五月的北京,天气变得越来越热,但是比天气更热的是近日中办发布的《2006~2020年中国信息化发展战略》。该《战略》一经发布,立刻在社会各界引起强烈反响,成为舆论关注的焦点。
在国家航天集团710所的一间办公室,一位精神矍铄的老者正从容的向记者解读此次发布的《战略》。他,就是我国信息安全领域知名专家、国家信息化专家咨询委员会委员,同时也是该《战略》参与起草者之一的曲成义研究员。
与曲成义约定的采访时间是上午9点整,而当记者8:45赶到时,他早已等候在办公室。当天是周日,本应是休息日,但“不抽周末接受采访,等到上了班就没有时间了”,曲成义这样表示自己工作很忙。实际上,昨日他刚刚从外地出差回京,但眼前这位老人精神抖擞,丝毫没有千里奔波之后的倦意。
政策护航信息安全快速发展
曲成义很低调也很务实。采访之前特意跟记者表明,这次采访只谈他对信息安全领域的理解和体会,不谈个人。这让记者开始感到有些为难,但是随后的交谈,记者完全被他的专业而又严谨的谈吐所吸引,根本找不到任何可以问其非工作领域问题的机会。
作为《2006~2020年中国信息化发展战略》起草人之一,曲成义对我国信息安全地位的提升过程有着清晰的认识。“近几年,我国信息化发展迅速,并已广泛渗入到政治、经济、文化、社会以及军事等各个领域中。如果不重视信息安全保障,出现任何网络的突发事件都可能对我国的政治、经济、文化等领域产生重大负面影响。在这种情况下,认真抓好信息安全技术产业以及信息安全工作成为当务之急。”曲成义目光炯炯,对我国的信息安全保障体系建立的必要性解读洞若观火,深刻清晰。
但他更熟悉我国信息安全发展的几个标志性事件,“从2003年开始,连续4年的中央文件中,都提到了信息安全问题,对信息安全保障体系的认识、理解以及怎样去构建和发展等,每年都有明确的对策”。
在曲成义眼中,2003年是一个信息安全重要的年头,这一年国家信息化领导小组在第三次会议上发布了中办发27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)。曲成义称该文件在信息安全领域具有划时代的意义,它站在国家的高度来理解和认识信息安全,是信息安全工作发展中一个新的起点。
2004年1月9日,国家以网络与信息安全协调小组名义召开了国家信息安全保障工作的高峰会议,各部委、各省市的一或二把手参会。信息安全已经成为国家安全的重要组成部分。2005年,国信办发布了2号文件《国家信息安全战略报告》,对于怎样去构筑国家信息安全保障体系提出了具体的任务和对策。2006年,中办发布11号文件《2006~2020年中国信息化发展战略》。《战略》中把建设国家信息安全保障体系作为第八个战略重点提出来,其初衷是国家安全的需求。
曲成义一口气对记者讲完了我国信息安全发展历程中的几个关键节点,对其中的时间年份、每份文件的新突破,他都了然于胸、信手拈来。
六要素构筑信息安全保障体系
作为信息安全建设的亲历者,曲成义在实践中形成了自己对信息安全理论的理论体系。什么是信息安全发展战略,它包括什么,怎样去具体的采取对策推进它?关于这些问题,他同样有自己的理解。
对这些问题,他娓娓道来,“信息安全保障体系应该包括六个要素:信息安全组织与管理;信息安全法律与法规;信息安全标准与规范;信息安全人才培养;信息安全技术和产业;信息安全基础设施”。
曲成义表情严肃的强调,这六个要素缺一不可,六要素的建设和完备成为一个整体,才能有效的支撑信息安全保障体系的建设,从而促进我国信息化的健康发展。
对于这六个要素,曲成义认为人的要素居于重点。“任何事情没有人去认真做,那么什么事情都干不好,所以我把组织管理作为第一要素。27号文件中提到,以后在信息安全中‘谁主管谁负责,谁经营谁负责’。明确责任要求。”把组织管理作为信息安全的第一要素,曲成义的观点不可谓不切中要害。
他认为在这方面,国家就做到了以身作则。国家在以总理为组长的信息化领导小组下面,专门设立了网络与信息安全协调小组,协调小组的组长就是信息化领导小组的常务副组长。小组成立以来,在信息安全发展战略的很多重大问题上做出的决策对各行各业产生了重要作用,也对地方省市产生了重要影响。
第二个要素是法律法规。我国已经做了一些工作,比如2005年正式执行的《电子签名法》是我国第一部信息化法律,它首先就定位在信息安全上。但曲成义不无担忧的指出,我国关于信息安全的法律法规由于起步比较晚,严重不配套。目前国家正在积极解决这方面的问题。他透露,“国家信息安全法”正在制定中,为加速其进程,“信息安全条例”正在紧锣密鼓地制定,有望先期出台;此外,《个人信息数据保护法》、《政府信息公开条例》等法律法规也正在制定中。
第三个要素是标准规范,只有标准先行才能更好的推动信息安全工作的开展。国信办在27号文件出台前后,与国家标准化管理委员会共同成立了国家信息安全标准化委员会,下设11个标准化小组,已经有近百项标准正在研究制定中。涵盖了信息安全体系、信息安全协议、信息安全产品等大量信息安全急需的相关标准。曲成义认为出台标准有利于建立一个配套完整的系统并规范产品的研制,有利于降低成本、增加信息安全的强度,也有利于政府监管、产业发展、技术创新。去年已经公布了6项安全标准,今年还要公布十几项。
信息安全是在攻击者与防护者之间的高技术对抗中不断发展起来的一门学科。这对从事信息安全的人员素质要求很高。因此加强对信息安全人才的培育是信息战略中一个重要部分。曲成义对人才问题尤其关注,说到这一点,他特别强调“人是第一资源,第一要素”。除了学历教育,还必须提高从业者全员的信息安全意识。从业人员和用户安全意识和技能的提升,对于保障信息安全是最核心最根本的要素。这也就是所说的信息安全必须“以人为本”。
培养高素质人才,自然是为了掌握先进技术。曲成义指出,如果在信息安全技术上没有自主创新突破关键技术的能力,就会很被动。“所以我们要突破信息安全技术,要建成能够支撑我国信息安全保障体系建设的安全产业,建立我国信息安全技术开发的‘国家队’与社会上的大专院校、企业的研发队伍,形成国家具有突破信息安全关键技术能力的一支生力军。”信息安全技术的突破一般分为五大类:信息安全基础类技术、关键类技术、系统类技术、物理类技术和前瞻性技术。这五大类涵盖了我国信息安全的各个方面。
目前我国有1000多家从事信息安全行业的企业,曲成义实事求是地指出,拥有这样一支庞大的产业群体是好事,但是仍存在一些问题:信息安全的产业链还不完备,真正具有世界规模的骨干型企业还没有,在高端信息安全产品上还有缺口,对于信息安全用户出现的一些新的关注点还没有形成有力的支撑。
用电自己不要去建电厂,用水也不用自己去挖井。信息安全同样也有这样一批基础设施。如何既简化用户使用安全设施的要求,又能达到用户安全保障的目的?国家、地区甚至某个领域可以去构建一些能为广大用户提供共性支撑的技术和产品,这就是信息安全的基础设施。这种基础设施有很多种,比如数字证书基础设施、灾难恢复基础设施、应急支援基础设施等。
建设信息安全保障评价指标体系
国家既然提出了用5年时间初步建立信息安全保障体系的目标,那怎样去衡量是否建成了这个体系呢?曲成义一针见血的点出:“这就要有一套针对信息安全保障体系的评价指标体系。这个指标体系有两个作用:一个是对信息安全保障体系推进过程中进程的督导;一个是这个体系建成后,通过它来衡量并评价其是否合格完成。” 目前,国信办已经建立了信息安全评价指标体系的工作组,很多单位、很多人都在参与这项工作。
国家信息安全评价指标体系的依据就是上面说的六要素,要想评价这个安全保障体系,就要把六要素进行指标量化形成一套指标体系。最后还要有一个综合指标,包括一套评价的数字模型。
对于我国信息安全发展战略进行了详细的解读之后,自然而然就谈到了信息安全发展中的一些瓶颈问题。曲成义一改刚才舒缓、沉稳的语气,有些激动的说:“这个体系的六个要素中每个要素都有瓶颈。比如,在组织管理中,不是每个部门都做的很好,有的部门有人管,但是有名无实;信息安全法规方面,我国的立法周期很长,负担非常重,所以其立法速度太慢。比如个人数据保护法,信息安全法都是急需建立的,但在立法部门还排不上队,所以法规配套性太差;我国的标准制定启动快,但制定周期太长,框框太多,有些我认为可以加速,先出台,出台后再改善;人才教育和培训在全国很不平衡,有些部门一年进行好多次培训,但有些部门却很少培训。另外专家一再呼吁把信息安全作为一级学科,讨论了一年多到现在还没有落实;我国的信息安全技术自主创新能力还很脆弱,在关键技术上的突破还很不足,我们不能把我国的信息化安全平台搭在外国的平台之上,所以国家要加大扶持力度,企业也要加大研究与发展资金的投入。我们的企业虽然有1000多家,但缺少有国际规模的骨干企业,我们的产业链还不配套,使得这些企业在一些高利润点上形成恶性竞争,可以说我国的信息安全产业是大而不强。安全技术产品不少,但高端的、深层次的、自主创新、关键的技术产品还不多;安全基础设施我们都有,但是不配套,都没有形成一个完整的体系。”说到这些瓶颈问题,曲成义语言恳切,语气略显急促,对中国信息安全工作的关心流露无余。
最后,曲成义语重心长地说:“信息安全,任重道远啊!”
采访结束,记者要给曲成义拍照时,他指着办公室里摆放的神六模型要求以此为背景拍摄。眼前这位曾任航天部信息系统工程总设计师和航天710所总工程师的老研究员,身穿白色衬衫、藏青色外套,显得干净利落。看着自己身边的神六模型,曲成义自豪的说:“这可是根据真正的神六按比例做出来的”,言语中无不透露出对自己所从事的航天事业的热爱和骄傲之情。