信息是经济社会发展的重要战略资源。信息社会,数字化生存,信息安全至关重要。国际上围绕着信息的获取、控制和使用的斗争愈演愈烈,稍有不慎就可能造成巨大损失。采取有效措施防范和化解信息安全危机日益成为信息社会的焦点。
信息安全关系国家发展战略。信息化带来了巨大便利和空前机会,但信息风险也如
信息安全就是要保障信息的有效性。在信息化发展日新月异的同时,信息安全问题也呈几何级数增长,黑客和病毒给网络带来了前所未有的挑战。信息安全是一项包括技术层面、管理层面、法律层面的复杂系统工程。它涉及到信息的保密性、完整性、可用性和可控性:保密性指对抗对手的被动攻击,保证信息不泄漏给未经授权者;完整性指对抗对手主动攻击,防止信息被未经授权加以篡改;可用性指保证信息及信息系统确实为授权使用者所用;可控性指对信息及信息系统实施安全监控。信息安全是目前世界上炙手可热的研究热点。信息安全理论与技术主要包括:黑客防范、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、人工免疫系统在反病毒和抗入侵系统中的应用等。相应的安全产品也从防病毒、防火墙、入侵监测、VPN等单一产品走向整体化。
信息安全以风险大小来衡量。信息安全是信息基础设施中不可分割的一部分,在设计网络结构时就应对网络信息安全进行科学分析,并采取适合现状而且可扩展的安全防护措施。这样可使不可预期的网络危机转变为可预防、可控制,从而有补救方案的安全防护,降低信息安全危机。信息系统的安全性可以通过风险大小来衡量,网络信息系统的安全建立在风险评估的基础上,这是信息化建设的内在要求。根据世界经合组织制定的信息系统安全准则,科学合理的信息安全策略,应建立在专门的信息风险评估基础上。信息风险评估的主要内容是确保信息的有效性和相应业务的连续性。信息系统主管部门和运营、应用单位应做好相应的信息安全风险评估。当然,安全和效率常常互相矛盾,应在安全和效率之间统筹兼顾。科学分析系统的保密性、完整性、程序性等方面所面临的问题,发现危险的主要位置,在风险的预防、减少、转移、补偿和分散上有的放矢,采取针对性措施,以最大限度地控制和化解安全风险,同时,也可有效地提高信息系统的效率。
树立正确的信息安全理念。信息安全与国家安全、民族兴衰和战争胜负息息相关。在任何情况下都要确保网络管理、网络控制和网络政策制定的自主权。要将信息安全提高到战略高度来认识和部署。培育网络道德规范,筑牢全社会信息安全基础。凡涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离;凡涉及国家秘密的信息,不得在国际联网的计算机信息系统中存储、处理、传递;不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息,等等。要发动社会力量参与保障网络安全,重视发挥高校和社会科研机构的力量,重视公民的网络安全意识教育,在全社会普遍树立信息安全理念。
完善适合国情的信息安全法规。防范和化解信息安全问题,要完善法律法规,依法加强管理。国家信息安全保障体系通过制定信息安全标准与信息安全法规来运作。法律法规是保障信息安全不可缺少的有力手段。发达国家已经在信息安全立法方面积累了成功经验,如美国的情报自由法和阳光下的政府法、英国的官方信息保护法、俄罗斯的联邦信息、信息化和信息保护法等。要吸取和借鉴国外网络信息安全立法的先进经验,结合信息安全和信息保障发展战略,加快立法进程,完善我国的信息安全法律体系,使信息安全管理走上法制化轨道。执法部门要提高执法水平,严格执法,依法打击各种危害信息安全的犯罪活动,确保各项信息安全法律法规落到实处。
总之,信息安全的威胁是客观存在的,但信息风险是可以控制和规避的。只要提高信息安全意识,加强信息安全法制建设,完善信息安全体系,就能有效防范和化解信息安全危机,确保信息社会持续健康发展。 (作者单位:国务院机关事务管理局)