開發過程的品質及維護，如確保程序執行無誤、使用手冊及文件說明、加強程序存取數據的安全管理、定期評估程序執行效能、嚴格限制非法軟體的使用、重要或機密之程序應有特殊得的保護措施。（4）系統安全：維護計算機系統正常運作，如操作人員或使用者的訓練、明確劃分操作人員的工作職責、各種定期作業之執行與管理、制定系統各種作業程序之操作流程及手冊說明。也有觀點認為信息安全包括操作系統安全、資料庫安全、網路安全、病毒保護、訪問控制、加密與鑒別七個方面。

張欣：第五種定義的著眼點是強調信息安全與計算機安全密不可分。如美國學者就指出，信息安全的歷史起源於計算機安全的歷史。再如我國1994年頒布的「中華人民共和國計算機信息系統安全保護條例」中指出，計算機信息系統安全保護是指：保障計算機及相關配套設施（含網路）安全，運行環境安全，信息安全，計算機功能正常發揮，以維護計算機信息系統的安全運行。從這一法律規定看，計算機信息系統安全應當包括實體安全、信息安全、運行安全和人的安全。其中的信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制，即確保信息的保密性、完整性、可用性、可控性。這個定義與第一個定義相似，但略有區別。

張力：從以上大家談到的六種不同定義可以看出，它們各有側重和特點，也有相互涵蓋的內容。另外，在研究信息安全的同時，我們還會遇到了「網路安全」的概念。在20世紀80年代後期，尤其是90年代互聯網的發展，網路成了計算機應用的重要形式。網路安全強調在整個網路環境中，尤其在互聯網環境中的安全。通過採用各種技術和管理措施，使網路系統正常運行，從而確保網路數據的可用性、完整性和保密性。我們無需去判定上述定義誰是誰非，但值得指出的是，如今國內許多媒體和網民眼中的信息安全實際上多指網路安全，這有點片面。其實，信息安全的概念比網路安全要大得多。僅以內容安全為例，報紙、雜志、廣播、電視、教科書等都會涉及到內容安全，這難道不是信息安全的范疇？再回到「什麼是安全」這個問題上，國外學者認為，安全是免於危險的一種狀態。國內學者進一步將其釋為「客觀上不存在威脅，主觀上不存在恐懼」。那麼「客觀上存在威脅，主觀上存在恐懼」就是信息安全面臨的形勢。

李：信息安全的概念和內涵是在不斷變化、完善、發展的。從起初的軍事領域和軍隊等特定群體迅速地擴展到了信息化時代社會生活的方方面面，涉及到了每一個人。信息安全的目標從最初的作戰信息保密發展到了信息在各環節的完整性、可用性、可控性和不可否認性；由最初的「防止泄密」轉而發展為防範、監測、管理、評估、控制、攻擊等多方面的基礎理論和實施技術。目前正在向鑒別、授權、訪問控制、抗否認性以及個人隱私、知識產權等的保護等方向不斷擴展。信息安全的研究也由原來的密碼學擴展到了包含計算機科學、管理信息系統、法學、心理學、社會學等諸多學科領域。

唐：國內有專家對信息安全的發展階段作了這樣的概括：第一個發展階段是數據安全，這是計算機的基本安全要求，依賴的基本技術是密碼；第二個發展階段是網路安全，這是網路時代最基本安全要求，依賴的基本技術是防護技術；第三個發展階段是交易安全;這是網路電子交易時代最基本的安全要求。以可信性為主，實施的是自願型保障策略。美國學者把信息安全通常劃分為幾個不同的發展階段：即通信保密、信息安全和信息保障（即Information Assurance）。所謂的信息保障，其內涵是在原來信息安全的基礎上，加入了保護、監控、反應、恢復這幾個環節。也就是說，除了保護以外，還需要有對攻擊進行檢測和評估的理論、技術和工具，實施信息系統靜態和動態的檢測報警，並做出迅速的反應，以減少損失，一旦有損失也可以盡快恢復正常的服務。

三、他山之石

俞：我們知道，像美國等信息化發達國家政府高度重視本國的信息安全，並採取了一系列的保障措施。它們採取了哪些主要的措施，做法上各自有什麼樣的特點，近來又有什麼新的動向，大家可否談談？

張力：一個國家抓好信息安全主要是三方面：其一是在信息安全方面採取的戰略措施及有關政策、法規；其二是強有力的技術手段及有關技術裝備；其三是要有一支人才隊伍。前者反映了一個國家在信息安全方面的重視程度、決心和意志；後兩者則反映了一個國家在信息安全方面的實力，而保障信息安全的前提和基礎則是一國的信息化發展程度。信息安全在不同的時期要有不同的側重點。從實踐來看，各國信息安全重點抓了這幾個方面：個人隱私、密碼技術、互聯網管理、相關執法、網路恐怖和信息戰，還有一些其它相關的社會經濟問題。而信息安全的保障層面是放在了在家庭與個人、企業、政府各部門、國家乃至全球這五個層面上的，換言之，國家的信息安全戰略也應該涵蓋這些不同層面。「9．11」之後，反恐成為美國國家安全戰略的重心。在這一背景下，美國明確了信息技術領域的三個反恐議題：確保信息和網路安全、滿足緊急反應人員對信息技術的需要、信息整合。從此，反恐成為美國當前維護信息安全的重要內容。

唐：美國早在1996年就提出"保護關鍵基礎設施"的重大計劃，2000年1月又提出了一項"保護信息國家計劃"。美國信息安全戰略的重點是保護國家關鍵信息基礎設施的安全，政府在信息安全管理方面的定位主要是兩個方面：一是要保護公民在信息網路中的合法權益；二是要為社會發展提供一個健康、有序的信息化網路環境，包括個人隱私、密碼政策、執法、網路恐怖、信息戰、國際經濟等問題。"911"後，美國政府又出台了十大緊急安全舉措：1、啟動國家信息安全新戰略的研製工作；2、大幅度增加對信息安全的投入；3、提高產業界的信息安全的意識和社會責任；4、改善互聯網服務狀況，加大執法力度；5、加強信息安全各部門間的協調和配合；6、推動信息安全方面的人才培養工作；7、實行信息安全情況通報和社會告警機制；8、提出政府專用網路的建議，引導信息安全產業的發展；9、提出建立信息基礎設施模擬中心的設想；10、加強全社會的網路安全宣傳，提高全民的信息安全意識。最近，美國政府又公布了國家網路安全計劃，美將依靠各公司的志願行動防禦足以造成嚴重損失的潛在攻擊，以確保網路安全。另外，美國和俄羅斯都設有國家信息安全委員會，由總統親自掛帥。"911"後，美國政府很快就成立了"總統關鍵基礎設施保護辦公室"，特設"總統網路安全顧問"一職。

張欣：在維護信息安全方面，從戰略認識和政策上，美國始終走在各國的前列，現已建立起一個以法律、政策、技術和管理相互配套的網路安全保護體系。從1984年至今，美先後出台了近20部維護關鍵基礎設施保護和信息安全的國家政策、通告、總統行政命令和國家計劃及戰略，它們均對如何保護關鍵基礎設施和信息系統安全提出了具體的要求。其中有：1995年頒布的第63號總統令（PDD-63）、2000年1月的《信息系統保護國家計劃》、2003年2月的《網路空間國家安全戰略》等。PDD-63和《信息系統保護國家計劃》側重保護美通訊、能源、交通、電力、供水、銀行和金融機構等關鍵基礎設施及政府設施信息網路的安全，而後者更是成為美21世紀信息安全保障的行動指南。《網路空間國家安全戰略》則將信息安全看作為一個所有公民都有責任和義務參與的「整體安全」工程，它推動實現國家信息安全的「社會化」，並強調信息安全戰略應根據網路威脅新變化隨時進行調整。

李：的確，美國的這種憂慮在發達國家中極具代表性。美國是世界上對信息技術運用最充分和廣泛的國家，換句話說，美國對信息技術的依賴性更強。特別是在國際政治斗爭和經濟競爭日趨復雜化、多樣化的大背景下，未來網路恐怖主義攻擊的可能性大大增加。一旦國家重要基礎設施受到攻擊，可以導致社會動盪甚至癱瘓。例如2003年，美國東部、英國倫敦、義大利和美國加州等地就先後因基礎設施出現故障，導致多起重大的電網大面積癱瘓事故，使公眾對這類事故的危害性和基礎設施自動化、網路化後所帶來的脆弱性和安全風險有了切身的體會。「9·11」以來，非傳統威脅日益進入網路世界。這對於信息化程度較高的西方國家來說，防止恐怖分子發動網路攻擊將成為重點防範的對象。

唐：自1999年以來，歐盟委員會每年都推出《通過打擊全球網上非法及有害信息以推動更安全地使用互聯網多國行動計劃》，最新一個版本是2003年的《2005—2008年網路安全補充計劃》。該計劃面向信息網路的所有開發商和使用者，動員全社會「參與抵制非法、有害內容和垃圾郵件的斗爭」。2001年還通過了《互聯網安全綜合計劃》，其首要目的是教育民眾正確認識互聯網的潛在危險性，並計劃建立歐洲預警信息系統，把各成員國的計算機突發事件處理小組（CERTS）聯合起來，統一行動。俄、日等國也不甘落後。日本在2001年公布「電子日本2002」（e-Japan2002計劃）中，將「確保信息安全」作為五大主要方針之一，主張建立「對付網路恐怖資料庫」，收集網路恐怖活動信息，著手開發信息安全評估等基礎技術。歐、俄、日等其他信息發達國家在參考和借鑒美國的基礎上，其做法各有側重，也取得了較好的效果。總體說來，這些國家的信息安全措施有一些共同之處，值得借鑒。

俞：信息化發達國家維護信息安全的一個通行做法，就是制訂和完善相關的法律、法規。美國信息安全法律的細化、專門化在全球獨領風騷，迄今為止，它是世界上唯一一個信息安全相關法律最全面、最完善的國家。其法律涉及計算機安全、個人隱私保護、電子簽名、反黑客等信息領域的各個方面。另外，美還不斷根據形勢的發展和變化，先後修改了《偽造訪問設備和計算機欺騙濫用法》、《計算機欺詐和濫用法》、《計算機安全法》、《網路安全增強法案》等。如2002年7月，美眾院通過修改後的《網路安全增強法案》，將從事黑客攻擊或其他網路罪犯的最高處罰從10年徒刑改為終身監禁。又如，為加大政府對信息通訊網路監管力度，2004年3月美聯邦調查局與聯邦通訊委員會攜手修訂了《通訊司法協助法》。

張欣：歐盟的法律主要側重於個人數據保護和打擊非法及有害信息。1996年的《電子通訊資料保護指令》、1998年的《數據保護指令》、1999年的《網際網路上個人數據保護的一般原則》、《信息公路上個人數據收集處理過程中個人權利保護指南》等，對收集、儲存、利用、傳播以及對參與各種涉及個人信息的活動做出了明確規定。其中，《數據保護指令》的效力還波及澳大利亞、加拿大及東歐國家，迫使它們修改本國法律以與歐盟保持一致。1999年的《推動更安全地使用互聯網多國行動計劃》明確界定了非法及有害信息的打擊范圍。英國《通信管理條例》、《通信數據保護指導原則》、《垃圾郵件法案》，德國《公共場所青少年保護法》和針對網吧管理的《經營法》等均明令禁止在網路上製作和傳播的「極端言行，納粹主義、恐怖主義、種族歧視、兒童色情」等非法及有害信息。

唐：美國信息安全保障機構種類齊全、分工明確。如國土安全部是美信息安全的核心部門，其下屬的網路安全局則負責制訂和協調全國的信息安全計劃，在發生攻擊關鍵基礎設施的襲擊事件時實施危機管理；司法部專門負責網路欺詐等犯罪的調查；聯邦調查局負責對社會互聯網進行監控，掌握恐怖分子的動態，同時還以保護美免遭網路襲擊和制止高科技犯罪作為其今後工作的十大重點之一；國家安全局則只對聯邦政府專用信息網路的安全負責；國會總審計署檢查和監督各政府部門的信息安全工作，並對其發表的敏感性報告加以標識，決定能否公開在網路上，等等。

張欣：2003年2月，歐盟成立了「歐洲網路及信息安全局」，匯集了來自各成員國的安全專家，其職責是向歐洲委員會提供信息安全政策建議，推動各成員國的協調與合作，協助歐洲委員會制定、完善和推廣信息安全標准及認證體制。歐洲各國也都有在相應的主管部門和專門的管理機構，如英警察部門的「網路警察」小組，德國內政部的「信息和通信技術服務中心」和類似「網上巡警」的調