进入21世纪的第二个十年以来，信息已成为人类社会文明进步的要素资源，成为现代社会持续发展的基本条件。信息网络空间已成为继陆、海、空和太空之后的第五大国家主权疆域，成为世界各国战略竞争的重要领域。信息安全已成为与国防安全、能源安全、粮食安全并列的四大国家安全领域之一。在我国实现中华民族伟大复兴的“中国梦”进程中，尤其是美国在全球实施“棱镜”等一系列监控监听计划的今天，如何确保我国信息网络空间主权不被侵犯，如何保护我国国家秘密、商业机密和个人隐私不被窃取，如何保证我国基础网络和重要信息系统安全可控地有效运行，如何占领信息安全领域的科技高地，如何使我国信息安全得到产业保障？这些都需要我们站在全球角度，来厘清自身状况，明确战略体系，实现重点突破。

    一、信息安全国际形势发生了重大变化

    信息安全的国内外形势瞬息万变。对于21世纪快速发展的中国，信息安全的形势将会日益严峻，当然也面临着诸多发展机遇。信息安全国际形势已经发生了深刻而重大变化，可以概括为三个“化”：信息安全保障体系化、信息安全支撑产业化、信息安全功能多样化。

    （一）信息安全保障体系化

    近10多年来，美国充分利用自身所垄断的全球信息技术优势，加紧构建信息安全保障体系战略，以进一步巩固其在网络空间的统治地位。美国已形成了分工协作、体系完善、功能强大和不断创新的国家信息安全保障体系。美国信息安全保障体系化包括两方面：一是参与主体的体系化，二是保障内容的体系化。

    在美国的国家信息安全保障体系中，政府、IT企业和社会团体分别扮演了不同角色，政府主导，企业参与，社会组织积极响应，相互配合，默契互动，共同推动国家信息安全保障体系的实施。一是美国政府部门，如美国国土安全部、国防部、商务部、国务院、联邦调查局和中央情报局等政府部门是美国信息安全战略制定、网络和信息安全项目策划、网络情报侦查、网络防御、网络进攻的主导者和组织者，他们都积极开展国家信息安全保障的组织、计划和评估工作；二是美国IT企业，这是美国网络和信息安全项目与计划的具体实施机构和重要支撑部门，是海量侦查信息和数据的来源，同时也是实施网络进攻和网络防御的实施主体；三是政府官员、议员、权威专家和非盈利组织，他们是美国信息安全保障体系的响应者和支持者，他们以保护国家安全为由，以举办论坛会议、资助课题研究、提供技术支持、发布调查报告等方式，对美国信息安全保障体系进行声援、游说和宣传。

    美国的国家信息安全保障体系主要由理论体系、产业体系、侦查体系、防御体系和进攻体系等组成。（1）理论体系经历了从无到有，由少积多，并不断丰富完善的过程。1993年克林顿政府提出建设“信息高速公路（NII）”， 1998提出《国防信息保障纲要》；经历了“911“事件的小布什政府出台了大量信息安全法律法规，包括信息时代的关键基础设施保护、信息网络安全研究与发展法、联邦信息安全管理法案、保护网络空间的国家战略、国土安全国家战略、联邦网络空间安全及信息保护研究与发展计划（CSIA）等；奥巴马政府上台不久就发布了《网络空间政策评估一保障可信和强健的信息和通信基础设施》报告，先后出台了“国家安全战略”、“国家军事战略”和“网络空间国际战略”，发布了《关键基础设施部门的网络安全》和《APTI:揭露中国网络间谍单位》等命令和文件。 （2）产业体系包括了由国防承包商组成的国防网络装备体系，由IT企业组成的国家信息装备体系，以及由通信运营商组成的基础网络运营体系。（3）侦查体系由国防部、国土安全部、联邦调查局、中央情报局等政府部门主导，由美国主要的IT企业、网络企业、运营商等企业共同实施。 （4）进攻体系主要由国防部主导，美国国防承包、网络设施制造商和网络运营商共同实施。 （5）防御体系主要由国防部、国土安全部等政府部门主导，由美国主要IT企业和美国18个国家基础设施行业的企业参与实施。

    （二）信息安全支撑产业化

    美国已形成由国防承包商、IT企业、通信运营商组成的信息安全产业体系，该体系已成为美国国家信息安全保障体系的核心支撑。美国的网络空间武器装备由国防承包商提供，构成了坚实的网络进攻体系和防御体系；美国的关键基础设施和重大网络项目和计划由IT企业实施，确保了国家信息安全保障体系实施的有效性；美国通信运营商在美国国家信息安全保障体系中也扮演了重要角色。
国防承包商已成为美国国家网络空间进攻体系和防御体系的主要装备提供商。通过实施美国防部“美军全球信息栅格网络的技术改造”、“美陆军网络操控技术开发”和“改进海军舰艇网络数据共享能力”等项目，波音、雷神、洛马等国防承包商为美军提供了完善的信息网络武器装备，构成了完善的美军网络装备产业体系。

    IT企业已成为美国国家信息安全保障体系的产业主力军。据英国卫报报道，美国大型IT企业已成为美国重大网络项目和计划的具体实施者，在美国信息安全保障体系中占有核心的重要地位。在《爱国者法案》和《国家安全法》的要求下，美国IT企业必须与政府有关部门积极主动配合。通过这些公司的产品和运营数据，不仅可以使美国国家安全局等政府部门可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据，还可以通过路由器、操作系统、芯片、移动系统和终端监控世界各国的网络和电脑。而美国的一些信息安全公司常与美国国家安全局、联邦调查局和中央情报局等政府部门合作，监控全球恶意互联网流量的情况，包括外国势力的间谍活动，以及一些黑客利用合法服务器从事的活动。这些公司还为政府部门确定网络攻击源的位置，并提供全球的信息网络架构的变化情况。

    美国电信运营商在针对电信网的监控计划中起到关键作用。美国的大型运营商为美国国家安全局提供了接入国内和国际通信网的“后门”通道，方便美国国家安全局对电信网络进行监听，收集用户数据和交谈信息。美国最大的电信运营商Verizon公司就是“主干道”监听计划中的主要情报信息提供者，国家安全局通过Verizon收集数百万美国客户的电话记录。

    （三）信息安全功能多样化

    随着信息安全理论不断深入，技术不断深化，产业不断完善，美国国家信息安全保障体系的功能不断多样化，主要表现在以下几方面：确保国家关键基础设施安全是国家信息安全保障体系的核心；依托IT企业开展和实施重大项目是国家信息安全保障体系的基础；建立全球供应链体系是国家信息安全保障体系的支撑；不断进行技术创新是国家信息安全保障体系的动力。

    确保国家关键基础设施安全是国家信息安全保障体系的核心。克林顿政府首先定义了国家关键基础设施，是指“那些对国家十分重要的、物理性的、并基于计算机的系统和资产，它们一旦受损或遭破坏，将会对国家安全、国家经济安全和国家公众健康及保健产生破坏性的冲击”。小布什政府把通信、信息技术、国防工业基础等18个基础设施部门列为关键基础设施，并把核电厂、政府设施等5项列为重要资产。奥巴马政府宣布“从现在起，我们的数字基础设施将被视为国家战略资产，保护这一基础设施将成为国家安全的优先事项”。随着这些关键基础设施日益智能化、网络化，其应对网络袭击的防范能力却越来越脆弱。为保护作为“基础的基础，关键的关键”的信息网络设施的安全，美国政府已经将信息网络安全纳入传统安全范畴，网络空间已经不存在民用和军用的差别，对于美国国内的任何网络攻击都应被视为对国土的入侵，必须由相应的网络部队对其进行严密监控并发起先发制人的打击。

    依托IT企业开展和实施重大项目是国家信息安全保障体系的基础。为了确保本国关键基础设施的安全，美国政府实施和开展了一系列国家重大网络和信息安全计划和项目。在美国国防承包商、IT企业、通信运营商的积极支持和参与下，美国政府在2008年发布的《国家网络安全综合计划（CNCI）》中要求建立“国家网络靶场”，其目标是为模拟真实的网络攻防作战提供虚拟环境，并针对已有和潜在的网络攻击手段进行试验。2003年、2007年、2010年，美国政府先后实施了代号为“爱因斯坦1”、“爱因斯坦2”、“爱因斯坦3”的网络安全计划，其目的是不断减少联邦网络系统的出入端口数量，尽量将政府的网络系统都置于统一的安全监测系统，并识别和标记针对联邦网络系统的恶意网络传输，以增强网络空间的安全分析、态势感知和安全响应能力。2010年美国政府组织了代号“网络风暴3”的演习，国土安全部、商务部、国防部、能源部、司法部、交通部和财政部7个政府部门参加演习，参加演习的还有美11个州和60家私营企业，澳大利亚、加拿大、法国、德国、匈牙利、意大利、日本、荷兰、新西兰、瑞典、瑞士、英国作为国际伙伴参加演习。

    建立全球供应链体系是国家信息安全保障体系的支撑。2012年1月，美国国土安全部发布《全球供应链安全国家战略》，全面规划了信息网络环境下的美国的全球供应链安全战略，以打造一个富有弹性的供应链，促进美国商品、服务的高效与安全的运输。为维持全球供应链的正常运转，美国政府正在从技术创新、产品开发与采购以及日常监控、风险评估等方面加强管理，通过产品认证、政府采购、风险管理等措施，确保软件系统、网络硬件设施的绝对可靠，确保全球供应链体系的安全。

    不断进行技术创新是国家信息安全保障体系的动力。美国在创新性地提出云计算、物联网、移动互联网等技术革命后，2012年3月奥巴马政府又发布了《大数据研究与发展计划》，使大数据技术革命又引领了技术潮头。大数据技术不仅是保护关键基础设施的有效手段，更是确保美国掌控网络空间制空权的利器。依托关键基础设施而展开的大数据技术，能够兵不血刃地实现以传统手段难以实现的目标，这是美国政府开展“棱镜”项目等侦查计划和其他项目的根本动力，而类似这样的项目和计划还将以更快的速度、在更大范围内开展。从《大数据研究与发展计划》来看，美国国防部、国土安全部、国家安全局等信息安全主管部门承担的项目最多，项目主要集中于关键基础设施安全保护与风险防范、网络中心战、制网权、网络靶场等信息网络安全、情报分析、网络军事化等方面。

    二、我国国家信息基础设施存在巨大安全隐患

    在我国，包括互联网、电信网、广电网和各种专网等在内的国家基础网络，以及事关国计民生和国家安全等领域的重要信息系统，是国家信息安全防护的主要对象。但是在这些国家信息基础设施建设过程中，普遍存在重建轻防，甚至只建不防，信息安全隐患巨大。

    （一）我国重要信息系统的绝大多数软硬件采用国外产品和服务

    据有关权威机构对全国22个重要领域的信息系统和工业控制系统的信息安全情况调查，我国重要领域信息系统关键技术严重依赖国外。

    我国重要领域信息系统国外产品占了绝大比例。其中，操作系统的97%、数据库的95%、服务器的87%、数据处理设备的83%、网络设备的62%以上，均由国外厂商提供。

    我国重要领域工业控制系统几乎完全被国外产品垄断。我国重要行业的工业控制系统几乎完全采用国外设备，其中，数据采集与监控系统的55%、分布式控制系统54%、过程控制系统77%、大型控制器93%、中型控制器87%、小型控制系统78%，均来源于国外进口。

    我国重要领域信息系统和工业控制系统的日常运行与维护严重依赖国外。我国各重要行业的信息系统和工业控制系统建设，大多采用了国外企业提供的成套解决方案，因此系统的运行维护也基本由国外厂商提供。在一定程度上，国外厂商成了各行业系统的最高权限拥有者，他们比用户更了解系统的架构和配置，更容易在系统中设置后门。

    （二）美国IT企业已全面突破我国信息安全防线

    美国凭借其在信息技术方面的绝对垄断优势，不断将其技术、产品和服务输入到世界各国。我国也不例外，在美国IT跨国公司面前和美国实施的类似“棱镜”项目等侦查、进攻、防御计划中，我国的基础网络和重要信息系统几乎处于完全不设防状态。

    思科是我国网络和通信设备的主要提供商。据《中国经济和信息化》报道，思科占据了中国电信163骨干网络约73%的份额，把持了163骨干网所有的超级核心节点和绝大部分普通核心节点，占据了中国联通169骨干网约81%的份额。思科在金融行业、政府机构、铁路系统、民航的空中管制骨干网络，甚至电视台及传媒行业都占据了足以形成垄断的份额，其中包括中国国家金融数据通信骨干网、中国电信、中国联通、中石化、中国人民银行、北京市政府等众多央企及政府都门。思科掌握着我国国家网络基础设施的众多后门和漏洞，这对我国网络空间安全构成严重威胁。

    微软、英特尔、IBM和甲骨文等IT企业控制了我国高端IT产品和应用。据Gartner数据显示，Windows系列操作系统在我国市场占有率超过9成。英特尔在全球PC微处理器市场上的占有率已经扩大到接近80%，而占总数近1/3的最终产品输出口都在我国。IBM大型机在我国的市场份额高达85%，在我国服务器市场的总体占有率近20%，处于第一的位置，其次为戴尔和惠普，三家合计占有近8成以上的市场占有率。甲骨文在我国已拥有2.5万个客户，在数字出版、智能电网、高速铁路和医疗等关键领域几乎全部垄断了高端数据库市场。2007年，国家发改委、财政部等部门调查发现，我国主要金融机构设备国产化率不足2%。2008年微软的“黑屏”行动给世人警示，即美国企业可以随时让世界各国的电脑和系统“死机”。

    谷歌、苹果、高通等企业全面垄断了我国的移动互联网设备市场。谷歌安卓操作系统我国市场占有率超过8成，目前我国国产品牌手机，如华为、联想、酷派、小米等都是基于安卓操作系统开发的。苹果的移动设备垄断了我国的高端市场， iPad和iPhone手机在我国市场中有很高的占有率，其笔记本电脑在我国市场的销售额也在增加。高通在手机、平板等移动设备中占有了相当大的优势地位，根据iSuppli调查，高通2012年全球市场占有率已达31%，连续5年蝉连全球手机芯片龙头，目前在国内的知名厂商中，小米、联想、酷派等大多采用了高通的芯片。

    （三）我国信息技术产品与国外相比仍有巨大差距

    保障国家信息安全有两层含义，一是国家信息基础设施中的关键核心设备完成国产化替代，实现自主可控；二是不能实现替代的做到可监测防范，实现安全可控。由于国内信息技术和产品与国外的巨大差距，我国信息系统的关键核心设备既不能实现自主可控，也不能实现安全可控。

    在传统信息技术产品中，核心技术受制于人的局面仍未改观。操作系统、数据库、芯片等核心技术落后，不仅是制约我国信息产业由大变强的瓶颈，也是造成我国信息安全严峻局面的根本原因。以中国电子（CEC）为代表的信息技术企业，长期致力于为国家提供可信可靠可依赖的信息技术产品，已形成中国电子的达梦数据库、中标操作系统、国民技术安全芯片、长城世恒系列安全计算机等较为完整的信息技术产业链，并在自主可控国产基础软硬件集成适配平台、自主可控可信技术平台等方面取得了可喜成绩。但由于缺乏国家更大力度的资金支持和更为倾斜的政策扶持，一直没有形成较大规模的市场供应，并且在核心技术领域与国外的差距还在扩大。

    在网络技术产品中，高端产品依然依赖于国外厂商。近年来，以华为、中兴为代表的我国网络设备企业异军突起，在全球网络设备市场中占有越来越大份额，在许多关键核心技术领域也有了较大突破。但由于历史原因，我国基础网络高端市场基本由国外厂商占据，越是要害的部位部件，越是由国外厂商提供。另外，即使由华为、中兴等国内企业提供的网络设备，其高端芯片和操作系统等核心部件，也是由国外厂商提供的。

    在互联网和新技术新应用市场中，国产产品仍未占有竞争优势。近年来，尽管我国在电子商务、公众社区等互联网应用方面快速发展，并不断涌现出阿里、腾讯等互联网巨型企业，但我国在移动操作系统、移动芯片、移动存储、移动显示技术等方面，几乎没有任何自主技术和产品，少数自主品牌的移动终端产品核心技术几乎全部依赖国外。

    在信息安全攻防产品中，高端产品仍由国外厂商把持。随着信息安全问题的日益突显，我国诞生了天融信、启明星辰、绿盟、360等一大批信息安全攻防企业，也形成了一大批防病毒、防入侵的技术和产品。但我国的信息安全企业普遍规模太小，资金投入不足，难以突破关键技术。在大规模、高集中度的系统应用中，国外信息安全防护产品依然是市场主流。

    在信息安全市场监管中，有效的监测手段和多层次的准入机制还未形成。目前我国缺乏对国外产品和服务的监管，缺少必要的检测措施和安全可控方案，安全风险难以掌控。缺少重要信息、技术、产品与服务准入机制和安全监测性手段，对于信息系统安全如何、系统是否受控于人，以及出现重大安全事故后如何解决等问题尚不确定。

    三、国家信息安全保障体系亟须进一步完善和升级

    国家信息安全保障体系是新时期保证国家政治稳定、经济繁荣、社会和谐的国家基石，党和政府一直高度重视国家信息安全保障体系的研究和建立。

    早在2003年9月7日，中办、国办联合发出通知，转发《国家信息化领导小组关于加强信息安全保障工作的意见》（27号文）。2012年6月28日，国务院印发了23号文件《关于大力推进信息化发展和切实保障信息安全的若干意见>。我们认为， 27号文和23号文都从保障国家信息安全的方针、目标、任务、措施等方面提出了明确具体的要求，对过去10多年来国家信息安全工作发挥了积极指导作用。但是，我国信息安全局面依然严峻，不仅无法保证我国长远的政治稳定、经济发展、社会和谐，短期上也出现了信息外泄、安全隐患增加、产业无法发展等问题。

   进一步的思考是：既然信息安全已成为影响国家安全和长远发展的国家根本问题之一，是否应该提升其战略地位，尽快出台国家信息安全战略，而不是仅以文件和通知的形式？既然信息安全涉及到党政军方方面面，是否应该提升其管理层次，成立更高级别的组织保障机构？既然信息安全产业是国家战略性产业，是否应该举国家之力，组建信息安全产业国家队，突破信息安全关键技术，形成自主可控的信息安全产业体系？既然国家基础网络和重要信息系统中运行着国家经济发展的血液，是否应该下大力气分阶段实施国产化替代，尤其是在一些事关国计民生的领域和行业痛下决心，先行先试？因此，我们认为，应从组织、理论、监督、产业、防御等五方面对我国信息安全保障体系战略进行升级和完善。

    （一） 健全国家信息安全组织体系

    尽快重新组建跨部门跨领域的信息安全领导机构，结束信息安全“九龙治水”的局面。重新组建跨部门国家信息安全领导小组，统一领导和协调国家信息安全全局性重大事件。重新组建国家信息安全领导小组办公室，负责落实国家信息安全领导小组的相关决策。成立国家信息安全战略研究院，对应领导小组和办公室做好决策支撑工作。

    （二） 创新国家信息安全理论体系

    加强对国家信息安全战略、方针、指导思想、技术发展、产业体系等方面的研究；研究制定我国国防和重要领域信息安全防护战略；研究制定我国信息安全关键技术突破战略；研究制定我国基础网络和重要信息系统国产化替代战略；研究制定国家信息安全态势感知能力建设规划；研究制定统一的全国网络指挥与控制系统建设规划等。

    （三）建立国家信息安全监督体系

    加快制定和完善信息安全产品和服务相关法律法规。加快关键信息技术产品的产品认证、政府采购、风险管理等准入制度的立法研究；加快建立重要信息系统日常运行维护相关法律法规的研究制定；探索建立人大、政府部门、社会中介机构相互协调、相互配合的信息安全产品准入协调机制；尽快出台信息安全产品提供和服务提供商资质认证和管理相关法律规定，加快基础网络和重要信息系统国产化替代的立法研究等。

    (四）构建国家信息安全产业体系

    通过资金支持、项目支持和政策倾斜等方式，扶植信息技术产业链较完整、有较好信息技术基础的企业做大做强，形成信息安全产业国家队，并联合社会其他信息技术企业和信息安全企业，形成有层次的国家信息安全产业体系。国家队负责国家信息安全体系的总体设计和总体集成，负责对国防、国家基础网络和重要信息系统提供安全方案和安全服务，并负责对社会其他力量的协调与组织；其他信息技术企业和信息安全企业，负责提供国家信息安全体系中必要的信息技术装备和信息安全体系特殊装备的研制。

    （五）完善重要领域信息安全防御体系

    坚持积极防御的原则，以信息安全产业国家队伍为主体，逐步采用国有自主可信的产品和方案，建立全国统一的信息安全态势感知平台，建立国家基础网络和重要信息系统分析监测平台，建立国家网络舆情监控分析平台，建立覆盖国防、能源、交通、金融、电信、电力、水利等重要基础行业的国家网络靶场，形成指挥通畅，协调一致，反应及时，应对有序的国家基础网络和重要信息系统安全防御体系。

    四、加快构建国家信息安全产业体系是保障国家信息安全的基石

    我国信息安全领域存在诸多问题的根子在产业，由于信息技术水平较低，信息产品功能性能不能满足生产和社会的需求，导致国家基础设施关键核心产品大量依赖国外产品，造成国家信息安全极大隐患。因此，组建信息安全产业国家队，重建国家信息安全产品权威测评认证体系，积极研究和提供新业务新应用的信息安全产品和服务，在国家层面上加快构建国家信息安全产业体系，显得尤为迫切。

   （一）组建信息安全产业国家队

    国家信息安全的根本还是要依靠自主可控和安全可控的信息技术产品和服务。应从三个方面下大力气，一是集中国家的人力、财力和物力，组建国家级大集团，突破关键技术，研发核心通用高端的信息技术产品，提供各重要行业的安全信息化解决方案，形成可信可靠可依赖的信息安全服务队伍。二是要尽快制定和坚决落实国产化替代战略，根据轻重缓急，国家核心要害部门应立即实施国产设备的完全替代；关系国计民生的重点行业和部门应制定出5年替代计划，在5年内逐步实现国产化替代；商业领域和民用领域应在自愿基础上鼓励使用国产产品和服务。三是参考大飞机制造的经验和模式，积极探索组建适合我国国情和特点的信息安全产业国家队，为我国国防和重要信息系统提供信息安全产品、方案和服务。可以考虑确定一至二家中央企业作为国家重要领域的信息技术安全装备企业，并采用合资、合作等不同方式，充分吸引社会其他信息技术企业和信息安全企业参与，形成我国自主的信息安全产业体系。

    （二）重建国家信息安全产品权威测评认证体系

    整合和优化现有国家级信息安全测评认证机构，在国家信息安全企业的支持下，研制以自有技术为核心的信息安全测试和评估技术，建立以国产自主产品为基础的国家级信息安全模拟仿真实验室，为建立国家统一的产品认证、政府采购、风险管理机制，提供可靠的技术支持和保障。

    （三）积极提供新业务和新应用的信息安全产品和服务

    政府科技产业部门应密切跟踪“云物移大智” （云计算、物联网、移动互联、大数据、智慧城市）的国际国内发展动态，通过项目支持、试点示范、应用推广等方式，支持和引导企业在新业务和新应用方面的技术创新；地方政府和国家综合管理部门应积极推动新技术和产品在各领域中的应用，并大力支持国内企业产品和服务的应用推广；国家信息安全企业要积极研制和提供新业务和新应用的信息安全和服务，将最先进的技术产品和服务，应用在国家关键基础设施安全保护、全国统一的信息安全态势感知平台建设、国家基础网络和重要信息系统分析监测平台建设、国家网络舆情监控分析平台建设、覆盖重要基础行业的国家网络靶场建设等方面。