摘要：随着计算机与网络通信技术的高速发展，使用互联网的个人和单位主机数量极速增长，尤其是计算机在政府、国防、金融、公安、和商业等部门的广泛应用，使得整个社会对计算机的依赖越来越大，而网络系统一旦受到破坏，不仅会导致严重的社会混乱，也会带来巨大的经济损失。国内因使用网络和计算机而造成的数据信息泄露，触目惊心，几乎达到了所有数据已经被泄露的地步，甚至泄露的数据被多次转手产生严重危害。因此，确保网络系统的安全已成为社会各界的共识。

关键词：信息安全;网络安全

按照现阶段，网络安全事件发生后所带来的后果以及处理方法，笔者将从以下几个角度来论述网络安全的重要性，国家的政策扶持、防御手段和措施。

一、信息安全相关技术与措施的意义

（一）国家有战略

计算机网络安全影响着国家安全和社会发展，涉及到广大人民群众工作生活中的种种问题，在网络社会化、社会网络化的今天，网络安全事关国家长治久安，影响着社会发展和人民群众福祉。网络空间加速演变为战略威慑与控制的新领域、意识形态领域斗争的新平台、维护经济社会稳定的新阵地、信息化局部战争的新战场。谁掌握了网络舆论的高地，谁就抢占了意识形态领域的宣传权。如果不重视网络安全，就可能丧失网络舆论战场的主动权，错失互联网对经济发展带来的机遇，缺失确保国家战略安全和军事斗争胜利的新基石。

当前，随着网络信息技术的不断更新，网络对整个社会发展的融合、驱动作用也日渐显著，所带来的风险和挑战也日益增强。某些势力把网络作为对我国进行渗透破坏的主要渠道，大量歪曲和错误的观点通过网络传播扩散，各种人性的阴暗面向网络空间传导趋势明显。特别是国家关键信息基础设施建设存在一定差距，网络安全防控能力有待加强。面对网上意识形态斗争尖锐复杂的形势，面对我国网络安全整体防护能力还不够强的现实，面对少数国家极力谋求网络空间军事霸权对我国国防安全带来的威胁，我们必须主动作为，奋起直追，全面加强网络安全工作。

（二）重要性定了基调

网络安全与国家安全是息息相关的，信息化与现代化也是紧密相连的。建设信息化的网络强国，要有自己过硬的技术;要有丰富全面的信息服务和繁荣的网络文化;要有良好的信息基础设施，形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。

随着社会信息化的发展，关键信息基础设施已经成为金融、交通等国家重点行业的中枢。一旦出现安全问题，就意味着这些行业将收到严重的影响，轻则影响经济安全、社会公共安全，重则危及国家安全。因此，保护信息基础设施是网络安全工作的重点。网络安全靠人民，维护网络安全是全体人民的共同责任。只有提高人民对网络安全的意识，培养人民对有害、虚假信息的辨识能力，才能构建起我们的网络安全防线。

（三）各行业各领域有需求

信息作为一种资源，具有普遍性、共享性、增值性、可处理性和多效用性。信息安全的实质就是要网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的完整性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须重视起来的问题，是一个不容忽视的国家安全战略。

中国改革开放，让各方面的信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸式发展。除有线通信外，短波、超短波、微波、卫星等无线电通信也被广泛地应用。同时，某些势力为了窃取中国的政治、军事、经济、科学技术等方面的信息，运用侦察台、侦察船、侦察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我们通信传输中的信息。

不管是单位还是个人，正把日益繁多的工作托付给计算机来完成，一些敏感的信息正经过通信线路在网络系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。

传输信息的方式很多，有局域网、互联网和分布式数据库、蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件等。信息在存储、处理和交换过程中，都可能被窃取、窜改和伪造的可能性。可以看出，单一的安全措施已很难保证通信和信息的安全。

二、信息安全相关技术与措施，在多行业多领域执行与落地情况现状

通过对在京的多家政府、央企、国企、银行、航天、铁路等多行业多领域60位主管业务系统或信息化相关领导的较充分访谈与调研，发现在信息化普及度比较高、信息安全宣贯比较充分的北京区域，被调研的行业内依然存在藐视信息安全防护措施的有效性、对数据泄露风险惘然处置、事不关己高高挂起等严重的我行我素现象。只有少数人表示比较重视信息安全的技术和作用。

（一）藐视信息安全防护措施的有效性

通过访谈被调研的多个行业、多家单位中主管信息化的领导，有45%的主管领导反馈回的信息有些一致性。比如认为信息安全产品没啥用，起不了保护业务系统的作用;自己的业务系统没用安全产品也没出啥问题;安全产品除了贵，花了好多钱，还制造了操作上的麻烦。

（二）数据泄露风险不存在

有75%的被调研的行业与单位主管领导认为，业务系统是自己主抓的，从系统设计到开发、再到测试上线都是亲自盯着完成的，所以不可能存在数据泄露风险，纯粹危言耸听，吓唬人。

（三）事不关己高高挂起

有90%的被调研行业与单位主管领导认为，自己就是被任命分管业务或信息化的负责人，最好是自己在岗的时候不出事，至于出不出事与自己也没什么大关系。甚至还有78%的被调研单位主管信息化与安全的相关领导不是理工背景出身，一问三不知，明确说不懂具体技术，上面有检查的时候，下个文让手下人去办就可以了，至于办不没办、办的效果如何一概不知，其在岗的职责就是只要应付过检查就可以了。

更有的主管信息化和信息安全的领导，明确说别跟我提信息安全，现在能保证业务系统运转已经念佛了，哪有精力提安全、管安全呢？

（四）信息安全技术还是很必要的

仅有5%的被调研行业相关单位主管领导认为对信息系统进行安全防护很必要，并且做的很不到位，主要因为针对信息化安全保障的资金太少，想做的事太多，资金严重不够用，所以很可能存在信息安全风险。

三、目前信息安全相关技术与措施，在多行业多领域执行与落地的路径

在调研中发现，以央企、国企为主导的领域，在需要安全产品防护的时候，要么根本没有自己的安全产品，要么就是采用OEM方式，把别人的产品贴成自己的品牌。还有的直接从互联网上下载个开源程序改头换面，摇身一变，成为自己的自主知识产权产品，大卖特卖。更有甚者用OEM过来的产品或者开源程序改的产品，申报国家创新课题或产业化课题扶持基金，与以创新为生命源泉的民营企业争夺国家用来扶持真正创新的资金。

（一）直接OEM产品

本次被调研的央企、国企、银行、航天、铁路等多行业多领域，基本都是垄断行业或垄断领域。在民营企业进入这些行业或领域时，对企业资质、产品资质等方面的要求门槛，虽然几经国务院下文，给中小企业发展的机会，但已经设置的各种各样的、奇奇怪怪的资质、案例等已经成为中小企业不可逾越的鸿沟。

被调研单位有着先天的资质优势、资金优势和人脉关系优势，自己虽然不创新，甚至哪怕最基础的软件都不用去真正开发，但手握诸多资源，在生存的压力困境下，中小企业还不得不卑躬屈膝上门去迎合。在OEM条款里面设置了各种不合理的霸王条款，给被OEM的生产厂家一点点延口残喘的生存空间。

（二）直接使用开源安全软件

国外很多不太重要的安全软件已经开源化，有些被调研单位召集了人手，对开源软件做了汉化，定制了一个自己的UI界面，就上报为自主知识产权的自有安全产品。

使用开源软件固然是个捷径，但开源软件内嵌的安全风险，可是从来没人去评估，更没人去测试验证，就直接在关键的业务系统上使用了。

（三）忽悠国家课题扶持经费支持

本来央企、国企与中小企业就不在一个资源平台之上，央企国企利用OEM的产品或使用开源软件修改的产品，在发改委、科技部、军民融合等信息安全专项、示范工程、创新基金等方面大范围参与课题竞争。由于央企国企的资质优势、资金优势和人脉关系优势，央企国企拿走了70%以上的国家级课题、科研与创新扶持经费。具体经费使用，都是很随意的应付一下做验收，至于经费的真正使用，并没有用在科研、创新和研发方面。

四、信息安全相关技术与措施，在多行业多领域加快执行与落地的建议

从政府、金融、社保、教育、能源、卫生、央企、国企等行业的信息安全相关技术与保障措施调研来看，整体存在严重不足，基本完全处于应付检查的阶段。甚至很多单位出现分管信息安全的领导完全是外行，怎么可能数据不被泄露呢？

具目前掌握的情报，国内各个行业的数据都被多次泄露、多次转手过了，甚至于军工、政府内网的数据都被泄露出去了。主管者和运营者却在掩耳盗铃的认为业务系统很安全、数据很安全，自欺欺人只会造成情况更糟糕、特别是在大数据应用推广、云计算中心大范围使用的现今，  知道不足不怕，努力纠正和改进就好了。

《礼记·中庸》"闻过而终礼，知耻而后勇"。就如何加快执行与落地信息安全相关技术与措施，提出以下建议供参考。

（一）坚持采用自主知识产权的安全技术或措施

诚然，利用开源安全软件，修改一下UI界面，做个汉化，能应付的相关检查。但是软件开源，绝不是免费开源的，经安全专家对开源软件做源代码的安全检查，99%以上的开源软件里面都存在后门程序，有的开源软件甚至含有木马程序。如果使用开源软件的央企国企不能对开源软件做代码级的安全检查，那换UI界面做汉化的所谓自主安全产品还不如不用。

所以，我们建议央企国企还是放下高高在上的身段，要么自己真正去设计开发一款安全产品使用，要么还是OEM国内中小企业的安全产品，至少保证所用的安全产品里面不存在后门程序，更不会存在嵌入的木马程序。

（二）减少或降低忽悠国家课题扶持经费支持的比例

中小企业是以技术创新在市场上获取生存空间的，相反在获取国家课题扶持经费支持方面，存在自身资质欠缺、资金不足、没有人脉关系的尴尬境地，几乎没有机会争取到真正用于技术创新、科研的国家扶持资金。

建议发改委、科技部、军民融合等，能给真正创新、科研和设计开发的中小企业以机会。在他们申请相应国家课题支持的时候，去除资质要求、资金要求和拉关系走后门的门槛，对于项目验收可以科研实物，委托第三方进行检测测评。既能真正推动信息安全领域的技术创新、还能真正扶持中小企业的成长，从而在信息安全领域长期造福国家和人民。

（三）主管或分管信息安全的领导一定要懂安全

信息安全在国内发展了20多年，伴随信息化普及程度的提高，大数据的应用推广和云计算的大规模实施，区块链技术的应用研究等逐步落实到了具体业务应用中。信息安全人才的短缺日益彰显，国内每年短缺信息安全人才五万人以上，高校和专业安全企业每年培育出来的安全人才都不足1000人。

在信息安全人才极度短缺的情况下，出现主管或分管信息安全的领导连理工科基础都没有就做负责人，实在也不应该，技术方面容不得吹牛皮、更容不得拍胸脯立保证，是实打实的需要真功夫。

四、总结建议

建议政府、金融、社保、教育、能源、卫生、央企、国企等行业的信息安全负责岗位，可以从社会上的专业安全企业里面招聘。因为企业里面很多从事安全工作的人员在学历、职称方面可能存在不太理想的情况，所以更建议把信息安全负责岗位定位特殊岗，对应聘的专家级人才开辟特聘通道。俗话说专业的事需要专业的人去做。可以相信，有了专业安全人才，不愁业务系统安全保障不好，数据泄露风险降低或消除也将是指日可待的事。

参考文献：

[1] 池铖. 浅析金砖国家网络安全治理[J]. 网络安全技术与应用，2021（4）：166-168.

[2] 吴关龙，冯潇洒. 全球国家网络安全战略的变革[J]. 云南师范大学学报（哲学社会科学版），2015（5）：50-58.

[3]李强. 新兴国家网络安全治理对我国的启示[J]. 通讯世界，2017（6）：120. DOI：10.3969/j.issn.1006-4222.2017.06.086.