4.信息安全的投入资金缺口较大,网络信息安全建设后劲不足
国家经济实力逐年上升,GDP总量已跨入全球第二,但人均GDP仍在100位以后,与西方发达国家有很大差距。《国际竞争力报告》显示,我国的科技竞争力虽在逐年上升,但我国研发投入占GDP的比重在46个主要国家中列第30位。2005—2010年我国的研发经费从250.8亿元增至751.1亿元,但2010年的研发经费仅占GDP的0.71%,与发达国家的2%—3%的标准相去甚远。
网络从最初开发,到其应用、推广、维护以及安全防护,都离不开高精尖人才的支持,可以说,人才是网络信息安全的核心竞争力。当前,我国网络信息安全领域人才存在很大缺口,人才培养计划、高校网络信息安全方面的课程体系和教育体系还不完善,信息安全学科院校的实验条件落后,信息安全学科专业人才数量不足、水平不高。资料显示,截至2009年,教育部共批准全国70所高校设置了80个信息安全类本科专业,其中信息安全专业64个,培养相关人才约3万人。但据业界人士统计,国内当年对信息安全专门人才的需求量高达50余万人,人才缺口极其严重。当前随着网络信息的进一步普及,人才的需求将变得更为紧迫。而培养信息安全领域的高级人才又是一件极其复杂的系统工程,使得我国网络信息安全建设长远发展后劲不足。
(二)从国家安全战略高度思考维护信息安全问题
信息时代,世界各主要国家均制定了国家信息安全战略,加强了在信息安全领域全方位的竞争与争夺。新世纪我国的信息安全领域面临着严峻的挑战,从战略高度思考21世纪国家信息安全问题是国家发展与安全的需要,是国家战略建设的重要内容之一。有效防护信息安全,制定国家信息安全战略迫在眉睫,已成为维护国家安全的一个战略课题。
1.将信息安全提升到国家安全的战略高度来审视
信息化进程的推进,既依赖信息技术发展所提供的强劲动力,又亟须强有力的信息安全保障。信息安全问题已经影响到国家利益拓展的各个方面,逐渐成为国家综合安全的重要组成部分。
一是信息网络的宽开特性使国家政治安全面临严重挑战。国际互联网是个畅通宽泛的虚拟世界,网络空间的开放与便利,为一些寻求非法扩散政治影响的组织或个人提供了机会。一些西方国家已经在国家战略层面,将信息网络作为推广其价值观、进行意识形态渗透和争夺的重要战场和平台。一些民族分裂主义、宗教极端势力也大肆利用网络传媒蓄意挑起事端,严重危害地区安全与稳定。如何应对信息网络对政治安全的冲击,已成为各国政府和军队面临的一项严峻挑战。
二是信息技术的“双刃剑”效应使军事安全面临严重威胁。在信息时代,军事领域的各种信息攻防手段快速发展,信息系统与网络成为新的作战要素,网络空间正在成为攸关国防安全的重要战场。信息技术是把“双刃剑”,在推动军队建设不断进步的同时,又对军队信息安全造成隐患。一方面,信息技术革命催生的新型作战方式正在极大地改变着战争形态;另一方面,计算机病毒和“黑客”攻击等大量信息时代的“怪胎”应时而生,对军事信息系统、战场局域网络等造成极大破坏,成为影响军事安全的新威胁。
三是信息数据的不确定性使国家经济安全面临严重影响。信息无处不在,数据真伪难辨,给国家宏观决策、制定政策带来极大困难。比如近些年来,因对国外市场信息掌握不准,辨别不清,使得决策者对国际经济形势产生误判,导致决策失误或不当,我国一些国企在对外投资中出现多次巨额亏损。在全球复杂、多变的经济形势面前,如何全面、准确、及时地掌握各种信息数据,正确判别真伪,成为能否做出科学决策、确保经济健康持续发展的重要前提。
四是信息安全的时延性特点迫使必须提升安全防护等级与层次。信息安全问题具有隐蔽性,其引发的后果具有延时性。我国信息技术在核心、关键领域的自主控制能力尚不强,在国家关键基础网络和重要信息系统中仍会一定程度上采用国外软件、硬件设备,甚至相关配套技术服务也由国外公司承担,而这些软、硬件设备中可能留有的技术后门和隐藏指令,虽然不会立即对我国家安全造成危害,但长远来看,难以避免在非常时期有可能受制于人。
2.将信息安全纳入信息化建设的重要内容来发展
在发展信息技术的过程中,许多国家都走过这样一段弯路:先享受网络带来的巨大方便,接着发现它可能带来前所未有的巨大灾难,于是开始重视信息安全技术的建设和发展。要走出这种被动式发展的怪圈,必须从战略高度进行长远规划,坚持建防并举的原则,把信息安全作为信息化建设的重要内容,做到同步规划、同步建设、“捆绑”式发展。
首先,要解决思想观念问题,确立一种综合的、系统的信息安全观。“木桶理论”是对信息安全的最好诠释,信息系统中最薄弱的点、最薄弱环节的安全水平代表了信息安全的整体水平。信息技术追求的是更加快捷、高效地获取、传输、处理和应用信息,而信息安全技术则是想方设法确保信息真实可靠、稳定可控、完整有效、保密安全。发展信息技术的同时,必须积极开发和运用信息安全技术,如信息加密、安全检测和跟踪、防窃听侦听等技术,真正做到信息技术发展到什么程度,信息安全技术就同步跟随到什么程度。
其次,要遵循“攻防兼备”原则,研发遏制危害信息安全的对抗性技术。在信息安全的防护中,“攻”与“防”已经很难区分,要在重视防御性技术研发运用的同时,重视对抗性技术,即支撑保障信息安全的技术集成运用。在开放的网络环境中,要有效保障信息安全,必须掌握和提高对信息和信息系统的攻击方法与攻击能力,在必要时采用“攻势”手段,对攻击者进行有效遏制,防护信息安全。
此外,要重视信息安全人才培养,为信息安全防护提供智力支撑。面对当前信息安全人才缺乏的现实,国家和军队应加大培养力度,着力培养信息安全管理人才、信息安全技术研发人才和服务人才等,不断壮大信息安全人才队伍。加快信息安全人才培养,要重视信息安全学科体系建设,包括信息安全基础理论、核心或关键技术的研究,为信息安全人才培养奠定坚实的学科教育基础。
3.将信息安全提升到综合防护层次来应对
信息安全防护,不仅是对技术上的防护,更是对技术、设备、管理等全方位的防护。需要通过综合防护确保在信息源、信息传输、信息处理和信息运用等各个环节不出现丝毫疏漏。
首先,要提高信息系统自身安全防护能力。继续加大对网络信息系统设备与软件的更新力度,要在升级网络防火墙和杀毒软件,频繁更改系统口令、密码等常规技术手段基础上,加强对网络信息的安全防范新技术研究,堵塞各种漏洞,提高抵御各种侵害的能力。如美国国防高级计划研究局2010年8月发布公告,寻求网络内部威胁探测(CIN DER)新技术,希望设计出一种能够发现“泄密”的新算法,查找内部人员非法收集数据的迹象。可以想象,如果此项技术获得突破,势必将极大地推动信息系统自身防护能力。
其次,要加强信息安全管理体制与制度建设。防护信息安全,必须通过规范化管理、制度化实施,才有可能堵塞漏洞,防患于未然。要建立健全高效、权威的信息安全管理机构,领导和协调国家和军队信息安全管理体系的健康运行;要加强信息安全立法,建立接入审查、信息过滤、过错惩罚等措施与手段,形成一整套与信息安全防护相适应的法规、制度,防护信息安全。
此外,要建立科学合理的信息安全响应机制。事实上,绝对安全的信息系统是不存在的,关键在于发现或发生信息安全风险时,能否及时正确应付,防范或消除风险,或将风险损失降到最低,或使信息系统快速恢复正常运行。可考虑参照“适度安全”的思路,即“与由于信息的丢失、滥用、非法访问或非法修改而造成的危险和损害相适应的安全”的思路,建立一套反应及时、处置得当的安全响应机制,确保信息系统正常运行。