夯实信息产业的安全基础.docxVIP

PAGE 1 PAGE 1 夯实信息产业的安全基础  一方面，信息安全问题是信息产业发展的必定产物；另外一方面，信息安全问题的解决，有赖于信息产业的发展。没有自主的信息产业就很难保证信息安全。  　　互联网的发展，促使信息网络化不断深入和扩展，而信息网络化又进一步促进了社会的开放。其实，信息网络化本身就代表着信息开放，因此信息网络化本身就是社会开放的主要特征之一。然而，社会的任何开放必定带来相关联的安全问题，信息网络化也必定带来信息安全的问题。由于信息网络化所具有的广泛性，信息安全已经不仅仅是少数政府部门所关心和需要的，将成为全社会都要关心和需要解决的问题。因此，用户信息保护、企业信息网络的安全、电子商务的安全等已经进一步成为全社会全部成员都不能回避的问题。  　　信息安全可以归纳为信息系统安全和信息内容安全。一般所说的系统安全、网络安全、计算机系统安全、信息安全（传统狭义的）等都可以归类为信息系统安全。信息系统安全的目标是信息系统的隐秘性、数据完整性、可用性、负责性、不可抵赖性、不可冒充性等。因此，我们保护信息安全就包括两个方面：信息系统安全保护和用户信息保护。用户信息保护得到了世界各国越来越多的关心和研究，它包括用户隐私保护和对信息侵害的防范，网络用户包括个人、团体、企业甚至政府机关等，用户保护在不同层次不同方位上有程度的区分，但所采用的信息技术却可能特别类似。信息安全是信息产业不可分割的一部分，是以信息产业为基础的，并以促进信息产业的发展为目标的。因此，我们必需从两方面加以考虑：信息安全保障的成本必需小于信息安全所可能造成的损失；信息安全技术必需与基础信息技术构成一个整体。  　　发觉安全漏洞不等于能够消退安全漏洞。操作系统和数据库系统中存在着大量的安全漏洞，其中的大部分很难在网络接口处直接被发觉，并且也很难直接处理。信息安全保障体系的建立必需考虑操作系统和数据库等基础系统的安全因素。假如脱离操作系统和数据库等基础软件，任何信息安全的技术措施都是特别有限的。  　　笔者认为，制定信息安全保障计划必需从整个信息产业的发展动身，要涉及到信息产业管理的全部环节。  　　改进和完善科研与生产的衔接体制  　　科研成果转化率低是长期困扰我们的一个难题。科研成果一般只验证基本原理正确与否，而产品必需保证质量、可用性、可接受的成本等。因此，科研成果向产品的转化过程实质上是工作目的的转化，包括：管理体制的转化、学问的转化、投资方式的转化，甚至是人才的转化。  　　对于信息安全来说，投资的目的决不仅仅是把握技术，更多的是通过占据信息安全市场来保障信息安全。而企业搞科研的目的就是增加合同，取得最大的市场利益。我们应当把信息安全的投资主要投向从事信息安全的企业，而由企业去组织信息安全的科研。这实质上是对科研体制的改进和完善，变换了科研的组织者，转变了科研成果向产品转化的主导，从开始就明确了科研的目的，其结果必将有利于科研成果向产品的转化。  　　改进和完善信息产业标准制定体制  　　技术标准是因市场需求而存在的，是市场的产物，因而标准的制订必需采用市场管理模式。我国目前的标准制订体制基本上沿袭了科研的模式：政府的某个部门下达制订某个技术标准的科研项目，项目担当者编写标准的文稿，通过专家的评审，政府主管标准的部门颁布标准。在我国生产尚处于落后状态的状况下，技术标准主要依靠引进国际标准。但这种计划模式的标准制订方法不能适应目前市场经济发展的需要，在一定程度上已经限制了我国产业的发展，有时甚至保护了不公正的竞争。市场需要技术标准按市场的变化而动态地发展，并且应赐予市场的参与者以公平的权力来参与标准的制订。  　　笔者建议我国技术标准的制订,采用国际标准组织一般所采用的会员制，建立国内跨部门跨行业的标准委员会。因为会员制有利于规范企业和行政部门的公正竞争，促使标准的动态发展，通过提高竞争力而保护民族工业，转变我国标准制订的落后局面等。另外，跨部门、跨行业的标准委员会还有利于解决跨行业的标准制定。实际上，我国的互联网中文域名管理就曾经出现过两个标准都出现了不必要的麻烦，会员制的标准委员会就很简单解决这一类问题。  　　不断完善我国的信息安全法律体系  　　我国自1994年颁布《中华人民共和国计算机信息系统安全保护条例》，后来又间续颁布实施了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理方法》等行政法规和规章，1997年修改的《刑法》第285条、286条以及287条也分别规定了“非法侵入计算机信息系统罪”、“破坏计算机信息系统罪”和利用计算机实施金融诈骗、贪污、窃取国家隐秘等犯罪类别。