信息安全保障体系在渐进中成熟.doc

资源描述

信息安全保障体系在渐进中成熟 21 2020年4月19日文档仅供参考，不当之处，请联系改正。信息安全保障体系在渐进中成熟 --------本刊专访陈晓桦博士转载时间： -06-10 　　从中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起，至今已逾七载。俗语常说“7年之痒”，7年的时间往往意味着曾经的一腔热血在经历了瓶颈之后，渐渐忘记初衷，变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后，是否依然坚定当初的决心和发展信念呢？最初设定的那些目标和任务，完成情况如何？下一步工作如何开展？当前中国信息安全形势又是怎样？　　新年伊始，带着对中国信息安全领域这一路走来的种种困惑，记者采访到了中国信息安全认证中心副主任陈晓桦博士。她不但是中国信息安全保障体系逐步形成的见证人，更是一直奋战其中的建设者。在采访中，陈博士既谈到了国家信息安全保障工作取得的成绩，也谈到了对工作中有关问题的反思。她对中国信息安全形势发展的思考，有更多源自产业现实的感悟，虽然这次采访内容覆盖面有限，但正是从她所探究的这些细节上，业内人士能够见微知著，得到启发。　　用她本人的话来讲，信息安全工作涉及面非常广，从政策法规建设到政府指引、从战略规划到实施方案，从产业规模到技术专利、从标准制定到人才培养，方方面面都需要加以总结，汲取经验和教训，作为中国十二五甚至更长远工作规划的出发点。认证工作成绩斐然　　陈晓桦博士告诉记者，建立并完善信息安全认证认可制度，是建设中国信息安全保障体系工作当中的一项重要任务。几年来，在国家相关部门的坚强领导和大力支持下，这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力，但信息安全认证中心还是克服了重重困难，积极配合相关领导部门，应对国外的种种质疑与不合理要求，为制度的实施做了大量的技术性支撑工作。 4月底，根据国内外形势的发展，国家对该项制度的实施范围作了调整，即调整到了在政府采购法所规定的范围，首先对13类信息安全产品强制要求认证，并把实施的时间推迟了一年。 5月前，财政部、工信部、质检总局和认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》，这标志着国家信息安全产品认证制度终于在经历曲折和重复后顺利实施和运行。　　记者了解到，截止到 11月30日，信息安全认证中心共颁发国家信息安全产品认证证书158张，国家强制性产品(无线局域网产品)认证证书105张，信息安全产品认证的覆盖面有了长足提高，信息安全产品认证的把关作用得到了体现。多角度延伸认证服务　　不但如此，陈晓桦博士透露，前些年，国内的信息安全管理体系认证几乎被外资机构垄断，其潜在安全风险不可低估。而信息安全认证中心积极服务于国家重要信息系统的安全保障，在强化认证质量和服务的基础上，积极开展ISMS认证，得到了众多关系到国计民生重要行业客户的普遍认同。另外，继年为服务奥运安保工作推出应急处理服务资质认证后，信息安全认证中心还开展了信息安全风险评估服务资质认证，国家信息中心等18家从事风险评估的企事业单位在 6月获得了首批认证证书。“风险评估服务资质认证业务的推出，顺应了社会的需求，得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。　　在培训业务方面，信息安全认证中心不但开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作，还根据市场需求启动了信息安全保障从业人员认证，培训覆盖面进一步拓宽，影响力逐步显现。　　信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作，并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别经过了验收和中期检查；国家发改委信息安全专项、电子产业发展基金重点项目顺利经过了中期检查；“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作；参与制定的一批行业标准已经发布实施，若干国家标准制定项目已完成征求意见工作，或已经进入报批阶段。　　“从事这项制度的建立工作，我们深感任务艰巨，责任重大，使命光荣。我们清醒地认识到，在机构和队伍建设、核心业务拓展、基础设施建设等方面还有待进一步加强，我们的服务能力和水平，还有待进一步提高。我们当前的建设进度和成效，离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记者表示，“我们在底已初步完成了中心发展的十二五战略规划的制定和论证工作，希望能够指导今后5年相关工作的开展，大力推进各项建设工作，充分发挥信息安全认证在国家信息安全保障体系中的基础性作用，努力开创信息安全认证工作新局面。” 　　启示一：信息安全需要从国家层面制定整体发展战略　　陈晓桦观点：信息安全不是一支“独舞”，需要各个部门相互配合开展工作。可是由于缺乏国家层面的战略指导，很多情况下，信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势，制定国家信息安全总体发展战略已经迫在眉睫。采访中，记者得知，以前相关部门开展信息安全工作，职责分工不够清晰，可谓纵横交织，既有必要的互补，也有太多的重复，缺乏有效的沟通协调机制，工作比较被动，经常依靠领导批示和安全事件的驱动。　　陈晓桦博士认为，虽然以前这种工作方式也解决了许多信息安全问题，但从法律法规和制度的完善度来看，还远远不够。而且，即使到了现阶段，信息安全与保密工作在相当大的程度上还带有应急处理的特点。“当然，这和信息安全工作的性质有关，即使制定了一些法律法规和管理制度，采取了一些技术手段，也不能完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言，由于还缺乏来自国家层面的战略规划和设计，没有健全的法律法规整体的指导，更没有先进、强大的科技手段，这就导致信息安全工作在推动时面临不少困难，很多时候依然依靠事件驱动，或者依靠首长批示开展工作，工作方式也不是一种制度化、常态化的方式。缺乏整体规划带来的另一个后果，就是协调制度不完善，虽然相关部门也各司其职，可是容易出现各行其是的局面。由于信息化建设的高速发展，新技术新应用层出不穷，信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说，“救火还是需要的，但不要总是在救火。应急机制是必要的，但更重要的是建立信息安全工作的长效机制。” 　　她告诉记者，其实早在，中国就成立了国家网络与信息安全协调小组，这是中国信息安全工作的最高领导机构，其办公室设在原国信办，成立的初衷是领导中国信息安全相关部门开展工作，并协调各个部门之间工作。由于机构改革，原国信办的职责并入了工业和信息化部。底国务院又重新批准成立国家网络与信息安全协调小组，制定国家信息安全总体发展战略的工作，已经提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重点工作是什么？有哪些保障措施？这可能是国家信息安全战略亟待明确的内容。” 　　启示二：健全法律法规需集思广益；落实相关政策需科技支撑　　陈晓桦观点：过去有些部门规章的要求，都是一刀切，但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年，已经取得了很多经验和教训，需要加以认真总结，并需要与时俱进，用科学的手段保障政策法规的严格执行。　　据公开报道，关于国内信息安全立法工作，相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名法、《全国人民代表大会常务委员会关于维护互联网安全的决定》以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用，但也存在内容分散、相互交叉甚至抵触的现象，影响了立法效力和执法严肃性，对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估，包括清理和制修订。 11月，工信部已完成了《信息安全条例》报送稿。国家今后将以该条例为基础，提出综合性的立法方案，解决当前缺乏互联网法律规范的问题。　　“适当的时候，能够扩大征集意见范围，听取更多国内各界人士的意见或建议。有了《信息安全条例》，中国的信息安全工作就能够更加有序地依法开展，有利于排除外界干扰，有利于界定各方责任，厘清关系。”陈博士如是说。当然，信息安全问题，不但仅是互联网安全问题，从立法程序来看，《信息安全条例》正式出台，可能还需要假以时日。　　随着国家信息化工作的推进，对信息安全保密工作越来越重视。新修订的《保守国家秘密法》于 10月1日实施，总结了多年来保密工作和立法工作的经验，为适应信息化时代的需要，提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是，今后，即便是违规把涉密设备或涉密计算机接入互联网，也要依法给予处分；如果再发生互联网泄密事件，就要当作泄露国家秘密罪论处，要依法追究刑事责任，而不再仅仅是给予通报批评、降级等行政处分。“新保密法提出的这些新要求，非常及时、非常必要。近些年，国内侦破的互联网窃密和失泄密案件时有发生，造成的危害极大，影响极为恶劣。必须加大法律的威慑和惩处作用，尽量杜绝此类案件继续发生。” 　　保障信息安全，管理和技术并重。除了法律法规和相关管理制度，还需要科技手段的支持。陈博士说，现在有的部委信息化程度很高，已经建成了3个甚至4个相互独立的网络，比如，与互联网相连接的办公网，能够上网浏览、检索互联网信息、收发邮件等；物理上相互隔离的政务外网、政务内网；有的机构还有自己特殊的业务网络。“对涉密网提出的物理隔离的强制要求，在中国当前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术与产品，满足不同网络之间信息交换的现实合法需求，用先进的技术手段来保障信息安全，进一步发挥信息系统的作用，降低信息化建设的成本。” 　　启示三：信息安全解决方案要开“药方”而不是开“药房” 　　陈晓桦观点：某些信息安全企业的产品解决方案缺乏针对性，往往是以不变应万变，显然行不通。我们要开妙手回春的药方，而不是开一应俱全的药房，最好的“药引子”就是安全企业主动提升创新水平。中国现有的信息安全技术、产品和服务，或许已经基本上满足中国信息安全的需求，但在骨干、高端、高性能方面，还缺乏自主创新性的产品。“有的企业由于紧跟用户需求，在产品设计中有了几项小小的创新，最终成功中标某个项目，这恰恰说明用户需求的重要性。”陈晓桦博士认为，当前国内信息安全产品大多数都不是基于国内原创的安全理念，一些企业提供的行业安全解决方案也缺乏针对性，似乎放之四海而皆准，不是开“药方”，更像是在开“药房”！　　当然，陈晓桦博士也认为，在信息安全应用领域，用新产品新技术去引导市场，完全实现“技术引领、技术驱动”还是很困难的，经常有厂商面向市场推广产品时会遇到不了解用户需求的现象。“这和国家整体发展现状有关，例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件，甚至包括安全防护产品都不是国内自主开发的。本土企业的产品在进入现有系统时，可能会出现自主产品与国外产品不兼容等现象，影响国内信息安全解决方案的推广。有些外国公司的产品中，大量使用非标准或私有协议，对其它企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为，虽然面临种种困难，但针对用户需求、突破国外产品的技术壁垒，用创新技术积极参与竞争，依然是中国产业发展、人才发展的长远目标，未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主或可控。　　在国内安全企业自主创新的道路上，往往也会出现另外一个误区。陈晓桦博士介绍道，现在有一个现象，很多厂商都在推出第几代升级产品，更新换代十分频繁，甚至刚成立几年的公司，都已经开发出了第四代第五代产品，其实这大多只是该公司产品型号的变化，并没有真正实现技术的换代。让人担忧的是，这样的行为说明这些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究，把一些基本原理和技术搞清楚，真正研发出能满足用户需求的，自主创新的好产品。“在企业发展到了一定规模时，企业拥有多少人才、多少自主知识产权、多少专利和多少自有品牌，这些才是衡量企业综合实力的必要因素，需要企业高度重视。”她进一步强调，“靠贴牌生产的信息安全企业，是注定做不大的。” 　　可喜的是，现在国内有不少本土信息安全企业越来越重视自主创新，虽然年销售额和盈利还不算高，但拥有的专利和创新技术不少，这说明企业有发展眼光、有发展后劲。　　启示四：需要绷紧的那根弦不是安全知识而是安全意识　　陈晓桦观点：虽然信息安全和保密的重要性被广泛认识，但从很多行业、部门甚至业界专家的行为中不难发现，她们并不缺乏安全知识，而是缺乏安全意识。很多安全技术名词被大家天天挂在嘴边，但具有讽刺意义的是，安全意识却没有得到足够的重视。陈晓桦惋惜地指出，很多信息安全厂家的高层或者市场人员，在名片上留的邮件地址都是Hotmail、Gmail这样的邮箱；甚至在申报国家项目中，很多单位汇总到专家办公室的项目申请书、验收材料，都经过 Hotmail、Gmail发送；很多学校、科研院所的领导、骨干，为了与国外通信方便，都习惯使用境外服务器的邮件地址。　　“这可能和早期使用免费邮箱的习惯有关。但即便如此，由于邮件服务器在境外，中国重点单位或企业院校的专家和领导用这些邮箱来传输一些敏感材料和信息，也是非常不合适的。因为发送的邮件往往涉及到安全项目的科研成果，因此这只能说明使用者缺乏安全意识！”陈晓桦强调，“关键部门、重要岗位该用什么样的通信服务，特别是政府部门的官员和工作人员，都需要在头脑里时刻有根弦。”她语重心长地告诉记者，“在没有采取特殊安全保密技术手段的情况下，大家在互联网上经过邮件传递信息，经过手机打电话和发送短信，其实就是信息的‘裸奔’！有些甚至还‘奔’出了国门。” 　　对某些看似普通的信息，其安全管理也需要加强。“由于社会分工日益专业化，很多日常工作都很容易涉及到国家或行业的敏感信息，很多人还没有从国家安全的高度认识到，对这些信息的安全管理是多么重要。”陈晓桦博士举例告诉记者，银行资金流向也是一个很敏感的事情，这不但牵扯到银行自身，还涉及到国家重点单位的敏感信息。如果银行对这类信息的安全管理没有足够重视，就很容易造成敏感信息泄露。例如，某个野战部队在地方银行当中的资金信息一旦泄露，经过分析工资结构就能够了解到这个部队的人员结构，经过分析其维护费用就能够了解武器装备的规模，甚至其作战能力。　　记者了解到，一些在境外上市的公司提交材料时，会不经意间就把涉及到国家、行业和重点企业的敏感材料提交出去。“很多失泄密事件的后果首先体现在国家经济利益的巨大损失方面，比如谈判时我方的铁矿石进口底价。很多网络安全事件和失泄密事件给国家带来了影响就业、经济发展不平衡、社会不稳定等一系列问题。根据《保守国家秘密法》，国家的重要经济信息、核心科技信息其实和军事、外交信息一样，都属于国家秘密，这是需要我们理解并严格保密的。”陈博士归纳道。　　启示五：加强科研项目和专项主管部委的协调和交流，避免重复建设和浪费　　陈晓桦观点：每年国家都会投入巨额资金支持信息安全技术的研发和产业化。由于专项基金的不同管理部门之间缺乏有效的沟通机制，存在重复资助的现象。在关键技术研究、产品设计与制造、产业化等环节，甚至出现支持的时间点错位的现象，所谓“先生儿子，后生爸爸”。　　众所周知，这些年发改委、工信部、科技部每年在信息安全技术研发和产业化方面投入了大量的资金，对中国信息安全技术研究、产业发展发挥了巨大的作用，可谓成绩辉煌，功不可没。陈晓桦博士认为，一方面国家应该继续鼓励和加大资金的投入，支持技术研究、开发重点产品、实现产业化目标。另一方面，国家应该大力促进科研成果更加有效地转换成产品和技术。她告诉记者，一些花费了国家资金，花费了专家和科研人员大量时间研究出的科研成果，在验收完以后就束之高阁，过了很长的时间这些成果还没有转化为技术和产品。由于对这些成果的利用效果缺乏考评机制，因此，也无从判断在国家投资的科研项目当中，3年、5年或后最终有多少转化成满足市场需求的主流产品，有的技术在几年内没有投入到市场，就会被新技术所淘汰。　　“在科研院所形成的创新技术、专利，如何转化成为产品和生产力方面，还很难形成一套高效完善的制度，因为这牵扯到很多现行管理制度。但国家不能只鼓励科研院所只做基础前端的研究，还应该改革现行制度，出台鼓励科技成果转化的新政策和配套的制度，把科技成果转化的效果也作为考核评价指标。”陈晓桦不无担忧地说，无论是现在，还是5年甚至以后，如果中国信息安全建设当中大量采用的安全技术和产品，大都不是国家专项经费支持的结果，那今后该怎么评价国家的专项和基金的成就？除了资金投入产出效果的考量外，就国家各个部委牵头的多个专项和基金计划而言，虽然在定位上有不同的分工，但也有重复，更由于相互之间缺乏有效的沟通和协调机制，时常会发生重复投资的现象。陈晓桦解释道，国家的各专项申请和审批都有严格的程序，公开竞争，专家论证，领导决定。打一个比喻，某单位同期既申请 863高技术项目，又向地方科委申请经费支持，又向国家发改委申请产业化支持，还同时向电子产业发展基金申请，可能还申请了中小企业创新基金、联合其它单位申请了“核高基”等等。可是，实际上其核心技术是相同的，如果同期支持，就会产生重复。另外，还存在另一种时间错位现象，比如：去年国家支持某单位的产业化项目，今年国家又支持其重点产品招标项目，明年国家才支持其研发关键技术的现象，即所谓“先生儿子，后生爸爸”现象。“这种现象还不但仅存在于国家的信息安全专项领域，其它领域情况可能还要更严重一些。” 　　启示六：对涉及国计民生的基础设施而言，其信息系统的安全运行与设施本身同等重要　　陈晓桦观点：随着中国信息化高速发展，信息系统的支撑性、全局性作用也与日俱增，信息系统与基础设施建设已交织为一体，需要充分重视。当前大多数基础设施都是比较脆弱的，哪怕是一些细小环节出现问题，都会导致整个基础设施的瘫痪。正所谓“千里之堤，溃于蚁穴”，很多时候，我们需要未雨绸缪。　　信息系统的安全保障管理工作也极为重要，现在很多影响国计民生的基础设施都离不开信息化。一旦其信息系统受到破坏或出现故障，社会基础设施也就无法正常运行。陈晓桦举例道，如果银行清算系统出现故障，最直接的影响就是银行无法及时进行资金结算，消费者无法刷卡支付；民航登录系统被破坏，乘客必然无法准时登机；通信系统被地震破坏后，所有的座机、手机打不通，最急迫的信息就无法传递……这一切现象都表明，国民经济的基础设施都越来越离不开信息化系统。“不难得出结论，其信息系统的安全可靠与基础设施的正常运行密不可分，二者几乎同等重要。但事实上，我们对支撑这些基础设施的信息技术系统的安全重视程度还远远不够。”她强调，互联网作为新兴媒体，网上一旦发生安全事件、热点事件就非常吸引眼球，但基础设施的信息安全也同样需要关注，甚至应该得到更高程度的重视。　　事实上，仅仅是重视还不够，我们不得不承认一个现实存在的问题，那就是我们还没有掌握许多核心技术，这种状况可能还要持续很多年，我们对关键基础设施和重要信息系统的安全也未能做到心中有数。陈晓桦博士认为，“毕竟中国自主设计开发的系统还不够，很多基础设施可控的程度自然也不够。这就需要安全管理工作要提前部署，防患于未然。” 对安全管理的重视还有很关键的一个环节，那就是对供应链的管理。一条完整的供应链涉及到很多环节，包括产品元器件生产和采购、产品设计与开发、产品制造、部署和安装、使用与运行、服务、升级和维修等，要做到安全可控管理，就必须对整个供应链进行全程控制。“这个观点主要是针对重要的用户、国家核心单位、关键基础设施。虽然中国研发的信息安全系统难免也存在缺陷，但依然需要对供应链上若干过程加以安全管理，充分了解。毕竟蚁穴虽小可溃千里长堤。”她举了一个例子，有个数据统计机构，其信息技术设备都很先进，当发现某存储设备故障后就将其直接送到外面维修，这个举动表明该单位对供应链安全管理显然缺乏足够的认识。　　由于时间和篇幅所限，记者的采访暂时告一段落。陈晓桦博士针对中国信息安全工作成绩的介绍和反思，观点鲜明，语言生动，看法独特，发人深醒。正如她所言，中国信息安全保障工作并不能一蹴而就，需要有一个长期建设和不断优化的过程，所谓“总结是为了进步”，记者希望经过这次在最初的采访，让越来越多的人了解中国的信息安全保障工作，让越来越多的人为国家信息安全保障体系建设添砖加瓦。　　专家信息链接：陈晓桦简介　　1979年考入国防科技大学计算机系，1993年获国防科技大学博士学位。曾在电子科技大学博士后流动站工作两年。1997年起，参加原中国信息安全产品测评认证中心筹建工作，曾任总工程师、副主任、常务副主任、研究员。 10月，参加中国信息安全认证中心筹建工作， 2月任中国信息安全认证中心副主任、党委委员。　　入选1999年度“百千万人才工程”，获政府特殊津贴，获国家科学技术进步一等奖；任全国信息安全标准化技术委员会副秘书长、委员；《信息安全与通信保密》、《计算机安全》编委；电子科技大学、北方交大兼职教授；上海交通大学博士生导师；国家自然科学基金、国家发改委信息安全专项、电子信息产业发展基金重点招标项目、国家科学技术进步奖评审专家；曾任国家“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长，国家互联网应急中心242专项第一届专家组组长。当前主要从事与信息安全检测、评估与认证相关理论、技术、方法、标准、工具的研究和开发工作。　　热点评议　　记者：前段时候闹得沸沸扬扬的腾讯与奇虎360事件终于在公开道歉中落下帷幕，您认为这对信息安全市场中的企业有何警示作用？　　陈晓桦：从世界范围来看，企业之间适度竞争是非常正常的。但3Q事件是国内企业之间不公平竞争、恶性竞争现象的一次爆发，牵扯了上亿用户的权益。我希望这件事情除了国家行业管理部门以外，地方政府部门不要再被企业牵扯进去。企业经过相关部门的协调，应该根据国家法律法规，按照公平竞争的原则，把为用户服好务作为目标，自我约束不正当的市场竞争行为。我建议企业之间的竞争不要经过不兼容和封杀对方这类手段来损害用户的权益。如果仅仅是做到暂时互相不封杀，但依然在继续较劲，并期望获得地方政府和相关机构的支持在地方政策或行政许可等方面去打压对方，这只能说明两家企业将越走越远，并没有真正汲取教训。从长远看，这对行业和企业发展并没有好处。希望其它信息安全企业引以为鉴。　　记者：信息安全产业很多技术概念被持续热炒，像云计算等等，众人纷纷持观望热捧等态度，您认为该如何对待不断推陈出新的技术理念？　　陈晓桦：云计算、三网融合、物联网都是这两年被不断热炒的技术和经营理念。我认为当新技术、新理念出现的时候，应当保持3种态度。第一个态度是不要惊慌，不要轻易高喊“狼来了”。几年前，可信计算推广时，一些专家认定一旦可信计算的模式在全世界推广后，中国的信息安全产业将受到打压和排挤，产业将重新洗牌。实际上这么多年过来了，我们也应对过来了，那些现象也没有发生，产业的技术标准体系和产业升级不是轻易就能发生跨越式改变的。第二个态度是要敢于质问这是不是“皇帝的新装”。面对新技术新应用的出现，要保持冷静，要思考这是不是产品和技术的升级换代，是否真正是创新的技术、革命性的技术，不要人云亦云。第三个态度是去研究是不是“新瓶装旧酒”。要敢于质疑，不能盲目跟风炒作。对云计算的态度应该要谨慎，保持冷静，先多下功夫认真研究云计算的经营模式和关键技术。现在似乎与云计算有关的项目就是好的投资项目，上市企业声称与云计算相关就股票飞涨。在工程建设方面，不要为了政绩或形象工程就一哄而上，不妨先期安排几个行业或地方试点或者示范，等积累了一些成功经验，再规模化实施。我认为可能三五年以后云计算会显现出优越性，现阶段还只是一个梦想，只有极个别的案例。关于云计算安全问题，应该提前研究，但如果现阶段就安排试点、示范就过早了。“皮之不存，毛将焉附？” 　　记者：在底颇受关注的十二五规划即将正式落地，您对此持何态度？　　陈晓桦： 11月，中央发布了制定第十二个五年规划的建议。国家的信息安全战略规划，应该承上启下，既能够与“十一五”规划的工作衔接，又能指导今后5年的工作，还需要提前考虑更长远的发展。自中办27号文件颁布以来，中国的信息安全保障工作取得了显著成就，但我们也应该看到，还有很多老问题没有得到有效解决。国家信息安全保障体系是多层面、多方位的，它的建设工作应该有轻重缓急之分，应当有总体规划，应当有全局意识。在新时期、新形势下，新技术、新应用层出不穷，新问题、新挑战不断涌现，各方面的信息安全保障工作，亟待做出战略部署，需要加强协调，形成整体，形成合力。是我国第十二个五年规划的开局之年，希望国家早日出台国家信息战略规划，颁布新的指导性文件，从“十二五”开始，使中国的网络与信息安全协调机制切实发挥更大的作用。转自：《信息安全与通信保密》网站

展开阅读全文