一、信息安全的战略意义

　　信息安全不是一个纯粹的技术问题。“对任何一个主权国家而言，谁拥有制信息权，谁就获得了信息资源相对更大的利益和相对安全的权利”。党的十六届四中全会《关于加强党的执政能力建设的决定》，将信息安全置于与政治安全、经济安全、文化安全同等重要的战略性地位。

　　1.信息安全对我国政治安全的意义

　　政治的核心问题是国家政权问题。政治安全的内核是政府运行的有效性。“各国之间最重要的政治分野，不在于他们政府的形式，而在于他们政府的有效程度。”任何国家政府的运行，都是凭借复杂的机制，经由安全的信息交换，实现对社会生活的有效指导、管理和控制。信息安全风险直接影响着政府的有效性，政治安全一刻也离不开信息安全。前信息时代政府运行的信息交换模式，在很大程度上依赖于权力，信息安全风险往往取决于政府在信息交换过程中的权力的实现程度。当今信息时代，前述模式正在发生变化，甚至已经出现了“信息决定权力”的情形。在这一背景下，危害我国政治安全的信息安全风险，首先来自敌对势力从信息空间发动的“政治进攻”，主要表现为“网络政治动员”和“信息恐怖主义”两种方式。虽然敌对势力经网络对我国的“政治进攻”行为，迄今在总体上还是可控的，但这类“政治进攻”已在某种程度上危害到了我国的政治安全。

　　2.信息安全对我国经济安全的意义

　　经济安全的实质是一国最为根本的经济利益不受侵害，通常一国的经济安全取决于该国产业的竞争能力。信息或信息化对于我国产业竞争能力的提升具有战略价值。这不仅在于信息产业已成为重要的支柱产业，更在于信息或信息化已经成为产业总体竞争力提升的基础性手段和核心标志。农业竞争力的提升对信息化的依赖突出表现在，包括物质装备、种植技术、经营管理、资源环境、农民素质等的现代化，只有依托信息化才能真正实现。工业或工业企业，要在激烈的竞争中立于不败之地，必须从整体上实现信息化。始于20世纪70年代中期的我国工业企业信息化实践已经证明，信息化水平在很大程度上从一个侧面代表了企业的竞争能力”。而信息或信息化的引导与推动，既使第三产业逐步具备高技术含量、高赢利能力的特征，又提高了服务质量和服务效率，降低了交易成本，从而有效地提升了竞争能力。

　　由于信息技术的开放性与经济主体利益的冲突性并存，现实的信息系统同样存在着安全风险。信息或信息化有可能对我国的经济安全水平造成严重的冲击，蕴藏着巨大的风险。确保信息安全有助于规避经济安全风险或最大限度地减少这类风险。

　　3.信息安全对我国文化安全的意义

　　国家的文化安全主要指文化价值体系，特别是主流或基本或核心文化价值体系免遭侵袭、破坏或颠覆。在一般意义上，社会文化活动是文化价值体系生成、维持、深化、发展的土壤。信息技术的快速发展，使社会文化活动对信息或信息化的依赖性空前增强，成为社会文化活动时代性的鲜明特征。社会文化活动对信息或信息化的依赖性，决定了文化价值体系对信息或信息化的依赖性。由此，国家的文化安全对信息或信息化的依赖性随之大大增强。从这个意义上看，信息安全风险必将威胁文化安全。

　　现实中，我国的文化安全风险主要来自文化霸权国家和敌对势力通过信息网络系统的“文化殖民扩张”所导致的信息安全风险。这类信息安全风险，往往以隐性或显性形式在社会文化活动中表现出来。前者主要源自作为信息网络系统的通用语言的英语内蕴的意识形态、价值观念的持续传递，在一定程度上影响或削弱着一些人对本民族文化的信任感、亲近感，间接地威胁我国文化安全。后者主要源自敌对势力凭借信息技术，明目张胆地在社会文化活动中肆意传播反对、敌视我国文化价值观的信息，直接威胁我国的文化安全。显然，只有确保信息安全，才能确保文化安全。

　　二、我国信息安全面临的主要挑战

　　信息安全对我国的政治安全、经济安全和文化安全具有战略性意义。当前，我国信息安全正面临越来越严峻的形势。

　　一是信息攻击形式复杂化。目前，信息攻击形式日益复杂化，病毒技术、黑客攻击和信息恐怖主义的结合，直接威胁着我国的信息安全。信息攻击形式可分为主动攻击和被动攻击。主动攻击主要包括对信息的修改、删除、伪造、添加、重放、冒充和病毒入侵等，被动攻击主要包括对信息的侦听、截获、窃取、破译和业务流量分析、电磁信息提取等。而信息恐怖主义的兴起，更使我国信息安全面临着有政治目的、有组织的威胁。目前，大多数以网络战为导向的信息恐怖主义的攻击策略是瓦解性与破坏性相结合。破坏性攻击指利用恶意病毒、蠕虫等，造成现实或虚拟系统事实上的破坏；瓦解性攻击，指利用电子邮件炸弹、使用垃圾、涂抹网络等黑客技术“闷死”网络系统，造成现实或虚拟系统失效。信息恐怖主义利用信息技术实施的攻击往往是匿名攻击，有效制止这类信息攻击与惩罚信息罪犯的难度空前增大。

　　二是新信息技术应用引发的信息安全风险。不断涌现的新信息技术的应用，会引发新的信息安全风险。一般而言，当某种新的信息技术投入应用时，人们往往对其潜在的安全风险知之甚少，防范风险的知识与技术有限，加之其所导致的信息技术环境的改变等，将增加信息安全风险。如属于社会软件范畴的对等网络技术在初投入应用时，就因使用了一种被称为智能隧道的技术，规避着防火墙、网络入侵检测等信息安全管理机制；作为基于IP技术的利用计算机网络进行语音通信系统的IP话音，在初投入应用时并未采用任何标准的加密流程和数据完整性的核查，易被篡改和窃听，且易受恶意代码、拒绝服务等攻击。

　　三是我国基础性信息产业和信息安全技术对外严重依赖。我国的基础性信息产业虽然有较大进步，但仍然落后于发达国家。因而，信息化建设所需的设备、核心元件基本依赖进口，很难发现硬件、操作系统、应用程序等的众多安全隐患。无论这些安全隐患缘于制造商的技术缺陷，还是其蓄意置留的“后门”，对我国的信息安全都会构成极大的威胁。另一方面，直接用于保障信息安全的许多技术，特别是关键技术依赖进口，特别是一些发达国家实行技术垄断、技术殖民、技术霸权，使未来一段时间我国在信息安全的技术领域仍将总体上处于抗衡能力缺失的态势，这不能不威胁着我国的信息安全。

　　四是信息安全管理滞后。近年来，我国的信息安全管理取得了明显成效，但在总体上仍滞后于信息化发展速度，网络信息系统管理存在严重的安全隐患，直接影响信息安全¨3。主要问题是，承担信息安全管理职能的部门多，相互协调不够，跨地区协调困难；信息安全法律法规和规章不完善，影响对信息网络领域违法犯罪活动的打击；自主制定的信息安全管理标准少，缺乏全面的信息安全规划；信息安全管理手段比较落后；信息安全意识淡薄，等等。

　　五是缺乏信息安全人才。信息安全人才主要包括信息安全的技术人才和管理人才。信息安全，在某种意义上取决于信息安全人才的状况。一份调查报告显示，在“网络安全管理存在的主要问题”项，1047份问卷中有42.3%选择人才不足，这直接影响到我国信息安全的维护。

　　三、保障我国信息安全的策略选择

　　1.技术层面的策略选择

　　信息安全虽然不是一个纯粹的技术问题，但在实体领域，毕竟首先是一个技术问题。因为，信息安全作为非对称、超常规的信息对抗过程，无论涉及多少其他要素，这些要素之所以成为信息安全要素，无不基于信息技术，信息技术是使这些要素成为信息安全要素的基础性要素。一般而言，技术层面的策略选择，应特别重视以下三个方面。

　　首先，综合运用网络控制技术，充分发挥不同技术的信息安全保障的协同功能。信息安全相关技术种类繁多，不同技术功能各异，适应不同的场合。由于信息网络系统的特殊性，信息安全风险的防范必须遵循“综合防范”原则。综合运用防火墙技术、审计技术、访问控制等网络控制技术，有助于提升信息安全风险防范的总体效能。

　　其次，立足我国信息技术水平现实，重视研究和开发具有自主知识产权的防御性技术。一定意义上，信息安全技术主要是一种防御性技术。由于我国信息技术发展水平在整体上不高，用于防范信息安全风险的主要技术在未来一段时间整体上仍会依赖于国外，因而需要特别重视研发具有自主知识产权的防御性技术，包括具有过滤功能的中间件技术、入侵检测技术、加密技术等等。通常，这类技术的研发，与操作系统或芯片等研发相比，难度较小，且在有些方面与国外在技术上大体处于同一水平，应抓住有利条件，掌握防范信息安全风险的技术主动权。

　　再次，遵循“攻防兼备”原则，集成运用有效遏制危害信息安全的对抗性技术。在信息安全的维护中，攻与防已经很难区分，宜遵循“攻防兼备”原则，在重视防御性技术研发运用的同时，重视对抗性技术，即支撑保障信息安全的技术的集成运用。在开放的网络环境中，要有效保障信息安全，必须掌握对信息和信息系统的攻击方法与攻击能力，在必要时采用“攻势”手段，对攻击者进行有效遏制。保障信息安全的对抗能力的生成，以集成运用相关技术为依托，有助于形成一定的攻击能力，形成针对攻击的初步对抗能力，遏制攻击者，维护信息安全。

　　2.管理层面的策略选择

　　维护我国信息安全，不仅取决于技术的有效性，同时取决于管理的有效性。有研究认为，信息安全管理至少包括信息安全领导、信息安全战略管理、信息安全组织结构、信息安全危机与应急管理、信息安全风险管理、信息安全政策与法规、信息安全评估、信息安全标准、行为信息安全管理等等。管理层面的策略选择宜特别重视以下三个方面。首先，健全信息安全管理体制、机制。根据发达国家经验，健全的国家信息安全管理体制，对于在管理层面维护信息安全至关重要。我国应立足国情，健全高效、权威的信息安全管理机构，领导和协调全国信息安全管理体系的健康运行。需要强调的是，在科学合理的信息安全管理机制中，应急响应机制尤为重要。因为，绝对安全的信息系统是不存在的，关键在于发现或发生信息安全风险时，能否及时正确应对，防范或消除风险，或将风险损失降到最低，或使信息系统快速恢复正常运行。其次，加强信息安全管理法制建设。在立法方面，我国已有的保障信息安全的法律法规和规章总体上还不健全，强化法制建设防范和惩处网络违法犯罪行为。在信息安全立法过程中，不应将信息安全保护与推进信息产业繁荣对立起来，不应仅仅重视“信息安全法”制定而忽视已有相关法律法规和规章的及时调整、完善、补充。同时，应特别重视加强执法队伍建设，因为信息安全执法最大的特点在于所有执法活动都与信息技术有关，执法者不仅要具有法律素质，同时要具有较高的信息技术能力。只有全面提升执法队伍的素质，才能使信息安全执法达到防范与惩处网络违法犯罪的目的。

　　再次，完善和落实信息安全管理标准。信息安全标准是规范信息安全技术研发和应用，规范信息安全管理，监督、检查和指导信息安全工作的准则及规范体系。我国目前已根据相关的国际通用准则或标准，制定和实施了信息安全标准，但与信息安全管理的要求尚有不小距离，应尽快完善既符合国际通行准则，又符合国情的信息安全标准。在制定我国的信息安全管理标准时，可考虑参照“适度安全”的思路，即“与由于信息的丢失、滥用、非法访问或非法修改而造成的危险和损害相适应的安全”¨纠的思路。国家机关、企事业单位都应当将落实信息安全管理标准作为一项工作职责。特别是一些重要的行业或领域，如国防、经济、科技、金融、交通和海关、统计部门等，应依法对信息安全标准实施情况进行强制性检查评估，发现漏洞，立即或限期改正、弥补。

　　3.资源层面的策略选择

　　信息安全的技术与管理策略的有效性，在某种意义上依赖于相关资源的支撑。加强信息安全资源建设涉及面广，在现实中应特别重视以下两个方面。首先，加快信息安全人才培养。保障我国信息安全，人才是无法替代的重要资源。面对我国信息安全人才缺乏的现实，国家应加大培养力度，着力培养信息安全管理人才、信息安全技术研发人才和服务人才等，壮大信息安全人才队伍。加快信息安全人才培养，必须重视信息安全学科体系建设，包括信息安全基础理论、核心或关键技术的研究，为信息安全人才培养奠定坚实的学科教育基础。

　　其次，加大资金投入，推进信息安全产业发展。面对我国信息安全设备技术基础比较落后的现实，应在信息产业门类中大力培育信息安全产业的发展，以期尽快提升我国信息安全设备和技术基础的整体水平，为确保信息安全提供基础性设备和技术资源。发展信息安全产业，除了注意研发现实有效的防御性技术外，在战略上必须重视研发具有自主知识产权的基础技术和关键技术。实现这一目标，加大资金投入力度是基础。国家应建立发展信息安全产业的投资机制，拓宽融资渠道，以有限的国家投资尽可能带动更多的社会投资，如支持信息安全产业发展的风险投资，支持建立信息安全产业发展基金，支持与信息安全产业发展有关的公司上市融资等等。信息安全产业发展关系到国家安全，政府在总体投资中应当具有控制力，在合资企业中实现国有资本控股，以实现对技术研发、成果产业化的有效控制。

　　4.理念层面的策略选择

　　技术、管理和资源层面策略的有效实施依赖于人的行为。因而，在重视技术、管理和资源层面策略选择的同时，还应高度重视理念层面的信息安全。首先，重视信息安全教育，强化公众的信息安全意识。我国的信息安全与公众密切相关，公众的信息安全理念是保障国家信息安全的理念基础。重视信息安全教育，强化公众的信息安全理念，应当将信息安全教育纳入各级各类学校的教育计划；在各种培训过程中，安排信息安全教育内容；通过大众传媒等传播信息安全理念；运用各种艺术形式拓展信息安全教育空间。事实上，只有通过持久、普遍的信息安全教育，信息安全理念才会成为公众的一种普遍理念。

　　其次，社会精英特别是政府工作人员应强化信息安全意识，成为践行信息安全理念的表率。任何一种理念要为公众普遍接受，既与教育有关，又在某种意义上与社会精英的积极践行有关。社会精英特别是各级政府的工作人员，应担当起责任，影响和增强公众的信息安全理念，为保障信息安全之技术、管理和资源层面策略的有效实施，奠定牢固的思想基础。