长期以来,信息安全与信息化发展的关系一直存在争论。确实,一些应用系统上线后,信息安全问题也随之而来;一些新技术出来了,传统的网络安全技术防护和管理规定就会失效。 习近平总书记对这个问题作出了非常深刻的阐述,他指出,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。这就要求我们辩证地看待信息安全与信息化发展的关系。 ●信息安全是信息化发展进程的必然产物,没有信息化就没有信息安全问题 信息化发展涉及的领域愈广泛、愈深入,信息安全问题就愈多样、愈复杂。 信息安全的发展历程大致可分为 4 个时期:第一个时期是通信安全时期。这个时期的信息安全仅限于保证电脑的物理安全,以及通过密码解决通信安全的保密问题。 第二个时期为计算机安全时期。上世纪 60 年代后,计算机和网络技术的应用进入了实用化和规模化阶段,信息安全目标逐渐扩展为保密性、完整性和可用性,主要保证数据信息在传输过程中不被窃取和篡改。 第三个时期是网络安全时期。从20世纪 90 年代开始,由于互联网技术的飞速发展,信息开放程度前所未有,信息安全的焦点衍生为诸如可控性、抗抵赖性、真实性等原则和目标。 第四个时期是进入本世纪后的信息安全保障时期。面向业务的安全保障不是只建立防护屏障,而是建立一个“深度防御体系”,通过更多的技术手段把安全管理与技术防护联系起来,不再是被动地保护自己,而是主动地防御攻击。 ●信息安全的主要威胁 来自于信息化应用环节 非法操作、黑客入侵、病毒攻击、网络窃密、网络战等,都体现在信息化应用环节和过程之中。 当前的 IT技术和环境正在发生新的变化,大数据、云计算、移动互联网的出现改变了传统互联网的生存方式,这些新的计算资源、新的计算方式、新的网络环境和新的数据类型,促使信息安全的关注焦点,从系统层面慢慢向应用服务和数据资源转移。 以大数据为例,在网络进入云时代后,大数据成为更容易被“发现”的大目标,安全风险也随之增大。 大数据加剧了网络空间中防御与攻击的不对称性,传统的信息安全防护措施多集中在“封堵查杀”层面,难以应对大数据时代的信息安全挑战。构建大数据纵深防御体系,必须要加强对大数据资源、环境、系统的整体防护,建设多重防护、多级互联的体系结构。 ●信息网络通信技术特性决定了没有绝对的、一劳永逸的安全 安全风险和隐患就存在设备和应用之中。只要使用计算机和智能终端设备、安装和更新应用软件、登陆互联网或无线网,采用各种信息数据系统设备,组成各种应用网络,以及无论使用国产或进口技术产品,安全问题和风险都是无法避免的。 原因有3方面:一是技术及其应用设备和软件本身就存在设计漏洞、物理性缺陷,还可设置“后门”和植入病毒,使之成为系统的一部分;二是无中心的开放网络、节点互联和跨界型的结构特性,使黑客攻击随时随地都可以进行,病毒会肆意传播;三是攻防技术和手段会不断交替更新。 俗话说,“道高一尺,魔高一丈”。没有一劳永逸的安全解决方案。信息安全是一个动态的过程,安全只是相对的。 ●信息安全不是阻碍信息化发展的借口 信息安全是信息化推进过程中出现的新问题,只能在发展的过程中用发展的方式解决。不能简单地通过不上网、不共享、不互联互通来保安全,或者片面强调专有网络、独立传输。这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加信息化的成本,降低信息化效益,失去发展机遇。 在信息化飞速发展的今天,这种“封闭的就是安全的”旧思维必须破除,努力实现技术创新和体制机制创新,不断形成维护信息安全的新思路、新方法、新举措、新本领。
|