三、“健全信息安全保障體系”的幾大關鍵

“信息安全無小事”，信息安全本身包括的范圍很大，大到國家軍事政治等機密安全，小范圍的包括如防范商業企業機密泄露，防范青少年對不良信息的瀏覽，個人信息的泄露等。因此“健全信息安全保障體系”是一項系統性的工程，可以從以下幾方面入手：

1、認識上，立足國情，以我為主，共同合作，逐步提高

“健全信息安全保障體系”的總體方向就是要繼續貫徹執行“堅持積極防御、綜合防范的方針，全面提高信息安全防護能力﹔重點保障基礎信息網絡和重要信息系統安全﹔創建安全健康的網絡環境，保障和促進信息化發展，保護公眾利益，維護國家安全。”的既定方針。要落實這一方針，既要堅持立足國情，以我為主，同時又要堅持改革開放和國際合作。信息安全保障能力的提高，不能僅僅依靠一國力量，而是需要世界范圍的共同合作，需要政府與企業、全社會每個人的互動，才能在互聯網這樣一個復雜的巨系統中，逐步建立、完善和提高信息安全保障以及應急響應的處理水平。同時，加強國際信息安全交流，積極參與國際規則制定，增強在國際信息安全領域的影響力，推動我國信息安全保障體系的建設與完善，在我國的信息化建設中主動出擊、保障安全。

2、戰略上，做好信息安全頂層設計

信息安全是一個關乎全局、動態、多變、多層次、長期的復雜問題，它涉及因素多，關系復雜，單靠幾項信息安全技術或管理措施無法解決，這就要求我們在處理安全問題時不能頭痛醫頭、腳痛醫腳，要從信息安全的本質出發，需要站在戰略的高度統籌考慮，這就要站在全局高度進行信息安全的頂層設計，以頂層設計來指導信息安全保障體系的構建和信息安全管理能力的提升。同時，要加強黨和政府對信息安全的領導，充分發揮各級黨政機關、職能部門的作用，廣泛動員和組織社會各方面的力量，調整管理方式，從組織領導、政策、法律、標准、技術、人才等方面積極推進，發揮政府在信息安全保障中的主導作用，強化對信息安全的治理能力，形成有利於綜合治理的局面。

3、運營上，做好風險防范和預警、突發事故處理工作

當前，我國信息化發展不均衡，信息安全建設欠賬還較多。因此，要加強關鍵基礎設施和重要信息系統的保護和管理，強化企業、機構在網絡經濟活動中保護用戶數據和國家基礎數據的責任。加快安全能力建設，完善網絡與信息安全基礎設施，加強信息安全應急等基礎性工作，強化網絡與信息安全應急處置工作，完善應急預案，加強對網絡與信息安全災備設施建設的指導和協調。加強信息共享和交流平台建設，健全網絡與信息安全信息通報機制。完善信息安全認証認可體系，加強信息安全產品認証工作等。

4、技術上，加強新技術研究和網絡信任體系建設

技術上要統籌規劃，整合力量，進一步加大網絡與信息安全技術研發力度，加強對雲計算、物聯網、移動互聯網、下一代互聯網等方面的信息安全技術研究。要健全電子認証服務體系，推動電子簽名在金融等重點領域和電子商務中的應用。應大力推動密碼技術在涉密信息系統和重要信息系統保護中的應用，強化密碼在保障電子政務、電子商務安全和保護公民個人信息等方面的支撐作用等。

5、制度上，加快法規制度和標准建設

制度上，要加快完善信息化發展和網絡與信息安全法律法規，研究制定政府信息安全管理、個人信息保護等管理辦法。健全相關法規制度，明確並落實企事業單位和社會組織維護信息安全的責任。同時，制定和完善新一代信息技術在重點領域的應用標准，注重發揮標准對產業發展的技術支撐作用。積極參與制定信息安全國際行為准則、互聯網治理等國際規則和標准等，以建立有利於“健全信息安全保障體系”的長效機制。

（作者系中國信息安全測評中心秘書長、博士）