方滨兴：互联网信息安全特指反共信息屏蔽,虚假舆情制造

互联网信息的自由传播是一场中国共产党根本无法打赢的攸关专制政权存废的新时代信息战争. 在中共中央的威权统治下,汉语的基本语义功能已经遭到全面性的腐蚀,曲解,朝廷当众撒谎成了常态; 在中共中央设计的语义环境里,所谓不安全信息并非指针对商业目的的技术层面的网络入侵,而是指在中国大陆互联网海关(光缆物理连接,国际出入口骨干网交换中心)以内的静态反专制网页内容,及全球范围内的反专制网页内容(以中文信息为主).信息安全一方面指的是在互联网海关以内消灭上述信息,通过在国际进出骨干网节点用中间人攻击,域名劫持,IP地址拦截,断开https连接,HTTP会话劫持等方法屏蔽反党信息入境,另外一个方面是用低技术方式雇佣大量五毛党发布拥共言论,人为制造虚假的中文网络舆情. 通过卫星传播的互联网流量中共中央无法用GFW技术阻截,只能用简单的信号干扰或者直接导弹摧毁的方式断网; 知名反共网站主动攻击是目前常态; 国际骨干网出口物理断网是随时可以执行的预案,但权限不在GFW,在党中央.

Wikipedia: 信息安全 信息安全，意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁 。 信息安全这一术语，与计算机安全和信息保障（information assurance）等术语经常被不正确地互相替换使用。这些领域经常相互关联，并且拥有一些共同的目标：保护信息的机密性、完整性、可用性；然而，它们之间仍然有一些微妙的区别。 区别主要存在于达到这些目标所使用的方法及策略，以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性，而不管数据的存在形式是电子的、印刷的还是其它的形式。 计算机安全可以指关注计算机系统的可用性及正确的操作，而并不关心计算机内存储或产生的信息。 政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内，并通过网络传送到别的计算机。 万一诸如一家企业的顾客、财政状况、新产品线的机密信息落入了其竞争对手的掌握，这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求，并且在许多情况中也是道德和法律上的需求。 对于个人来说，信息安全对于其个人隐私具有重大的影响，但这在不同的文化中的看法差异相当大。 信息安全的领域在最近这些年经历了巨大的成长和进化。有很多方式进入这一领域，并将之作为一项事业。它提供了许多专门的研究领域，包括：安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。

“作为国家信息安全保障体系来讲，其包括积极防御、综合防范等多个方面的多个原则。因此，要建立和完善信息安全等级保护制度就要加强和建设多个层面。”中国工程院院士方滨兴指出，当前国家信息安全的保障体系需要围绕以下细节全面建设，具体为：要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。 当然了，要增强国家信息安全保障能力，还必须要掌握核心安全技术 。此外还包括能力，如信息安全的法律保障能力、基础支撑能力等等。 简而言之，方院士称：“我们国家的信息安全保障体系可以从五个层面解读，又可以称之为‘一二三四五国家信息安全保障体系 ’”。 方院士的解读具体如下 ： 一，即一个机制，就是要维护国家信息安全的长效机制。 二，是指两个原则：第一个原则是积极预防、综合防范;第二个原则是立足国情，优化配置。 三，是指三个要素：人、管理、技术。 四，是指四种能力：核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力 、国际信息安全的影响力。显然，在国际的信息安全斗争或对抗中，只有这几方面的能力具备了才能占有优势地位，当然这背后实际上需要做很多的工作。 五，是指五项主要的技术工作：风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。 一、一个机制 所谓的一个机制，是说机制一定是一个完善长效的机制，一方面是在组织协调性上，另一方面是在支撑力度上。这需要宏观层面，包括主管部门予以支持。 二、两个原则 第一个原则是积极防御、综合防范。不难理解，综合是表现在整个产业的协调发展，也就是说网络信息安全与信息化的关系。在这个里面，积极当然有多种含义，虽然我们并不提倡主动攻击，但是掌握攻击技术是信息对抗所需要的 。但是值得注意的是，真正的积极是指一旦出现一个新的技术，我们就立即要想到研究这个新技术会带来什么安全性问题，以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后，甚至包括病毒等等这些问题就比较容易扩散，再比如说Ipv6出来之后，入侵检测就没有意义了，因为协议都看不懂还检测什么……所以说这些信息化新技术的出现同时也都呼唤新的安全技术。 另外技术解决不了的还得靠管理，比如说等级保护，当然等级保护主要是面向政府部门的。那么反过来管理做不了的也得靠技术，你说有病毒，光嘴上说不行，还得有技术防范。再有就是强调了核心保障。 第二个原则是立足国情，这里面主要是强调综合平衡安全成本与风险，如果风险不大就没有必要花太大的安全成本来做。在这里面需要强调一点就是确保重点的，如等级保护就是根据信息系统的重要性来定级，从而施加适当强度的保护。此外，当你在发展的时候必须要考虑到涉及到安全问题的时候该怎么办，但你做安全也是为了促进发展，而不是说限制发展，所以尽管我们现在觉得需要物理隔离 的方式，但同时也在研究一系列的技术来替代这么一个简单的方式，这个就是国情的需要。 三、三个要素 三个要素包括人、管理、技术。 从人才角度来说强调了两个方面，一个方面是培养，培养你的人、才、水平，那么包括学历教育、研究、以及学科层面，无论是培养研究生还是其他研究人才，都和社会服务人才不一样。再有就是培训和网络教育。还有加强信息安全宣传工作和网络文明建设，也都需要相关的支持，基本上跟信息相关的底下都有这个。此外，就是论坛、媒体的努力。当然，吸引和用好高素质的信息安全管理和技术人才的机制也很有有用。 就管理这一点而言，其实互联网上的管理主要是靠四句话：法律保障、行政监管、行业自律、技术支撑。我们还可以把管理分为三级措施，那么从宏观的角度来说出现的是什么?方针，国家说积极预防、综合防范，这是一种方针，还有就是政策引导，我们现在制订这方面的政策等，再有就是具体的法规，就是要严格规章制度。此外还有标准，标准是从技术角度、管理角度引导你，你不会做按照这个做就行了。也就是说标准解决怎么做，法规解决做什么的问题。到微观方面就是说各个管理机构，要做好规章、制度、策略、措施。 需要说明的是，机制就是怎么管，我们现在是通过一些认证测评、市场准入来对安全做管理，这里面对产品服务做认真测评，包括政府采购也是受一定的限制。而措施则是，你到底管哪些事情，如等级保护这个是要管的，这个是没有问题的;再比如系统安全、产品的采购包括测评、密码技术等都在管理范畴。 第三个层面是信息安全技术，信息安全技术在这里面特别强调的是对引进的产品的安全问题，如它的安全可控必须要有人管。同时我们还要研究新技术、新业务，包括网络安全、内容安全、密码、安全隔离手续等。当然这其中也少不了需要政策导向和市场机制，当然最终的目标就是信息安全还应该以自主知识产权为主。 四、四个核心能力 四个核心能力，主要是信息安全的法律保障能力，信息安全的基础支撑能力，网络舆情宣传和驾驭的能力 。再有一个就是国际信息安全的影响力， 就法律保障能力而言，业内一致认为要以信息安全为纲，你一定要有一个信息安全法，有了这个核心法你才能做一系列的工作，包括制订相应的制度。 第二个能力叫做基础支撑能力，就是说国家要有一系列的相应的基础支撑，比如说数字证书、计算机网络应急响应体系、灾难恢复体系等等，再比如说密钥管理、授权管理等等，这些都是做得很成功的，而网络舆情掌控的体系，一些部门也都有，你它的运行效果还有很多需要改进的余地。 第三个能力是舆情驾驭能力，我们在网上可以看到这句话，要关注三个如何，如何引导网络舆论，如何对网上的热点话题做访问，如何提高处置网络的能力。这些实际上都是我们舆情驾驭能力的标志。舆情驾驭的具体目标是首先要能够发现和获取，然后要有分析和引导的能力，之后要有预警和处理的能力。 第四个是国际影响力。只有在信息安全较量中才能体现出一个国家的信息安全影响力。所以，这就需要发挥信息安全整体资源的优势，这其中包括对有害信息的应对能力、技术手段。用逆向思维的话，就是说假如出现最坏的情况网络被恶意中断，那么至少能保持一个封闭体系还能继续运转 ，这可能必须要有域名的解析，当然这个国内现在已经做到了。 五、五项工作 五项工作包括：加强风险评估工作，建立和完善等级保护制度;加强密码技术的开发利用 ，建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作;灾难备份等。 第一，风险评估和等级保护，两者相辅相成需要一体化考虑。因为风险评估是出发点，等级划分是判断点，安全控制是落脚点，所以风险评估和等级保护这两件事儿是不可分的，只有知道了系统的脆弱性有多大，等级保护才能跟上去。 第二，网络信任体系主要是靠密码技术，还要强调密钥体系。 第三，网络监控系统，强调国家对各个运营单位都要求有相应的信息监控系统，要有处理信息的能力，这样起码对一些网络攻击，防范失泄密可以提供支持。 第四，应急响应体系，国家在2003年SARS之后就开始建立应急响应体系，2008年的1月份出现了凝冻灾害天气，充分考验了这个体系。所以信息安全也有国家级的预案，或许将来会做更多的宣贯。 第四，灾难备份，这个里面最重要的目标是力保恢复，其次是及时发现，接下来才是快速响应。

原文: 大家好！今天我选择的题目是解读国家信息安全保障体系，本来这是一个三年前的话题，我为什么今天要讲呢？我们在这一段的回顾27号文发布5周年，作为国务院信息化专家委员会一直在回顾这一段的工作怎么样，这个时候我们突然发现大家不太知道国家有一个很公开的，很正式的文件告诉大家我们国家的信息安全保障体系是什么。这一点我也觉得比较诧异，所以我觉得我有责任把这件事再做一下宣传，这也是我今天选择这个题目的原因。 这个是中央的文件，文件注明是此件公开发布，在这个文件中强调印发了2006-2020国家信息化发展战略通知，在这个通知里面因为它是信息化发展战略，专门涵了一段就是信息安全战略。在这一块我们可以看出来有这么几个核心术语，因为比较繁杂，一般很难记住，我们就做一个解读。我们看一下这个已经定位为保障体系，在这个里面有两个要素，一个是积极防御，综合防范，一个是立足国情综合平衡安全成本，这是相当于指导思想。 再有就是要建立和完善信息安全等级保护制度，要加强密码技术的开发利用，要建设网络信用信息，要加强信息安全风险评估工作，要建设和完善信息安全监控体系，要高度重视信息安全应急处置工作，要重视灾难备份建设，这是一系列的具体工作。要掌握核心安全技术，要加快信息安全培养，最后又提出来了几个能力，要不断提高信息安全的法律保障能力，基础支撑能力，网络以及宣传的驾驭能力和我国在信息安全领域的影响力，最后要建立和完善维护国家信息安全的长效机制。 这么一个文你一看很难记住核心，所以我把这个核心总结一下，我把它叫做一、二、三、四、五国家信息安全保障体系。一是什么呢？就是机制，要维护国家信息安全的长效机制，这是一个机制。二就是两个原则，一个原则是积极预防综合防范，一个叫做立足国情优化配置，或者立足国情适度防范。三就是三个要素，人，管理和技术。四是四个核心能力，法律保障能力，国际影响力等，我们要想让国际认可我们肯定要在信息对抗方面做出相应的工作。五，五项主要技术工作，一个是评估与等保，一个是监控系统，一个是信任体系，一个是应对机制，一个是灾备。 我们说建立机制要有几个层面，组织层面、机制层面和资金层面，组织层面上现在应该说存在问题，本来是有一个国家信息化领导小组 ，我们有一个国家网络与信息安全小组 ，现在这个协调小组目前没有开展工作，也没有宣布撤销。整个协调小组的办公室是放在公信部，存在着运动员和裁判员合一，使得公信力出现了一定的问题。 再有是有一个机构，现在由于国信办合并到公信部，这些专家们曾经有一些糊涂，我们是公信部的专家还是国务院信息办的专家，前一段专门到国务院向德江副总理做了汇报，他们说你们还是国家信息化专家，但是希望同时也作为一个公信部的顾问来帮助他们工作，所以现在定位是这么定的。 机制上一直是齐抓共管，就是谁组建，谁负责，谁主管谁负责，管理机制现在明确了，比如说重要信息系统，你说海关、税务、广电、电信 是谁建的谁负责。其他的事情比如说打击犯罪，或者说网络的安全建设谁负责，这都是相对明确的。再有一个是资金，资金要求多渠道投入现在做的比较好，发改委十一五期间拿出两个数量级的资金来做信息安全方面的建设 ，包括信息安全专项，而且信息安全专项现在也在扩充。过去只是信息安全产品，我们在两年前成功的把服务放进来了，服务放进来以后现在认为还算是成功的，所以去年和今年都还在放。去年年底我们又把示范推了进来，去年已经有了立项，我们今年又把标准推进来，这次大概有13个企业都在报标准。这些都是发改委方面的。科技部有863计划，在信息安全这个专题里面已经投了将近3个亿 ，后面还有两年还会再投，在重点方面投的不是太多，也就在一个亿左右。重大的比较可惜，目前还没有。 专项基金不是特别分，所以几前做了一个网络与信息重大专项，说是重大，在5000多万，这个概念搞的混淆了，网络与信息安全被理解为网络一件事，信息安全是另外一件事，所以信息安全在这里面占的数量就很低，后来又推出来了可信软件，这个有一个多亿，算信息安全方面的一个延伸，但是像软件工程方面侧重的多一些。 两个原则，第一个原则是积极防御，综合防范，基本思想一个是强调协调发展，这个协调强调的是什么呢？就是这个表现在我们主动应对，当你出现了一个新的技术，我们一定要想这个技术会不会带来安全问题，比如说B2B出来，比如说WEB2.0出来，他带来的安全问题是什么，而且要提出来怎么应对，这是一个主动与发展相协调。再一个就是综合，技术管理并重，因为我们说技术解决不了的问题需要靠管理，但是管理可能做不到的还要技术支撑，他们俩谁也离不开谁。再一个就是核心保障，提出来8+2的概念，8就是我们海关、保险、银行、证券、税务、电力、民航 等。 第二个是强调立足国情，适度安全，我们的国情不是有很多钱，什么事都全力以赴往前冲的，首先是确保重点，把优化配置放在重点。然后对重点来说我们要增加投入，但是对于其他的我们要平衡安全和风险之间的平衡值，也许我这个系统风险小或者说就算出现问题损失不大，我的安全投入就会相对降低。再有一个我们要保驾护航，以安全保发展，在发展中促安全。最后就是强调国家、企业、个人的责任义务是什么，就是谁运营谁负责。 三，是三个基本要素，包含人、管理、技术。管理比较明确，我们在总理的报告中也强调对于互联网管理我们强调法律保障，行政监管，行业自律，当然了，还有一个是技术支撑，在这里面因为我们有技术，所以在这儿强调经济制约，在必要的时候要在经济上采取措施制约，不能这么做或者是那么做。表现在了法制、体制、机制几个方面，技术我们主要是靠前沿技术，科技部主要推进，装备设施这个发改委主要推进，安全服务这个是各个部门都在推进。自主产业这个是我们的企业都在推进。 需要的人才就是管理人才和技术人才，我们看人，人我们从两个方面，一个是学历教育，继续教育这个方面，学历教育我们知道国家自从在1999年以后设立了信息安全专业，大概现在有50多所院校有正式的信息安全专业，但是这是计划外的，而且可以理科也可以工科，情况不一样。去年北航设的就是理科专业，我们北邮就是工科专业。本科生是到社会上为社会服务的，研究生层面就是要搞研究的，但是研究生层面只是在二级学科，并没有像原来大家期望的能够上升到一级学科。信息安全作为一个计划外，所以各个单位可以随便放，有一些单位放到了通讯下面的二级学科，有的放在了数学下面，有的放在了计算机下面，各种情况都有。再有就是培训，再有就是网络教育。 还有一个是宣传，我们要对社会宣传，要强化宣传意识，这里面我们靠学会，这也是宣传的一种环境，还有论坛，还有媒体，我们这里有这么多的媒体都在参与。 最后一个就是提出来的要求，采取措施，吸引和用好高素质信息安全和基础人才，这句话我们也在想他落实从用好一点问题没有，现在缺人才，问题是管理和技术合在一起是不是真的有，现在并不是明确的。要不就是技术人才，要不就是管理人才，你培训就培训，双料不太容易，一般都是后面逐渐的演变。 第二个就是管理，管理我把它分解成三制一措施，我们知道我们搞预案都是要三制一案，就是法制、体制、机制和措施。法制就是解决谁来管的问题，我们行政部门领导层国务院有协调小组。我们有一个协调司，现在协调的力度不像过去那么大了，还有执行层，就是各个部委，谁分管的事谁在做，像文化就是文化部，新闻就是国务院新闻办。再有就是技术咨询体系，这个比较多，国家有一个专家咨询委，刚才说了专家咨询委经过德江副总理确认还要继续存在，这两个月就准备再换届，到今年已经是第三届了，马上要进入到第四届。 还有一个是法制，靠什么来管，宏观管理就是，政府法制就是指导思想，告诉大家怎么做，政策就是一种引导，你们要按照政策的思路走，法规就是一个约定，你必须要按照这个来做事情，标准就是大家完全按照确定的事情去做。到微观的就是各单位，单位自己需要有它的规章和制度，有它的安全策略和具体措施。涉及到机制，机制就是怎么管，目前对于信息安全主要是一个测评认证，市场准入，这方面是有。包括我们的产品，服务都在有一个侧面认证和市场准入，政府采购这方面也在做管理。最后就是措施，也就是管的是什么，过去管的比较简单，是密要啊，管的具体的人啊等等，现在就是按照标准在管了，比如说等级保护，系统安全，产品采购，测评，密码技术都是按照具体的标准在管的，这样的话就形成管理，我们说的三制一措施。 第三是技术，这个要加强对引进信息系统的安全可控，现在引进的产品安全不安全不了解，我们在关键部门不太敢用，而且要研究新技术，新任务带来的问题。在这里面国家专门提出来了比较具体的一些包括刚才我念到的文件里面也有，比如说广播电视我们知道我们经常被一些敌对分子把我们的卫星给黑了 ，导致我们的电视被插播，这个需要技术上解决问题。包括我们信息技术的产品漏洞和发现，你拿了产品用了之后发现里面有后门，这样带来的威胁就非常大。还有其他的常规技术像密码、安全审计，隔离防范等，测试与评估取证等等这些都是需要展开研究的。当然了，这里面还提出来了产业的问题，产业的问题就是一个政府导向和市场机制，信息安全政府的需求更大，所以政府往往起到了一种导向的作用，所以我们可以看到甲方大部分是政府，当然了政府的导向之后后面的企业、用户也都会跟进。 技术我们从863角度分成四个层面，物理安全是灾备，运行安全是包括分析、策略、防护等手段，检测包括主动式的和被动式的检测 ，包括应相应，包括系统恢复等，这些都是我们所关注的。数据安全是密码关注和认证关注。内容安全是内容过滤，舆情分析 等，还有数据保护，像刚才介绍的物理隔离都是一种手段。包括内容保护，比如说我们的水印和版权等等。 四是四个核心能力，一个是信心安全的法律保障能力，主要是建立信息安全的法律体系框架，一个是信息安全的基础支撑能力。网络与其宣传的驾驭能力，要分析网络舆情分析系统，国际信息安全影响力。 法律保障，国家一直在互换就是信息安全法，但是现在一个问题就是信息安全法有一点遥遥无期，所以现在主要是在起草信息安全条例，但是由于信息安全条例原来是国信办在做，现在交过来以后好像是断了，本来是去年列入了计划，今年据我所知还没有列入计划，部门的更替现在出现了一种缝隙，需要填补。一旦建好了以后我们的法律应该是以信息安全法律，有了上位法下面才有意义，现在是大量的下面先出来，刑法的285、286、287 都是关于信息安全的法条，行政法规有很多，像国务院的147号令有很多很多都是在做这方面的事情，部门规章在信息安全方面在所管辖的范围内都有相应的规章，再有就是标准，我们等级保护所依据的就是17859，这是最经典的一个标准。 第二个是基础支撑能力，比如说数字证书认证和基础设施体系，像计算机网络应急响应体系，灾难恢复基础设施，我认为基础设施做的不够理想化，还是简单的一对一的备份，需要多个系统备到一个系统中，现在是多个系统被分在一个基地里，这个不太理想。计算机网络应急响应、灾难恢复基础设施，病毒防治等等，这里面有的做的比较成功。 第三个是舆情驾驭能力，中央领导有一段话，这一点就是如何提高舆情的驾驭能力 。一个是舆情怎么发现和获取，怎么分析、领导和预警、处理。首先是两个方面，从疏导的方面要形成正面的舆论强势，要占领网络阵地 ，别人的网站那么吸引人，你的网站为什么不吸引人，这就要想如何迎合网民的喜好。再有就是要做综合治理，对一个有害的行为要有手段。还有就是快速反映机制，网上喊着大家去游行，你要立即发现，或者是喊出来抵制家乐福，我们觉得不好要有应对的措施。 第四个就是国际影响力。我不输于别人，我要不输于别人我就有影响，如果我根本没有过高的本事，我肯定没有任何的影响力。这里面首先要加强管理队伍和指导队伍的建设，再有就是对整体的优势要提出来，还有就是对国内突发事件和非常时期的安全保障条件要提出。 最后五项工作，一个是风险评估和建立完善等级保护制度。第二，加强密码开发利用。第三，完善信息安全监控体系。第四，重视信息安全处置工作。第五，重视灾难备份。在这里我简单说一下风险评估和等级保护之间的关系就是风险评估我们说是一个出发点，等级划分是一个判断点，安全控制是一个落脚点。网络体系主要是对密码进行开发利用，监控体系也是对网络监控，我们刚才说的 863就是很典型的网络监控。再有一个就是应急响应，最后一个是灾难备份，灾难备份也有一系列的规定。最后我们把这个框架拿出来看看，刚才我都说了一遍，整个的原文就是2006-2020年的国家信息化发展战略里面提到的，总结起来相当于两个基本的指导思想，一个是积极防御，综合防范，一个是立足国情科学化配置。在法律层要有一个信息保障体制，在组织成要有信息安全的组织管理体系，在具体措施要有信息安全的技术体系和信息安全的平台以及信息安全的基础设施。这样就形成了我们现在的国家信息安全保障体系，我就说这些，谢谢大家！

来源:北京希艾欧管理技术有限公司 ciotimes.com