《現代國際關系》2005年第4期
[編者按]
全球信息化方興未艾,中國信息化進程勢頭良好。隨著信息化的快速發展,信息安全問題日益增多。隨著信息網絡覆蓋範圍的擴大,信息安全問題的影響和後果也隨之增加。信息安全在維護國家安全中的作用越來越突出,是國家安全的重要組成部分。由於信息化發展的不同階段和特點,不同國家面臨不同的信息安全問題。分析和研究其他國家信息安全保障的經驗和做法,有利於促進我國信息化的健康發展,加強信息安全保障。本次對話討論了信息安全的概念、信息安全在國家安全中的地位、信息安全的重大問題以及國外和國內的信息安全保障,其中的觀點和看法供讀者參考。
主持人:中國現代國際關系研究院安全與戰略研究所副所長、研究員俞曉秋。
參加人員:張莉,安全與戰略研究所危機管理研究中心主任,副研究員。
唐蘭,安全與戰略研究所信息與社會研究室副主任
章小蕙安全與戰略研究所。
張欣,安全與戰略研究所
李彥,安全與戰略研究所
第壹,重要性突出
於:大家好!今天我們來討論壹下國家信息安全研究中的壹些基本問題,比如為什麽要高度重視國家信息的安全;如何理解信息安全的概念及其演變;信息發達國家如何認識和保障國家信息安全:當前信息安全最突出的問題和信息安全領域國際合作的難點是什麽?中國應該如何加強信息安全等等。
張:我先說幾句。眾所周知,近年來,我國信息化進程不斷加快,基礎網絡、重要信息系統等基礎設施基本建成;信息產業成為國民經濟第壹大支柱產業,對經濟增長的貢獻率居其他產業之首;固定和移動通信用戶達到5億多戶,互聯網用戶攀升至6543.8億多戶。電子商務和電子政務建設紮實推進;下壹代互聯網Ipv6試驗網已經開通,通信網、有線電視網、互聯網走向“三網融合”是大勢所趨。這些都標誌著我國信息化進程已經從全面推進基礎設施建設階段轉向大力加強信息資源開發利用的新階段。壹方面信息化快速發展,另壹方面信息安全問題逐年增加。
於:可以說沒有信息化就沒有信息安全問題,兩者是齊頭並進的。另壹方面,信息安全的特點、問題和影響會隨著信息發展的不同階段而有所不同。總的趨勢是:隨著信息化發展的加快和信息化覆蓋面的擴大,信息安全問題將越來越復雜,其影響和後果將不斷擴大和更加嚴重。發達國家在信息技術方面有著深刻的理解和經驗。因此,在加快信息化發展的過程中,高度重視、深入研究並有效解決國家信息安全面臨的壹些重大問題,對於保障我國國民經濟和社會信息化健康穩定發展,促進社會主義政治文明和精神文明建設,逐步實現小康社會發展目標,具有十分重要的意義。
張欣:與中國信息化發展加速相對應的是,全球信息化進程方興未艾。1993年9月,美國副總統戈爾正式提出了國家信息基礎設施項目(NII)。次年9月,他提出(GII)倡議,將各國NII聯系起來,實現全球信息共享的“全球信息基礎設施”建設。1995年2月,歐盟主辦了七國集團關於信息社會的西方部長級會議,支持GII倡議,討論了“全球信息社會”(GIS)的議題,並成立了全球信息基礎設施委員會。1996年5月,在南非召開了後續會議,即信息社會與發展會議部長級會議,有許多發展中國家參加。2000年7月,八國集團沖繩峰會發表了《全球信息社會沖繩憲章》,主張推動全球信息通信技術的發展,縮小各國和各地區在信息技術發展方面的差距。2003年6月5日至2月5日,在聯合國的支持下,國際電信聯盟在日內瓦召開了信息社會世界首腦會議第壹階段會議(WSIS),並通過了關於如何促進全球信息化發展的《原則宣言》和《行動計劃》。今年165438+。在第壹階段會議通過的文件中,已經明確提出了加強信息安全和信息安全文化的重要性。唐:是的。經過10多年的全球信息基礎設施建設,國際社會開始關註“全球信息社會”建設的原則、標準、規則和治理。其中,全球信息化進程中的安全問題備受關註。例如,在第55屆聯合國大會第三委員會第81次全體會議上,以“打擊非法濫用信息技術”為議題通過了第63號決議,在第56屆聯合國大會第壹委員會第68次全體會議上,以“從國際安全角度看信息和電信領域的發展”為議題通過了第533號決議,呼籲會員國考慮信息安全在各個層面面臨的現有和潛在威脅,並采取行動遏制和消除威脅,加強。2003年6月5日至38日+2月舉行的信息社會世界首腦會議的《原則宣言》也明確指出,加強包括信息安全、網絡安全、隱私保護和消費者信任在內的框架是發展信息社會和增強用戶信心的先決條件,應促進、發展和實施全球網絡安全文化。至於美國、日本等信息發達國家對本國信息安全的重視程度,大家都很清楚,這裏就不多說了。
張力:今天,信息安全問題已經直接涉及和影響到政治、經濟、軍事、文化等各個方面。由於信息技術發展的不平衡,信息富國和信息窮國之間的“數字鴻溝”正在不斷擴大。弱國在政治、經濟、軍事乃至文化上面臨著前所未有的沖擊、挑戰和威脅,信息技術成為信息強國在新世紀謀求霸權的武器。在信息時代,壹個國家的信息獲取能力及其在社會生產生活領域的“信息控制權”(或稱“信息控制權”),成為這個國家能否在生存發展的競爭中占據主動的關鍵。信息安全問題已經逐漸受到世界上許多國家的政府和企業的高度關註。於:回頭看看我們國家的情況。近年來,鑒於我國信息化進程的加快和信息化發展的新階段,黨和政府開始越來越重視信息安全。黨的十六屆四中全會決定報告中明確指出,堅決維護國家安全,確保國家政治安全、經濟安全、文化安全、信息安全和國防安全。在改革開放以來歷屆黨代會的重要文件中,這壹表述還是第壹次。我理解這個表述有兩層含義:壹是它首次將國家安全的內容分為“五大安全”,即政治安全、經濟安全、文化安全、信息安全和國防安全,“信息安全”是國家安全的重要組成部分。另壹個是強調從國家發展和安全的戰略高度認識和重視維護國家信息安全的重要性。可見黨和政府對我國信息安全的高度重視。
張欣:我認為,從中國信息化發展和全球信息化趨勢來看,信息安全將成為國家安全的重要“基石”和“生命線”。信息資源是重要的戰略資源,信息網絡和系統正在成為壹切經濟社會活動的“基礎平臺”和“聯系中介”。信息網絡技術的應用逐漸從工商業領域擴展到國家政治和社會生活的各個領域,信息網絡的安全也從壹個技術和產業問題上升為關系到國家政治、經濟、社會、科技、文化等領域安全的重大戰略問題。以信息技術為核心的新軍事革命改變了現代和未來戰爭的形態。信息網絡和信息系統成為新的攻擊武器、作戰平臺和目標,網絡空間正在成為關系國家安全的重要戰場。“信息戰威懾”已成為與“核威懾”、“導彈防禦威懾”、“太空戰威懾”並列的第四種“戰略威懾”。此外,高速廣泛的信息流動和傳播以及人們對它的嚴重依賴,以及信息武器攻擊手段、目標和過程的多樣化、遠程化和自動化,使國家安全面臨“瞬間”的現實和潛在威脅。因此,對信息安全進行廣泛而深入的研究是非常必要的,具有重要的現實意義。
二、如何理解信息安全
俞:人們對“信息安全”這個概念的理解,從不同的角度、不同的信息化發展階段來看是不壹樣的,有很多種說法。大家可以談談自己對這個問題的看法嗎?
張力:“信息安全”壹詞是近20年才被人們使用的。“信息安全”的定義壹直備受爭議。這裏有壹個例子:在2006年第五十六屆聯大通過的決議中,呼籲所有會員國及時向秘書長通報“與信息安全有關的各種基本概念的定義”,目的是消除概念上的混亂,促進信息安全方面的國際合作。然而,到目前為止,國際上仍然沒有壹個權威的、公認的“信息安全”的標準定義,中國也是如此。
於:說到“信息安全”這個詞,英文就是信息安全和網絡安全。這兩個英文單詞是否有區別,我咨詢過美國戰略與國際研究中心的信息安全專家。他們的解釋是,前者是壹個含義更廣的詞,包括網絡和知識產權、數據的安全,後者是網絡安全更合適的詞,含義更窄。在美國,大多數人都把它們當作同義詞。布什政府發表的《保護網絡空間的國家安全戰略》報告中使用“網絡安全”而不是“信息安全”,是因為使用“網絡安全”壹詞更為恰當,這也反映了壹種認識,即政府的作用在於保護信息網絡基礎設施,而不是在於人們或企業如何處理他們的個人信息。這種解釋有助於我們理解信息安全的概念。翻看六七十年代有關美軍通信安全和作戰的文獻,當時用的是信息安全這個詞。後來隨著互聯網的普及,網絡安全這個詞應運而生。美國現在是壹個網絡化的國家。近年來,美國的許多新聞報道、學者文章和研究專著大都使用了網絡安全壹詞。中國學者談到“信息安全”這個詞,對應的英文單詞顯然是信息安全。這也說明中美兩國信息化發展階段不同,學者對信息安全的關註程度不同。中國還不是壹個網絡化的國家。目前,我們更關註信息內容、信息系統運行和數據庫安全。關於信息安全概念的含義,大家接著各抒己見。
李:我們簡單回顧壹下,二戰前,常用的術語是通信保密和通信安全。圍繞納粹德國制造的著名密碼機“英格瑪”的競賽令人印象深刻。後來又加上了電子安全的意思。20世紀50年代,歐美國家將上述兩者統稱為信號安全。20世紀60年代末,美國率先提出計算機安全。20世紀80年代中期,美國和歐洲開始使用信息安全和信息系統安全的概念,包括通信安全、計算機安全、發射安全、傳輸安全、物理安全和相關人員安全。在世界範圍內,直到1988,人們才開始重視信息安全。起因是美國康奈爾大學研究生莫裏斯利用計算機病毒,讓美國國防部等6000臺連接互聯網的電腦癱瘓數日,這些電腦占當時網民總數的十分之壹,造成了上億元的損失。然後在1989年,美國和當時的西德聯合破獲了前蘇聯收買的西德大學生電腦間諜案。這兩件事的出現,讓西方乃至全世界開始高度重視信息安全。這也證明了信息安全的概念是不斷發展的。從簡單的通信安全、信號安全到後來的計算機安全、信息安全。壹般來說,信息安全主要是指信息資源從產生、生產、傳播、采集、加工到選擇等信息傳播和使用過程中的安全。目前,人們對信息安全最主要的關註集中在三個方面:信息傳輸的安全性、信息存儲的安全性和通過網絡傳輸的信息內容的安全性。需要進壹步認識的是,更重要的是要關註信息使用過程中的壹系列安全疏漏給個人隱私、企業利益、社會穩定、國家安全等重大問題帶來的安全風險。因此,正是從這個角度出發,我們認為信息安全包括兩層含義。此外,在對信息安全的理解中,還需要指出的是,隨著信息技術的飛速發展,信息安全所涉及的領域和問題或關鍵內容並不是壹成不變的。因此,信息安全本身是壹個動態而非靜態的概念。
於:信息安全概念的含義是壹個演變的過程,對信息安全的定義壹直存在爭議。除了李炎提到的壹個定義,還有什麽?
張力:信息安全有各種各樣的定義。例如,壹種定義認為信息安全是計算機安全的延伸。另壹種定義是從國家安全的角度,認為信息安全是指壹個國家的社會信息化狀態和壹個國家的信息技術系統免受外部威脅和侵犯。它強調社會信息化帶來的信息安全問題,壹方面是指特定信息技術系統的安全;另壹方面是指特定信息系統(如國家金融信息系統、作戰指揮系統等)的安全性。).還有壹個定義是強調手段的,不僅包括技術手段,還包括管理。例如,美國國家安全電信與信息系統安全委員會(NSTISSC)將信息安全定義為對使用、存儲和傳輸信息的信息、系統和硬件的保護,是相關政策、意識、培訓教育和技術的必要手段。
唐:第四種說法是將“信息安全”所涉及的內容具體化,認為信息安全就是保證存儲或傳輸的數據不會被他人有意或無意地竊取或破壞。它將信息安全分解為:(1)信息設施和環境安全:包括建築物和周邊環境的安全,如門禁、信息線路控制、消防設備和災難應急預案、定期維護硬件以降低故障概率等安全防護措施。(2)數據安全:確保數據不會被非法入侵者讀取或破壞,如不定期設置和更新密碼、備份數據、將文件劃分為機密級別、建立訪問權限、安裝加解密設備、記錄在線用戶的使用情況等。(3)程序安全:重視軟件開發過程的質量和維護,如確保程序正確執行,使用手冊和文檔,加強程序訪問數據的安全管理,定期評估程序執行效率,嚴格限制使用非法軟件,對重要或機密程序有特殊保護措施。(4)系統安全:維護計算機系統的正常運行,如對操作人員或用戶的培訓,明確劃分操作人員的工作職責,各種常規操作的執行和管理,制定系統各種操作程序的操作規程和手冊。還有觀點認為,信息安全包括七個方面:操作系統安全、數據庫安全、網絡安全、病毒防護、訪問控制、加密和認證。
張欣:第五個定義的重點是強調信息安全和計算機安全密不可分。正如美國學者所指出的,信息安全的歷史起源於計算機安全的歷史。又如1994頒布的《中華人民共和國計算機信息系統安全保護條例》指出,計算機信息系統安全保護是指:保障計算機及相關配套設施(包括網絡)的安全、運行環境的安全、信息的安全和計算機功能的正常運行,維護計算機信息系統的安全運行。根據該法,計算機信息系統的安全應包括實體安全、信息安全、運行安全和人的安全。其中,信息安全是指防止信息被有意或無意的非法授權或被非法系統識別和控制而泄露、篡改或破壞,即保證信息的機密性、完整性、可用性和可控性。這個定義類似於第壹個定義,但略有不同。
張力:從上面提到的六種不同的定義可以看出,它們各有側重和特點,也有相互覆蓋的地方。另外,在學習信息安全的同時,我們也會遇到“網絡安全”這個概念。20世紀80年代末,尤其是90年代,隨著互聯網的發展,網絡成為計算機應用的重要形式。網絡安全強調的是整個網絡環境的安全,尤其是互聯網環境下的安全。通過采取各種技術和管理措施,使網絡系統能夠正常運行,從而保證網絡數據的可用性、完整性和保密性。上面的定義我們不需要判斷誰對誰錯,但值得指出的是,國內很多媒體和網友眼中的信息安全其實指的是網絡安全,有點片面。事實上,信息安全的概念比網絡安全大得多。以內容安全為例。報紙、雜誌、廣播、電視、教科書都涉及內容安全。這不是信息安全的範疇嗎?回到“什麽是安全”的問題,國外學者認為,安全是壹種脫離危險的狀態。國內學者進壹步解讀為“客觀上沒有威脅,主觀上沒有恐懼”。那麽“客觀上有威脅,主觀上有恐懼”就是信息安全面臨的情況。
李:信息安全的概念和內涵是不斷變化、完善和發展的。從最初的軍事領域和軍隊等特定群體,迅速擴展到信息時代社會生活的方方面面,涉及到每壹個人。信息安全的目標從最初的作戰信息的保密發展到各個環節信息的完整性、可用性、可控性和不可否認性;從最初的“防泄密”到預防、監控、管理、評估、控制、打擊的基礎理論和實現技術。目前,它正朝著認證、授權、訪問控制、反否認以及保護個人隱私和知識產權的方向發展。信息安全的研究也從最初的密碼學擴展到包括計算機科學、管理信息系統、法學、心理學、社會學等諸多學科。
唐:國內有專家這樣總結信息安全的發展階段:第壹個發展階段是數據安全,是計算機的基本安全需求,依賴的基礎技術是密碼;第二個發展階段是網絡安全,這是網絡時代最基本的安全需求,其依托的基礎技術是防護技術;第三個發展階段是交易安全;這是網上電子交易時代最基本的安全要求。信譽優先,實行自願擔保策略。美國學者通常將信息安全分為幾個不同的發展階段:通信保密、信息安全和信息保證。所謂信息安全,其內涵就是在原有信息安全的基礎上,加入了保護、監控、響應、恢復這些環節。也就是說,除了防護之外,還需要有檢測和評估攻擊的理論、技術和工具,對信息系統實施靜態和動態的檢測和報警,並快速響應以減少損失,壹旦發生損失,盡快恢復正常服務。
第三,他山之石
俞:我們知道,美國等發達國家政府高度重視本國的信息安全,采取了壹系列的安全保障措施。他們采取的主要措施是什麽,在實踐中有什麽特點,最近有什麽新動向?能說說嗎?
張力:壹個國家做好信息安全主要有三個方面:壹是在信息安全方面采取的戰略措施和相關政策法規;二是強大的技術手段和相關技術設備;三是要有人才隊伍。前者體現了壹個國家在信息安全方面的重視程度、決心和意誌;後兩者體現了壹個國家在信息安全方面的實力,保障信息安全的前提和基礎是壹個國家的信息化發展程度。信息安全在不同時期應有不同的側重點。從實踐的角度來看,各國的信息安全集中在這幾個方面:個人隱私、密碼學、互聯網管理、相關執法、網絡恐怖主義和信息戰,以及其他壹些相關的社會經濟問題。信息安全的保護級別放在五個層次上:家庭和個人、企業、政府部門、國家乃至世界。換句話說,國家信息安全戰略也應該涵蓋這些不同的層面。“9.11”之後,反恐成為美國國家安全戰略的重點。在此背景下,美國確定了信息技術領域的三個反恐問題:確保信息和網絡安全、滿足應急人員對信息技術的需求、信息壹體化。自此,反恐成為美國維護信息安全的重要壹環。
唐:美國早在1996就提出了保護關鍵基礎設施的重大計劃,並在2000年6月提出了保護信息的國家計劃。美國信息安全戰略的重點是保護國家關鍵信息基礎設施,政府在信息安全管理中的地位主要在兩個方面:壹是保護公民在信息網絡中的合法權益;二是為社會發展提供健康有序的信息網絡環境,包括個人隱私、密碼政策、執法、網絡恐怖、信息戰、國際經濟等問題。繼“911”之後,美國政府出臺了十項緊急安全措施:1,開始制定新的國家信息安全戰略;2.大幅增加信息安全投入;3.提高行業的信息安全意識和社會責任感;4.改善互聯網服務,加強執法力度;5.加強信息安全部門之間的協調與合作;6.促進信息安全方面的人員培訓;7、落實信息安全通報和社會報警機制;8.對政府專網提出建議,引導信息安全產業發展;9.提出建立信息基礎設施仿真中心的設想;10,加強全社會網絡安全宣傳,提高全民信息安全意識。最近,美國政府公布了國家網絡安全計劃,美國將依靠企業的自願行動來防禦可能造成嚴重損失的潛在攻擊,以確保網絡安全。此外,美國和俄羅斯都有國家信息安全委員會,由總統本人領導。在“911”之後,美國政府很快成立了“總統關鍵基礎設施保護辦公室”,職位是“總統網絡安全顧問”。
張欣:在維護信息安全方面,美國在戰略認識和政策上壹直走在其他國家的前列,現在已經建立了法律、政策、技術和管理相結合的網絡安全防護體系。從1984開始,美國陸續出臺了近20個保護關鍵基礎設施和信息安全的國家政策、通告、總統行政命令以及國家計劃和戰略,都對如何保護關鍵基礎設施和信息系統的安全提出了具體要求。其中包括:1995年發布的第63號總統令(PDD-63)、2000年1年的《信息系統保護國家計劃》、2003年2月的《網絡空間國家安全戰略》等。PDD-63和《信息系統保護國家計劃》重點保護美國的通信、能源、交通、電力、供水、銀行和金融機構等關鍵基礎設施和政府設施的信息網絡,後者已成為21世紀美國信息安全的行動指南。《網絡空間國家安全戰略》將信息安全視為全體公民都有責任和義務參與的“整體安全”工程,促進了國家信息安全的社會化,強調信息安全戰略應根據網絡威脅的新變化隨時調整。
李:的確,美國的這種焦慮在發達國家很有代表性。美國是世界上使用信息技術最充分、最廣泛的國家。換句話說,美國更依賴信息技術。特別是在國際政治鬥爭和經濟競爭日益復雜多樣的背景下,未來網絡恐怖襲擊的可能性大大增加。壹旦國家重要基礎設施遭到攻擊,就可能導致社會動蕩甚至癱瘓。例如,2003年,美國東部、倫敦、意大利和加州發生基礎設施故障,導致了多起重大大規模電網故障,使公眾對此類事故的危害性以及基礎設施自動化和網絡化帶來的脆弱性和安全風險有了切身體會。自“9.11”以來,非傳統威脅越來越多地進入網絡世界。對於信息化程度較高的西方國家,防範恐怖分子發動網絡攻擊將成為重點防範對象。
唐:從1999開始,歐盟委員會每年都會啟動“多國行動計劃”,通過打擊全球互聯網上的非法有害信息,促進互聯網的安全使用。最新版本是2003年的《2005-2008年網絡安全補充計劃》。該計劃針對所有信息網絡的開發者和用戶,動員全社會“參與到反對非法和有害內容及垃圾郵件的鬥爭中來”。2001年還通過了《互聯網安全綜合計劃》,其首要目的是教育人們了解互聯網的潛在危險,並計劃建立壹個歐洲預警信息系統,以團結成員國的計算機應急小組(CERTS)統壹行動。俄羅斯、日本等國也不甘落後。在2001公布的“E-Japan 2002計劃”中,日本將“確保信息安全”作為五大主要政策之壹,主張建立“應對網絡恐怖主義的數據庫”,收集網絡恐怖主義活動信息,並開始開發信息安全評估等基礎技術。歐洲、俄羅斯、日本等信息發達國家,在參考和借鑒美國的基礎上,各有側重,取得了良好的效果。總的來說,這些國家的信息安全措施有壹些相似之處,值得借鑒。
於:維護信息安全是信息發達國家的通行做法,即制定和完善相關法律法規。美國信息安全法律的精細化和專業化程度獨領風騷。迄今為止,它是世界上唯壹擁有最全面、最完善的信息安全相關法律的國家。其法律涉及計算機安全、個人隱私保護、電子簽名、反黑客等信息領域的方方面面。此外,根據形勢的發展變化,美國先後修訂了《偽造接入設備和計算機欺詐與濫用法案》、《計算機欺詐與濫用法案》、《計算機安全法》和《加強網絡安全法案》。例如,2002年7月,美國眾議院通過了修改後的《網絡安全加強法案》,將黑客或其他網絡罪犯的最高刑罰由10年改為終身監禁。再比如,為了加強政府對信息通信網絡的監管,2004年3月,美國聯邦調查局和聯邦通信委員會聯合修訂了《通信司法協助法》。
張欣:歐盟法律主要集中在個人數據保護和打擊非法有害信息方面。1996電子通信數據保護指令、1998數據保護指令、1999互聯網個人數據保護通則、信息高速公路個人數據收集和處理過程中的個人權利保護指南等。其中,數據保護指令的有效性還影響到了澳大利亞、加拿大和東歐國家,迫使它們修改法律,與歐盟保持壹致。促進更安全使用互聯網的多國行動計劃(1999)明確界定了打擊非法和有害信息的範圍。英國的《通信管理條例》、《通信數據保護指導原則》、《垃圾郵件法案》、德國的《公共場所青少年保護法》和《網吧管理法》都明確禁止在互聯網上制作和傳播“極端言行、納粹主義、恐怖主義、種族歧視、兒童色情”等違法有害信息。
唐:美國的信息安全機構類型齊全,分工明確。例如,國土安全部是美國信息安全的核心部門,其網絡安全局負責制定和協調國家信息安全計劃,並在關鍵基礎設施受到攻擊時實施危機管理;司法部負責調查網絡欺詐和其他犯罪;聯邦調查局負責監控社交網絡,掌握恐怖分子動態。同時,它還將保護美國免受網絡攻擊和阻止高科技犯罪作為其未來工作的十大重點之壹。國家安全局只負責聯邦政府私人信息網絡的安全;國會總審計局對政府各部門的信息安全工作進行檢查和監督,對其公布的敏感報告進行標記,並決定是否可以在互聯網上公布,等等。
張欣:2003年2月,歐盟成立了歐洲網絡與信息安全局,匯集了各成員國的安全專家。其職責是向歐洲委員會提供信息安全政策建議,促進成員國之間的協調與合作,協助歐洲委員會制定、完善和推廣信息安全標準和認證體系。歐洲國家也有相應的主管部門和專門的管理機構,如英國警察局的“網絡警察”小組,德國內政部的“信息和通信技術服務中心”以及類似的“網上巡邏”曲調。