中国科学院大学 中国科学院大学新闻网

     【新闻网讯 方晨】3月20日上午，中国航天科技集团公司第710研究所总工程师曲成义研究员，应信息安全国家重点实验室吕述望教授的邀请，来信息学院向广大学子讲授关于构建国家安全体系的思考。曲成义研究员是我国著名的网络安全专家，航天事业的开拓者。这次报告由吕述望教授主持。

    曲成义研究员一种沉稳、柔和的风格开始了这次与众不同的报告。他说，国务院信息化领导小组前一段时间通过了2020年国家信息化发展战略。这个战略中把网络和信息安全作为国家信息化发展战略中一个重要的内容、重点任务来进行部署和推进。要构建国家安全保障体系，要求各部委省市单位思考如何构建国家安全保障体系。要用5年时间初步建立国家信息安全保障体系。

    网络诞生的时候，没有考虑到安全的问题。它的运行模式、协议设计、处理平台等等都是不设防的。因此现有的网络存在着许多问题。曲成义研究员把它分为6大类：无主管的自由王国，主要体现在有害信息、非法联络、违规行为；不设防的网络空间，TCP、SNMP、FTP、Window、Unix等等网络的关键点最先都是不设防的，由此引发黑客猖獗、病毒泛滥、信息间谍；法律约束脆弱，主要体现在黑客犯罪、知识侵权、避税惩处；跨国协调困难，网络无国界，想要引渡一个别国的网络罪犯很困难；还有民族化和国际化的冲突以及网络资源的紧张。

    网络上的突发事件也很多，比较著名的有：2000年2月7日美国网上恐怖事件造成巨大损失；2001年日本东京国际机场航管失灵，几百架飞机无法起降、千人行程受阻；2003年美国银行的ATM网遭入侵，损失惨重；2004年的震荡波病，波及全球；2005年Card System公司4000万张卡用户信息被盗；网络正在成为恐怖组织联络和指挥工具；网络舆情的爆发波及到物理社会的稳定。在面对突发事件时，一定要有相应的灾难恢复机制，像9.11事件造成世贸中心1200家企业信息网络荡然无存，其中有DRP/NCP的400家企业能够恢复和生存，剩下的800家全部破产。

    “面对网络安全的严峻形势，我们的对策何在？”曲成义研究员说,这是一个值得大家认真思考的问题。接着，曲成义研究员向我们讲解了2003年27号文件《关于加强信息安全保障工作的意见》的主要精神：坚持积极防御、综合防范；全面提高信息安全防护能力；重点保障信息网络和重要信息系统安全；创建安全健康的网络环境；保障和促进信息化发展、保护公众利益、维护国家安全；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发挥各界积极性、共同构筑国家信息安全保障体系。国家信息安全保障工作要点是：实行信息安全等级保护制度；基于密码技术网络信任体系建设；建设信息安全监控体系；重视信息安全应急处理工作；推动信息安全技术研发与产业发展；信息安全法制与标准建设；信息安全人材培养与增强安全意识；信息安全组织建设。在谈到实行信息安全等级保护制度时，曲研究员说：“信息保障是风险与成本的平衡。要实行不同的等级，对不同的保密信息采用不同的策略，保护国家的核心利益。” 在谈到推动信息安全技术研发与产业发展时，曲研究员语重心长的和大家说，我国的信息安全技术一定要建立在自主的知识产权的基础上，技术和产业是信息保障的基础和平台。我们一定要把它掌握在自己手里。在这方面，我国的经验和教训都有很多。和平时期可能问题还不是很明显，但到了战争时期，问题就会马上暴露出来。

    构建国家信息安全保障体系，要落实七项策略：保驾护航；保障能力；纵深防御；等级保护；综合治理；以人为本；均衡设计。增加网络四种安全能力：隐患发现能力；网络应急反应能力；信息安全防护能力；信息对抗能力。曲研究员还特地说，在银行方面，信息保障的工作做的非常好。信息安全就是银行的生命线，关系到银行的信誉和未来。

    曲研究员还说，建立国家信息安全保障体系，还需要风险评估体系。用来评价网络安全策略的好坏。这就需要建立第三方独立的风险评价机构，为用户提供关于网络安全方面的咨询，指出现有网络安全策略表面上的和内部的隐患。这些也需要人才、技术、算法、机制来支撑。

    曲研究员结合自己的阅历，向在座的同学们讲述了国家信息保障体系的方方面面。使广大同学对国家信息保障体系有了一个粗略的认识。

    最后，曲研究员还向大家着重介绍了我国信息安全方面的相关法规，尤其是和我们同学息息相关的法律。强调了法律对信息安全工作从事人员的约束。报告结束时，同学们对曲成义研究预员致以热烈的掌声。