王兴起（西南交通大学心理研究与咨询中心）　谢宗晓（南开大学商学院）

信息安全：国家战略的视角

王兴起（西南交通大学心理研究与咨询中心）谢宗晓（南开大学商学院）

已上升为国家战略的信息安全需要通过治理结构调整、法律法规完善、人才培养及信息安全科研开发引导等方面的协同推进方能落到实处。

信息安全依法治网治理结构人才培养

信息安全管理系列之二

回望2014年，国家战略和依法治网是信息安全领域的两大关键词，习近平总书记亲自担任新组建的中央网络安全和信息化领导小组组长及一系列重要讲话，以及鲁炜主任提出的依法治网写下了清晰的注脚。

谢宗晓（特约编辑）

过去的2014年对信息安全领域来说可以称之为“具有历史意义的一年”，年初由中共中央总书记、国家主席、中央军委主席习近平亲自担任组长，李克强、刘云山任副组长的中央网络安全和信息化领导小组宣告成立；年底，网信办联合中央编办、公安部和工信部等八个部门举办首届国家网络安全宣传周活动，提升全民网络安全意识。年初的高屋建瓴，年末的群众路线都反映出信息安全的重要性。尤其是落实十八届三中全会精神的又一重大举措的中央网络安全和信息化领导小组的成立，既表明了网络信息安全目前面临的形势任务复杂和所处地位的重要，也标志着信息化和网络信息安全正式成为国家战略的一部分。

我国采用后发优势已迅速成为网络大国，互联网也几乎与每一个公民有着千丝万缕的关系，截至2013年底，中国网民规模突破6亿，其中通过智能手机上网的网民占80%；手机用户超过12亿，国内域名总数1844万个，网站近400万家，全球十大互联网企业中我国有3家。2013年网络购物用户达到3亿，全国信息消费整体规模达到2.2万亿元，同比增长超过28%，电子商务交易规模突破10万亿元。但是，中国离网络强国仍有距离，尤其是伴随着网络高速发展派生的信息安全事件频发。幸运的是，党和国家审时度势将信息安全提升到国家战略的高度，成为国家安全的重要组成部分。然而，信息安全的落实是一项复杂的系统工程，至少需要制度建设、财政投入、人才培养及技术开发等方面的协同推进才能真正地落到实处。

一、调整信息安全治理结构

长久以来，我国信息安全领域一直处于“九龙治水”各自为阵、条块分割、职责交叉、协调不力、政出多门、多头管理却握不成“拳头”的格局。2014年2月27日，中央网络安全和信息化领导小组成立，与以往不同的是，它首先是党中央层面上设置的最高领导和议事协调机构，组长也由过去的总理升格为党的总书记，从根本上改变了过去政府首脑难以协调党委、军队及人大的尴尬局面，大大提高了该小组的整体规划能力和高层协调能力。其次，第一次将网络安全放到突出的位置，并与国家信息化战略放到同等重要的位置，改变了过去信息安全从属于信息化的管理体制[1]。最后，中央网络安全和信息化领导小组的成员构成也从侧面反映了信息安全未来发展方向和主要任务，一方面，网络安全是国家安全的重要组成部分，涉及政治、经济、军事、外交、科技、金融、意识形态等方方面面。另一方面，互联网发展已经与工业、金融、通信等行业一样成为国民经济的重要支撑。发改委、央行、财政部、工信部等核心财经部委掌门人参与中央网络安全和信息化领导小组，意味着未来信息安全将在投资、财税、金融等各方面得到优惠和扶持，也为未来的经济发展提供了新的增长点。

中央网络安全和信息化领导小组的成立和运行标志着党和国家调整信息安全治理结构迈出的第一步，也终将成为我国信息安全管理历史上具有划时代意义的事件。然而，我们也必须清醒地认识到，信息产业不同于历史上以往的任何产业，信息安全管理也无章可循，尤其是在上网人数众多，网络普及速度惊人，信息产业发展喜人的中国，信息安全的治理结构还有很多尚待完善和加强的地方。比如，中央网络安全和信息化领导小组办事机构即中央网络安全和信息化领导小组办公室，由国家互联网信息办公室承担具体职责。国家互联网信息办公室主任兼任中央网络安全和信息化领导小组办公室主任，而国家互联网信息办公室则隶属于国务院，国家互联网信息办公室协调和动员中央网络安全和信息化领导小组成员的权限还不明确且无章可循，国家互联网信息办公室所发挥的影响作用尚待实践中进一步验证，此外，国家互联网信息办公室的职责中大部分与信息化建设有关系，信息安全的重要性没有明显的体现。

信息安全治理结构的建设之路刚开始，未来信息安全治理结构调整方向需从我国国情出发，借鉴先进国家的治理经验，可以总结为“一个坚持，两大支柱，三权分立”。“一个坚持”，即坚持中国共产党的领导，信息安全涉及到党、政、军及人大等国家机关，与每一个公民的生活息息相关，中国共产党有丰富的领导经验和充分的能力协调各国家机关之间的关系，兼顾到每一个公民的利益。“两大支柱”，即我国信息化进程初期采用粗放型的发展模式并取得了优异的成绩，随着信息化程度的提高，信息安全事件发生的频率越来越高，造成的损失会越来越大，信息安全也会愈发重要，信息化的发展产生了信息安全的需求，信息安全为信息化的良性发展保驾护航，两者是互补的关系。与信息化可能给组织直接带来经济利益不同，信息安全的收益是隐性的，难以直观地体现在组织的财务报表中。作为中央网络安全和信息化领导小组办事机构的国家互联网信息办公室以往的主要工作职责更偏重于对信息化过程中包括的所有问题进行监管，其中包括信息安全，信息安全仅仅是其中一小部分。这显然与中央网络安全和信息化领导小组成立的初衷还有差距，因此，国家互联网信息办公室管理体制的设置理应加大信息安全的份额，升级信息安全部分的管理权限，形成信息化和网络安全并驾齐驱的局面。“三权分立”即当前的国家互联网信息办公室同时负责政策法规制定和监管的职责，身兼裁判员、教练员的双重角色。未来的信息安全治理结构需要借鉴发达地区的经验，将政策法规制定、政策监管和政策执行等职责分开，形成相互制衡的局面，例如香港早在2000年4月就建立了由信息安全管理委员会（中央组织）、信息科技安全工作小组（执行部门）、政府信息安全事故应急办事处（支援机构）、政策局/部门（基层单位）四方组成的信息安全管理架构[2]。

二、完善信息安全法律法规

党的十八届四中全会提出了建设社会主义法治国家的总目标，强调依法治国的治国方略，互联网早已渗透到我国经济发展和社会进步的每一个角落，中国特色社会主义法治体系的建设和社会主义法治国家总目标的实现离不开依法治网的贯彻实施。互联网彻底改变知识传播和信息沟通形式，颠覆了300多年工业大生产的社会生活方式，互联网时代的知识增长和创新频率远远超过以往的任何时代，传统的立法方式通常会远远落后于信息化的实践，无论发达国家还是发展中国家。我国表现较为明显，首先，涉及网络安全的现行法律法规中，部门规章所占比例大，且在制定的规章中，纵向的统筹法律和横向的有机协调还不够。其次，我国网络法律结构单一，难以适应信息技术发展的需要和日益严重的网络安全问题。网络安全保护实践的依据多为保护条例或管理办法，缺少系统规范网络行为的基本法律，如《网络安全法》《网络犯罪法》《电子信息个人出版法》《电子信息个人隐私法》等。这些条例或管理办法更多使用综合性基本性条款，缺少具体的取舍性条款，难以适应技术发展和越来越多的网络问题。最后，我国现行的网络安全法律法规中，有的条款无法与传统的法律规则相协调。例如网络安全与个人隐私保护之间的争议，至今还没解决。

信息安全领域法律的缺位导致监管部门的处境较为被动。监管部门有时不得不使用临时的行政条例，监管的权威性就会大打折扣。另一方面，已有的法律条文已成为限制信息经济发展的重要瓶颈，比如个体隐私保护的条框就难以适应云计算的新技术。因此，当前依法治网对我国加快信息安全领域方面的立法进程提出了更为明确的要求。即：遵循互联网的规律，运用互联网思维，规范网络行为，打击网络犯罪，充当互联网发展的保护神和推动者，维护网络活力，避免阻碍和扼杀互联网的创新和发展。

三、加大信息安全人才培养

与涉及信息科学的其他专业相比，信息安全专业起步较晚，且受到的重视也远远不够，原因可能在于我国的信息化长久以来处于粗放型高速发展期，还无暇顾及信息安全。据教育部《普通高等学校本科专业目录（2012年）》，截至2015年6月，全国有77所普通高校开设信息安全专业，有26所普通高校开设信息安全专业方向的博士研究生，26所高校开始信息安全专业方向的硕士研究生信息安全专业，相对于信息安全的重要性远远不够（资料来源：http://www.chsi.com.cn）。

从学科设置上看，信息安全专业隶属计算机大类，非常容易落入计算机专业类的偏重密码学、信息技术的窠臼，忽略信息安全中最薄弱最关键的人的因素[3]。尽管在《高等学校信息安全专业指导性专业规范》中明确提出“信息安全学科是综合计算机、电子、通信、数学、物理、生物、管理、法律、教育等学科演绎而成的交叉学科”，却在课程设置上更加侧重于计算机、电子、通信、数学、物理等自然科学类，管理、法律、教育等人文社科类课程明显重视程度不够，从培养人才目标看，目前信息安全专业更倾向于培养信息安全领域的研究开发工作，而与组织信息安全更为密切更接地气的信息安全领域应用服务人才明显不足。因此未来信息安全专业需要站在更为广阔的视角，吸收融合管理学、法学、教育学等人文社科类的人才和师资，培养学生专业技术水平的同时，提升学生的人文社科素质，例如吸收借鉴管理学学科下的管理工程类、情报类专业成熟的人才培养目标和方式。另外，信息安全研究型人才和应用型人才的培养需要兼顾，尤其是鼓励以培养应用型人才为主的职业技术院校开设信息安全专业，促进信息安全事业朝着更加稳固的方向发展。

四、引导信息安全研发投入

从战略层面看，缺少自主可控的技术和能力是我国信息安全面临的最大隐患，棱镜门事件将我国网络空间的软肋暴露无遗。尤其是关系国计民生的关键信息基础设施及互联网领域的核心技术均被美国企业所垄断。从根本上改变网络空间领域的被动局面，一个关键举措是用自主可控的国产软硬件和服务来替代进口产品，把信息安全牢牢掌握在自己手中。经过多年的技术积累和储备，我国的高新技术企业完全有能力为网络建设提供安全稳定的技术设备。因此，通过税收优惠，政策补贴等方式加大信息安全领域的投资，提高信息安全产品国产化水平和利用率势在必行，幸运的是，我国政府已经采取相应的措施，例如，2014年政府采购目录中的操作系统和杀毒防护软件剔除国外品牌，增加了国内的产品。

高新技术企业流行着一句话“一流公司做标准，二流公司做技术，三流公司做生产”。这同样适用于信息安全领域。我国的信息化采用的后发优势，取得了卓绝的成就，但仅仅停留在做产品的层次，至多在技术上取得了长足的进步，与制定全球统一认可的标准还有很长的距离。当然，我国在参与国际标准制定上也有成功的案例值得借鉴，长期以来，国际电信标准被美标和欧标所垄断，我国抓住国际电信联盟向世界各国征集第三代移动通信技术标准的时机，提出TD-SCDMA标准，并跻身于3G时代的三大国际标准。2013年2月，工信部、发改委、科技部联合成立了“IMT-2020推进组”，提升我国的5G技术，我国在通信技术上积极投入和进步得到了国际社会的一致认可，2015年1月，国际电信联盟的秘书长被我国专家收入囊中，不出预料，未来的国际通讯标准不会没有中国企业的身影。因此，我国政府和企业需要紧盯网络升级和创新的时机，例如新的网络协议IPV6的实验和推广，抓住稍纵即逝的机会，参与到新一代网络标准的研究和制定中，从而能够保证我国在信息化时代从根本上保障信息安全。

五、结语

信息安全从宏观的战略层到具体落实的战术层是一项宏大复杂的系统工程，涉及到方方面面的人员，既包括政府官员、研究人员，又和每一个公民有着千丝万缕的关系。站在国家战略的视角上看，抓好顶层设计、理顺信息安全管理体制、制定可操作性强的法律法规，制定具有前瞻性的信息安全规章制度，加大信息安全人才培养力度，引导信息安全研究开发的投资支持力度等方面都会为信息安全的真正落实起到基础性的作用。

[1] 汪玉凯. 中央网络安全和信息化领导小组的由来及其影响[J]. 中国信息安全，2014(03): 24-28.

[2] 蒋汝勤. 香港信息安全管理启示录[J]. 保密工作, 2012(03): 47-48.

[3] 谢宗晓，林润辉，王兴起. 用户参与对信息安全管理有效性的影——多重中介方法[J]. 管理科学，2013 (03): 65 -76.

Information Security: The Perspective of National Strategy

Wang Xing-qi ( Center of Psychological Research and Counseling, Southwest Jiaotong University ) Xie Zong-xiao ( Business School, Nankai University )

Information security, which was regarded as national strategy, needs governance structure adjusting, perfecting laws and regulations, personnel training and information security research and development guide.

information security, supervising network according to law, governance structure, talent cultivation