王渝次畅谈2006年信息安全保障体系取得实质进展
来源:信息安全与通讯保密 更新时间:2012-04-14

  2006年是五年基本建成国家信息安全保障体系目标的第三年,也是承上启下非常关键的一年,国家有关主管部门的工作力度明显加大。国信办安全协调小组积极组织协调各方面的力量全力推进国家信息安全保障体系建设,做了大量而又卓有成效的工作,对信息安全的发展影响非常重大。

  国信办网络与信息安全协调小组王渝次司长在这一重要岗位上已工作多年,积累了许多宝贵的经验,赢得了业界广泛的尊重。微软的副总裁曾对他说,“你的工作很具有挑战性”。日前由于工作需要,王渝次司长在调离这一岗位之前的一次讨论会上,全面回顾了2006年我国信息安全保障工作取得的成绩,并饱含感情地总结了这些年的工作体会。

  齐抓共管,实质进展

  首先,总体上说2006年是国家信息安全保障工作取得实质进展的一年。27号文的效力开始逐步显示出来了,一些大的方针政策也已经开花结果了。给我印象比较深刻的是,信息安全市场热起来了,产生了一些大的标,大家的管理需求变成了市场的需求。在信息安全人才培养方面,已有50多个学校设立了信息安全学科,很多学校的安全专业录取分数最高,毕业生很抢手。在今年召开的学科发展研讨会上,大家反而呼吁要降降温了,要有序发展。这和几年前冷冷清清的情况是不一样的。政府的意识在变成社会的行动,这是个非常好的现象。

  27号文提出的10个方面的任务基本上都得到了落实,有了实质性的进展。今年国务院办公厅转发了国信办《关于网络信任体系建设的若干意见》,我们经过审慎研究,对网络信任体系有了准确的看法,有了清晰的认识。风险评估工作,在发文件的基础上召开了宣贯会,召开了安全大检查,确实发现了一些问题。风险评估的概念、意义开始被大家所接受。国家的管理意志已经变成了国家的管理要求,国家基础网络和重要信息系统的防护水平有了大大提高。等级保护工作在一年中也取得了重要进展,信息安全认证中心的成立把认证认可工作向前推进了一大步。

  第二方面,信息安全成为各方面的共识,大家的积极性被调动起来了,采取实质性行动的部门也多了,确实形成了一种齐抓共管的局面。信息产业主动抓了阳光绿色网络、反垃圾邮件等一些得民心的事情。公安部从后台走向前台,抓打击罪犯,例如今年深圳等出现的网络警察。国务院新闻办、中宣部也走向前台,抓正面的、建设性的东西,抓舆论引导,等等。这种齐抓共管的局面的形成,一方面和中央领导的重视有关,另一方面是各部门的思路和方法逐渐得当,形成了一种积极向上的建设局面。

  第三方面,对于信息安全的一些深层次问题,我们已经有了一些解决的思路和部署。为什么说信息安全是国家安全的一部分,我们现在对这个问题有了更深刻的认识。说到底,这是国家与国家之间的信息对抗,其实质是表现在意识形态领域的渗透与反渗透,表现在技术领域的控制与反控制。我们说,最重要、最核心的系统要有管理,要有专控队伍。对一些要害性的问题,我们做了一些部署。例如,我们组织了对基础网络和重要信息系统的大检查,在进行抽查的过程中有专门的工具,专门的人才,这是建国以来第一次由国家组织的信息安全大检查。这次检查大大促进了管理和技术的提高,确实发现了一系列的漏洞和一些深层次的问题。在关键技术、关键设备受制于人的情况下,我们要自主可控,一方面是发展技术,发展产业,解决关键技术、关键设备等有关问题,另一方面是采取控制措施,包括加强产品的测评认证,加强对技术、设备、装备的后门、漏洞的分析与检测,加强信息安全风险评估,加强对服务资质的管理等等。此外,还有应急协调、应急预案工作,这几年重要系统的应急有了很大的进展。今年上半年开了十几个协调会,加上这几年搞的网络信任体系建设、监控等,都对防护水平的提高有贡献。对于一些新技术、新应用会给我们造成的问题,我们一直也在关注,例如博客、短信群发等应用带来的管理问题,国外新技术的应用我们都在研究。

  第四,信息安全的顶层设计,总体安排的问题,国信办所承担的信息安全的顶层设计的政策方向,27号文件,信息安全战略,加上这次起草的信息安全条例,我们和发改委等单位组织有关部门起草的十一五信息安全规划等等,到2006年年底为止,基本上都完成了。这种抓总的规划性的东西到今年年底为止基本上都完成了,就是说你信息安全总体上怎么抓,怎么去认识,怎么去把握,这个格局摊子已经铺开了,每件事都已经确认。

  第五,非常重要的一点是,信息安全有了一整套比较完整的实践经验。信息安全要通过实践去认识规律,今年我们抓了很多试点。我们在四个省市抓了电子政务信息安全的三种模式的试点,一个是在互联网上开展电子政务的试点,第二个是在专网上保证电子政务的安全试点;第三个是不同系统的互联的试点。我们根据问题有针对性地去抓试点,是为了解决实际的问题,是为了促进发展。另一个是ISO17799信息安全管理体系的试点。17799是国际上公认的、成熟的信息安全管理标准,是被国外称为最佳实践的东西。我们和信安标委商量以后,在5个地方、7个单位开展了试点,现在马上要结束了,应该说取得了很好的效果。加上去年的风险评估试点、广东江门和北京东城区的试点、保密局以及密码局的试点,这些都为探索规律做出了实实在在的贡献。除了中央机关的试点,各地也有很多积极的探索,积极的创造。例如海关抓灾备的试点、业务连续性计划等,都取得了实实在在的成效。所以说我们现在抓信息安全工作比过去更加有底了。国家提出信息安全保障五年目标,现在三年时间过去了,我们的信心更足了。

  所以,我们说2006年信息安全保障工作有了很大收获,取得了实质性的进展。

  我们要坚定不移地朝着5年基本建成国家信息安全保障体系的目标走下去,完成27号文部署的各项工作。2007年我们将面临十七大,2008年是奥运会。特别是奥运会,我们面向全世界,出了问题会是大问题,银行、海关、民航都要注意。这个问题现在就要考虑,2007年要做好奥运信息安全问题的防范,要为奥运会举办做好保障工作奠定基础。我们要把现在已经认识到的、明确要做的事情必须抓好抓实,才能保障不出问题,才能提高我们的水平。所以我们现在能想到的,下一步就是要抓落实,然后我们在这个基础之上再往前进一步。

  5年来的一些体会

  五年对信息安全的基本认识,首先是要抓好顶层设计。2002年在郑州开了战略研讨会,那个会上专家指出信息安全一个重要特点就是搞好顶层设计,从顶层往下抓。现在看,这条路是对的。

  第二个,信息安全要紧的是做好协调,而协调的前提是做好落实责任制,明确职责。我们这几年一开始重点抓的就是责任制的落实。我们抓任务分工,已经成了一套模式,中办、国办等部门也都在采用。现在是部门之间的职责清楚了,部门工作得到了落实,一手抓信息化,一手抓信息安全,促进齐抓共管局面的形成。

  第三,抓信息安全我们这几年一直在强调风险管理的意识。我们抓安全,不能永远不出事,但出了事要能够应付。这种风险管理的意识要贯彻始终,我们要宁可把问题想得多一点,把困难想得充分一点。

  第四,一定要坚持从实际出发,实事求是。搞安全工作,不能搞一刀切,要鼓励大家探索。

  第五,坚持以安全保发展,在发展中求安全,我们抓安全绝对不能为了安全而安全。江总书记在中财办曾经讲过,我们这十年一个重要的体会,就是用发展的思路解决前进中的问题,就是把蛋糕做大。这对我很有启发。我们特别强调信息化是我们国家难得的历史机遇,发展才是最大的安全。如果我们不是支持信息化、不是促进信息化,那么我们只会错失机遇。

  第六,一定要站在国家的高度,一定不能谋自己的利益。朱镕基同志在第一年成立国信办时就说,你们要考虑大事,考虑关系到国家强弱的大事。我们不能是有个好项目就放在自己手下,有个好机构就要自己管。这些年国信办的工作还能得到大家的认可,也是坚持了这一点,做到了这一点。

  第七,要充分发挥专家的作用,充分发挥实践的作用。我们有专家的理论和知识的储备,在重大问题上、关键问题上,没有他们的支持,我们的事情是做不好的。同时还得要有实践,好多东西是从一线的技术人员这儿来的。要通过理论和实践的结合去摸索规律,去把握主动权。

 

原作者:崔光耀