摸索與突破

毛江華　胡　英

今年是中辦發(fā)27號(hào)文件（《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》）出臺(tái)的第三年：等級(jí)保護(hù)試點(diǎn)工作的啟動(dòng)、網(wǎng)絡(luò)信任體系建設(shè)工作的開展、電子政務(wù)安全試點(diǎn)工作的推進(jìn)……無不顯示出，2006年是實(shí)現(xiàn)國家信息化領(lǐng)導(dǎo)小組3年前提出的5年建立信息安全保障體系目標(biāo)最為關(guān)鍵的一年。

這一系列的法規(guī)、政策和技術(shù)實(shí)踐，既是中國信息安全建設(shè)的風(fēng)向標(biāo)，也是各行各業(yè)建立信息安全保障體系的重要指導(dǎo)，直接影響到信息安全產(chǎn)業(yè)和技術(shù)的發(fā)展方向。日前，本報(bào)總編輯董凱虹與國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組組長王渝次進(jìn)行了一次深入交流。

27號(hào)文件是里程碑

主要觀點(diǎn)

信息安全問題是長期挑戰(zhàn)；27號(hào)文件是中國信息安全建設(shè)的里程碑；我國的信息安全問題具有中國特色。

董凱虹: 這幾年來，大家普遍感覺到信息安全越來越重要，信息安全問題也越來越多了。作為國務(wù)院信息化工作辦公室主抓網(wǎng)絡(luò)與信息安全工作的政府官員，您怎么看這個(gè)問題？您感覺這幾年工作中面臨的最大困難是什么？

王渝次: 只要有信息化，就會(huì)有信息安全問題。信息技術(shù)的發(fā)展應(yīng)用，新業(yè)務(wù)、新功能的出現(xiàn)，都會(huì)不斷地帶來新的安全問題和風(fēng)險(xiǎn)。在信息化進(jìn)程中，信息資源共享、網(wǎng)絡(luò)互聯(lián)、信息公開與保密、個(gè)人隱私保密等之間的矛盾會(huì)長期存在，這是我們面臨的長期挑戰(zhàn)。

信息化是一個(gè)新生事物，信息安全更是一個(gè)新生事物。我們對(duì)此的認(rèn)識(shí)還不深刻，對(duì)其規(guī)律和發(fā)展趨勢還不能完全把握。在我國信息安全工作中的確還面臨這樣那樣的困難，技術(shù)問題、人才問題、標(biāo)準(zhǔn)問題、管理問題、法律問題，擺在我們面前的任務(wù)還很重，有的工作頭緒還很多。但27號(hào)文件等一系列重要政策性文件、中央領(lǐng)導(dǎo)的重視、方方面面對(duì)于信息安全工作的共識(shí)，使我們的信息安全工作有了成功的基礎(chǔ)和保證。

董凱虹: 有人認(rèn)為2003年27號(hào)文件的頒布是中國信息安全建設(shè)的分水嶺，您同意這個(gè)觀點(diǎn)嗎？為什么？

王渝次: 27號(hào)文件是中國信息安全建設(shè)的重要里程碑，不是分水嶺。我們所做的工作是對(duì)過去的繼承和發(fā)展。在27號(hào)文件出臺(tái)前，各有關(guān)部門也做了大量實(shí)實(shí)在在的工作，比如扶持一批安全企業(yè)，形成了一個(gè)產(chǎn)業(yè); 建設(shè)信息安全基礎(chǔ)設(shè)施; 加強(qiáng)了對(duì)互聯(lián)網(wǎng)安全的管理。

27號(hào)文件集中了各方面的智慧，總結(jié)了中國十多年來信息化建設(shè)和信息安全建設(shè)的經(jīng)驗(yàn)，在對(duì)信息安全的認(rèn)識(shí)上達(dá)到了一個(gè)新的高度。我們不再是分散地、就事論事地思考安全問題，而是從整體上去把握、去考慮涉及到信息安全建設(shè)的方方面面的問題。

27號(hào)文件明確了主要目標(biāo)、基本原則和任務(wù)措施，這就使得我們能夠全局在胸，按照既定的目標(biāo)，扎扎實(shí)實(shí)地去做工作，為5年基本建成國家信息安全保障體系而奮斗。

董凱虹: 中國信息安全和全球信息安全之間是一種什么樣的關(guān)系？

王渝次: 信息安全已成為國際性的技術(shù)和社會(huì)問題，是各國面臨的共同挑戰(zhàn)，如系統(tǒng)漏洞、網(wǎng)絡(luò)竊密、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、垃圾郵件、淫穢暴力信息和網(wǎng)絡(luò)違法犯罪等都是共性問題。但我國是一個(gè)社會(huì)主義大國，是在關(guān)鍵核心技術(shù)不掌握的情況下推進(jìn)信息化，其信息安全問題更加突出，具有中國特色。

在信息安全問題上，我們非常注意借鑒國外的信息安全實(shí)踐經(jīng)驗(yàn)，學(xué)習(xí)研究國外的先進(jìn)技術(shù)和理論，重視開展國際合作，積極參與信息安全領(lǐng)域的國際公約、規(guī)則和標(biāo)準(zhǔn)的制訂。

我國的信息化發(fā)展和信息安全建設(shè)為外國公司創(chuàng)造了一個(gè)很大的市場空間，提供了很好的發(fā)展機(jī)遇。一些國外企業(yè)也為我國的信息化發(fā)展做出了貢獻(xiàn)。我希望外國企業(yè)能更積極地參與中國的信息化建設(shè)，在求得自身發(fā)展的同時(shí)，還要注意了解我國國情，遵守我國法律的規(guī)定，承擔(dān)相應(yīng)的信息安全義務(wù)。

自主可控要依靠產(chǎn)業(yè)發(fā)展

主要觀點(diǎn)

信息安全工作要抓好頂層設(shè)計(jì); 高級(jí)技術(shù)和管理人才不足是制約我信息安全保障工作的重要因素。

董凱虹: 您個(gè)人感覺這3年來，國務(wù)院信息化工作辦公室對(duì)信息安全的認(rèn)識(shí)和操作，有一些什么樣的變化？我們主要做了哪些工作？

王渝次: 對(duì)信息安全的認(rèn)識(shí)是一個(gè)逐步深化的過程。27號(hào)文件在很大程度上統(tǒng)一了大家對(duì)信息安全的認(rèn)識(shí)。

信息安全界有一個(gè)重要的共識(shí)，就是信息安全工作要抓好頂層設(shè)計(jì)。具體講，政策、戰(zhàn)略、法律都是信息安全工作中非常重要的事情。目前，我們國家信息安全的政策框架已經(jīng)基本形成。除了27號(hào)文件外，我們還進(jìn)行了信息安全戰(zhàn)略的研究，并啟動(dòng)了信息安全立法工作——也就是信息安全條例起草和信息安全法的研究工作。

具體來講，有兩個(gè)重要變化:一是信息安全已經(jīng)有人來管，原來信息安全責(zé)任在信息中心，現(xiàn)在變成了責(zé)任在部門的主管領(lǐng)導(dǎo)，大家職責(zé)清楚，各負(fù)其責(zé); 二是實(shí)行等級(jí)保護(hù)，首先把最重要的事管起來，也就是明確重點(diǎn)、確保重點(diǎn)。在國家層面，首先是要保證關(guān)系到國計(jì)民生、社會(huì)穩(wěn)定、國家安全的系統(tǒng)安全。

董凱虹: 業(yè)界也普遍認(rèn)同，我國信息安全體系的框架從理論上已基本成型，但是，任何宏觀理論落實(shí)到微觀都會(huì)存在挑戰(zhàn)。我們遇到了哪些挑戰(zhàn)？采取什么樣的手段來迎接挑戰(zhàn)？

王渝次: 不掌握關(guān)鍵技術(shù)、高端產(chǎn)品主要靠進(jìn)口、高級(jí)技術(shù)和管理人才不足是制約我信息安全保障工作的重要因素。我們要下大決心、花大力氣加強(qiáng)關(guān)鍵技術(shù)的研究，支持信息安全產(chǎn)業(yè)發(fā)展，加快人才培養(yǎng)。

董凱虹: 您認(rèn)為我們現(xiàn)在離 “5年基本實(shí)現(xiàn)建立信息安全保障體系”的目標(biāo)還有多遠(yuǎn)？我們還有哪些工作需要做？

王渝次: 我們提出5年基本建成信息安全保障體系是指用5年左右的時(shí)間，全面落實(shí)27號(hào)文件提出的各項(xiàng)任務(wù)要求。我相信，這些任務(wù)的完成，將極大地提高我國的信息安全保障水平。但正如剛才我講到的，信息安全是一項(xiàng)長期的工作，舊的問題解決了，新的問題還會(huì)不斷出現(xiàn)。不能認(rèn)為，基本建成信息安全保障體系后，就沒有信息安全問題了。

經(jīng)過這3年的努力，27號(hào)文件提出的各項(xiàng)任務(wù)正在逐步落實(shí)。進(jìn)一步完善了信息安全協(xié)調(diào)機(jī)制，明確了責(zé)任分工；出臺(tái)了一系列的配套政策;制定了“十一五”信息安全專項(xiàng)規(guī)劃和技術(shù)發(fā)展規(guī)劃；開展了一系列的試點(diǎn)工作，包括信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)、等級(jí)保護(hù)試點(diǎn)、電子政務(wù)信息安全試點(diǎn)，進(jìn)一步加強(qiáng)了互聯(lián)網(wǎng)管理等。我們還將抓緊研究起草信息安全條例，研究制訂相關(guān)政策，包括促進(jìn)信息安全產(chǎn)業(yè)發(fā)展的政策。

董凱虹: 您怎么看政策法規(guī)對(duì)產(chǎn)業(yè)的促進(jìn)作用？您認(rèn)為政策法規(guī)應(yīng)該如何來扶持安全產(chǎn)業(yè)？

王渝次: 任何一個(gè)產(chǎn)業(yè)的發(fā)展都有其內(nèi)在規(guī)律，我們需要去研究這個(gè)規(guī)律。對(duì)信息安全產(chǎn)業(yè)，我們的態(tài)度是，凡是市場能管的就由市場去管; 凡是企業(yè)自己能做的事情，政府就不去干預(yù)。但是信息安全產(chǎn)業(yè)也有其特殊性，政府必須有政策、措施引導(dǎo)支持并實(shí)施必要的監(jiān)管，但要研究怎么管。對(duì)于一個(gè)市場化的產(chǎn)業(yè)，政府不能干預(yù)企業(yè)的內(nèi)部管理，不能管制太多，管制方法要得當(dāng)，否則，就會(huì)阻礙產(chǎn)業(yè)發(fā)展。

我認(rèn)為，在促進(jìn)產(chǎn)業(yè)發(fā)展的問題上，政府應(yīng)該著重做好兩件事情。一是創(chuàng)造市場需求，我們對(duì)信息安全管理提出的要求應(yīng)該轉(zhuǎn)化為拉動(dòng)產(chǎn)業(yè)發(fā)展的市場需求，比如我們應(yīng)該鼓勵(lì)使用國產(chǎn)的技術(shù)、設(shè)備和服務(wù)。二是要為產(chǎn)業(yè)發(fā)展創(chuàng)造一個(gè)良好的環(huán)境，我們要制訂相關(guān)政策，消除部門壁壘和地方壁壘，在規(guī)范市場的同時(shí)減輕企業(yè)不必要的負(fù)擔(dān)。

董凱虹: 中國安全企業(yè)的負(fù)擔(dān)的確很重，一個(gè)新的產(chǎn)品技術(shù)推向市場，往往要到有關(guān)部門拿上七、八個(gè)甚至十幾個(gè)許可證。我們的信息安全產(chǎn)業(yè)從上個(gè)世紀(jì)90年代中期起步，到今天依然處在幼稚期，和全球安全產(chǎn)業(yè)發(fā)展存在巨大的落差。您認(rèn)為我們的產(chǎn)業(yè)該如何實(shí)現(xiàn)突破？

王渝次: 我希望我們的信息安全企業(yè)能夠做大、做強(qiáng)、做長久，要有知名企業(yè)和自己的核心技術(shù)、自己的品牌。企業(yè)要高度重視信息安全服務(wù)，這是中國企業(yè)的強(qiáng)項(xiàng)，因?yàn)槲覀儗?duì)自己的國情最了解。國家也高度重視信息安全服務(wù)問題，正在研究對(duì)策措施，規(guī)范這一工作。目前，信息化中關(guān)鍵的核心技術(shù)和設(shè)備都是買人家的，如果運(yùn)營維護(hù)服務(wù)還靠別人，自主可控就會(huì)成為一句空話。

采訪手記：多說多做 不能出錯(cuò)

一般的看法認(rèn)為，少說少做少錯(cuò)，多說多做多錯(cuò)，不說不做不錯(cuò)。但是，王渝次的工作卻決定了他必須多說多做，卻不能出錯(cuò)。由于國務(wù)院信息化工作辦公室的特殊位置，王渝次及其同事向上肩負(fù)著給領(lǐng)導(dǎo)出主意的重任，向下承擔(dān)著給基層提要求的工作。

作為主管安全工作的領(lǐng)導(dǎo)，王渝次說得最多的卻是發(fā)展，然后才是安全。幾乎在每次公開場合，他都會(huì)反復(fù)強(qiáng)調(diào)：“信息安全是為信息化服務(wù)的，要以安全促發(fā)展，在發(fā)展中求安全。”“我們?yōu)槭裁匆鲂畔踩?？其根本目的還是在保障和促進(jìn)信息化發(fā)展。”

在王渝次看來，在我們國家信息化剛起步的階段，如果就安全講安全，問題肯定是一大堆; 如果一昧強(qiáng)調(diào)問題，不搞信息化的話，就是對(duì)國家、對(duì)歷史的不負(fù)責(zé)任。

王渝次坦承，安全問題防不勝防，永遠(yuǎn)沒有盡頭，做安全工作每天都要準(zhǔn)備出事，極具挑戰(zhàn)性。也正因?yàn)槿绱?，促使他必須去學(xué)習(xí)，去思考，不敢有一絲懈怠?！耙粋€(gè)人如果能在工作中充分發(fā)揮自己的主動(dòng)性、積極性，難道不是一件非常愉快的事情嗎？”王渝次反問記者。

學(xué)歷史出身的人一般都是不甘心寂寞的。在研究歷史人物的時(shí)候，或者會(huì)想，當(dāng)時(shí)我來干可能不是這個(gè)樣子。然而，當(dāng)真正站到那個(gè)位置，才會(huì)發(fā)現(xiàn)創(chuàng)造歷史不是那么容易。在這一點(diǎn)上，王渝次體會(huì)深刻。