张娜，张志琴，张龙波

（甘肃定西供电公司,甘肃 定西 743000）

1 研究背景和意义

20世纪90年代以来，覆盖全球各国的互联网络已随着信息技术日新月异的革命而逐渐建成，世界已经进入了信息化与网络化时代。不仅人们的日常生活已日益依赖庞大的信息网络，而且政府机关、金融和能源等至关重要的基础性部门也越来越多地使用信息网络来传输和管理数据资源。由于网络自身的开放性、跨国性、非对称性和不可控性，信息安全已经成为世界各国无法回避的巨大威胁，同时也是信息时代国家安全中最核心的问题，直接影响到国家政治、经济、军事等各个方面的安全。因此在网络全球化的今天，信息安全管理问题已经受到世界大部分国家和政府的高度关注，信息安全管理战略成为国家整体安全战略中的重要组成部分，信息化水平成为衡量一个国家综合实力的重要指标。

2 信息安全的基本现状

2.1 我国信息安全的基本现状

我国的信息技术水平仍处于发展初期，网络信息安全的现状并不容乐观。在世界主要国家之中，我国保障信息安全的能力水平处于安全级别最低的第四级别国家之中，同为发展中大国的印度排在第二类国家之列。英国简氏防务周刊的战略报告也指出，我国的信息安全能力处于世界较弱国家的行列，大大低于美国、俄罗斯等信息安全强国。但信息安全问题却频繁发生，成为威胁我国互联网安全的首要因素。目前我国国内半数以上的网站均存在安全隐患和问题，受到过黑客的攻击或侵入。信息安全事件不单集中在个人用户电脑受到病毒感染，网络信息遭到窃取，并且政府网站和国家关键系统部门的信息系统也频繁遭受攻击。根据近年公安部公共信息网络安监局所发布的互联网信息安全情况调查显示，我国网络信息安全事故发生的比率已经连续3年呈上升趋势，产生过信息安全问题的被调查单位占65.7%,与2006年相比提高了11.7%，其中一半以上受到了计算机木马病毒感染。

信息安全问题对我国国家安全的威胁主要包括对网络基本设备系统的威胁、计算机病毒与网络恐怖主义等因素。

2.2 我国信息安全存在的主要问题

（1）信息政策立法与防护理念有待加强。国家信息安全是一项涉及到政策法规、管理组织、技术支持等综合因素的复杂庞大的系统工程。相对于我国基础信息网络的全面铺设和高速发展，对比美欧等信息发达国家的立法情况，我国信息安全法律体系的发展缓慢和不尽完善的问题也日益突出。信息安全是代表着国家的根本利益和未来竞争力，制订完善可行的信息安全法律法规，是保障国家信息安全至关重要的基础性因素。

（2）软硬件的基础技术有待发展。信息安全是以自主性和创新性为特征的，综合数学、电气自动化、计算机与通信等自然科学领域知识与政治学、国际关系等社会科学知识的交叉学科领域，对安全问题的解决注重完善的、系统的、合作式的办法。我国针对信息安全的研究起步较晚，无论软硬件技术基础均较为薄弱，采用的网络硬件设备和操作防护软件大部分源于国外，精通软硬件技术的人才也十分缺乏，安全管理团队仍处于组建发展阶段，对我国信息安全战略的发展构成了严重隐患。

（3）国民信息安全意识有待提高。随着信息技术的发展，网络安全产品的功能日趋强大，主动防御的技术也在逐渐发展。但再完善有效的产品，如果其使用者没有清晰的安全意识和应用措施，都将使信息网络遭受被攻击的威胁，因此信息安全之中，最薄弱的环节其实就是人。人是网络的建设者和使用者、网上内容的提供者和消费者，人网结合是网络时代信息安全的本质特征，黑客木马、病毒的制造者是人，互联网防线最薄弱的环节也是人，80%以上的成功入侵都是利用了人的无知、麻痹和懒惰，所以人的安全意识对互联网的安全具有决定作用。

3 我国网络信息安全问题的应对策略

3.1 坚持树立新的综合安全观

国家安全观是人们对国家安全的内涵、威胁来源和维护手段及相关领域的基本认识，是一国对本国所处的客观环境态势的自我认知。传统国家安全观一般是以部队为主体、以军事安全为核心的现实主义传统安全观，一国安全感的提高常常会导致其他国家安全感的降低。冷战结束至网络全球化的今天，由于互联网的全面普及延伸，世界各国的联系日益紧密，在政治、经济、安全等方面的利益依存越来越深。信息时代的国家安全，已由传统的海、陆、空的二维安全模式扩展到海、陆、空、信息的四维安全模式，是内涵更加丰富的综合安全。我国确立自身的安全战略时，应从整体角度考虑新时期国家安全与国家利益之间的关系，树立包括政治、军事、信息和经济安全等在内的多位一体的综合安全观，这就是新的综合安全观。

3.2 建立完善有效的国家信息安全保障体系

基于我国目前的国际安全大环境与存在的安全威胁和隐患，应坚持以新的综合安全观为核心，建立并完善一套行之有效的信息安全保障体系，才能从根本上维护我国的国家安全。

（1）健全信息安全制度立法与国家机构职能。尽管至今我国已颁发了如《中华人民共和国计算机信息系统安全保障条例》、《计算机信息网络联网安全保护管理办法》等一定数量的信息安全领域的法律规章，但信息立法理念相对滞后;已出台的法律和规范之间的协作性不够，缺乏实际操作性。因此，应进一步确立信息安全法制建设的重要地位，树立科学的安全法制理念，从建立完备的信息安全法律保障体系。

（2）加快基础设施建设与软硬件发展速度。保障国家的信息安全，还需要建立完善的信息安全技术设施保障体系。技术是信息化发展的源动力，如果没有先进的软硬件技术作为基础，信息安全必然无法获得长期有效的保护。为建设自主可靠的信息安全技术体系，在我国信息领域的硬件建设上，首先国家应促使互联网基础设施建设与信息安全同步发展，在加强互联网基础设施建设，提高网络覆盖范围和传输速度的同时，加大对信息安全方面资源的投入;其次，应对我国现有的安全研究机构进行合理重组，加速推进我国信息安全所欠缺的关键技术和核心设备的研制开发，并最终形成规模化生产;最后，设置内部局域网和独立光纤专线，确保关键机构重要信息资源的绝对安全。国家应协调各地政府和相关部门在进行网络基础设施建设的同时，完成重要信息的危机备份与安全监控系统的建设。

（3）提高大众的信息安全意识与人才培养。互联网的主要特征是人与网的密切结合，信息安全体系的基础和薄弱环节也是人，个人发生安全问题的主要原因往往是安全意识相对淡薄。所以，强化网络用户的安全意识、加强对信息安全专业人才的培养是阻止网络威胁的重要途径。在网络全球化时代，培养提高民众的信息安全意识具有重大意义。美国政府已经深刻认识到培养民众信息安全意识对于国家安全的重要作用，于2006年开始举办美国高校信息安全意识视频大赛，截止2010年已经举办了二届。大量美国高校师生积极参与，加之新闻媒体的广泛宣传，激发了民众的参与热情，使信息安全意识迅速的深入民心，取得了良好效果。

信息安全领域的专业人才是保障国家信息安全的重要基础和关键资本，拥有高素质高水平的信息安全专业人才队伍对各个国家信息网络的安全均起着十分重要的作用。当前，我国较为缺乏信息安全的专门人才，具有尖端技术水平的信息安全专家则更为稀缺。虽然我国政府于2002年在武汉大学设立了全国第一个信息安全专业，并随后在上海交通大学、电子科技大学、湖南大学等高校陆续设立了信息安全专业，但目前我国的信息安全专门人才，从人数和专业素质上均仍难以满足需要，与此同时，美欧等发达国家较好的科研环境和高待遇的人才政策，又使我国信息安全人才流失相当严重。因此，我国政府更需要将信息安全人才的培养、引进和管理使用提升到战略高度。首先，应对信息安全学科教育的发展进行创新与改革，建立完善的信息安全教育和培养体系。加强信息安全学的学科建设，提高信息安全本科、硕士和博士阶段的教学水平，创建以信息安全学为核心，信息技术工程学、国际关系学、信息管理学为分支的跨学科综合体系，使学生成为精通信息安全技术并掌握信息安全政治背景知识的复合型人才，同时鼓励各类专业人才将信息安全技术应用于其本职工作中，掌握一定的安全技术，通过证书培训与岗位培训等职业培训，提高安全行业人员的技术水平;其次，采取完善有效措施，引进人才并留住人才，改善人才的工作环境与生活环境，提高薪资等各项待遇，并制定信息安全专项奖励制度，从而激励贡献突出者;再次，进行科学的人事制度改革，以人为本，用好人才。从工作实际出发，引入岗位竞争机制，不拘一格选拔并使用能真正胜任工作的人才，同时采取一定措施吸引从事信息安全领域研究的出国人员和爱国华人归国，为国家服务。

3.3 加强信息安全的国际交流与合作

随着信息技术的蓬勃发展和国际信息网络的深入展开，信息安全带来的威胁也日益上升。世界各国在信息安全上的共同利益增多，因此在安全上的相互依存日益紧密。由于信息安全威胁的无政府性和非对称性，单靠一国的力量往往难以迅速有效地解决。因此，为更好地保障我国的信息安全，维护国家综合安全，应基于我国所处的国际大环境，积极参与信息安全领域的国际安全交流合作，才能有效应对信息安全威胁带给我国和全球各国的共同挑战。

[1]Buzzard K.Computer security-what should you spend your money on[J].Computers Security,2002，(2):10-12.

[2]Ernie Jordan.Information Security Management-Part2:Specification for Information Security Management Systems[M].Computer Engineering，2002.

[3]Campbell AT,Micro environmental Modeling Integrated With Geo graphic Information Systems for Exposure Analysis[J].IEE Net work,2002，(3):15-18.

[4]Nishio,Shuichi.Standardization of evaluation criteria for IT securi ty[J].NTT Review,2002，(5):20-22

[5]Modiri N.The ISO reference model entities[M].IEEE Network:ratislava Slovakia，1999.

[6]Lawrence A Gordon,Martin P Loeb.CSI/FBI Computer Crimeand Security Survey 2004[M].Computer Security-Institute,2004

[7]Denning D.An Intrusion-Detectioax Model[M].IEEE transaction on Software Engineering,1987.

[8J张春江，倪健民.国家信息安全报告[J].北京:人民出版社，2000，（4）:113-117.

[9]李劲松.信息时代如何保障国家安全:信息安全的主要威胁及其对策[J].国家安全通讯，2007，（7）:67-69.