摸索与突破

毛江华　胡　英

今年是中办发27号文件（《国家信息化领导小组关于加强信息安全保障工作的意见》）出台的第三年：等级保护试点工作的启动、网络信任体系建设工作的开展、电子政务安全试点工作的推进……无不显示出，2006年是实现国家信息化领导小组3年前提出的5年建立信息安全保障体系目标最为关键的一年。

这一系列的法规、政策和技术实践，既是中国信息安全建设的风向标，也是各行各业建立信息安全保障体系的重要指导，直接影响到信息安全产业和技术的发展方向。日前，本报总编辑董凯虹与国务院信息化工作办公室网络与信息安全组组长王渝次进行了一次深入交流。

27号文件是里程碑

主要观点

信息安全问题是长期挑战；27号文件是中国信息安全建设的里程碑；我国的信息安全问题具有中国特色。

董凯虹: 这几年来，大家普遍感觉到信息安全越来越重要，信息安全问题也越来越多了。作为国务院信息化工作办公室主抓网络与信息安全工作的政府官员，您怎么看这个问题？您感觉这几年工作中面临的最大困难是什么？

王渝次: 只要有信息化，就会有信息安全问题。信息技术的发展应用，新业务、新功能的出现，都会不断地带来新的安全问题和风险。在信息化进程中，信息资源共享、网络互联、信息公开与保密、个人隐私保密等之间的矛盾会长期存在，这是我们面临的长期挑战。

信息化是一个新生事物，信息安全更是一个新生事物。我们对此的认识还不深刻，对其规律和发展趋势还不能完全把握。在我国信息安全工作中的确还面临这样那样的困难，技术问题、人才问题、标准问题、管理问题、法律问题，摆在我们面前的任务还很重，有的工作头绪还很多。但27号文件等一系列重要政策性文件、中央领导的重视、方方面面对于信息安全工作的共识，使我们的信息安全工作有了成功的基础和保证。

董凯虹: 有人认为2003年27号文件的颁布是中国信息安全建设的分水岭，您同意这个观点吗？为什么？

王渝次: 27号文件是中国信息安全建设的重要里程碑，不是分水岭。我们所做的工作是对过去的继承和发展。在27号文件出台前，各有关部门也做了大量实实在在的工作，比如扶持一批安全企业，形成了一个产业; 建设信息安全基础设施; 加强了对互联网安全的管理。

27号文件集中了各方面的智慧，总结了中国十多年来信息化建设和信息安全建设的经验，在对信息安全的认识上达到了一个新的高度。我们不再是分散地、就事论事地思考安全问题，而是从整体上去把握、去考虑涉及到信息安全建设的方方面面的问题。

27号文件明确了主要目标、基本原则和任务措施，这就使得我们能够全局在胸，按照既定的目标，扎扎实实地去做工作，为5年基本建成国家信息安全保障体系而奋斗。

董凯虹: 中国信息安全和全球信息安全之间是一种什么样的关系？

王渝次: 信息安全已成为国际性的技术和社会问题，是各国面临的共同挑战，如系统漏洞、网络窃密、计算机病毒、网络攻击、垃圾邮件、淫秽暴力信息和网络违法犯罪等都是共性问题。但我国是一个社会主义大国，是在关键核心技术不掌握的情况下推进信息化，其信息安全问题更加突出，具有中国特色。

在信息安全问题上，我们非常注意借鉴国外的信息安全实践经验，学习研究国外的先进技术和理论，重视开展国际合作，积极参与信息安全领域的国际公约、规则和标准的制订。

我国的信息化发展和信息安全建设为外国公司创造了一个很大的市场空间，提供了很好的发展机遇。一些国外企业也为我国的信息化发展做出了贡献。我希望外国企业能更积极地参与中国的信息化建设，在求得自身发展的同时，还要注意了解我国国情，遵守我国法律的规定，承担相应的信息安全义务。

自主可控要依靠产业发展

主要观点

信息安全工作要抓好顶层设计; 高级技术和管理人才不足是制约我信息安全保障工作的重要因素。

董凯虹: 您个人感觉这3年来，国务院信息化工作办公室对信息安全的认识和操作，有一些什么样的变化？我们主要做了哪些工作？

王渝次: 对信息安全的认识是一个逐步深化的过程。27号文件在很大程度上统一了大家对信息安全的认识。

信息安全界有一个重要的共识，就是信息安全工作要抓好顶层设计。具体讲，政策、战略、法律都是信息安全工作中非常重要的事情。目前，我们国家信息安全的政策框架已经基本形成。除了27号文件外，我们还进行了信息安全战略的研究，并启动了信息安全立法工作——也就是信息安全条例起草和信息安全法的研究工作。

具体来讲，有两个重要变化:一是信息安全已经有人来管，原来信息安全责任在信息中心，现在变成了责任在部门的主管领导，大家职责清楚，各负其责; 二是实行等级保护，首先把最重要的事管起来，也就是明确重点、确保重点。在国家层面，首先是要保证关系到国计民生、社会稳定、国家安全的系统安全。

董凯虹: 业界也普遍认同，我国信息安全体系的框架从理论上已基本成型，但是，任何宏观理论落实到微观都会存在挑战。我们遇到了哪些挑战？采取什么样的手段来迎接挑战？

王渝次: 不掌握关键技术、高端产品主要靠进口、高级技术和管理人才不足是制约我信息安全保障工作的重要因素。我们要下大决心、花大力气加强关键技术的研究，支持信息安全产业发展，加快人才培养。

董凯虹: 您认为我们现在离 “5年基本实现建立信息安全保障体系”的目标还有多远？我们还有哪些工作需要做？

王渝次: 我们提出5年基本建成信息安全保障体系是指用5年左右的时间，全面落实27号文件提出的各项任务要求。我相信，这些任务的完成，将极大地提高我国的信息安全保障水平。但正如刚才我讲到的，信息安全是一项长期的工作，旧的问题解决了，新的问题还会不断出现。不能认为，基本建成信息安全保障体系后，就没有信息安全问题了。

经过这3年的努力，27号文件提出的各项任务正在逐步落实。进一步完善了信息安全协调机制，明确了责任分工；出台了一系列的配套政策;制定了“十一五”信息安全专项规划和技术发展规划；开展了一系列的试点工作，包括信息安全风险评估试点、等级保护试点、电子政务信息安全试点，进一步加强了互联网管理等。我们还将抓紧研究起草信息安全条例，研究制订相关政策，包括促进信息安全产业发展的政策。

董凯虹: 您怎么看政策法规对产业的促进作用？您认为政策法规应该如何来扶持安全产业？

王渝次: 任何一个产业的发展都有其内在规律，我们需要去研究这个规律。对信息安全产业，我们的态度是，凡是市场能管的就由市场去管; 凡是企业自己能做的事情，政府就不去干预。但是信息安全产业也有其特殊性，政府必须有政策、措施引导支持并实施必要的监管，但要研究怎么管。对于一个市场化的产业，政府不能干预企业的内部管理，不能管制太多，管制方法要得当，否则，就会阻碍产业发展。

我认为，在促进产业发展的问题上，政府应该着重做好两件事情。一是创造市场需求，我们对信息安全管理提出的要求应该转化为拉动产业发展的市场需求，比如我们应该鼓励使用国产的技术、设备和服务。二是要为产业发展创造一个良好的环境，我们要制订相关政策，消除部门壁垒和地方壁垒，在规范市场的同时减轻企业不必要的负担。

董凯虹: 中国安全企业的负担的确很重，一个新的产品技术推向市场，往往要到有关部门拿上七、八个甚至十几个许可证。我们的信息安全产业从上个世纪90年代中期起步，到今天依然处在幼稚期，和全球安全产业发展存在巨大的落差。您认为我们的产业该如何实现突破？

王渝次: 我希望我们的信息安全企业能够做大、做强、做长久，要有知名企业和自己的核心技术、自己的品牌。企业要高度重视信息安全服务，这是中国企业的强项，因为我们对自己的国情最了解。国家也高度重视信息安全服务问题，正在研究对策措施，规范这一工作。目前，信息化中关键的核心技术和设备都是买人家的，如果运营维护服务还靠别人，自主可控就会成为一句空话。

采访手记：多说多做 不能出错

一般的看法认为，少说少做少错，多说多做多错，不说不做不错。但是，王渝次的工作却决定了他必须多说多做，却不能出错。由于国务院信息化工作办公室的特殊位置，王渝次及其同事向上肩负着给领导出主意的重任，向下承担着给基层提要求的工作。

作为主管安全工作的领导，王渝次说得最多的却是发展，然后才是安全。几乎在每次公开场合，他都会反复强调：“信息安全是为信息化服务的，要以安全促发展，在发展中求安全。”“我们为什么要做信息安全？其根本目的还是在保障和促进信息化发展。”

在王渝次看来，在我们国家信息化刚起步的阶段，如果就安全讲安全，问题肯定是一大堆; 如果一昧强调问题，不搞信息化的话，就是对国家、对历史的不负责任。

王渝次坦承，安全问题防不胜防，永远没有尽头，做安全工作每天都要准备出事，极具挑战性。也正因为如此，促使他必须去学习，去思考，不敢有一丝懈怠。“一个人如果能在工作中充分发挥自己的主动性、积极性，难道不是一件非常愉快的事情吗？”王渝次反问记者。

学历史出身的人一般都是不甘心寂寞的。在研究历史人物的时候，或者会想，当时我来干可能不是这个样子。然而，当真正站到那个位置，才会发现创造历史不是那么容易。在这一点上，王渝次体会深刻。