日内瓦网络安全

‘壹’ 信息安全面临的外部挑战有哪些

转载以下资料，仅供参考：中国的信息化进程与发达国家的信息化进程几乎同步。按照2003年日内瓦、2005年突尼斯和2013年日内瓦三次“信息社会世界峰会”的《宣言》、《行动规划》和目标愿景，以及我国《2006-2020年国家信息化发展战略规划》要求，在达到“小康社会”目标之时，中国将进入信息化社会，成为一个网络化国家，信息网络安全将是今后我国国家安全面临的最大挑战，集中表现在：第一，尽管我国在某些尖端技术领域拥有优势，但在信息网络领域的核心技术、关键设备和操作系统上整体性的自主研发能力不强，目前在民用、商用和产业领域仍大量引进和使用外国先进的芯片产品、系统设备和程序软件，可控能力相对较差。二，中国的国情不同于发达国家，在信息传播机制、手段和方法以及管理机制上相对落后、被动，仍停留在传统的新闻舆论理念上，尚未形成以信息舆论为主的内外传播机制，国家“软实力”还不够强大，信息舆论话语权较弱。另一方面，未来网络社交将日趋发达，微群体会更加多样，对网络空间社会治理方式仍显单一、经验不足。三，信息网络安全规划、管理和协调体制、机制仍主要沿用现实空间中的体制和管理方式，离依照信息化发展、应用方式和网络空间的规律特性形成的信息网络安全体制、机制还有较大差距，面对已经到来的云计算、大数据时代，亟需加快进行调整革新、综合集成。四，信息网络领域的管理、协调主要是依据行政手段、规章和全国人大常委会的《决定》，缺乏完整统一、相互衔接并且细化的法律法规，如信息网络安全法、公民信息保护法以及信息保密法律等，法制化治理和管理模式尚未形成。五，信息网络应用的特性决定了国家信息网络安全保障，若没有企业和全民的充分参与就不可能是强大的和持久的。目前中国企业网络安全整体防护能力和水平较低，网民的安全意识和责任也很薄弱，民间机构、团体尚未参与到保障能力建设的进程中来，还主要是靠政府、靠行政手段来推行、实施和监督。信息安全是信息化社会的基石。信息网络安全问题将是一个生死攸关的重大问题。对于正在迈入信息化社会的我国来说，加快信息网络安全保障建设、增强保障能力的任务十分紧迫。中国信息化建设必须在发展中保安全、在保障中促发展。发展与安全，要相互兼顾，两者都要硬。为应对来自内外日益复杂多样的网络安全挑战，应从信息化发展趋势和中国信息化与全球信息化之间关系的角度，对中国网络信息安全与国家安全进行战略性思考、持续性研究、整体性谋划，以及在体制、机制上协调、整合。关键核心技术与设备研发的自主、创新、可控，是当务之急。保障关系国计民生的重要信息系统和基础设施的安全与稳定运行，是重中之重。增强监控、防御各种形式网络攻击的应急响应能力；加强防御反制网络战争能力建设；大力扶持信息网络安全产业和应用服务；完善信息安全产品与服务的国家审查、安全测评认证及风险评估机制；有力打击黑客攻击与各种网络犯罪行为；依法有效监管网络信息传播舆论，掌握网络时代信息舆论的主动权，确保社会稳定等，都是网络安全保障不可缺少的重要环节。

‘贰’ 传统国家安全方面面临哪些新挑战

一、中美贸易争端

2019年3月22日中美贸易战开始，其标志就是美国总统特朗普签署对华贸易备忘录。备忘录中指出对中国信息通信技术、机械、航空航天等产品增加25%关税、对中国企业在美国投资并购进行限制、对从中国进口的600亿美元商品增加关税、宣布4月16日制裁中兴集团。

7月6日特朗普宣布对从中国进口的340亿美元商品增加25%关税;8月25日特朗普宣称日后不与有共产党和中国政府背景的企业往来。针对美国做出的一系列决定，8月3日中国政府决定对美国的600亿美元产品、5207个税目增加5%至25%的关税。尽管中美两国谈判多次，最终由于美国政府缺乏足够诚意而未达成共识。

二、台海局势严峻

2016年蔡英文执政台湾后，对“九二共识”始终持不承认的态度，坚持走“台独”路线。蔡英文在太平岛上建立了地下小型军事指挥所，公然挑战中国维护国家安全的底线。最近台湾还对教科书进行全面修改，推进“去中国化”进程发展。

台湾投资大约1万亿新台币发展或引进新型装备武器，相继开展了神鹰、汉光、天马、联字号、雷霆等多次不同规模的针对中国的军事演习，体现出台湾鲜明的以武力拒绝统一的立场。

三、东北亚局势起伏不定

东北亚的范围包括中国、朝鲜、俄罗斯、日本、韩国以及蒙古的部分地区。2019年6月12日，朝鲜最高领导人与特朗普在新加坡会晤。在这以前，朝鲜拆除了位于平安北道的导弹试验设施、炸毁位于丰溪里核试验场，美国朝鲜两国的关系略有改善。

后来两国不断发生纠纷，美国未对朝鲜放弃制裁和做出安全承诺，一再催促朝鲜制定放弃核武器的时间表，不断发起针对朝鲜的军事演习，特朗普要求政府推迟了对朝鲜的预定访问时间。

四、内部因素多且复杂

第一，分裂问题。国家统一是每一个中国人的梦想，也是实现国家长治久安的必然途径，分裂独立是严重威胁国家安全的行为。当前，我国国内依旧存在几股分裂势力，如东突势力、台独势力、港独势力等，这对国家安全造成了一定的威胁。

第二，生态问题。长久以来，我国的经济发展侧重于发展速度，在一定程度上牺牲了生态环境，造成了严重的生态环境问题。中国生态问题还很严峻：未彻底根治好中西部地区的环境恶化问题；城市水资源供需矛盾日益突出；节能减排任务未彻底完成，引起滞后效应；海洋环境污染导致渔业资源受到危害等。

可以说，环境治理工作是一项复杂性长期性工作，我国将高度重视生态环境治理工作，建立长效机制，确保国家绿水青山，给人们生活提供安全绿色环保的生态环境。

第三，民生问题。随着现代化建设的不断发展，我国对能源的需求不断加大，消费压力和能源生产显着增加。我国能源消费远远大于能源产量，并且能源消费呈现出逐年增加的趋势。如果不快速实施消费革命和能源生产战略，那么会对我国经济的健康持续增长造成严重阻碍。

未来几年，我国还会面临能源高消耗、高依赖和能源短缺的难题。因此，要大力提倡节约能源意识，尽量减少能源消耗，另一方面，要大力开发新能源，利用太阳能、风能、电能等新能源替代传统能源消耗，减少环境污染，促进我国经济实现可持续发展。

第四，网络问题。随着网络技术的不断发展，我国网民的数量持续增加，据统计，我国当前有6亿网民。网络信息安全在中国国家安全体现中的占比越来越大。网络不安全，国家就不安全，没有信息化支撑就无法实现现代化。

我国网络信息安全存在三个方面的威胁：

一是信息数据存在被窃听的风险。

二是国产网络设施、软件设施技术水平有待提升。

三是网络风险防控能力不强。

(2)日内瓦网络安全扩展阅读

中国的信息化进程与发达国家的信息化进程几乎同步。按照2003年日内瓦、2005年突尼斯和2013年日内瓦三次“信息社会世界峰会”的《宣言》、《行动规划》和目标愿景，以及我国《2006-2020年国家信息化发展战略规划》要求，在达到“小康社会”目标之时，中国将进入信息化社会，成为一个网络化国家，信息网络安全将是今后我国国家安全面临的最大挑战，集中表现在：

一，尽管我国在某些尖端技术领域拥有优势，但在信息网络领域的核心技术、关键设备和操作系统上整体性的自主研发能力不强，目前在民用、商用和产业领域仍大量引进和使用外国先进的芯片产品、系统设备和程序软件，可控能力相对较差。

二，中国的国情不同于发达国家，在信息传播机制、手段和方法以及管理机制上相对落后、被动，仍停留在传统的新闻舆论理念上，尚未形成以信息舆论为主的内外传播机制，国家“软实力”还不够强大，信息舆论话语权较弱。另一方面，未来网络社交将日趋发达，微群体会更加多样，对网络空间社会治理方式仍显单一、经验不足。

三，信息网络安全规划、管理和协调体制、机制仍主要沿用现实空间中的体制和管理方式，离依照信息化发展、应用方式和网络空间的规律特性形成的信息网络安全体制、机制还有较大差距，面对已经到来的云计算、大数据时代，亟需加快进行调整革新、综合集成。

四，信息网络领域的管理、协调主要是依据行政手段、规章和全国人大常委会的《决定》，缺乏完整统一、相互衔接并且细化的法律法规，如信息网络安全法、公民信息保护法以及信息保密法律等，法制化治理和管理模式尚未形成。

五，信息网络应用的特性决定了国家信息网络安全保障，若没有企业和全民的充分参与就不可能是强大的和持久的。目前中国企业网络安全整体防护能力和水平较低，网民的安全意识和责任也很薄弱，民间机构、团体尚未参与到保障能力建设的进程中来，还主要是靠政府、靠行政手段来推行、实施和监督。

‘叁’ 谈谈你是怎样理解信息对我们学习的帮助

信息安全综论

《现代国际关系》杂志，2005年第4期

[编者按]

全球信息化方兴未艾，我国信息化进程势头良好。信息化发展迅猛的同时，信息安全问题也日益增多。信息网络覆盖面的扩大，信息安全问题所造成的影响和后果也随之增大。信息安全在维护国家安全中地位日益突出，是国家安全的重要组成部分。各国信息化发展阶段与特点不同，面临的信息安全问题也有所不同，分析研究别国信息安全保障的经验与做法，对促进我国信息化健康发展和加强信息安全保障具有有益的借鉴作用。本次对谈就信息安全概念、信息安全在国家安全中的地位、信息安全重大问题和外国及我国信息安全保障问题展开探讨，其中的观点与看法供读者参考。

主持人：俞晓秋，中国现代国际关系研究院安全与战略研究所副所长，研究员

参与者：张 力，安全与战略研究所危机管理研究中心主任，副研究员

唐 岚，安全与战略研究所信息与社会研究室副主任

张晓慧，安全与战略研究所

张 欣，安全与战略研究所

李 艳，安全与战略研究所

一、重要性凸显

俞：各位好！今天我们一起来探讨有关国家信息安全研究中的一些基本问题，譬如为什么要高度重视国家信息安全保障；如何理解信息安全概念及其演变；信息化发达国家是怎样认识和保障其国家信息安全的；当前信息安全最突出的问题以及信息安全领域国际合作的难点主要有哪些；我国应如何加强信息安全保障等等。

张：我先说几句。大家都看到，近年来我国信息化进程不断加快，基础网络与重要信息系统等基础设施基本建成；信息产业成为国民经济第一大支柱产业，对经济增长的贡献率位居其他行业首位；固定与移动通信用户达到5亿多，互联网用户攀升至1亿多；电子商务和电子政务建设正在扎实推进；下一代互联网Ipv6试验网已开通，通讯网、有线电视网和互联网走向“三网融合”乃大势所趋。这些表明，我国信息化进程已从全面推进基础设施建设阶段，开始转向大力加强信息资源开发利用的发展新阶段。一方面信息化发展势头迅猛，另一方面信息安全问题也在逐年增多。

俞：究其根源，可以这样说，没有信息化，就没有信息安全问题，两者相随相伴。另一方面，信息安全的特点、问题和造成的影响也会随着信息化发展的不同阶段而有所不同。总的趋势是：信息化发展进程加快，信息化覆盖面扩大，信息安全问题也就会随之日益增多复杂，其造成的影响和后果也会不断扩大和更加严重。信息化发达国家对此已有深刻的认识和经验教训。因此，在信息化加快发展的进程中，我们应高度重视、深入研究并切实解决国家信息安全面临的一些重大问题，这对于保障我国国民经济与社会信息化健康、稳步发展，促进社会主义政治文明与精神文明建设，逐步实现小康社会发展目标，十分重要。

张欣：与我国信息化发展进程加快相应的是，当今全球信息化进程方兴未艾。1993年9月，美国副总统戈尔正式提出建设“国家信息基础设施”计划（NII）。翌年9月，他又提出将各国NII联结起来、实现全球信息共享的“全球信息基础设施”建设的倡议（GII）。1995年2月，欧盟在布鲁塞尔主持召开主持西方“七国集团信息社会部长级会议”，支持GII倡议，共同讨论“全球信息社会”（GIS）议题，并成立“全球信息基础设施委员会”。1996年5月，又在南非召开了后续会议，即“信息社会与发展大会”部长级会议，不少发展中国家与会。2000年7月，“八国集团”首脑冲绳会议发表《全球信息社会冲绳宪章》，主张促进全球信息通讯技术发展，缩小国家间、地区间信息技术发展差距。2003年12月，在联合国支持下，经过事先在全球举行了3次预备会议和6次区域会议基础上，国际电信联盟在日内瓦主办了全球“信息社会世界峰会”（WSIS）第一阶段会议，就如何推进全球信息化发展及活动规则通过了《原则宣言》和“行动计划”，今年11月还将在突尼斯召开第二阶段会议，审议《原则宣言》和“行动计划”的落实情况。在第一阶段会议通过的文件中，已经明确提出加强信息安全与信息安全文化的重要性。唐：是的。从经历过去10多年全球信息基础设施建设之后，国际社会已将关注的重点开始转向“全球信息社会”建设的原则、标准、规则及治理上来。其中，全球信息化进程中的安全问题倍受重视。如第55届联大第三委员会第81次全体会议以“打击非法滥用信息技术”为题通过了第63号决议，第56届联大第一委员会第68次全体会议上又以“从国际安全角度来看信息与电信领域的发展”为题通过了533号决议，呼吁会员国在多边各级层次上审议信息安全面临的现存威胁与潜在威胁，并采取行动遏制和消除威胁，加强全球信息与电信系统安全，防止为犯罪与恐怖主义目的利用信息资源或技术。2003年12月召开的“信息社会世界峰会”《原则宣言》中也明确提出，加强包括信息安全和网络安全及保护隐私和消费者信任框架，是发展信息社会和增强用户信心的先决条件，要促进、发展和落实一种全球性的网络安全文化。至于信息化发达国家如美国和日本等对其国家信息安全的重视程度，大家都很清楚，这里就不多说了。

张力：信息安全问题发展到今天，已直接涉及和影响到政治、经济、军事、文化等各个方面。由于信息技术发展的不平衡，信息强国与信息弱国之间的“数字鸿沟”正在不断扩大。处于弱势的国家在政治、经济、军事乃至文化等方面都面临着前所未有的冲击、挑战和威胁，信息技术已经成为信息强权在新世纪谋求霸权的利器。信息时代，一国的信息获取能力以及在社会生产生活领域中的“信息制控权”（或者说是“制信息权”），成为这个国家在生存与发展竞争中能否占据主动的关键。信息安全问题也逐渐受到世界许多国家政府和企业等的高度关注。俞：转过来看看我国的情况。近年来，针对我国信息化进程加快、信息化发展进入新阶段，党和政府也开始日益重视信息安全问题。十六届四中全会《决定》报告中明确指出，坚决维护国家安全，确保国家的政治安全、经济安全、文化安全、信息安全和国防安全。在改革开放以来历届党代会的重要文件中，这样的表述乃属首次。我理解，这一表述有两层含义：一个是它第一次把国家安全内容划分为相互并列的“五大安全”，即政治安全、经济安全、文化安全、信息安全和国防安全，“信息安全”是国家安全的重要组成部分。另一个是它从国家发展与安全的战略高度强调认识和重视维护国家信息安全的重要性。可见，党和政府十分重视我国的信息安全问题。

张欣：我认为，从我国信息化发展和全球信息化趋势看，信息安全将成为国家安全的重要“基石”和“命脉”。信息资源是重要的战略资源，信息网络和系统正在成为一切经济与社会活动的“基础平台”、“联系中介”。信息网络技术应用从工商业领域已逐渐扩展到国家政治与社会生活的各个领域，信息网络安全也从技术和产业的问题上升为事关国家政治、经济、社会、科技、文化等各领域安全的重大战略性问题。以信息技术为核心的新军事革命已在改变现代与未来战争的形态，信息网络及信息系统成为一种新攻击武器、作战平台和打击目标，网络空间正在成为攸关国家安全的重要战场。“信息战威慑”成为与“核威慑”、“导弹防御威慑”、“太空战威慑”并列的第四种“战略威慑”。此外，信息流动与传播的高速性、广泛性和人们对它的严重依赖性，以及信息武器攻击手段、目标和过程的多样化、远程化、自动化，使国家安全面临着“瞬间的”现实与潜在威胁。因而，展开对信息安全的广泛深入研究是非常必要的，具有非常重要的现实意义。

二、如何理解信息安全

俞：人们对“信息安全”概念含义的理解，从不同的认识角度和信息化发展的不同阶段出发，是有所不同的，有好多种说法。大家能不能就这个问题谈谈自己的看法。

张力： “信息安全”这一名词，是近20多年来才被人们使用的。有关“信息安全”（Information security）的定义，一直存在争议。这里有一个佐证：2001年11月，第56届联大会议在通过的决议中，呼吁所有会员国就“有关信息安全的各种基本概念的定义”等向秘书长及时通报，其目的就在于要消除概念上的混乱，更好地促进信息安全国际合作。然而时至今日，国际上仍没有一个权威、公认的有关“信息安全”的标准定义，国内也如此。

俞：说到“信息安全”这个词，英文是Information Security 和Cyber Security。这两个英文词有无区别，曾请教过美国战略与国际研究中心的信息安全专家，他们的解释是：前者是一个含义较广的词，它包括网络和知识产权与数据两个内容的安全，后者是用于网络安全的一个更恰当的词，它的含义比较狭窄。在美国，多数人把二者视为是同义词。布什政府公布的《保护网络空间国家安全战略》报告中使用“网络安全”（Cyber security）而没有使用“信息安全”（Information Security）一词，是认为用“网络安全”一词更恰当一些，它也反映了一种认识，即政府的作用在于保护信息网络基础设施，而不是在于人们或企业如何处理他们个人的信息中发挥作用。这一解释对我们理解信息安全概念是有帮助的。翻阅20世纪60、70年代有关美军通信保密与作战的文献，当时使用的就是Information Security这个词，后来随着互联网的普及，Cyber security一词应运而生。美国现已是一个网络化的国家，近年来美国许多的新闻报道、学者文章和研究专着中大多使用了Cyber security一词。中国学者谈论的“信息安全”一词，对应的英文词显然是Information Security。这也体现出中美信息化发展阶段不同，学者对信息安全关注的侧重点也不同。中国还不是一个网络化国家，我们目前更多关注的是信息内容、信息系统运行和数据库的安全。就信息安全概念的含义，大家接着发表看法。

李：我们简单回顾一下，二战前，一般常见的称谓是，通信保密和通信安全。围绕着纳粹德国制造的着名的密码机“Enigma”展开的那场较量令人印象深刻。后来增加了电子安全的含义。50年代，欧美国家将上述两者合称为信号安全。60年代末，美国率先提出了计算机安全。20世纪80年代中期，美国和欧洲先后开始使用信息安全和信息系统安全的概念，主要包括通信安全、计算机安全、发射安全、传输安全、物理安全和相关人员安全等。在世界范围，直到1988年才开始对信息安全问题引起重视，起因是美国康乃尔大学研究生莫里斯利用计算机病毒，使美国国防部等联接互联网的6000台计算机瘫痪数日，这个数字已占当时上网总数的十分之一，造成上亿元损失。接着是1989年，美国和当时的西德联手破获了前苏联收买的西德大学生计算机间谍案。这两件事的出现，才使西方乃至全球开始高度重视信息安全问题。这也证明了一点，就是信息安全的概念是不断演进而来的。从单纯的通信保密、信号安全，到后来的计算机安全，信息安全。一般意义上而言，信息安全主要是指信息从产生、制作、传播、收集、处理直到选取等一系列信息传播与使用过程中信息资源的安全，其中目前对信息安全的最主要的关注点集中在信息传输的安全、信息存储的安全以及对网络传输信息内容安全等三方面。需要进一步深化理解的是，信息安全问题更重要的是要关注信息在使用过程中，由于一系列安全疏漏给小到个人隐私、企业利益，大到社会安定、国家安全等重大问题带来的安全隐患，所以，正是从这个角度说，我们认为信息安全包括两层含义。另外，在对信息安全的理解中，还需要特别指出的一点是，随着信息技术的日新月异，信息安全所涉及的领域与问题或者说重点内容也并不是一成不变的。因此，信息安全本身是一个动态的而非静态的概念。

俞：信息安全概念的含义是一个演进的过程，有关信息安全定义一直存有争议，众说纷纭。除李艳谈到的一种定义外，还有哪些呢？

张力：信息安全的定义多种多样。例如，一种定义认为，信息安全就是计算机安全的延伸。另一种定义是从国家安全角度出发，认为信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害和一个国家的信息技术体系不受外来的威胁与侵害。强调的是社会信息化带来的信息安全问题一方面是指具体的信息技术系统的安全；另一方面则是指某一特定信息体系（如国家的金融信息系统、作战指挥系统等）的安全。还有一种定义是重在强调手段，不仅包括技术手段，还包括管理等方面。如美国国家安全电信和信息系统安全委员会（NSTISSC）定义信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护，是所采取的相关政策、认识、培训和教育以及技术等必要的手段。

唐：第四种说法是将“信息安全”所涉及的内容具体化，认为信息安全是确保储存或传送中的数据，不被他人有意或无意的窃取及破坏。它把信息安全分解为：（1）信息设施及环境安全：包括建筑物与周遭环境的安全，如门禁管制、信息线路管制、消防设备及灾害应变计划、定期维护硬件降故障机率等安全保护措施。（2）数据安全：确保数据不会被非法入侵者读取或破坏，如设定及不定期更新密码、数据备份、档案区分机密等级、制定使用权限、加装加密及解密装置、记录上线使用者的使用情形。（3）程序安全：重视软件开发过程的品质及维护，如确保程序执行无误、使用手册及文件说明、加强程序存取数据的安全管理、定期评估程序执行效能、严格限制非法软件的使用、重要或机密之程序应有特殊得的保护措施。（4）系统安全：维护计算机系统正常运作，如操作人员或使用者的训练、明确划分操作人员的工作职责、各种定期作业之执行与管理、制定系统各种作业程序之操作流程及手册说明。也有观点认为信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。

张欣：第五种定义的着眼点是强调信息安全与计算机安全密不可分。如美国学者就指出，信息安全的历史起源于计算机安全的历史。再如我国1994年颁布的“中华人民共和国计算机信息系统安全保护条例”中指出，计算机信息系统安全保护是指：保障计算机及相关配套设施（含网络）安全，运行环境安全，信息安全，计算机功能正常发挥，以维护计算机信息系统的安全运行。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，即确保信息的保密性、完整性、可用性、可控性。这个定义与第一个定义相似，但略有区别。

张力：从以上大家谈到的六种不同定义可以看出，它们各有侧重和特点，也有相互涵盖的内容。另外，在研究信息安全的同时，我们还会遇到了“网络安全”的概念。在20世纪80年代后期，尤其是90年代互联网的发展，网络成了计算机应用的重要形式。网络安全强调在整个网络环境中，尤其在互联网环境中的安全。通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。我们无需去判定上述定义谁是谁非，但值得指出的是，如今国内许多媒体和网民眼中的信息安全实际上多指网络安全，这有点片面。其实，信息安全的概念比网络安全要大得多。仅以内容安全为例，报纸、杂志、广播、电视、教科书等都会涉及到内容安全，这难道不是信息安全的范畴？再回到“什么是安全”这个问题上，国外学者认为，安全是免于危险的一种状态。国内学者进一步将其释为“客观上不存在威胁，主观上不存在恐惧”。那么“客观上存在威胁，主观上存在恐惧”就是信息安全面临的形势。

李：信息安全的概念和内涵是在不断变化、完善、发展的。从起初的军事领域和军队等特定群体迅速地扩展到了信息化时代社会生活的方方面面，涉及到了每一个人。信息安全的目标从最初的作战信息保密发展到了信息在各环节的完整性、可用性、可控性和不可否认性；由最初的“防止泄密”转而发展为防范、监测、管理、评估、控制、攻击等多方面的基础理论和实施技术。目前正在向鉴别、授权、访问控制、抗否认性以及个人隐私、知识产权等的保护等方向不断扩展。信息安全的研究也由原来的密码学扩展到了包含计算机科学、管理信息系统、法学、心理学、社会学等诸多学科领域。

唐：国内有专家对信息安全的发展阶段作了这样的概括：第一个发展阶段是数据安全，这是计算机的基本安全要求，依赖的基本技术是密码；第二个发展阶段是网络安全，这是网络时代最基本安全要求，依赖的基本技术是防护技术；第三个发展阶段是交易安全;这是网络电子交易时代最基本的安全要求。以可信性为主，实施的是自愿型保障策略。美国学者把信息安全通常划分为几个不同的发展阶段：即通信保密、信息安全和信息保障（即Information Assurance）。所谓的信息保障，其内涵是在原来信息安全的基础上，加入了保护、监控、反应、恢复这几个环节。也就是说，除了保护以外，还需要有对攻击进行检测和评估的理论、技术和工具，实施信息系统静态和动态的检测报警，并做出迅速的反应，以减少损失，一旦有损失也可以尽快恢复正常的服务。

三、他山之石

俞：我们知道，像美国等信息化发达国家政府高度重视本国的信息安全，并采取了一系列的保障措施。它们采取了哪些主要的措施，做法上各自有什么样的特点，近来又有什么新的动向，大家可否谈谈？

张力：一个国家抓好信息安全主要是三方面：其一是在信息安全方面采取的战略措施及有关政策、法规；其二是强有力的技术手段及有关技术装备；其三是要有一支人才队伍。前者反映了一个国家在信息安全方面的重视程度、决心和意志；后两者则反映了一个国家在信息安全方面的实力，而保障信息安全的前提和基础则是一国的信息化发展程度。信息安全在不同的时期要有不同的侧重点。从实践来看，各国信息安全重点抓了这几个方面：个人隐私、密码技术、互联网管理、相关执法、网络恐怖和信息战，还有一些其它相关的社会经济问题。而信息安全的保障层面是放在了在家庭与个人、企业、政府各部门、国家乃至全球这五个层面上的，换言之，国家的信息安全战略也应该涵盖这些不同层面。“9．11”之后，反恐成为美国国家安全战略的重心。在这一背景下，美国明确了信息技术领域的三个反恐议题：确保信息和网络安全、满足紧急反应人员对信息技术的需要、信息整合。从此，反恐成为美国当前维护信息安全的重要内容。

唐：美国早在1996年就提出"保护关键基础设施"的重大计划，2000年1月又提出了一项"保护信息国家计划"。美国信息安全战略的重点是保护国家关键信息基础设施的安全，政府在信息安全管理方面的定位主要是两个方面：一是要保护公民在信息网络中的合法权益；二是要为社会发展提供一个健康、有序的信息化网络环境，包括个人隐私、密码政策、执法、网络恐怖、信息战、国际经济等问题。"911"后，美国政府又出台了十大紧急安全举措：1、启动国家信息安全新战略的研制工作；2、大幅度增加对信息安全的投入；3、提高产业界的信息安全的意识和社会责任；4、改善互联网服务状况，加大执法力度；5、加强信息安全各部门间的协调和配合；6、推动信息安全方面的人才培养工作；7、实行信息安全情况通报和社会告警机制；8、提出政府专用网络的建议，引导信息安全产业的发展；9、提出建立信息基础设施模拟中心的设想；10、加强全社会的网络安全宣传，提高全民的信息安全意识。最近，美国政府又公布了国家网络安全计划，美将依靠各公司的志愿行动防御足以造成严重损失的潜在攻击，以确保网络安全。另外，美国和俄罗斯都设有国家信息安全委员会，由总统亲自挂帅。"911"后，美国政府很快就成立了"总统关键基础设施保护办公室"，特设"总统网络安全顾问"一职。

张欣：在维护信息安全方面，从战略认识和政策上，美国始终走在各国的前列，现已建立起一个以法律、政策、技术和管理相互配套的网络安全保护体系。从1984年至今，美先后出台了近20部维护关键基础设施保护和信息安全的国家政策、通告、总统行政命令和国家计划及战略，它们均对如何保护关键基础设施和信息系统安全提出了具体的要求。其中有：1995年颁布的第63号总统令（PDD-63）、2000年1月的《信息系统保护国家计划》、2003年2月的《网络空间国家安全战略》等。PDD-63和《信息系统保护国家计划》侧重保护美通讯、能源、交通、电力、供水、银行和金融机构等关键基础设施及政府设施信息网络的安全，而后者更是成为美21世纪信息安全保障的行动指南。《网络空间国家安全战略》则将信息安全看作为一个所有公民都有责任和义务参与的“整体安全”工程，它推动实现国家信息安全的“社会化”，并强调信息安全战略应根据网络威胁新变化随时进行调整。

李：的确，美国的这种忧虑在发达国家中极具代表性。美国是世界上对信息技术运用最充分和广泛的国家，换句话说，美国对信息技术的依赖性更强。特别是在国际政治斗争和经济竞争日趋复杂化、多样化的大背景下，未来网络恐怖主义攻击的可能性大大增加。一旦国家重要基础设施受到攻击，可以导致社会动荡甚至瘫痪。例如2003年，美国东部、英国伦敦、意大利和美国加州等地就先后因基础设施出现故障，导致多起重大的电网大面积瘫痪事故，使公众对这类事故的危害性和基础设施自动化、网络化后所带来的脆弱性和安全风险有了切身的体会。“9·11”以来，非传统威胁日益进入网络世界。这对于信息化程度较高的西方国家来说，防止恐怖分子发动网络攻击将成为重点防范的对象。

唐：自1999年以来，欧盟委员会每年都推出《通过打击全球网上非法及有害信息以推动更安全地使用互联网多国行动计划》，最新一个版本是2003年的《2005—2008年网络安全补充计划》。该计划面向信息网络的所有开发商和使用者，动员全社会“参与抵制非法、有害内容和垃圾邮件的斗争”。2001年还通过了《互联网安全综合计划》，其首要目的是教育民众正确认识互联网的潜在危险性，并计划建立欧洲预警信息系统，把各成员国的计算机突发事件处理小组（CERTS）联合起来，统一行动。俄、日等国也不甘落后。日本在2001年公布“电子日本2002”（e-Japan2002计划）中，将“确保信息安全”作为五大主要方针之一，主张建立“对付网络恐怖数据库”，收集网络恐怖活动信息，着手开发信息安全评估等基础技术。欧、俄、日等其他信息发达国家在参考和借鉴美国的基础上，其做法各有侧重，也取得了较好的效果。总体说来，这些国家的信息安全措施有一些共同之处，值得借鉴。

俞：信息化发达国家维护信息安全的一个通行做法，就是制订和完善相关的法律、法规。美国信息安全法律的细化、专门化在全球独领风骚，迄今为止，它是世界上唯一一个信息安全相关法律最全面、最完善的国家。其法律涉及计算机安全、个人隐私保护、电子签名、反黑客等信息领域的各个方面。另外，美还不断根据形势的发展和变化，先后修改了《伪造访问设备和计算机欺骗滥用法》、《计算机欺诈和滥用法》、《计算机安全法》、《网络安全增强法案》等。如2002年7月，美众院通过修改后的《网络安全增强法案》，将从事黑客攻击或其他网络罪犯的最高处罚从10年徒刑改为终身监禁。又如，为加大政府对信息通讯网络监管力度，2004年3月美联邦调查局与联邦通讯委员会携手修订了《通讯司法协助法》。

张欣：欧盟的法律主要侧重于个人数据保护和打击非法及有害信息。1996年的《电子通讯资料保护指令》、1998年的《数据保护指令》、1999年的《因特网上个人数据保护的一般原则》、《信息公路上个人数据收集处理过程中个人权利保护指南》等，对收集、储存、利用、传播以及对参与各种涉及个人信息的活动做出了明确规定。其中，《数据保护指令》的效力还波及澳大利亚、加拿大及东欧国家，迫使它们修改本国法律以与欧盟保持一致。1999年的《推动更安全地使用互联网多国行动计划》明确界定了非法及有害信息的打击范围。英国《通信管理条例》、《通信数据保护指导原则》、《垃圾邮件法案》，德国《公共场所青少年保护法》和针对网吧管理的《经营法》等均明令禁止在网络上制作和传播的“极端言行，纳粹主义、恐怖主义、种族歧视、儿童色情”等非法及有害信息。

唐：美国信息安全保障机构种类齐全、分工明确。如国土安全部是美信息安全的核心部门，其下属的网络安全局则负责制订和协调全国的信息安全计划，在发生攻击关键基础设施的袭击事件时实施危机管理；司法部专门负责网络欺诈等犯罪的调查；联邦调查局负责对社会互联网进行监控，掌握恐怖分子的动态，同时还以保护美免遭网络袭击和制止高科技犯罪作为其今后工作的十大重点之一；国家安全局则只对联邦政府专用信息网络的安全负责；国会总审计署检查和监督各政府部门的信息安全工作，并对其发表的敏感性报告加以标识，决定能否公开在网络上，等等。

张欣：2003年2月，欧盟成立了“欧洲网络及信息安全局”，汇集了来自各成员国的安全专家，其职责是向欧洲委员会提供信息安全政策建议，推动各成员国的协调与合作，协助欧洲委员会制定、完善和推广信息安全标准及认证体制。欧洲各国也都有在相应的主管部门和专门的管理机构，如英警察部门的“网络警察”小组，德国内政部的“信息和通信技术服务中心”和类似“网上巡警”的调