本报记者范传贵
本报实习生单玉晓
近日,由公安部网络安全保卫局指导,中国计算机学会计算机安全专业委员会主办的“2014信息安全高级论坛”在北京闭幕。
中国工程院院士沈昌祥在会上提出:“网络空间已经变为主权空间,网络安全就是国家安全。”
这样的论断并不夸张。在今年2月召开的中央网络安全和信息化领导小组第一次会议上,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平就曾指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”
4月15日,中央国家安全委员会第一次会议召开,习近平首次提出要坚持“总体国家安全观”,并要求构建包括信息安全在内的11个领域安全于一体的国家安全体系。
权威专家分析,信息安全频繁地被作为国家安全重要组成部分提及,体现了我国不断加强对信息安全的重视程度,同时也凸显了信息安全问题的紧迫性。
信息安全概念不断发展
信息安全的概念,并非从一而终,它经历了一个不断发展的过程。
中国科学院信息工程研究所研究员、信息安全国家重点实验室常务副主任林东岱向《法制日报》记者介绍,信息安全的概念由来已久,最早专指通讯安全;到计算机出现并普及后,就发展到计算机安全;再发展到互联网时代,其含义又延伸到网络及系统安全,现在它的概念还要更广。
“现在大家普遍认可从广义上理解信息安全,即将信息保障(Information securITy)也纳入其中,这样信息安全就变成了一个全方位的概念。它不仅涉及通讯安全、计算机安全、网络安全、数据安全、访问控制等,不仅要保障信息本身不被别人盗取,还要保障信息的可用性。”林东岱说。
这样的定义,被林东岱总结为“四性”,即可用性、机密性(不被偷)、完整性(不被篡改)、可认证性(是否真实)。
“因此,为保障这四个方面所采取的技术和手段,都应该纳入信息安全的概念范畴。”林东岱说。
这样的概念延伸,也决定了信息安全的保障主体不断增加。
林东岱介绍,以前我们讲信息安全,只考虑提供信息服务的实体,现在信息覆盖到生产、生活的方方面面,信息不仅存在于计算机网络中,也不仅存在于电网、卫星基础设施中,而是遍布整个网域空间。
除此之外,林东岱认为,在我国,信息安全还应包含内容安全。“内容信息对我们的日常生活有很多影响”。
保障信息安全需统筹考虑
在传统概念里,网络是网络,机器是机器,人是人,三者都是单独区分的。但随着技术的发展,尤其是物联网、云计算的发展,现在可以说,人、计算机、网络这三者真正融合在了一起。
在这种情况下,信息安全与网络隐私面临的威胁越来越大。尤其对国家层面而言,专家们普遍认为,信息安全面临的挑战很大。
林东岱用“严峻”来形容我国的信息安全现状。“我们国家整体的信息技术相对落后,比如计算机硬件、软件很多都是国外的,尤其是操作系统”。
他分析,随着信息化的深入,我们国家基础设施基本都在计算机的控制下。“所以信息安全问题就变成了国家安全问题。”林东岱坦言,若没有安全的信息基础保障,经济发展等各方面都无法得到保障。
2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
“最初有学者提出的方案是 信息化和网络安全领导小组 ,而最后的方案则把网络安全放在了信息化的前面,这凸显了中央对网络安全的重视——如果网络不安全,整个信息化也都没有意义。”林东岱说。
要实现信息安全,林东岱认为,关键词在“自主可控”四个字。“设备都是人家生产的,而且咱们掌控不了,这是保障国家信息安全的核心问题,是我们要努力克服的问题”。
他也坦言,在全球化趋势下,不可能所有设备都由自己生产,但至少应做到“可控”,即对一个产品的安全状态有清晰的认识和有效的安全检测、安全评估,保障它不会出问题。
而在技术和设备的进步之上,林东岱认为,更应该提高的是国民的意识和国家的法律法规保障。
“技术只是辅助,技术再好,使用者没有意识也不行。比如银行卡设置了密码,但是很多人却将密码设置得很简单。”林东岱介绍,现代计算机对信息安全的攻击,并不仅仅是从技术方面攻击,还有从社会工程学方面攻击,抓住人的弱点,比如常见的信用卡诈骗问题。
一个急需完善保障制度的例子被指向了大数据处理。林东岱认为,在这方面现有的保障十分不足:“好多信息都包含在公开资料中,有些信息单看的时候没发现什么,但是整合到一起看,观点就出来了。”
他以此为例提出建议,在保障信息安全方面要有统筹的考虑,单由一个方面的安全实际上并不能保障一个国家的安全,安全必须是一种体系,既包括国民意识提高,也包括法律法规完善和技术进步,还包括互相之间的匹配、协调。
