近几年来，面对国际金融危机，我国经济持续快速发展，一枝独秀。信息化步伐逐步加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。社会经济对信息化的依赖程度越来越高，在实践中逐步建设和积累了一批宝贵的信息资产。

与之而来的“黑客”攻击网络事件等各类计算机犯罪屡有发生，手段技术化程度也越来越高，从而对各国的主权、安全和社会稳定构成了威胁。互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。

互联网络涉及社会经济生活各个领域

随着信息技术日新月异的发展，近些年来，国家公用基础设施对信息化的应用要求在逐步提高，信息网络覆盖面也越来越大，网络的利用率稳步提高。国家政治、经济、金融、文化越来越依赖基础网络和信息系统的稳定运行，信息化给我们带来便利的同时，各种网络与信息系统安全问题日益凸现。

我国信息安全面临崭新形势和严峻挑战

当前，世界信息化进入断代发展阶段，物联网正在推动网络空间从计算与通信世界延伸到物理实体世界。联合国宣称：“尽管互联网用户将数以几十亿，然而在物联网时代，人类却可能成为少数派；与物联网促成的变化相比，互联网带来的安全问题将相形见绌。”物联网等新技术发展势必对国家安全产生巨大影响。总体说来，对于新的信息时代人们还处在“瞎子摸象”阶段。

人们对新的信息时代的认识类似 “瞎子摸象”

网络与信息安全面临日益复杂严峻的形势。进入新世纪以来，经济社会发展对信息网络和信息化的依赖程度越来越高，信息化已成为推动社会和经济发展的重要力量和各国竞相争夺的制高点，国际信息化大势不可逆转。随着中国迅速崛起引起国际社会的广泛关注，信息化不仅成为经济发展的强大推动力，而且成为中国联接世界的重要纽带。在全球网络空间国际竞争日趋激烈的背景下，我国的信息安全问题更加错综复杂。

信息安全已成为维护国家利益和保障国家安全的重要战场，反映和代表了国家和社会的根本利益。西方发达国家凭借在核心信息技术、产品和服务的优势形成信息安全强势，并借助在市场领域、国际标准领域的主导地位谋求网络空间的主导权，信息安全问题已经成为国际网络空间竞争的最前沿和焦点。面对网络与信息安全的新形势、新情况，我国信息安全工作仍然存在一些亟待解决的问题。

在我国信息化建设工作中，信息化的发展，特别是新技术与新应用迅猛发展中，出现安全问题不足为怪，但却给管理和治理带来新挑战和巨大压力。我国战略等顶层工作有待加强；自主创新能力较弱；现有信息安全保障体系建设还不能完全满足信息化的安全需要；保障措施不到位；我国在信息安全国际交流与争取活语权的地位有待提高。

公安部网站最近公布的调查结果显示，我国信息网络安全事件发生比例连续3年呈上升趋势，2010年已经达到65.7%，较2009年上升11.7%。我国信息安全事件的主要类型是：网络失密和被窃现象多有发生、敌对势力利用网络造谣诽谤、煽动动乱、网络攻击和网页篡改、恶意代码破坏信息系统、垃圾电子邮件堵塞网络致使网络和系统不可用等。此外，境外敌对势力利用信息通讯网络造谣诽谤、组织动员、煽动闹事和破坏，国外反华势力加大对我意识形态和文化渗透，鼓吹利用互联网推进民主和人权。不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。通讯与信息网络上失泄密及窃密事件时有发生，直接影响政府管理效率和公众形象。病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势。

波涛汹涌的信息技术革命和信息网络化浪潮在给人类带来良好机遇的同时，也带来了日趋激烈的信息竞争。信息安全威胁和挑战越来越严重，对人类社会的冲击越来越广泛、越来越深刻，迫使人们研究应对的战略和策略。信息安全的新形势对我国的信息安全有着全面和深刻的影响。面对日趋激烈的信息战，科学冷静分析测评我国信息安全的形势，制定和实施适应新形势的信息安全战略和规划，对于构建我国信息安全保障新体系意义重大。

渡过信息化和信息安全保障体系建设的磨合期

我国已经成为信息大国，但还不是信息强国。我国信息化发展不均衡，其中信息安全建设欠账较多。从国际范围来看，我国互联网上信息资源和舆情掌控存在短板，我国特有的国情和社会主义体制带来了信息安全独特的错综复杂性。

网络信息安全与我国改革进程中的热点问题、不稳定因素互相交织，网络信息内容安全和舆情导向已经影响到执政能力甚至政治安定和政权的稳定。信息已经成为政府、重要行业、企业以及个人的重要资产，其可靠性、安全性和完整性关系到政府、重要行业以及企业的生存力和竞争力。信息系统已经成为我国能源、交通、金融等领域的关键基础。

信息安全直接影响到关键基础设施的正常运转，一旦发生安全问题，就可能导致大面积停电、交通瘫痪、通信中断，各行业管理失控等问题，不仅会严重影响人们正常的生产生活，还会严重干扰正常的社会经济秩序，造成重大经济损失和社会影响（例如大型电子商务平台造成的过境数据流问题）。信息安全成为信息化发展的重要问题之一，我们必须平稳渡过信息化和信息安全保障体系建设的磨合期。

应该看到，我国信息安全保障体系的建设工作尚存在许多不足：顶层设计不够完整和系统；许多具体环节和实施策略重点不够突出，容易产生眉毛胡子一把抓的现象；目前信息系统等级保护工作落实有一定的偏差，一些信息系统存在保护不够和过保护的问题；不少系统缺失系统完整的应急预案；在信息安全战略上缺乏持续的深入研究和综合协调；特别是缺乏态势感知、形势研判、预测预警；缺乏涉及信息安全的基础理论（如网络协议）和核心技术的研究。

目前来看，我们对“发展与安全的辩证关系”的认识还不够到位；依法治理网络信息安全的法制工作不到位；落实“国家主导、行业自律、企业尽责、个人守法”的原则不到位。信息安全责任不能由国家全部包揽，而是应当由国家、行业组织、企业和个人在法律的框架下各负其责、分兵把守。

信息安全工作既不能麻痹大意，也不能惊慌失措，还要谨防对形势的误判。信息化进程是和社会进步进程是一并发展的，不会一帆风顺。而安全问题永远是和信息化进程相伴相生的，安全对信息化进程的稳定性存在着必然的扰动性，两者之间的关系是一种非线性的动态关系。问题的关键在于如何提升信息化进程自身对安全扰动的抗干扰能力。例如做好动态分析，寻找那些朝着正面和积极方向发展的特征根，尽量减少或避开那些发生负面影响、引发震荡的特征根或特征区间。

重要信息系统安全保障体系建设

重要信息系统是部门、单位甚至国家正常运转不可缺少的部分，是执行其任务的重要手段。当前，国家、部门、企事业单位乃至个人对信息系统的依赖性越来越大，已成为涉及单位发展甚至国家稳定的重要问题。从另一方面看，由于重要信息系统规模大，技术复杂，涉及人员多，也使其安全保障困难，而要达到一定安全标准，所需的投入也相当大。重要信息系统的地位、功能使其安全保障水平极为关键。

重要信息系统不仅仅完成一般的数据处理任务，而是要扩大到对整个计划、预测、决策管理的支持，是系统管理、经营的一环。社会重要部门的主要管理业务的信息化，系统安全一旦出现问题，就意味着许多管理工作无法正常进行。重要信息系统不能正常工作，将打乱某些经济运行工作，无法解决出现的问题，引起管理的混乱，甚至打乱生产秩序。重要信息系统一旦中止服务，将会产生社会问题（如股票、民航等），并使社会产生动荡，将危及国家的安全。

从信息资源保护的角度看，重要信息系统的重要特征之一是信息量大，并且涉及单位内部重要、机密的信息。因此，信息本身的泄漏、被修改或丢失等都将带来巨大的损失。国家重要部门的信息系统中，必定有许多国家机密信息，任何形式的破坏都会给国家带来损害。企业的信息必然涉及经营及商业秘密，在市场竞争环境中，将对企业有关键性的影响。

在社会主义市场经济体制的环境下，重要信息系统及其形象信誉对单位的发展成败关系极大。如果其信息系统不能正常工作，不仅会失去人们的信任，失去市场，而且对企业、行业都有致命性的打击。

重要信息系统的任务，特点及重要性，使其成为攻击者的目标，而其自身的脆弱性又使其较易受攻击（有意或无意）而失去安全保障；而要保障任一级别的安全都需要相当的投入（人力、物力、财力等）。因此，重要信息系统的安全非常关键。

重要信息系统的脆弱性为安全保障带来很大的难度，重要信息系统规模大、环节多、技术复杂，薄弱环节也多，任何一个环节的安全都将影响到整个系统。并且，不是所有系统中的信息资源都需要相同级别的保护，这比起一个相对独立、集中于一地的信息系统安全保障要复杂得多。重要信息系统一般均包含网络系统，网络系统遭受攻击的可能性大大高于简单的独立系统，而且受攻击的后果也往往比独立系统严重得多。另外，重要信息系统需要多人介入协同工作。因此除了有意破坏之外，人的失误也会给系统安全带来危害——目前信息系统安全问题多是人为的。要想对众多的有关人员进行规范化的安全培训，使所有人员完全按规范要求操作，对一个庞大的系统来说也非易事。

关于重要信息系统安全保障体系建设提出几点建议：

1、提高认识，充分重视、建立信息安全工作的长效机制。

2、组织落实，人员到位，建立一支政治可靠、忠于职守、技术精湛的职业队伍。

3、将信息系统安全工作贯穿于整个系统建设的全过程，即从系统规划、设计、建设实施、投入运行到运维保障的所有阶段都需有相应的安全保护内容。对于重要信息系统的安全，管理与技术是不可偏废的。

4、建立经常性的管理、监督制度和应急预案，加强演练。

5、加强安全意识及安全知识、法律、制度的宣传、教育、培训，是保障大型信息系统安全的非常重要的措施。

信息安全保障体系建设总体思路

信息安全保障体系建设必须服务于信息化建设与发展大局；统筹规划，整合资源，逐步加大投入，突出重点，确保我国基础网络和重要信息系统的信息安全保障水平与时俱进，得到不断的提升；要求全民强化防范意识，坚持“国家主导、社会参与、行业自律”，构建专业化服务机构，加强信息安全的社会保障；以核心技术攻关为重点，加大信息安全技术研发力度；必须下大力气，提高全民的信息安全意识；尽快补偿信息安全法律法规和标准规范建设的欠债和缺失；尽快改变信息安全产业规模偏小、缺乏资金和关键技术支撑的局面；尽快增强信息安全管理，改变目前多头管理、缺乏协调的管理工作低水平现象。

发展信息安全产业的基本原则包括：加强政府引导、发挥市场机制；以核心技术为支撑，以应用促发展；以企业为主体，产学研结合；以我为主、坚持开放；统筹资源、重点突破。要坚持立足国情，以我为主，还应根据国际国内的信息化发展的实际情况，特别是新技术、新业务、新应用的具体开展情况，坚持改革开放和国际合作的原则，因为信息安全保障能力的提高，不能仅仅依靠一国力量，而是需要世界范围的共同合作，需要政府与企业、全社会每个人的互动，才能在互联网这样一个复杂的巨系统中，逐步建立、完善和提高信息安全保障以及应急响应的处理水平。

信息安全治理是落实解决信息安全问题方法论的重要途径，因为面对信息安全复杂巨系统，如果缺少知识层次上的对信息安全保障体系建设的全生命周期管理，如果我们仅仅是按照线性、彼此完全分割的方式考虑信息安全保障体系的总体设计，如果只有任务的分解而没有综合集成，如果不能随着过程、环境的变化而不断变化各类应急处理预案，那就无法完成信息安全保障体系的基本任务。

信息安全保障体系的建设需要打好基础、明确需求。一是要做扎实做好基础工作，必须依据信息化建设的发展同步建设，前者可适度超前研究，但也必须循序渐进，不可能一步跨越；二是要明确信息化建设对信息安全保障体系建设的安全支撑与服务需求，既要强化实用性、适用性，又要重视战略性、长远性，尽快使得信息安全保障体系建设的投入发挥和产生应有的效果。解决信息安全问题必须求真务实，立足国情。建设信息安全保障体系必须坚持需求导向、应用主导；整合资源，切实改善信息安全管理；以“国产替代，自主可控”为原则是建设我国信息安全保障体系的必由之路。继续推进网络整合和三网融合，构建可信信息化网络。

要树立科学信息安全观。具体包括全面观，信息安全涉及到政权巩固和生产力的发展，能够全面影响国家安全。美国制定了网络空间安全战略，俄罗斯拥有国家安全学说，我国制定了《关于加强信息安全保障工作的意见》和新的文件。适度风险观，它涵盖了从绝对的安全到承担适度风险的安全脆弱性分析。通过资产评估进行威胁分析，再进行威胁产生后果的可能性分析，从而采取相应措施降低风险、避免风险、转嫁风险和接受风险（承受适度的风险）。积极防御观，从被动防护到积极防御。全局观，从“个人自扫门前雪”到依靠全社会的力量。

解决信息安全问题必须坚持抓战略，抓战略研究，抓好总体设计（顶层设计），找准发展战略中永远不变的基点。大国信息安全必须要保持战略的连贯，必须要有宏伟的战略设计，必须坚持持之以恒的连贯实施。历史经验表明，最大的失误在于缺乏明确的战略方向。产业是制造安全强国的“车床”，“民安”是“国安”的基础和本意，隐秘的发展战略意图和清晰的战略方向是成功的保证。切实加强国家层面的信息安全总体设计。信息安全属于复杂巨系统，技术变革决定了安全变革，信息安全需要顶层设计。所谓总体设计是指，寻求在一定程度上能够承受不确定参数的过程，研究确定关键要素（参数）合适的操作区间，选取合适的操作点，达到可治和善治的目标。在总体设计中要坚持树立本质安全（Inherent Safety ）的观念。以本质安全为指引，科学构建国家信息安全战略架构。没有绝对的安全，只有可控的安全。消除事故的最佳方法不是依靠更加可靠的保护措施，而是要在安全风险和保障投入之间寻找平衡点，用复杂巨系统理论寻找安全的关键参数并建立相应的数学模型，求解其稳态解和稳定性区间。

国家网络安全态势感知与预警建设

信息安全产业是体现综合国力即决定生存能力的战略性产业，是信息网络和信息系统安全保障的重要支撑和基础，是信息产业新的增长点和跨越式发展的突破口。重视信息安全产业的地位和重要作用，发展信息安全企业群和产业梯队，优化产品结构，安全基础和平台类产品，安全测试评估与管理类产品，网络安全类产品，安全应用类产品，专用安全产品，发展信息安全服务等，具有重要的意义。

加强态势预警是当前信息安全的紧迫需求。信息安全事件亟待开展异常情况早期预警，强化态势感知、态势分析、监测预警，必须实现信息交换、信息共享，建立常态化的工作体制和评价机制，尽快规划设计国家网络空间安全态势感知总体架构。基于“居安思危、未雨绸缪”的危机意识和“知己知彼、百战不殆”的战略思想，将网络态势感知体系和能力建设提升到国家战略层面，从网络空间安全保障的全局进行统筹部署和周密安排。应在情报预警、网络监控、态势分析、应急处置等方面，落实统一指挥、高效协同的体制机制，完善相应的技术设施和人才队伍，尽快建立起平时维护网络空间运行秩序，应急时能够协同对抗外部攻击的组织体系和技术支撑体系，形成保障国家网络空间安全的全局态势感知分析和威胁预警的整体架构。

将国家网络安全态势感知系统建设纳入国家规划。当前急需在国家规划中，充分重视网络安全态势感知系统建设的重要意义和深远影响，建议将其纳入国家规划拟建设的重点项目范围并建立能够应对当前信息安全威胁的国家信息网络安全战略与态势预警平台试点工程，逐步统一和集中管理。借鉴发达国家经验，在关键网络部位部署主动安全防御系统和网络态势感知系统，有效降低基础网络和重要信息系统的安全风险。在试点取得经验后，再推广到我国通讯、信息、能源、公共服务和运输等关系国计民生的部门，在国家层面形成对网络安全态势的前瞻性全局掌控能力，有效应对网络空间中的恐怖主义攻击和有组织犯罪等安全威胁。

继续加强网络情报预警能力建设。进一步加强网络与信息安全方面的信息能力建设，为国家网络空间安全态势感知分析和预警提供情报支撑。推进网络安全相关信息共享方案和共享方式，汇聚不同渠道的网络安全信息，以全面掌握入侵攻击行为的全局信息，提高态势感知和预警能力。建立国家级威胁情景衡量标准，用于确定各层面的危机管理决策、恢复计划和处置的优先顺序。

持续开展信息安全战略与态势预警评估研究。及时汇聚国家网络空间安全保障相关方面的情报信息，进行综合的态势分析与综合研判。加强网络安全态势研究，持续跟踪发达国家有关网络态势感知体系部署和能力建设方面的经验和新技术，参照相关国家战略和实施计划的未来走向，开展我国网络空间保障的国家战略研究，明确战略目标和重点任务，制订行动路线和实施计划，推动我国网络空间主动防御和态势感知整体格局的形成。

建议组建国家网络安全态势研究机构。成立国家网络安全态势研究机构，加强对发达国家和周边地区网络态势感知能力建设对我国的影响分析，特别关注网络空间安全形势变化对我国技术创新、产业发展和国家安全的深远影响，做好积极应对准备。同时开展我国未来10年网络空间保障的国家战略研究，明确战略目标和重点任务，制订行动路线和实施计划，推动我国网络空间主动防御和态势感知整体格局的形成。

信息安全保障工作的推进措施

新时期信息安全保障工作的主要措施包括，加强国家信息安全统一领导和综合协调；加强战略规划政策研究制定和效果评价；加大信息化建设中信息安全资金投入；加强信息安全基础设施建设；建立健全信息安全法律体系；建立健全信息安全标准体系；加强信息安全人才队伍建设；开展全民信息安全教育培训计划；加强国际信息安全交流，积极参与国际规则制定，增强在国际信息安全领域的影响力；切实改善信息安全管理工作。

我们需要准确认识信息安全的基本问题与表现方式，清晰了解保障信息安全所依赖的信息网络化的客观规律，有的放矢，制定国家保障信息安全战略。加快当前信息安全保障体系建设规划的制订工作。大力加强信息化信息安全基础性工作，大力推行信息安全等级保护，开展信息安全风险评估和检查，加强信息安全关键技术和相关核心技术的研究开发和产业化工作，进一步做好信息安全人才培训工作。