□ 文 张玉芳

人们对信息的需求和信息技术的飞速发展，促成了由计算机技术和通信技术结合发展起来的网络技术，由此支撑着的既“虚拟又实在”的网络空间呈迅速蔓延之势。它的出现超过人类迄今为止任何一项科技对人类社会影响的深度和广度。架构在现实世界之中的“虚拟空间”，人们参与其中形成了网络空间社会。

回顾二十多年的发展历程，我国互联网始终保持健康快速发展的良好态势，并将持续发挥对经济高质量发展的引领作用。我国互联网普及率的持续提升和充沛的互联网基础资源保有量，为互联网蓬勃发展提供了土壤。从1997年到2018年，我国网民数量从62万增长至8.29亿，互联网普及率从0.03%增长至59.6%，网站数量从1500个增长至523万个。截至2018年12月，我国域名总数为3792.8万。这些数据充分表明，我国互联网运行总体平稳、稳中有进的态势没有改变，发展的潜力依然巨大。

信息技术的发展与广泛应用，已经深刻地改变了人们的生活、生产与管理方式，对推进国家现代化、推动社会文明的发展，发挥着日益重要的作用。由于信息技术本身的特殊性，因此在整个信息化进程中，也带来了巨大的信息安全风险。信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面。

一、当前我国“信息安全”面临的挑战

随着我国融入世界经济发展的大循环中，我国面对的是一个更加开放的数字化、网络化和信息化的发展环境。经济全球化以及信息技术与网络技术的高度融合发展，在给我国带来难得的发展机遇的同时，也对我国的信息安全提出了严峻的挑战。

1.政治安全：当前全世界都在面临着三种势力（分裂势力、极端宗教势力和恐怖势力）的威胁。这些势力如果利用国际交通、通讯以及金融设施来扰乱国内正常的社会生活或进行恐怖袭击，会严重威胁我国的国家安全，破坏国家主权与领土完整，导致社会混乱与动荡。

2.科技安全：有的国家还通过非法获取和改动他国信息，如通过制网权和技术优势侵入他国核心部门网络，窃取信息或采用计算机病毒销毁他国信息。目前我国进口的大量信息产品，包括软硬件、网络和操作系统的核心系统和编程逻辑都掌握在进口国手中。有关国家完全可以凭借技术优势搞信息霸权，对我国的国家安全造成威胁。

3.文化安全：信息技术和传播媒介的发展，一方面加速了各种文化的传播和相互吸收与融合；另一方面也使一个国家的文化道德、文化准则和价值观念受到冲击。在网络信息的影响下，人们的价值观念和生活方式将会发生偏移，人们对本民族的归属感日益淡化，心理上的国家界限也趋于模糊。

总之，现代的信息安全涉及个人权益、企业生存、金融等方面的风险防范等。它是网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。

二、信息安全的属性

安全基本含义可以解释为客观上不存在威胁，主观上不存在恐惧。什么是信息安全?国内外对信息安全的论述大致可以分成两大类：一类是指具体的信息技术系统的安全；而另一类则是指某一特定信息体系（如一个国家的银行信息系统、军事指挥系统等）的安全。但有人认为这两种定义均失之于过窄，而应把信息安全定义为：一个国家的社会信息化状态不受外来的威胁与侵害，一个国家的信息技术体系不受外来的威胁与侵害。

信息安全首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下，是否稳定的问题，其次才是信息技术安全的问题。所谓“信息安全”，在技术层次上的含义就是保证在客观上杜绝对信息安全属性的安全威胁使得信息的主人在主观上对其信息的本源性放心。

信息安全有哪些属性?

不管信息入侵者怀有什么样的阴谋诡计、采用什么手段，但他们都要通过攻击信息的以下几种安全属性来达到目的。信息安全的基本属性有：

1.完整性（integrity）：完整性是指信息在存储或传输的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。对于军用信息来说，完整性被破坏可能就意味着延误战机、自相残杀或闲置战斗力。破坏信息的完整性是对信息安全发动攻击的最终目的。

2.可用性（avaliability）：可用性是指信息可被合法用户访问并能按要求顺序使用的特性，即在需要时就可以使用的信息。对可用性的攻击就是阻断信息的可用性，例如破坏网络和有关系统的正常运行就属于这种类型的攻击。

3.保密性（confidentiality）：保密性是指信息不泄漏给非授权的个人和实体，或供其使用的特性。军用信息的安全尤为注重信息的保密性（相比较而言，商用信息则更注重于信息的完整性）。

4.可控性（controlability）：可控性是指授权机构可以随时控制信息的机密性。美国政府所提倡的“密钥托管”、“密钥恢复”等措施就是实现信息安全可控性的例子。

5.可靠性（reliability）：可靠性指信息以用户认可的质量连续服务于用户的特性（包括信息的迅速、准确和连续地转移等），但也有人认为可靠性是人们对信息系统而不是对信息本身的要求。

三、信息安全综合治理模型

信息安全可以从面向数据的安全和面向使用者的安全两个维度去考量。面向数据的安全概念是信息的保密性、完整性和可用性；而面向使用者的安全概念则是鉴别、授权、访问控制抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护。这两者的结合就是信息安全体系结构中的安全服务。而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒和防黑客入侵等安全机制措施加以解决。其中，密码技术和管理是信息安全的核心，而安全标准和系统评估是信息安全的基础。

信息安全可分为技术安全、监察安全、管理安全、立法安全、认知安全，即本文提出的信息安全治理模型（如图1所示）。

技术安全包括实体安全软件安全、数据安全、运行安全；监察安全包括监控查验（发现违规、确定入侵、定位损害和监控）和犯罪起诉（起诉、量刑）；管理安全包括技术管理安全、行政管理安全和应急管理安全；立法安全即有关信息安全的政策法令、法规；认知安全即有关信息安全的宣传和教育。

基于上述模型，参考国际标准，在建设国家信息基础设施时就应当都要遵从的九项原则：

图1 网络与信息安全治理模型

负责原则：网络的所有者、提供者和用户以及其他有关方面应当明确各自对信息安全的责任。

知晓原则：网络的所有者、提供者和用户以及其他有关方面应当能够了解网络安全方面的措施、具体办法和工作程序。

道德原则：在提供和使用以及保障网络安全性时应当尊重他人的权利和合法的权益。

多方原则：网络安全方面的措施、具体办法和工作程序应当考虑到所有相关的问题，其中包括技术、行政管理、组织机构、运行、商业、教育和法律等方面的问题。

配比原则：安全水平、费用以及安全措施、具体办法和工作程序应当与网络的价值和可靠程度以及可能造成损害的严重程度和发生概率成合适的比例，即适度安全原则。

综合原则：网络安全方面的措施、具体办法和工作程序之间应当相互协调一致，而且与其他措施、具体办法和工作程序互相协调一致。

及时原则：国内外机构都应当及时协调一致来保障网络的安全。

重新评价原则：定时对网络的安全措施重新进行评价。由于当前高科技的发展速度十分迅速，有些安全措施没过多久就会过时，甚至完全失效，因此在过一段时间之后，必须对已有的安全措施作一次全面的评审，以期跟上技术的发展。

民主原则：网络的安全应当兼顾信息和数据的流动和合法使用，并相互兼容。

为了构筑21世纪的国家信息安全保障体系，有效地保障国家安全、社会稳定和经济发展，要使我们的信息化现代化的发展不受影响，就必须克服众多的信息安全问题，以化解日益严峻的信息安全风险。要长期致力于增强广大公众的信息安全意识，提升信息系统研究、开发、生产、使用维护和提高管理人员的素质和能力。尽快培养信息安全方面的专门人才，加大信息安全教育的普及力度，树立国民的信息安全意识，建设好国家的信息安全防线。■