导论

研究背景和目的

信息作为一种资源，具有普遍性、共享性、增值性等基本属性，对于人类活动具有特别重要的意义。自从有了人类社会，就有了信息安全问题。广义上的信息安全是指信息收集、处理、存储、传输和使用等信息生命周期各环节的安全。但其本质是信息资源的安全，防范的要点是网络基础设施的安全。信息安全通常包括：信息设施及环境安全、数据安全、程序安全、系统安全。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须重视的问题，是一个不容忽视的国家安全战略。在信息化大背景下，这一问题尤其突出。

随着我国社会经济的发展与改革开放的不断深化，日益繁多的事情托付给计算机来完成，信息量急剧增加，敏感信息正经过脆弱的通信线路在计算机系统之间传送。国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦察机、卫星等设备，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，以截取我国通信传输中的信息。

社会的高速发展，必然带来海量的数据。面对日益增长的数据量和越发复杂的业务处理过程，社会各个领域越来越依赖信息技术系统。例如，制造企业的ERP系统、铁路生产运营管理系统、城市轨道交通控制系统、网上银行系统，以及各类电子商务和电子政务系统等。

按照信息生命周期理论，信息安全涉及信息的采集、加工、存储和传输多个环节，任何一个环节出现漏洞，均可能使整个技术系统瘫痪或导致信息资源的丢失。但在所有的环节中，网络的安全尤其重要。在全球信息化和经济全球化背景下，企事业单位需要依托网络进行内部协作，政府部分需要通过网络采集和发布政务信息，世界范围内的转移资金需要依靠金融信息网络，国家的整个军用，以及电话、电力、交通等民用基础设施管理与运营也都离不开计算机网络。网络成为国家控制经济和安全的不可缺少的技术手段，其持续安全的运转是维系社会秩序的先决条件。可以说，网络不仅是信息传递的工具，更是控制系统的中枢，它是保证信息安全的重要技术手段。互联网具有广泛的互联、互通和开放性。在以互联网为主要支撑技术的信息社会中，信息空间活动主体的身份表现出了“虚拟化”的特征，主体的身份主要以数码为识别标志，主体人格也相应地表现出虚拟化特点。这种身份数字化趋势，使人们难以根据数码信息的指示来确定真正用户的真实身份，在许多情况下难以判断网络活动的主体归属，从而出现了许多与信息空间内主体身份特征有关的新问题。加之，公用和私人网络互联，军用和民用网络互联，各国之间的网络都已联为一体，各类用户数量极大，使得攻击源呈现出多样性的特点，信息安全防范的难度巨大。

与以往的信息安全不同，信息时代的信息安全问题随着信息技术的飞速发展和广泛应用而凸显出来，并渗透到了社会的方方面面。它涉及的主体是全体社会成员，包括政府、企业、事业单位、团体和个人；它的时域是一个长期的过程；它的空域是政治、经济、文化、军事和社会的一切领域。系统地研究国家信息安全的基本理论和保障方法，分析国家信息安全存在的问题和改进措施，正确把握国家信息安全发展战略和趋势，对于我国的国家安全、社会稳定和构建社会主义和谐社会都具有重要的现实意义。

经过多年的发展，对信息安全技术的研究已有较成熟的理论体系和研究范式。但当今社会，信息安全不单单是一个技术问题、局部问题，它已上升为事关国家安全和社会稳定的全局性战略问题。由于互联网发展在地域上的极不平衡性，信息强国对于信息弱国已形成了“信息势差”。西方发达国家凭借在网络技术和网络资源方面的优势，使西方语言成为互联网上的“流行语”，信息资源配置呈现“二八分布”的格局，全世界不到20%的人口占有了80%的信息资源，而80%的人口只享用了不到20%的信息资源。同时，信息流通不对等、不公平、不公正，众多发展中国家不能主动、有效地传播自己的信息并及时、充分地分享所需要的信息。西方发达国家正在借其信息软实力，传播其文化和价值观，剥夺了其他国家说话的权利，进而影响其他国家国民的思想，甚至国家的战略议程和主题。其他国家特别是一些发展中国家的传统文化因此被颠覆，话语权被剥夺，信息传不出去、传出去的被歪曲，数据采不进来、采进来的靠不住。

因此，站在更高的层次而非单纯的技术视角，全面系统地研究国家信息安全问题，并提出应对策略，不但必要而且急迫。信息时代的国家信息安全问题是一个复杂的系统工程，涉及政治、经济、文化、法律、军事各个方面，本研究的主要目的是站在前人肩膀上，重点解决两个问题：一是从全球信息化和经济全球化大背景下出发，构建国家信息安全的理论体系构架；二是从产业安全的视角，构建国家信息安全问题的研究范式，从而为今后的各种专题研究提供理论与方法。

主要研究内容

本书分为三篇：

第一篇，国家信息安全理论研究，包括4章：信息化与信息安全、信息安全的概念解析、信息安全管理与技术、信息安全评估。第二篇，国家信息安全问题分析，包括2章：中国国家信息安全基本问题、中国信息安全产业。第三篇，国内外信息安全战略与体系比较研究，包括2章：国外信息安全战略与体系和中国国家信息安全战略与体系。

第一篇

第一篇中，我们介绍了信息和信息安全的概念、信息安全管理技术，以及信息安全评估。我们将信息定义为“信息是经过加工的数据，是有一定含义、能减少不确定性、对决策或行为有现实或潜在价值的数据”。信息的类型及其表现形式多种多样，千差万别，按地位可分为客观信息、主观信息；按作用大小可分为有用信息、无用信息、干扰信息；按载体性质分为电子信息、光电信息、生物信息；按应用部门又可划分为工业信息、农业信息、军事信息、政治信息、科技信息、文化信息、经济信息、市场信息、管理信息，等等。信息与其他资源一样具有生命周期，从信息的产生到最终被使用发挥作用，可将信息的生命周期分为需求、收集、传输、处理、存储、维护、使用和退出等过程。

信息安全的概念是在不断变化、发展、完善的，其含义从当初单纯的通信保密、信号安全，发展到计算机安全和信息安全，从起初的军事领域和军队等特定群体迅速地扩展到了信息化时代社会生活的方方面面。信息安全的目标从最初的作战信息保密，发展到了信息在各环节的完整性、可用性、可控性和不可否认性；由最初的“防止泄密”发展成为防范、监测、管理、评估、控制、攻击等多方面的基础理论和实施技术。目前，它正在向鉴别、授权、访问控制、抗否认性以及个人隐私、知识产权等的保护等方向不断扩展。信息安全的研究也由原来的密码学扩展到了包含计算机科学、管理信息系统、法学、心理学、社会学等诸多学科领域。综上所述，广义上的信息安全是指信息收集、处理、存储、传输和使用等信息生命周期各环节的安全。但其本质是信息资源的安全，防范的要点是网络基础设施的安全。

对于一个国家来说，信息资源是国家重要的战略资源。特别是在当今信息时代，信息资源的争夺成为了各国资源争夺的焦点。随着信息化的不断发展，国家信息安全在国家安全中的地位越来越高，国家的信息安全问题也伴随着网络信息技术的发展与成熟而成为关系着国家安全问题的最突出问题。

什么是国家信息安全，学术界至今没有形成统一的定义。代表性观点主要有两个。一种观点认为，国家信息安全指的是一种状态，即国家行为主体认为特定的信息基础设施、特定的信息流动以及国家对于上述设施和信息的控制能力不面临威胁；另一种观点认为，国家信息安全是指维持国家政治、经济、科技、军事、文化、社会生活等系统不受内外环境威胁、干扰、破坏而正常运行的状态。本书对国家信息安全给出的定义是：国家信息安全指整个国家信息系统的稳定与有序，国家的信息化状态、信息技术体系以及国家政治、经济、科技、军事、文化、社会生活等系统不受内外环境的威胁和侵害。

当国家信息安全出现问题时，会严重地影响到国家的政治、经济、军事和文化等方方面面，并最终危及国家安全。

首先，会威胁到国家政治安全。在全球信息化背景下，任何一个国家都可以利用网络信息技术向他国“灌输”符合自身利益的意识形态，或者利用互联网大范围地传递一些影响他国国家形象的信息，达到破坏甚至颠覆他国政治稳定、社会和谐的目的，严重威胁国家的政治安全。

其次，会威胁到国家经济安全。一些个人、团体甚至一些敌对国家政府有组织地在利用网络技术进行经济交易诈骗、金融诈骗等非法活动，对国家金融系统进行攻击，非法获得国家经济安全信息，这些网络非法活动会对国家的经济造成直接的损失，对国家经济安全造成重大威胁。

再次，会威胁到国家军事安全。随着军队现代化进程的加快，大量的网络信息技术被运用到军事系统中来。这些措施在大幅度提高军队作战能力的同时，也使得军事系统面临遭受包括计算机病毒、网络黑客等各方面攻击的危险，使国家间大规模、有组织的开展信息战成为可能，军事安全性将面临着前所未有的危机。

最后，会威胁到国家文化安全。互联网等信息技术的普及应用，提高了国家间文化交流的效率，但同时也给一些犯罪分子或敌对势力侵犯他国的文化提供了便利，比如西方一些国家利用其发达的网络信息技术向我国输送西方资本主义所谓的“人权”等一系列的思想文化意识、价值观念，以颠覆我国目前的这种社会主义的思想文化意识形态。另外，对一些非英语国家而言，英语在网络中的广泛运用无疑也是对其文化的重大威胁。

在整个信息安全保障体系建设中，信息安全管理发挥着重要作用，它是信息安全体系建设的重要基础。概括来讲，信息安全管理的主要目标是使信息资源的拥有者持续地维护所控制的信息，保障信息的可用性、可靠性、准确性、时效性和传播性，防止信息受到无意的或人为的泄露和破坏。信息安全管理一般应包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、安全意识培训等一系列工作。信息安全技术包括防火墙技术、虚拟专用网络技术、入侵检测系统技术、身份认证技术、数字签名技术和加密技术等。

信息安全是一个综合、交叉学科，其中涉及数学、物理、通信和计算机等诸多学科的理论知识。它既不是安全技术产品的简单堆砌，也不等同于若干管理制度和安全标准，而是一项复杂的系统工程——信息安全工程。

信息安全工程就是以信息技术为基础，以信息安全管理为手段，以信息安全法律法规为保障的系统工程。信息安全工程作为系统工程的一个子集，是系统安全工程、系统工程和系统获取在信息系统安全方面的具体体现。用系统工程的观点、方法，综合运用计算机、网络、信息技术、信息安全技术与防护、安全策略、信息安全管理、信息安全法律法规、计算机犯罪等不同领域理论，来对待、处理并解决信息安全问题。其总的指导思想是将安全工程与信息系统开发集成起来。

信息技术的发展和信息安全问题是一对矛盾体，人们在享受信息技术带来巨大便利的同时，也不得不承受由此带来的各种安全问题。信息安全问题现已上升到了维护国家安全和社会稳定的高度。保证信息安全的目标主要体现在保障信息的保密性、完整性和可用性等方面。风险评估是安全建设的出发点和主要技术手段，为了保证信息安全，必须对这一问题进行系统的研究。

第二篇

第二篇对我国的国家信息安全问题进行了详细的分析，包括从电子政务、电子商务、一般企业、国家基础设施的信息安全方面全方位地对我国国家信息安全问题进行阐述和分析，还对我国信息安全产业的环境、发展趋势和保障措施进行了分析。

电子政务的信息安全是指政务数据信息在产生、接收、分发、处理、存档等信息生命周期全过程中有可能被破坏完整性、正确性、精确性和被窃取。它涵盖了整个信息环境的各个方面，包括信息网络、信息内容、信息应用、媒体、通信基础设施等。还可以将其定义为由信息系统、网络技术与国家安全因素的相关性所构成的国家安全的一种态势。这种态势描述了国家免受来自网络的意外事件或恶意行为威胁信息安全的能力和以信息手段维护国家综合安全的能力。目前我国电子政务的信息安全存在的具体问题具有一定的代表性：硬件和软件的对外依赖性；各级政府网站中存在的系统漏洞和管理漏洞；安全立法和标准体系的欠缺。之后，我们从税务、金融、财政、海关和政法的具体情况出发进行分析，得出该行业存在的信息安全具体问题。

电子商务信息安全与电子政务相比，又有了新的特征。目前我国电子商务信息安全的主要问题是：计算机系统和通信网络本身存在的安全问题，例如黑客、病毒、网络和系统故障，等等；商务软件中存在的安全漏洞，这样的漏洞加上操作系统本身存在的漏洞，使得商务安全遭受巨大的威胁；交易中的身份认证问题，例如，钓鱼网站诈骗是典型的身份认证骗局；电子商务立法和安全标准滞后，我国目前在电子商务交易中产生的问题存在着原有法律条文没有涉及或者有涉及但不完全适用的情况。

企业信息安全具有以下两个特征：首先，信息安全具有级别性，企业内部工作人员根据其职位职级对信息情报有着不同程度的访问权和修改权。其次，信息安全的对立双方是不对称的，信息安全符合“短板效应”。只要企业中有一处漏洞和薄弱环节，就可能引发严重的安全事故，因此要维护信息安全，需要系统地建立一整套机制。

国家基础设施是指保证国家政治、经济、国防和社会各领域有效运行的基础设施，涉及电信、广电、金融、电力、能源、民航、交通、政府、国防等国家系统和资产。我们主要介绍国家基础设施的发展概况，并分析其中存在的信息安全问题。

近年来，中国信息安全产业发展迅猛，除产业规模稳步增长之外，企业实力增强、人才队伍不断壮大，涌现了市场竞争能力强的企业，有多家企业已经成功上市，这些企业先后参与了承担北京奥运会、上海世博会、广州亚运会的信息安全保障工作。

我国信息安全产业快速发展的同时，仍面临诸多挑战：产业整体相对弱小，关键产品和高端服务依赖进口，对国家信息安全保障的支撑能力需要进一步提升；产业核心技术积累不足，创新能力急需提升，缺乏引领产业发展的大企业，行业内的收购整合不可避免，缺乏技术创新、服务能力和独特商业应用模式的企业将逐步被淘汰；高端信息安全人才不能满足产业快速发展的需要；国家信息安全标准仍不完善，市场竞争急需进一步规范，管理体制迫切需要调整优化，产业发展环境有待完善。

国家关于信息安全等级保护的政策以及以运营商、金融机构为代表的行业安全合规规定的出台，标志着行业风险管理正在走向规范化，合规审计等产品需求快速增加，市场逐步走向成熟。政府对自主安全产业的扶植政策，尤其是在政府采购上对我国具有自主知识产权安全产品的倾斜政策，将为国内信息安全产品厂商创造更好的产业生存和发展环境。

“十一五”期间，我国信息安全标准化工作有序推进，初步建立了信息安全标准体系框架，形成了覆盖信息安全基础、技术、管理、测评等领域的支撑国家信息安全保障体系建设的国家标准，信息安全产品认证认可体系逐步完善。围绕国家信息安全保障体系建设，我国信息安全标准化体系已经取得一定的成果，为国家重大信息化工程和信息安全保障体系建设提供了重要的标准支撑。

第三篇

第三篇介绍了美国、俄罗斯、欧盟和其他一些国家的信息安全战略与体系，并提出我国信息安全保障体系的建设架构。

作为互联网的发源地，美国对信息安全问题的关注早在20世纪80年代就已经开始。而今，作为世界首屈一指的信息强国，美国的国家信息安全体系相较于其他国家来说是比较先进与完善的。管理体系、技术体系和评估体系之间的相互结合补充使得整个体系能够始终保持稳定性、安全性和高效性。

俄罗斯制定和执行了一项综合的信息安全战略：设立了专门的机构，自20世纪末出台了一系列相关政策，对信息安全予以足够的重视，随后制定一系列法律法规和标准，使信息安全得到了一定的保障。尤其是普京的《国家信息安全学说》发表之后，俄罗斯对于国家信息安全的保护已经提升到战略高度。

相比于俄罗斯，欧洲的信息技术起步时间几乎与美国持平，这就给欧洲各国的信息化提供了一定的优势。自1993年欧盟正式诞生以来，欧洲各行业中信息化方面的投资已经占据了生产力增长的一半，并且成为今后欧盟经济发展的主要推动力。因此，欧盟在实现信息化的道路上仍面临很多挑战，保证信息安全也得到了欧盟各个成员国的高度重视。

根据《2006～2020年国家信息化发展战略》的要求，国家信息安全战略目标可以确定为：逐步建立和完善适应信息化发展的信息安全保障体系，全面提高国家信息安全保障能力，提高对信息安全的管理、防范、控制能力，确保基础网络、重要信息系统和信息内容的安全，促进国家信息化建设健康、稳步地发展，维护国家安全、社会稳定和公众合法权益。

国家信息安全保障体系是多层面、多方位的，它的建设工作应当有总体规划，应当有全局意识。在新时期、新形势下，新技术、新应用层出不穷，新问题、新挑战不断涌现，各方面的信息安全保障工作，亟待作出战略部署，需要加强协调，形成整体，形成合力。国家信息安全的保障体系需要围绕以下细节全面建设，具体为：要健全信息安全法律体系、构建信息安全标准体系、提升信息安全技术能力、落实信息安全监管责任、重视信息安全应急体系、加强信息安全学科建设。