第一篇：信息安全在國(guó)家經(jīng)濟(jì)安全中作用的分析

信息安全在國(guó)家經(jīng)濟(jì)安全中作用的分析

摘要：本文以系統(tǒng)工程定性定量的綜合方法研究信息安全在國(guó)家經(jīng)濟(jì)安全中的作用。首先對(duì)國(guó)家經(jīng)濟(jì)安全進(jìn)行屬性分析，量化相應(yīng)的社會(huì)運(yùn)動(dòng)成份，得到其關(guān)鍵因素。其次定量分析信息安全領(lǐng)域內(nèi)的各類威脅對(duì)國(guó)家經(jīng)濟(jì)安全關(guān)鍵因素的作用。并以此為基礎(chǔ)，在整體上定性地得出信息安全對(duì)國(guó)家經(jīng)濟(jì)安全的作用。

關(guān)鍵詞：系統(tǒng)工程；定性定量方法；信息安全；國(guó)家經(jīng)濟(jì)安全 引言

當(dāng)今世界范圍內(nèi)經(jīng)濟(jì)全球化迅猛發(fā)展，各國(guó)之間的經(jīng)濟(jì)聯(lián)系不斷加強(qiáng)，國(guó)家經(jīng)濟(jì)安全在國(guó)家安全中占據(jù)重要地位，越來越成為影響國(guó)家安全的重要因素。同時(shí)，隨著信息革命的快速發(fā)展，以信息技術(shù)為基礎(chǔ)，各國(guó)正在進(jìn)入信息社會(huì)和知識(shí)經(jīng)濟(jì)時(shí)代，信息安全成為國(guó)家安全的基石之一。黨的十六屆四中全會(huì)，把政治安全、經(jīng)濟(jì)安全、信息安全、文化安全和國(guó)防安全并列為國(guó)家安全的五大范疇。在這一背景下，對(duì)國(guó)家信息安全與經(jīng)濟(jì)安全之間的關(guān)系進(jìn)行全面深入地分析顯得越發(fā)必要和緊迫。

根據(jù)錢學(xué)森的論述[1]，國(guó)家經(jīng)濟(jì)系統(tǒng)和信息系統(tǒng)都是社會(huì)復(fù)雜巨系統(tǒng)中開放的復(fù)雜子系統(tǒng)，要以系統(tǒng)工程定性定量相結(jié)合的綜合方法進(jìn)行研究。本文應(yīng)用該綜合方法研究信息安全在國(guó)家經(jīng)濟(jì)安全中的作用，并對(duì)其內(nèi)在機(jī)制作出具體的解析。國(guó)家經(jīng)濟(jì)安全內(nèi)容與關(guān)鍵影響因素

當(dāng)代國(guó)家之間的競(jìng)爭(zhēng)主要是在經(jīng)濟(jì)領(lǐng)域中的競(jìng)爭(zhēng)，世界范圍內(nèi)國(guó)家的綜合實(shí)力主要體現(xiàn)為經(jīng)濟(jì)實(shí)力和經(jīng)濟(jì)發(fā)展?jié)摿?。例如，在文獻(xiàn)[2]中，Sameul Huntington認(rèn)為當(dāng)世界處于發(fā)生國(guó)家戰(zhàn)爭(zhēng)的或然率較低的狀態(tài)時(shí)，經(jīng)濟(jì)力量將是決定一個(gè)國(guó)家在世界格局中所處地位的主要決定因素。因此在當(dāng)代，國(guó)家經(jīng)濟(jì)安全具有日益重要的作用。

國(guó)家經(jīng)濟(jì)安全主要是指是直接相關(guān)國(guó)家戰(zhàn)略利益的經(jīng)濟(jì)狀態(tài)。1999 年美國(guó)白宮新聞總署發(fā)表的《新世紀(jì)的國(guó)家安全戰(zhàn)略》[3]中，把保障美國(guó)的經(jīng)濟(jì)繁榮作為國(guó)家安全戰(zhàn)略的核心目標(biāo)之一。我國(guó)學(xué)者雷家骕等[4]認(rèn)為其主要內(nèi)容為：“國(guó)家經(jīng)濟(jì)在整體上主權(quán)獨(dú)立、基礎(chǔ)穩(wěn)同、運(yùn)行健康、增長(zhǎng)穩(wěn)定、發(fā)展持續(xù)；在國(guó)際經(jīng)濟(jì)生活中具有一定的自主性、防衛(wèi)力和競(jìng)爭(zhēng)力；不會(huì)因?yàn)槟承﹩栴}的演化而使整個(gè)經(jīng)濟(jì)受到過大的打擊和遭受過多的損失；能夠避免或化解可能發(fā)生的局部性或全局性的危機(jī)?！备鶕?jù)目前學(xué)術(shù)界研究的情況和相關(guān)成果[5]，可以把國(guó)家經(jīng)濟(jì)安全歸納為：從總體上國(guó)家經(jīng)濟(jì)安全是指主權(quán)國(guó)家根本性的經(jīng)濟(jì)利益不受傷害、經(jīng)濟(jì)戰(zhàn)略利益的零風(fēng)險(xiǎn)或低風(fēng)險(xiǎn)的狀態(tài)。根本經(jīng)濟(jì)利益主要包括基本經(jīng)濟(jì)制度、經(jīng)濟(jì)主權(quán)受損和經(jīng)濟(jì)危機(jī)發(fā)生這三個(gè)方面。其主要表現(xiàn)形式為國(guó)家經(jīng)濟(jì)主權(quán)和經(jīng)濟(jì)制度整體上穩(wěn)固、健康運(yùn)行，國(guó)家的經(jīng)濟(jì)發(fā)展和經(jīng)濟(jì)利益不受外部和內(nèi)部的威脅而保持穩(wěn)定、有序和持續(xù)的發(fā)展，相應(yīng)的經(jīng)濟(jì)風(fēng)險(xiǎn)處于可控狀態(tài)。2.1 國(guó)家經(jīng)濟(jì)安全內(nèi)容

國(guó)家經(jīng)濟(jì)安全主要包括國(guó)家產(chǎn)業(yè)安全、金融安全、技術(shù)與信息網(wǎng)絡(luò)系統(tǒng)安全、國(guó)家職能機(jī)構(gòu)的信息安全以及國(guó)土生態(tài)環(huán)境安全。它們之間相互依賴、不可分割，構(gòu)成了國(guó)家經(jīng)濟(jì)系統(tǒng)的整體安全。

1.產(chǎn)業(yè)安全。本土產(chǎn)業(yè)是國(guó)家經(jīng)濟(jì)中的重要組成部分，國(guó)家的綜合國(guó)力主要表現(xiàn)為本土產(chǎn)業(yè)的國(guó)際生存力與競(jìng)爭(zhēng)力。而保持產(chǎn)業(yè)安全是其快速穩(wěn)定發(fā)展的根本保障。

2.金融安全。即金融貿(mào)易安全。在今天世界全球化過程中，隨著信息科技的不斷進(jìn) 步，金融貿(mào)易數(shù)字電子化、信息化和全球化，各國(guó)的金融市場(chǎng)之間產(chǎn)生了相互越來越緊密的聯(lián)系，一體化程度不斷提高，國(guó)際資本市場(chǎng)基本上聯(lián)接成為一個(gè)信息網(wǎng)絡(luò)。這時(shí)，金融安全是國(guó)家經(jīng)濟(jì)安全的一個(gè)重要組成部分。

3.技術(shù)與信息網(wǎng)絡(luò)系統(tǒng)安全。當(dāng)今世界經(jīng)濟(jì)全球化伴隨著信息社會(huì)和知識(shí)經(jīng)濟(jì)時(shí)代的到來，信息社會(huì)和知識(shí)經(jīng)濟(jì)的發(fā)展是直接以科技革命產(chǎn)生的高、新科學(xué)技術(shù)作為支撐的。同時(shí)，主要以計(jì)算機(jī)技術(shù)與信息技術(shù)為基礎(chǔ)的信息網(wǎng)絡(luò)系統(tǒng)得到了快速發(fā)展，在國(guó)家經(jīng)濟(jì)運(yùn)行的各類經(jīng)濟(jì)實(shí)體中得到了廣泛而迅速地應(yīng)用。信息網(wǎng)絡(luò)系統(tǒng)主要包括各類信息計(jì)算處理系統(tǒng)（例如可信計(jì)算平臺(tái)、云計(jì)算平臺(tái)等）和各類互聯(lián)網(wǎng)絡(luò)系統(tǒng)(包括電信網(wǎng)、因特網(wǎng)、局域網(wǎng)、廣播電視網(wǎng)，和金融互聯(lián)專網(wǎng)、鐵路通信專網(wǎng)、電力通信專網(wǎng)等)。隨著互聯(lián)網(wǎng)和信息系統(tǒng)的不斷發(fā)展，其在國(guó)家經(jīng)濟(jì)實(shí)體中逐步得到普遍而深入的應(yīng)用，這使得各類傳統(tǒng)經(jīng)濟(jì)單位的組織結(jié)構(gòu)和運(yùn)行模式發(fā)生了根本性的改變，加快了其經(jīng)濟(jì)發(fā)展的速度和效率，同時(shí)也推進(jìn)了經(jīng)濟(jì)全球化的進(jìn)程，成為現(xiàn)代信息社會(huì)新知識(shí)經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施。所以，在當(dāng)代信息社會(huì)中，國(guó)家經(jīng)濟(jì)的全面可持續(xù)發(fā)展離不開科技與信息網(wǎng)絡(luò)系統(tǒng)安全。

4.國(guó)家職能機(jī)構(gòu)的信息安全。國(guó)家職能機(jī)構(gòu)主要包括政府部門和軍事組織等，維護(hù)國(guó)家職能機(jī)構(gòu)的信息安全是國(guó)家經(jīng)濟(jì)安全的充分前提條件。

5.國(guó)土生態(tài)環(huán)境安全。隨著經(jīng)濟(jì)的不斷發(fā)展，環(huán)境和生態(tài)問題越來越成為制約各國(guó)整體經(jīng)濟(jì)發(fā)展的重要因素，構(gòu)成了國(guó)家經(jīng)濟(jì)安全的一個(gè)重要方面。2.2 當(dāng)代影響國(guó)家經(jīng)濟(jì)安全的關(guān)鍵因素

國(guó)家經(jīng)濟(jì)系統(tǒng)是社會(huì)中開放的復(fù)雜子系統(tǒng)，要以定性定量相結(jié)合的綜合方法進(jìn)行研究。首先定性國(guó)家經(jīng)濟(jì)安全的本質(zhì)屬性，綜合歸納當(dāng)代世界范圍內(nèi)各個(gè)國(guó)家的經(jīng)濟(jì)能夠穩(wěn)定并可持續(xù)發(fā)展必備條件，根據(jù)它們的性質(zhì)對(duì)其進(jìn)行解析，得到三類必備屬性：經(jīng)濟(jì)發(fā)展的動(dòng)力、空間和載體，它們是國(guó)家經(jīng)濟(jì)安全發(fā)展的本質(zhì)屬性。其次定量具有這些本質(zhì)屬性的關(guān)鍵因素，根據(jù)作用屬性分解當(dāng)代社會(huì)中對(duì)國(guó)家經(jīng)濟(jì)安全產(chǎn)生影響的各種運(yùn)動(dòng)成份，去除不具有上述三類必備屬性的影響因素，得到三類影響國(guó)家經(jīng)濟(jì)安全的關(guān)鍵因素。

1.高新科技—經(jīng)濟(jì)發(fā)展的動(dòng)力。高新科技是指人類社會(huì)各領(lǐng)域在當(dāng)今科技革命過程中產(chǎn)生的能夠創(chuàng)建經(jīng)濟(jì)增長(zhǎng)點(diǎn)或產(chǎn)生新經(jīng)濟(jì)的、對(duì)經(jīng)濟(jì)的可持續(xù)發(fā)展起支撐作用的具有發(fā)展與創(chuàng)新性質(zhì)的知識(shí)原理、技術(shù)和工藝等。其主要包括計(jì)算機(jī)與信息科技、電子科技、新能源科技和生物科技等。隨著新科技的發(fā)展，當(dāng)今世界已經(jīng)進(jìn)入信息和知識(shí)經(jīng)濟(jì)時(shí)代，以高新精技術(shù)為基礎(chǔ)的現(xiàn)代生產(chǎn)力成為首要的社會(huì)前進(jìn)動(dòng)力，高科技產(chǎn)業(yè)在國(guó)家經(jīng)濟(jì)實(shí)體中占有越來越重要的地位，高科技經(jīng)濟(jì)在國(guó)民經(jīng)濟(jì)中越來越占據(jù)主導(dǎo)地位。例如計(jì)算機(jī)軟件或硬件產(chǎn)業(yè)、信息與通訊產(chǎn)業(yè)、微電子產(chǎn)業(yè)、金融服務(wù)業(yè)等高科技產(chǎn)業(yè)所創(chuàng)造的經(jīng)濟(jì)效益在國(guó)家整體經(jīng)濟(jì)收益中所占的比例逐年上升，逐漸成為國(guó)家綜合國(guó)力的重要組成力量。綜上所述，高新科技是影響國(guó)家經(jīng)濟(jì)的關(guān)鍵因素，對(duì)國(guó)家經(jīng)濟(jì)安全起到關(guān)鍵性的作用。

2.經(jīng)濟(jì)全球化—經(jīng)濟(jì)發(fā)展的空間。經(jīng)濟(jì)全球化促進(jìn)了世界各國(guó)的經(jīng)濟(jì)發(fā)展，同時(shí)給國(guó)家經(jīng)濟(jì)安全帶來了相當(dāng)程度的威脅。主要有以下三個(gè)方面：

⑴.經(jīng)濟(jì)全球化加劇了對(duì)各類資本和生產(chǎn)資源的爭(zhēng)奪，在國(guó)家、經(jīng)濟(jì)實(shí)體和個(gè)人三個(gè)層面上發(fā)生了日益激烈的相互對(duì)抗和斗爭(zhēng)，可以對(duì)世界范圍內(nèi)各國(guó)經(jīng)濟(jì)的健康發(fā)展環(huán)境造成破壞，阻礙并抑制各國(guó)經(jīng)濟(jì)的可持續(xù)發(fā)展。其中典型的實(shí)例是世界各國(guó)對(duì)構(gòu)成當(dāng)今經(jīng)濟(jì)發(fā)展主導(dǎo)生產(chǎn)力的知識(shí)科技等智力資本、以及金融資本和生產(chǎn)資料等生產(chǎn)要素的爭(zhēng)奪，激化了各國(guó)、各經(jīng)濟(jì)運(yùn)行實(shí)體之間的矛盾，促進(jìn)并加強(qiáng)了國(guó)家、經(jīng)濟(jì)主體之間以利益為目的的經(jīng)濟(jì)滲透與反滲透事件（以知識(shí)技術(shù)失竊或信息泄漏為代表事件），使各國(guó)經(jīng)濟(jì)的健康發(fā)展面臨利益損失或失去競(jìng)爭(zhēng)優(yōu)勢(shì)的風(fēng)險(xiǎn)。

⑵.經(jīng)濟(jì)全球化使世界各國(guó)經(jīng)營(yíng)實(shí)體在全球范圍內(nèi)相互之間產(chǎn)生直接的或間接的經(jīng)濟(jì)關(guān)系，加寬了各種經(jīng)濟(jì)行為之間的聯(lián)系途徑，使各國(guó)經(jīng)濟(jì)聯(lián)系日益緊密。例如經(jīng)濟(jì)體之間直 接進(jìn)行生產(chǎn)協(xié)作或共同經(jīng)營(yíng)等直接聯(lián)系，不同產(chǎn)業(yè)之間通過期貨、股票等金融貿(mào)易產(chǎn)生間接聯(lián)系等。各國(guó)經(jīng)濟(jì)實(shí)體相互之間聯(lián)系的加強(qiáng)和關(guān)系的緊密一方面促進(jìn)了各國(guó)經(jīng)濟(jì)的共同發(fā)展和各產(chǎn)業(yè)利益的共贏，但同時(shí)在另一方面加大了各國(guó)及其國(guó)內(nèi)產(chǎn)業(yè)所承擔(dān)的經(jīng)濟(jì)風(fēng)險(xiǎn)。主要表現(xiàn)在以下兩個(gè)方面：

①經(jīng)濟(jì)風(fēng)險(xiǎn)在各國(guó)或各個(gè)經(jīng)濟(jì)實(shí)體之間的傳遞性。經(jīng)濟(jì)全球化形成了商品生產(chǎn)的國(guó)際化，同時(shí)生產(chǎn)專業(yè)的分工逐步細(xì)化，這就使各專業(yè)經(jīng)營(yíng)經(jīng)濟(jì)實(shí)體之間合作程度加大，形成產(chǎn)業(yè)網(wǎng)絡(luò)。其中的各產(chǎn)業(yè)的經(jīng)濟(jì)利益在整個(gè)商品生產(chǎn)流通的過程中相互依賴，相互影響。當(dāng)其中某些經(jīng)濟(jì)經(jīng)營(yíng)實(shí)體在其生產(chǎn)過程或經(jīng)營(yíng)管理中遭受經(jīng)濟(jì)損失時(shí)，產(chǎn)生的危害將危及產(chǎn)業(yè)網(wǎng)絡(luò)中其它經(jīng)濟(jì)實(shí)體的利益。例如，大豆出產(chǎn)國(guó)的大豆產(chǎn)量由于氣候原因而降低時(shí),將導(dǎo)致國(guó)際上相關(guān)豆油加工企業(yè)的生產(chǎn)量降低，從而連帶地承受經(jīng)濟(jì)風(fēng)險(xiǎn)。

②世界經(jīng)濟(jì)發(fā)展的格局不均勻，各國(guó)對(duì)經(jīng)濟(jì)運(yùn)行的控制能力不平衡。在當(dāng)今世界范圍內(nèi)的經(jīng)濟(jì)全球化過程中，發(fā)達(dá)資本主義國(guó)家掌握著高新技術(shù)和生產(chǎn)方式的國(guó)際化過程，控制著生產(chǎn)資源的配置方式和經(jīng)濟(jì)貿(mào)易規(guī)則的制定權(quán)，具有在經(jīng)濟(jì)發(fā)展上的各種優(yōu)勢(shì)，處于全球經(jīng)濟(jì)發(fā)展的主導(dǎo)地位，是主要的經(jīng)濟(jì)受益者。相應(yīng)地，經(jīng)濟(jì)發(fā)展中的不對(duì)等現(xiàn)象使處于劣勢(shì)的國(guó)家控制經(jīng)濟(jì)風(fēng)險(xiǎn)的能力較弱，對(duì)所遭受的經(jīng)濟(jì)危害的承受能力較低。例如期貨、股票或貨幣市場(chǎng)投機(jī)所引發(fā)的經(jīng)濟(jì)動(dòng)蕩，對(duì)經(jīng)濟(jì)欠發(fā)達(dá)國(guó)家產(chǎn)生的利益損害要大于經(jīng)濟(jì)較為發(fā)達(dá)的國(guó)家，這是因?yàn)榻?jīng)濟(jì)欠發(fā)達(dá)國(guó)家對(duì)國(guó)際資本或金融的控制力較弱、本土資本運(yùn)營(yíng)環(huán)境較差（例如金融體系不完備、相關(guān)資源相對(duì)不充足），并且對(duì)國(guó)際經(jīng)濟(jì)規(guī)則的承受能力較低，所以經(jīng)濟(jì)動(dòng)蕩產(chǎn)生的危害后果在經(jīng)濟(jì)欠發(fā)達(dá)國(guó)家中表現(xiàn)得更為充分。

⑶.信息網(wǎng)絡(luò)空間—經(jīng)濟(jì)發(fā)展的載體。21世紀(jì)全球進(jìn)入了信息社會(huì)和知識(shí)經(jīng)濟(jì)時(shí)代，信息網(wǎng)絡(luò)遍布社會(huì)各個(gè)層面、行業(yè)和機(jī)構(gòu)，連通各個(gè)國(guó)家和地區(qū)的信息交流，應(yīng)用于生產(chǎn)、生活的各個(gè)方面，使經(jīng)濟(jì)領(lǐng)域、行政管理領(lǐng)域、以及教育和軍事等領(lǐng)域內(nèi)的行為或運(yùn)作方式發(fā)生了根本性的變化。同時(shí)，國(guó)家經(jīng)濟(jì)安全也進(jìn)入了網(wǎng)際安全時(shí)代，信息網(wǎng)絡(luò)空間的安全范圍不再局限于信息網(wǎng)絡(luò)系統(tǒng)本身，而是擴(kuò)展包括與之相連的所有社會(huì)空間（即網(wǎng)絡(luò)空間）。金融與商品貿(mào)易網(wǎng)絡(luò)空間與經(jīng)濟(jì)支持與管理網(wǎng)絡(luò)空間是其中關(guān)鍵的兩個(gè)網(wǎng)絡(luò)空間。

①金融與商品貿(mào)易的網(wǎng)絡(luò)空間。世界信息與知識(shí)經(jīng)濟(jì)的快速發(fā)展，加快了資本在世界市場(chǎng)的范圍內(nèi)流動(dòng)，推進(jìn)了商品和金融貿(mào)易的一體化進(jìn)程，形成了以信息網(wǎng)絡(luò)體系結(jié)構(gòu)為載體的新經(jīng)濟(jì)空間。目前各類商品貿(mào)易或金融貿(mào)易都建有專業(yè)局域網(wǎng)和多級(jí)數(shù)據(jù)庫系統(tǒng)，用于傳輸交易信息和存儲(chǔ)海量數(shù)據(jù)。由于在網(wǎng)絡(luò)空間內(nèi)進(jìn)行經(jīng)濟(jì)活動(dòng)，改變了生產(chǎn)要素的周轉(zhuǎn)流通模式，使各種交易方便快捷，所以節(jié)省了大量的時(shí)間和經(jīng)濟(jì)成本，提高了經(jīng)濟(jì)效率，增加了利潤(rùn)率。但是同時(shí)，金融與商品貿(mào)易網(wǎng)絡(luò)空間的形成對(duì)各國(guó)的經(jīng)濟(jì)安全構(gòu)成了比以往更大的威脅。在該空間內(nèi)，各國(guó)的金融與商品貿(mào)易市場(chǎng)分別是世界金融與商品市場(chǎng)的組成部分，各經(jīng)濟(jì)實(shí)體的商品生產(chǎn)行為之間的相互作用更廣泛、更直接，各國(guó)金融市場(chǎng)的聯(lián)系更緊密，從而導(dǎo)致各類商品（包括金融商品）的市場(chǎng)價(jià)格更加緊密相關(guān)，一國(guó)商品市場(chǎng)或金融市場(chǎng)的蕭條對(duì)其它國(guó)家經(jīng)濟(jì)產(chǎn)生的破壞力也越大。尤其在當(dāng)今經(jīng)濟(jì)全球化的環(huán)境中，金融體系是現(xiàn)代經(jīng)濟(jì)的核心要素，金融網(wǎng)絡(luò)空間中各國(guó)、各產(chǎn)業(yè)的金融聯(lián)系更加密切。但同時(shí)金融網(wǎng)絡(luò)空間中虛擬經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)之間的偏差越來越大，所以由此引發(fā)經(jīng)濟(jì)危機(jī)的或然率也越大，并且產(chǎn)生的破壞性也更強(qiáng)。例如上個(gè)世紀(jì)九十年代發(fā)生的亞洲金融危機(jī)的發(fā)展過程是對(duì)上述論述很好的闡釋，該危機(jī)首先由泰國(guó)引發(fā)。泰國(guó)政府為減少資產(chǎn)泡沫（虛擬經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)之間偏差），調(diào)整貨幣政策，實(shí)行浮動(dòng)匯率制，導(dǎo)致了該國(guó)金融市場(chǎng)的危機(jī)。其影響迅速波及東南亞地區(qū)金融網(wǎng)絡(luò)空間中的各個(gè)國(guó)家，造成東南亞金融風(fēng)暴。該風(fēng)暴通過金融網(wǎng)絡(luò)空間進(jìn)一步對(duì)香港、韓國(guó)等地區(qū)和國(guó)家的經(jīng)濟(jì)造成影響，最終形成亞洲金融危機(jī)。

②經(jīng)濟(jì)支持和管理網(wǎng)絡(luò)空間，主要包括行政司法領(lǐng)域、軍事領(lǐng)域和生態(tài)環(huán)境。行政司 3 法領(lǐng)域的支持和管理空間主要是指國(guó)家對(duì)經(jīng)濟(jì)運(yùn)營(yíng)行為與經(jīng)濟(jì)秩序進(jìn)行管理和規(guī)范。世界經(jīng)濟(jì)的市場(chǎng)全球化帶動(dòng)了金融一體化與貨幣趨同化，加強(qiáng)了國(guó)家之間的經(jīng)濟(jì)融合，但是同時(shí)這一進(jìn)程也削弱了國(guó)家主權(quán)。例如Kapstein[6]和Moran[7]分別對(duì)此進(jìn)行了論述。相應(yīng)的，如果不對(duì)國(guó)家經(jīng)濟(jì)的運(yùn)營(yíng)進(jìn)行相應(yīng)地約束，國(guó)家經(jīng)濟(jì)無序的不良發(fā)展將不可避免地對(duì)國(guó)家經(jīng)濟(jì)安全造成危害。典型的實(shí)例是目前發(fā)生于美國(guó)的次貸危機(jī)，由于國(guó)家沒有對(duì)虛擬經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)之間的巨大差異進(jìn)行有效的掌控，同時(shí)也沒有對(duì)金融系統(tǒng)運(yùn)作的規(guī)范性進(jìn)行及時(shí)的監(jiān)管，最終導(dǎo)致次貸危機(jī)的發(fā)生。軍事領(lǐng)域空間是指國(guó)家軍事實(shí)力和與之相關(guān)的軍事能力是保障經(jīng)濟(jì)安全最終力量。生態(tài)環(huán)境空間是由信息網(wǎng)絡(luò)聯(lián)接起來的環(huán)境系統(tǒng)，包括所有可影響國(guó)民生活狀況和經(jīng)濟(jì)可持續(xù)發(fā)展的自然環(huán)境。經(jīng)濟(jì)的發(fā)展要依托于自然環(huán)境，同時(shí)人們的健康生活也離不開自然界的支持。如果經(jīng)濟(jì)生產(chǎn)導(dǎo)致生態(tài)環(huán)境惡化，國(guó)家的經(jīng)濟(jì)建設(shè)將不可能持續(xù)發(fā)展，國(guó)民的正常生活也得不到保障，所以生態(tài)環(huán)境是影響國(guó)家經(jīng)濟(jì)安全的關(guān)鍵因素。

3.信息安全在國(guó)家經(jīng)濟(jì)安全中作用

在信息社會(huì)中，信息是最重要的生產(chǎn)力載體。例如我國(guó)學(xué)者烏家培[8]認(rèn)為“信息是最重要的生產(chǎn)力軟要素”。從技術(shù)革命以來，信息技術(shù)相伴經(jīng)濟(jì)全球化過程迅猛發(fā)展，信息技術(shù)在當(dāng)代已經(jīng)成為知識(shí)經(jīng)濟(jì)發(fā)展的基礎(chǔ)。文獻(xiàn)[9]中對(duì)此情況進(jìn)行了總結(jié)：“現(xiàn)在，經(jīng)濟(jì)潛力正越來越多地同控制和操縱信息的能力聯(lián)系在一起。”為了完善信息安全保障體系，目前國(guó)際上成立多種信息安全應(yīng)急組織。歐洲、美洲、亞洲等地區(qū)的國(guó)家和地區(qū)都相繼建立了各自的信息安全應(yīng)急組織，其中亞太地區(qū)成立了“亞太事件響應(yīng)協(xié)調(diào)組織(APSIRC)”。信息安全在國(guó)家經(jīng)濟(jì)發(fā)展中起到越來越重要的作用。3.1 信息安全內(nèi)容及安全威脅種類

信息安全是一個(gè)廣泛而抽象的概念，社會(huì)上不同的領(lǐng)域?qū)ζ鋬?nèi)容有不同的闡述。例如對(duì)于商業(yè)領(lǐng)域，信息安全主要是指消除或減小經(jīng)濟(jì)主體可能面臨的經(jīng)濟(jì)風(fēng)險(xiǎn)，避免商業(yè)信息或秘密數(shù)據(jù)的泄露，控制商業(yè)經(jīng)營(yíng)過程中可能出現(xiàn)的錯(cuò)誤行為，保持業(yè)務(wù)流程的可操作性，使可能的經(jīng)濟(jì)利益損失降低到最小。根據(jù)當(dāng)前學(xué)術(shù)界研究的相關(guān)成果，本文從總體上對(duì)信息安全的內(nèi)容給出如下定義：信息安全是指構(gòu)成社會(huì)重要組成部分的信息網(wǎng)絡(luò)空間的安全。該空間內(nèi)包括信息網(wǎng)絡(luò)系統(tǒng)及其直接或間接聯(lián)通的各個(gè)領(lǐng)域，不僅包括各類自然科學(xué)領(lǐng)域，同時(shí)也包括各種社會(huì)領(lǐng)域，例如產(chǎn)業(yè)、政府和軍事等領(lǐng)域。在這里，信息網(wǎng)絡(luò)空間的安全是指空間的整體安全和空間中各組成部分的安全，主要包括正常運(yùn)行保障、主體利益維護(hù)和潛在風(fēng)險(xiǎn)排除三方面的內(nèi)容。

在信息安全領(lǐng)域內(nèi)，根據(jù)對(duì)打擊對(duì)象進(jìn)行破壞作用的運(yùn)行機(jī)制，可以把安全威脅因素主要分為以下六類：

1.惡意軟件。主要包括病毒、木馬以及蠕蟲等。其中病毒是具有自身繁殖和傳播感染功能的、對(duì)系統(tǒng)環(huán)境產(chǎn)生破壞作用的軟件。例如2006年的“熊貓燒香” 病毒通過網(wǎng)絡(luò)傳播產(chǎn)生了很大的破壞作用。

2.漏洞利用。由于軟件具有脆弱性，攻擊者可以對(duì)其利用進(jìn)行危害系統(tǒng)安全的操作。例如目前Microsoft 公司生產(chǎn)的Windows操作系統(tǒng)中存在的MS Windows SeImpersonatePrivilege權(quán)限提升漏洞可以被攻擊者利用，對(duì)Microsoft Windows XP SP2、Microsoft Windows Vista、Microsoft Windows Server 2008等系列產(chǎn)品軟件進(jìn)行安全破壞。

3.信息泄露。攻擊者通過竊聽、業(yè)務(wù)流分析或預(yù)設(shè)后門等方法獲取重要數(shù)據(jù)或秘密信息，導(dǎo)致相應(yīng)的經(jīng)濟(jì)或政治等方面的危害。

4.暴力攻擊。包括物理上的和非物理上的攻擊。典型的物理攻擊是系統(tǒng)內(nèi)部員工非法破壞系統(tǒng)的物理設(shè)備，使系統(tǒng)無法正常運(yùn)行。具有代表性的非物理暴力攻擊如僵尸網(wǎng)絡(luò)兵團(tuán)發(fā)起的拒絕服務(wù)攻擊以及重放攻擊等。5.偽裝欺騙。假冒為合法的或得到授權(quán)的行為主體，在信息網(wǎng)絡(luò)系統(tǒng)內(nèi)進(jìn)行欺騙等非法活動(dòng)。例如“網(wǎng)絡(luò)釣魚”欺騙常常把惡意網(wǎng)頁偽裝成知名銀行或信用卡公司的官方網(wǎng)頁來騙取用戶的信任，非法侵害用戶的經(jīng)濟(jì)利益。

6.自身失誤。系統(tǒng)內(nèi)部設(shè)備的配置失誤或員工的配合失誤等，也可以對(duì)系統(tǒng)造成危害。

3.2 各類安全威脅對(duì)國(guó)家經(jīng)濟(jì)安全關(guān)鍵因素的作用

本文以定性定量綜合方法分析信息安全與國(guó)家經(jīng)濟(jì)安全之間的關(guān)系。安全威脅與信息安全是同一事物的兩個(gè)方面，本文通過定量各類安全威脅對(duì)各類國(guó)家經(jīng)濟(jì)安全關(guān)鍵因素的作用，解析信息安全在國(guó)家經(jīng)濟(jì)領(lǐng)域中的具體作用。

1.惡意軟件對(duì)三類經(jīng)濟(jì)安全關(guān)鍵因素都可以產(chǎn)生較大的影響。例如違紀(jì)企業(yè)可以通過木馬侵入目標(biāo)系統(tǒng)竊取科技數(shù)據(jù)與資料，危害知識(shí)產(chǎn)權(quán)。并以非法獲取的先進(jìn)科技在經(jīng)濟(jì)領(lǐng)域進(jìn)行不公平競(jìng)爭(zhēng)，妨害了世界經(jīng)濟(jì)市場(chǎng)的規(guī)則，損害了他方的經(jīng)濟(jì)利益。

2.漏洞利用可以對(duì)信息網(wǎng)絡(luò)系統(tǒng)產(chǎn)生較大威脅。攻擊者利用系統(tǒng)中存在的軟件代碼缺陷非法侵入，并植入攻擊軟件，對(duì)系統(tǒng)進(jìn)行惡意破壞。

3.信息泄露主要對(duì)高新科技和經(jīng)濟(jì)全球化產(chǎn)生影響。國(guó)家機(jī)密文件、商業(yè)秘密數(shù)據(jù)或關(guān)鍵技術(shù)的泄露能夠危害世界市場(chǎng)的經(jīng)濟(jì)秩序、擾亂國(guó)家正常的經(jīng)濟(jì)行為。

4.暴力攻擊直接地破壞信息網(wǎng)絡(luò)空間的安全，對(duì)國(guó)家的經(jīng)濟(jì)發(fā)展造成威脅。

5.偽裝欺騙主要作用于信息網(wǎng)絡(luò)空間，利用網(wǎng)絡(luò)信息技術(shù)獲取經(jīng)濟(jì)利益，妨害信息網(wǎng)絡(luò)空間的安全。尤其對(duì)于金融系統(tǒng)，偽裝欺騙妨害其正常的經(jīng)濟(jì)活動(dòng)，給其帶來較大危害。根據(jù)IBM公司于今年8月最新公布的X-Force安全趨勢(shì)與風(fēng)險(xiǎn)報(bào)告（IBM X-Force 2010 Mid-Year Trend and Risk Report），金融系統(tǒng)是黑客進(jìn)行“釣魚欺騙”時(shí)主要的假冒對(duì)象，如圖1所示：

圖1.2010年度釣魚欺騙的偽裝對(duì)象

6.自身失誤主要是對(duì)本系統(tǒng)網(wǎng)絡(luò)形成危害。3.3 信息安全對(duì)國(guó)際經(jīng)濟(jì)安全的整體作用 以上節(jié)的定量分析為基礎(chǔ)，定性分析信息安全對(duì)國(guó)家經(jīng)濟(jì)安全的整體作用，得到： 1.信息安全對(duì)國(guó)家經(jīng)濟(jì)正常發(fā)展的前提。當(dāng)今時(shí)代是信息社會(huì)的知識(shí)經(jīng)濟(jì)時(shí)代，科技進(jìn)步和經(jīng)濟(jì)全球化進(jìn)程日益推動(dòng)世界范圍內(nèi)的信息網(wǎng)絡(luò)空間的發(fā)展。并且信息技術(shù)日益與現(xiàn)代生產(chǎn)力結(jié)合，深入應(yīng)用于社會(huì)各領(lǐng)域，所以在社會(huì)生產(chǎn)和生活領(lǐng)域信息安全已經(jīng)成為國(guó)家經(jīng)濟(jì)健康發(fā)展的前提之一。同時(shí)信息安全也是維護(hù)國(guó)家主權(quán)和軍事安全的基礎(chǔ)之一，如果沒有信息安全，國(guó)家軍事安全得不到保障，國(guó)家主權(quán)將會(huì)削弱，國(guó)家經(jīng)濟(jì)安全將會(huì)失去支 撐。因此，在國(guó)家行政和軍事領(lǐng)域信息安全也是保證國(guó)家經(jīng)濟(jì)繁榮穩(wěn)定的基本前提。綜合分析，信息安全是國(guó)家經(jīng)濟(jì)健康穩(wěn)定發(fā)展的重要前提，信息安全的作用已經(jīng)提升到國(guó)家戰(zhàn)略的高度。例如美國(guó)1997年頒布的《信息對(duì)抗作戰(zhàn)條令》中提出了信息對(duì)抗的概念，明確指出信息至關(guān)重要，確定信息對(duì)抗的應(yīng)用范圍是包括軍事領(lǐng)域、經(jīng)濟(jì)領(lǐng)域和政治領(lǐng)域等在內(nèi)的綜合環(huán)境，信息網(wǎng)絡(luò)系統(tǒng)空間是國(guó)家安全的第五維空間，信息安全是保障國(guó)家經(jīng)濟(jì)穩(wěn)定發(fā)展的重要前提。

2.信息安全對(duì)國(guó)家經(jīng)濟(jì)正常發(fā)展的保障作用日益提高。隨著經(jīng)濟(jì)市場(chǎng)全球化發(fā)展和信息網(wǎng)絡(luò)空間的擴(kuò)張，信息安全領(lǐng)域內(nèi)各種安全威脅不斷增加。例如根據(jù)IBM公司公布的2010年上半年度X-Force安全趨勢(shì)與風(fēng)險(xiǎn)報(bào)告（IBM X-Force 2010 Mid-Year Trend and Risk Report），在2000年—2010年期間每年發(fā)現(xiàn)的軟件漏洞數(shù)量整體呈上升趨勢(shì)，其中今年上半年全球披露的軟件漏洞數(shù)量相比于去年同期同比增長(zhǎng)36%（如圖1所示），軟件漏洞整體數(shù)量不斷加大（如圖2所示）。

圖1.2000-2010每年上半年披露的軟件漏洞數(shù)量

圖2.1998-2010年間網(wǎng)絡(luò)應(yīng)用軟件漏洞的整體數(shù)量不斷上升

但同時(shí)，對(duì)發(fā)現(xiàn)的軟件漏洞進(jìn)行補(bǔ)救的工作卻越來越困難（如表1所示），相應(yīng)補(bǔ)救工作的速度跟不上新漏洞出現(xiàn)的速度（如表2所示）。

表1.2010年上半年未修補(bǔ)漏洞的百分比

表2.2009與2010年廠商對(duì)發(fā)現(xiàn)的漏洞未進(jìn)行修補(bǔ)情況的對(duì)比

目前，信息安全威脅已經(jīng)發(fā)展到更高的階段，其所采用的方法比以往更復(fù)雜，并且常常包括多種破壞攻擊技術(shù)（例如同時(shí)應(yīng)用病毒、后門和間諜軟件等），可以產(chǎn)生更大的破壞作用。例如，2008年Gartner組織公布的一項(xiàng)研究報(bào)告表明2008年以前每年由于病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟(jì)損失高達(dá)160多億美元。2009年發(fā)生的HeartlandBreach信用卡失竊事件使1.3億信用卡和相關(guān)交易數(shù)據(jù)被泄露。

同時(shí)，信息安全威脅向著所需代價(jià)更小、產(chǎn)生的危害更大的方向發(fā)展。例如2010年IBM X-Force報(bào)告表明：對(duì)于“漏洞利用”威脅，當(dāng)前能夠通過較小的代價(jià)獲得較大的收益（如圖3所示）。

圖3.利用漏洞所需代價(jià)與可獲得利益的對(duì)比

與安全威脅的增長(zhǎng)相應(yīng)，信息安全領(lǐng)域內(nèi)安全保護(hù)的高精尖理論方法與技術(shù)不斷研發(fā)，保障措施不斷進(jìn)步，有效地控制了安全威脅事件的發(fā)生，把危害程度減到最小，保障了國(guó)民經(jīng)濟(jì)穩(wěn)定有序地發(fā)展。例如對(duì)于“身份認(rèn)證”威脅，相應(yīng)有可驗(yàn)證的加密簽名[10]、密鑰隔離簽名[11]和基于身份的公鑰密碼[12]等技術(shù)方法保證信息的機(jī)密性、完整性和身份的不可抵賴性，有效的預(yù)防和杜絕欺詐行為的發(fā)生。

隨著科技和經(jīng)濟(jì)的發(fā)展，各國(guó)的信息化程度將不斷提高，信息技術(shù)會(huì)不斷發(fā)展，其在社會(huì)生產(chǎn)和生活中必然會(huì)得到日益廣泛而深入的應(yīng)用。同時(shí)信息網(wǎng)絡(luò)空間將不斷擴(kuò)大，使國(guó)家之間、地區(qū)之間以及社會(huì)個(gè)體之間的聯(lián)系更加緊密。在這一發(fā)展環(huán)境中，信息安全對(duì)國(guó)家經(jīng)濟(jì)正常發(fā)展的保障作用將日益提高。綜上所述，在當(dāng)代信息安全是國(guó)家經(jīng)濟(jì)安全發(fā)展的基礎(chǔ)之一，是國(guó)家經(jīng)濟(jì)安全的必要前提和重要保障。結(jié)論

國(guó)家經(jīng)濟(jì)安全是一項(xiàng)系統(tǒng)工程，本文以定性定量相結(jié)合的綜合方法分析信息安全在其中的作用，并得出結(jié)論：信息安全是國(guó)家經(jīng)濟(jì)安全的必要前提和重要保障，并且這一狀況將隨著社會(huì)的發(fā)展而長(zhǎng)期存在。文章命題是在知識(shí)經(jīng)濟(jì)與信息科技革命的迅猛發(fā)展的背景下提出，目的是對(duì)兩者之間的相互聯(lián)系給出內(nèi)在機(jī)制，并對(duì)國(guó)家經(jīng)濟(jì)的健康穩(wěn)定發(fā)展在信息安全領(lǐng)域給出具體解釋。

參考文獻(xiàn)

[1] 錢學(xué)森, 于景元, 戴汝為.一個(gè)科學(xué)新領(lǐng)域一開放的復(fù)雜巨系統(tǒng)及其方法論.自然雜志，1990, 13(1): 3-10.[2] Sameul Huntington.Why Internatinal Primacy Matters.International Security, 1993.p72, p76.[3] 美國(guó)白宮新聞總署.新世紀(jì)的國(guó)家安全戰(zhàn)略.1999(12).[4] 雷家骕.國(guó)家經(jīng)濟(jì)安全理論與方法.經(jīng)濟(jì)科學(xué)出版社, 2000年, 第7頁。

[5] 葉衛(wèi)平.國(guó)家經(jīng)濟(jì)安全定義與評(píng)價(jià)指標(biāo)體系再研究.中國(guó)人民大學(xué)學(xué)報(bào), 2010(4):93-98.[6] Barnaby Kapstein.The Political Economy of National Security:A Global Perspective.New York, 1992, p188.[7] Theodore H.Moran.American Economic Policy and National Security.New York, 1993，p41-70.[8] 烏家培.信息與經(jīng)濟(jì).清華大學(xué)出版社, 1993, 第27頁.[9] 韓保江著.全球化時(shí)代.四川人民出版社, 2000, 第l8頁.[10] Boneh D, Gentry C, Lynn B, et al.Aggregate and verifiably encrypted signatures from

bilinear

maps.In: advances in Cryptography-Eurocrypt 2003, LNCS 2656.Berlin，Springer-Verlag, 2003.416-432.[11] Dodis Y, Katz J, Xu S, et al.Strong Key-Insulated Signature Schemes.In: Public Key

Cryptography-PKC 2003, LNCS 2567.Berlin: Springer-Verlag, 2003.130-144.[12] Boneh D, Franklin M.Identity-based encryption from the Weil pairing.SIAM, J Comput，2003, 32(3): 586-615.

第二篇：國(guó)家信息安全測(cè)評(píng)

國(guó)家信息安全測(cè)評(píng)

信息安全服務(wù)資質(zhì)申請(qǐng)指南

（風(fēng)險(xiǎn)評(píng)估一級(jí)）

?版權(quán)2014—中國(guó)信息安全測(cè)評(píng)中心

2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

目錄

目錄 2 引言 3

一、認(rèn)定依據(jù)................................................................................................................................4

二、級(jí)別劃分................................................................................................................................4三、一級(jí)資質(zhì)要求........................................................................................................................4

3.1 基本資格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5

3.2.1 組織與管理要求.....................................................................................................5 3.2.2 技術(shù)能力要求.........................................................................................................5 3.2.3 人員構(gòu)成與素質(zhì)要求.............................................................................................6 3.2.4 設(shè)備、設(shè)施與環(huán)境要求.........................................................................................6 3.2.5 規(guī)模與資產(chǎn)要求.....................................................................................................6 3.2.6 業(yè)績(jī)要求.................................................................................................................6 3.3 安全風(fēng)險(xiǎn)評(píng)估過程能力要求...........................................................................................6 3.4 項(xiàng)目和組織過程能力要求...............................................................................................7

四、資質(zhì)認(rèn)定................................................................................................................................8

4.1認(rèn)定流程圖........................................................................................................................8 4.2申請(qǐng)階段.............................................................................................................................9 4.3資格審查階段.....................................................................................................................9 4.4能力測(cè)評(píng)階段.....................................................................................................................9

4.4.1靜態(tài)評(píng)估..................................................................................................................9 4.4.2現(xiàn)場(chǎng)審核................................................................................................................10 4.4.3綜合評(píng)定................................................................................................................10 4.4.4資質(zhì)審定................................................................................................................10 4.5證書發(fā)放階段...................................................................................................................10

五、監(jiān)督、維持和升級(jí)..............................................................................................................11

六、處置......................................................................................................................................11

七、爭(zhēng)議、投訴與申訴..............................................................................................................11

八、獲證組織檔案......................................................................................................................12

九、費(fèi)用及周期..........................................................................................................................12

十、聯(lián)系方式..............................................................................................................................13

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

引言

中國(guó)信息安全測(cè)評(píng)中心是經(jīng)中央批準(zhǔn)成立的國(guó)家信息安全權(quán)威測(cè)評(píng)機(jī)構(gòu)，職能是開展信息安全漏洞分析和風(fēng)險(xiǎn)評(píng)估工作，對(duì)信息技術(shù)產(chǎn)品、信息系統(tǒng)和風(fēng)險(xiǎn)評(píng)估的安全性進(jìn)行測(cè)試與評(píng)估。對(duì)信息安全服務(wù)和人員的資質(zhì)進(jìn)行審核與評(píng)價(jià)。

中國(guó)信息安全測(cè)評(píng)中心的主要職能是：

1.為信息技術(shù)安全性提供測(cè)評(píng)服務(wù)； 2.信息安全漏洞分析； 3.信息安全風(fēng)險(xiǎn)評(píng)估；

4.信息技術(shù)產(chǎn)品、信息系統(tǒng)和風(fēng)險(xiǎn)評(píng)估安全測(cè)試與評(píng)估； 5.信息安全服務(wù)和信息安全人員資質(zhì)測(cè)評(píng)； 6.信息安全技術(shù)咨詢、風(fēng)險(xiǎn)評(píng)估監(jiān)理與開發(fā)服務(wù)。

“信息安全服務(wù)資質(zhì)認(rèn)定”是對(duì)信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對(duì)其安全服務(wù)保障能力進(jìn)行評(píng)定和確認(rèn)。為我國(guó)信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會(huì)選擇信息安全服務(wù)提供一種獨(dú)立、公正的評(píng)判依據(jù)。

本指南適用于所有向CNITSEC申請(qǐng)信息安全服務(wù)資質(zhì)（風(fēng)險(xiǎn)評(píng)估一級(jí)）的境內(nèi)外組織。

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

一、認(rèn)定依據(jù)

信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估類）資質(zhì)認(rèn)定是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者的資格狀況、技術(shù)實(shí)力和信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施過程質(zhì)量保證能力等方面的具體衡量和評(píng)價(jià)。

信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估類）資質(zhì)級(jí)別的評(píng)定，是依據(jù)《信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則》和不同級(jí)別的信息安全服務(wù)資質(zhì)（風(fēng)險(xiǎn)評(píng)估類）具體要求，在對(duì)申請(qǐng)組織的基本資格、技術(shù)實(shí)力、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力以及安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的組織管理水平等方面的評(píng)估結(jié)果基礎(chǔ)上的綜合評(píng)定后，由中國(guó)信息安全測(cè)評(píng)中心給予相應(yīng)的資質(zhì)級(jí)別。

二、級(jí)別劃分

信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估類）資質(zhì)認(rèn)定是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者的綜合實(shí)力的客觀評(píng)價(jià)和確認(rèn)，信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估類）資質(zhì)級(jí)別反映了信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)保障能力的成熟程度。資質(zhì)級(jí)別劃分的主要依據(jù)包括：基本資格與基本能力要求、安全風(fēng)險(xiǎn)評(píng)估過程能力要求、項(xiàng)目與組織管理能力要求和其他補(bǔ)充要求等。

信息安全服務(wù)資質(zhì)分為五個(gè)級(jí)別，由一級(jí)到五級(jí)依次遞增，一級(jí)是最基本級(jí)別，五級(jí)為最高級(jí)別。

一級(jí)：基本執(zhí)行級(jí) 二級(jí)：計(jì)劃跟蹤級(jí) 三級(jí)：充分定義級(jí) 四級(jí)：量化控制級(jí) 五級(jí)：持續(xù)改進(jìn)級(jí)三、一級(jí)資質(zhì)要求

申請(qǐng)信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估一級(jí)）資質(zhì)的組織需要在基本資格和基本能力、發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

安全風(fēng)險(xiǎn)評(píng)估過程能力和項(xiàng)目與組織過程能力等幾個(gè)方面符合《信息安全服務(wù)資質(zhì)具體要求（風(fēng)險(xiǎn)評(píng)估一級(jí)）》的規(guī)定。

3.1 基本資格要求

申請(qǐng)信息安全服務(wù)（風(fēng)險(xiǎn)評(píng)估一級(jí)）資質(zhì)的組織必須是一個(gè)獨(dú)立的實(shí)體，具有工商行政管理部門頒發(fā)的營(yíng)業(yè)執(zhí)照，并遵守國(guó)家現(xiàn)行法律法規(guī)。

3.2 基本能力要求 3.2.1 組織與管理要求

1.必須擁有健全的組織和管理體系，為持續(xù)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供保障；

2.必須具有專業(yè)從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的隊(duì)伍和相應(yīng)的質(zhì)量保證； 3.與安全風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。

3.2.2 技術(shù)能力要求

1.了解信息系統(tǒng)技術(shù)的最新動(dòng)向，有能力掌握信息系統(tǒng)的最新技術(shù)； 2.具有不斷的技術(shù)更新能力；

3.具有對(duì)信息系統(tǒng)的狀況進(jìn)行調(diào)研、分析和描述的能力；

4.具有對(duì)信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識(shí)別、分析能力；

5.具有對(duì)信息系統(tǒng)的資產(chǎn)及其影響進(jìn)行識(shí)別、分析和評(píng)估的能力； 6.具有對(duì)信息系統(tǒng)的脆弱性進(jìn)行識(shí)別分析和評(píng)估的能力； 7.具有根據(jù)信息安全風(fēng)險(xiǎn)的結(jié)果提出應(yīng)對(duì)安全措施的能力； 8.具有應(yīng)用國(guó)際國(guó)內(nèi)最新信息安全風(fēng)險(xiǎn)評(píng)估方法的能力； 9.有跟蹤、了解、掌握、應(yīng)用國(guó)際、國(guó)家和行業(yè)標(biāo)準(zhǔn)的能力。

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

3.2.3 人員構(gòu)成與素質(zhì)要求

1.具有充足的人力資源和合理的人員結(jié)構(gòu)；

2.所有與信息安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識(shí)；

3.有相對(duì)穩(wěn)定的從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的技術(shù)隊(duì)伍；

4.技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息系統(tǒng)安全基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗(yàn)；

5.必須有2名以上(含2名)專職的注冊(cè)信息安全專業(yè)人員(CISP)。

3.2.4 設(shè)備、設(shè)施與環(huán)境要求

1.具有固定的工作場(chǎng)所和良好的工作環(huán)境；

2.具有實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的相關(guān)工具和設(shè)備。

3.2.5 規(guī)模與資產(chǎn)要求

1.有足夠的注冊(cè)資金和充足的流動(dòng)資金；

2.具有與所申請(qǐng)安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全風(fēng)險(xiǎn)評(píng)估規(guī)模相適應(yīng)的服務(wù)體系；

3.有足夠的人員從事直接與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)的活動(dòng)。

3.2.6 業(yè)績(jī)要求

1.應(yīng)有從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)；

2.近3年內(nèi)在信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)方面，沒有出現(xiàn)驗(yàn)收未通過的情況。

3.3 安全風(fēng)險(xiǎn)評(píng)估過程能力要求

安全風(fēng)險(xiǎn)評(píng)估過程能力是評(píng)價(jià)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)專業(yè)水平高低的標(biāo)志。申請(qǐng)組織應(yīng)能實(shí)施以下6個(gè)安全風(fēng)險(xiǎn)評(píng)估過程域： 1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

2.評(píng)估系統(tǒng)資產(chǎn)的影響； 3.評(píng)估系統(tǒng)存在的脆弱性； 4.評(píng)估系統(tǒng)面臨的安全威脅； 5.評(píng)估系統(tǒng)已有的安全措施； 6.評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)。

3.4 項(xiàng)目和組織過程能力要求

項(xiàng)目和組織過程能力是評(píng)價(jià)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范性和質(zhì)量保證成熟度標(biāo)志。

申請(qǐng)組織應(yīng)能實(shí)施以下6個(gè)項(xiàng)目和組織過程域： 1.質(zhì)量保證； 2.管理項(xiàng)目風(fēng)險(xiǎn)； 3.規(guī)劃技術(shù)活動(dòng)； 4.監(jiān)控技術(shù)活動(dòng)；

5.提供不斷發(fā)展的技能和知識(shí)； 6.與供應(yīng)商協(xié)調(diào)。

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

四、資質(zhì)認(rèn)定

4.1認(rèn)定流程圖

申請(qǐng)委托人申請(qǐng)不受理形式化審查申請(qǐng)階段資格審查階段受理決定受理靜態(tài)評(píng)估現(xiàn)場(chǎng)審核限期整改綜合評(píng)定不通過綜合評(píng)定通過資質(zhì)審定不通過發(fā)證決定抽樣檢查通過證書發(fā)放不予發(fā)證能力測(cè)評(píng)階段證書發(fā)放階段公告證后監(jiān)督證后監(jiān)督階段

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

4.2申請(qǐng)階段

申請(qǐng)組織應(yīng)首先到CNITSEC網(wǎng)站（http://004km.cnITSEC，同時(shí)提交申請(qǐng)費(fèi)。在向CNITSEC遞交申請(qǐng)書前，須逐項(xiàng)檢查所填報(bào)的材料的完整性和正確性。

4.3資格審查階段

CNITSEC接到正式申請(qǐng)書及相關(guān)資料以及申請(qǐng)費(fèi)后，根據(jù)所提交的資料進(jìn)行資格審查，以確認(rèn)申請(qǐng)單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。

資格審查包括對(duì)申請(qǐng)單位所提交資料進(jìn)行的形式化審查以及對(duì)申請(qǐng)單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請(qǐng)組織補(bǔ)充資料等。

當(dāng)通過資格審查階段后，CNITSEC將與申請(qǐng)組織簽訂合同，正式受理該申請(qǐng)，并通知相關(guān)費(fèi)用的繳納事宜等。

4.4能力測(cè)評(píng)階段

當(dāng)申請(qǐng)組織通過資格審查并繳納了相關(guān)費(fèi)用后，資質(zhì)申請(qǐng)進(jìn)入能力測(cè)評(píng)階段。

能力測(cè)評(píng)階段包括靜態(tài)評(píng)估、現(xiàn)場(chǎng)審核、綜合評(píng)定和資質(zhì)審定四個(gè)步驟。

4.4.1靜態(tài)評(píng)估

靜態(tài)評(píng)估是對(duì)申請(qǐng)組織資料進(jìn)行符合性審查，是對(duì)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力做出基本判斷，初步確定申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力水 發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

平狀況，為現(xiàn)場(chǎng)審核做準(zhǔn)備。如果在靜態(tài)評(píng)估階段發(fā)現(xiàn)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估能力不能滿足資質(zhì)要求，將要求申請(qǐng)組織進(jìn)行整改，待整改完成達(dá)到后進(jìn)入現(xiàn)場(chǎng)審核階段。

4.4.2現(xiàn)場(chǎng)審核

現(xiàn)場(chǎng)審核是對(duì)申請(qǐng)組織從事信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的綜合能力（包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營(yíng)業(yè)績(jī)、資產(chǎn)狀況等方面）進(jìn)行核實(shí)和確認(rèn)。

通過靜態(tài)評(píng)估后，CNITSEC將與申請(qǐng)組織溝通現(xiàn)場(chǎng)審核事宜，安排審核組進(jìn)行現(xiàn)場(chǎng)審核。

現(xiàn)場(chǎng)審核若發(fā)現(xiàn)需整改的不符合項(xiàng)，審核組將對(duì)申請(qǐng)組織提出限期整改的要求，并對(duì)整改效果進(jìn)行驗(yàn)證。

4.4.3綜合評(píng)定

在綜合評(píng)定階段，將依據(jù)靜態(tài)評(píng)估和現(xiàn)場(chǎng)審核結(jié)果，對(duì)申請(qǐng)組織的基本資格、基本能力、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評(píng)定，出具綜合評(píng)定報(bào)告。

對(duì)評(píng)定結(jié)果不符合的，CNITSEC將要求申請(qǐng)組織限期整改。申請(qǐng)組織完成整改并向CNITSEC提交整改報(bào)告后，CNITSEC將對(duì)整改結(jié)果進(jìn)行驗(yàn)證，整改仍不符合的，將不能通過能力測(cè)評(píng)。逾期未整改的，視作整改不符合。

4.4.4資質(zhì)審定

根據(jù)綜合評(píng)定的報(bào)告，CNITSEC技術(shù)委員會(huì)將組織技術(shù)專家對(duì)申請(qǐng)組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)進(jìn)行審查，并最終做出是否通過的決定。

4.5證書發(fā)放階段

資質(zhì)審定通過后，CNITSEC將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站、報(bào)刊雜志等媒體上公布獲證組織的相關(guān)信息。

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

五、監(jiān)督、維持和升級(jí)

獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及安全風(fēng)險(xiǎn)評(píng)估過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場(chǎng)見證以及對(duì)信息安全服務(wù)項(xiàng)目進(jìn)行抽樣檢查來驗(yàn)證每個(gè)獲得資質(zhì)組織的能力。

證書在三年有效期內(nèi)實(shí)行年確認(rèn)制度，每三年進(jìn)行一次維持換證。獲證后，每年在證書簽發(fā)之日前30天內(nèi)，獲證組織要向CNITSEC提交調(diào)查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認(rèn)定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。

在證書有效期屆滿前90天內(nèi)，由獲證組織提出維持換證申請(qǐng)。CNITSEC將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進(jìn)行評(píng)審，以確定獲證組織符合信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力一級(jí)資質(zhì)要求的持續(xù)性。

若獲證組織相關(guān)資料變動(dòng)時(shí)，須及時(shí)通知CNITSEC，并申請(qǐng)更改。若獲證組織實(shí)體發(fā)生變化，需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站（http://004km.cnITSEC申請(qǐng)二級(jí)資質(zhì)。

六、處置

獲證組織存在違規(guī)行為時(shí)，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。

七、爭(zhēng)議、投訴與申訴

對(duì)CNITSEC所作的評(píng)審、復(fù)查、處置等決定有異議時(shí)，可向CNITSEC提出書面申訴。CNITSEC將會(huì)責(zé)成與所申訴、投訴事項(xiàng)無利益相關(guān)的人員進(jìn)行調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。

發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

獲證組織應(yīng)妥善處理因自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時(shí)查閱獲證組織的申訴/投訴記錄。

八、獲證組織檔案

CNITSEC將對(duì)每個(gè)獲證組織建立專項(xiàng)檔案，所有資料將保存10年以上。

九、費(fèi)用及周期

信息安全服務(wù)資質(zhì)認(rèn)定收費(fèi)劃分為如下四個(gè)部分：

（一）申請(qǐng)費(fèi)：2000元

（二）測(cè)評(píng)費(fèi)：3000元/人日

（三）審定與注冊(cè)費(fèi)（含證書費(fèi)）：3000元

（四）年金（含標(biāo)志使用費(fèi)）：5000元/年

未獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu)，首次申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)（一級(jí)）費(fèi)用： 2000（申請(qǐng)費(fèi)）＋3000×3×2(三人二日測(cè)評(píng)費(fèi))+3000（審定與注冊(cè)費(fèi)）+15000（三年年金）＝38000元。

未獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu)，風(fēng)險(xiǎn)評(píng)估資質(zhì)（一級(jí)）維持費(fèi)用： 2000（申請(qǐng)費(fèi)）＋3000×2×2.5(二人二日半測(cè)評(píng)費(fèi))+3000（審定與注冊(cè)費(fèi)）+5000（三年年金）＝35000元。

已獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu)，申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)（一級(jí)）費(fèi)用（首次申請(qǐng)和維持）：

2000（申請(qǐng)費(fèi)）＋3000×3×0.5(三人二日測(cè)評(píng)費(fèi))+3000（審定與注冊(cè)費(fèi)）=9500元

已獲得安全工程類服務(wù)資質(zhì)的機(jī)構(gòu)申請(qǐng)風(fēng)險(xiǎn)評(píng)估資質(zhì)時(shí)不再重復(fù)收取年金。

申請(qǐng)組織還應(yīng)承擔(dān)因現(xiàn)場(chǎng)審核活動(dòng)審核組成員所發(fā)生的交通和食宿費(fèi)用。

從受理到頒發(fā)證書的周期為四個(gè)月，但由于申請(qǐng)方原因（如，資料補(bǔ)充需要的時(shí)間等）造成的時(shí)間延誤不計(jì)算在內(nèi)。發(fā)布日期：2014年5月1日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全風(fēng)險(xiǎn)評(píng)估一級(jí)）

十、聯(lián)系方式

名 稱：中國(guó)信息安全測(cè)評(píng)中心 資質(zhì)評(píng)估處 地 址：中國(guó)北京市海淀區(qū)上地西路8號(hào)院1號(hào)樓 郵 編：100085 傳 真：010－82341100 咨詢電話：

資質(zhì)受理： 010－82341582、010－82341568 證后管理： 010－82341553

發(fā)布日期：2014年5月1日

第三篇：安全培訓(xùn)需求分析在人力資源管理中的作用

安全培訓(xùn)需求分析在人力資源管理中的作用

摘 要：安全生產(chǎn)是每個(gè)企業(yè)的愿望和追求，也是社會(huì)、國(guó)家對(duì)企業(yè)的基本要求，企業(yè)員工的安全意識(shí)和能力是實(shí)現(xiàn)安全生產(chǎn)的基礎(chǔ)，主要來源于安全培訓(xùn)。因而，進(jìn)行科學(xué)合理的員工安全培訓(xùn)是企業(yè)人力資源管理部門應(yīng)盡的職責(zé)和法律義務(wù)。在組織安全培訓(xùn)過程中，培訓(xùn)需求分析有著非常重要的作用，有利于更好地確定安全培訓(xùn)內(nèi)容，節(jié)約培訓(xùn)資源，提升培訓(xùn)效果。

關(guān)鍵詞：安全培訓(xùn) 需求分析 人力資源管理 作用

在人力資源管理中，員工安全培訓(xùn)不僅能有效地提高企業(yè)員工的安全意識(shí)和能力，提升企業(yè)安全生產(chǎn)水平，減少安全事故發(fā)生的機(jī)率，滿足安全生產(chǎn)的需要，同時(shí)，也是企業(yè)應(yīng)盡社會(huì)責(zé)任和法律義務(wù)。因此，每個(gè)企業(yè)都應(yīng)該高度重視員工安全培訓(xùn)，科學(xué)地分析安全培訓(xùn)需求，夯實(shí)保證安全培訓(xùn)質(zhì)量和效果的基礎(chǔ)，推動(dòng)人力資源管理的進(jìn)步和提升。

一、安全培訓(xùn)的意義

2005年以來，中國(guó)共產(chǎn)黨提出將“和諧社會(huì)”作為執(zhí)政的戰(zhàn)略任務(wù)，社會(huì)對(duì)安全生產(chǎn)的關(guān)注度不斷提升，國(guó)家陸續(xù)出臺(tái)了多項(xiàng)確保安全生產(chǎn)的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，企業(yè)也不斷增加安全生產(chǎn)的投入，引進(jìn)先進(jìn)的管理理念和管理工具，使用先進(jìn)的生產(chǎn)和安全設(shè)備設(shè)施。企業(yè)員工接受先進(jìn)的管理理念，具備使用先進(jìn)的管理工具、生產(chǎn)和安全設(shè)備設(shè)施的能力，是企業(yè)人力資源開發(fā)的重要內(nèi)容，因此，安全培訓(xùn)就顯得尤為重要，不管是對(duì)企業(yè)自身還是對(duì)員工個(gè)人來說，都有著積極的現(xiàn)實(shí)意義和作用。

對(duì)于企業(yè)來說，針對(duì)性和時(shí)效性強(qiáng)的員工安全培訓(xùn)，可以不斷地提高員工整體安全意識(shí)和能力，有效地減少安全事故發(fā)生的機(jī)率，降低生產(chǎn)經(jīng)營(yíng)成本，確保企業(yè)的經(jīng)濟(jì)效益，促進(jìn)企業(yè)管理水平的提高和企業(yè)的健康發(fā)展，提高社會(huì)的文明程度。

對(duì)于員工來說，能參加科學(xué)合理的安全培訓(xùn)，將不斷提高自身的安全生產(chǎn)技能，達(dá)到“三不傷害”（不傷害自己、不傷害別人、不被別人傷害）的目的，保護(hù)個(gè)人生命財(cái)產(chǎn)，維護(hù)家庭和社會(huì)穩(wěn)定，促進(jìn)個(gè)人發(fā)展，享受社會(huì)、國(guó)家和企業(yè)的發(fā)展成果。

二、安全培訓(xùn)存在的主要問題

安全培訓(xùn)是企業(yè)管理的常態(tài)性工作，就目前的安全培訓(xùn)現(xiàn)狀來看，員工參與培訓(xùn)的積極性不高，培訓(xùn)效果不盡人意，常出現(xiàn)“學(xué)的用不上，內(nèi)容有漏項(xiàng)；盡管經(jīng)常講，用時(shí)就搞忘；心里很清楚，動(dòng)手常犯怵”的現(xiàn)象。主要有以下四個(gè)方面的原因：

1．培訓(xùn)內(nèi)容針對(duì)性不強(qiáng)。企業(yè)高度重視安全培訓(xùn)，在人力、物力、財(cái)力上有大量投入，但是在培訓(xùn)的內(nèi)容上沒有緊密根據(jù)不斷發(fā)展的社會(huì)情況、不斷提高的安全管理要求和不同工作

崗位的實(shí)際需求，進(jìn)行及時(shí)有效的改進(jìn)和跟進(jìn)。

2．培訓(xùn)教師授課水平不高。在企業(yè)安全培訓(xùn)中，聘請(qǐng)的授課教師大部分是企業(yè)內(nèi)部的安全、技術(shù)和經(jīng)營(yíng)管理人員，雖然能夠抓住培訓(xùn)內(nèi)容的重點(diǎn)，但授課技巧參差不齊，不能有效吸引員工注意力；對(duì)安全管理理念、工具理解不夠透徹，闡述不深入，缺乏必要的事例分析，只是平鋪直述、照本宣科，不能讓員工理解和掌握。

3．培訓(xùn)方式選擇不當(dāng)。培訓(xùn)方式影響培訓(xùn)效果。針對(duì)不同的培訓(xùn)內(nèi)容、不同的培訓(xùn)對(duì)象，應(yīng)采取不同的培訓(xùn)方式，安全管理理念和工具，宜采用集中培訓(xùn)的方式；安全技能的培訓(xùn)，宜采用現(xiàn)場(chǎng)演練的方式；員工安全技能有高低、各有弱項(xiàng)，要因材施教。

4．培訓(xùn)評(píng)估機(jī)制不完善。根據(jù)培訓(xùn)管理要求，培訓(xùn)組織者組織員工考試，填寫評(píng)估表格，對(duì)培訓(xùn)效果進(jìn)行評(píng)估，但跟蹤培訓(xùn)效果的力度不夠，部分培訓(xùn)班效果不佳。特別是安全培訓(xùn)，不能在實(shí)際的生產(chǎn)過程中來檢驗(yàn)培訓(xùn)效果，會(huì)造成較大的風(fēng)險(xiǎn)。

消除以上的原因，變培訓(xùn)管理“短板”為“長(zhǎng)項(xiàng)”，提升培訓(xùn)效果，除了健全制度、形成良好機(jī)制外，還需要在實(shí)施培訓(xùn)之前，進(jìn)行培訓(xùn)需求分析工作，科學(xué)選擇培訓(xùn)內(nèi)容、方式、頻次，聘請(qǐng)較高水平的授課教師，及時(shí)跟蹤培訓(xùn)效果，安全培訓(xùn)才能起到不斷促進(jìn)企業(yè)安全管理水平提高的作用。

三、安全培訓(xùn)需求分析的作用

不論是管理者還是人力資源管理部門，都應(yīng)明確安全培訓(xùn)的重要性，遵循“干什么，學(xué)什么；缺什么，補(bǔ)什么”的原則，積極組織安全培訓(xùn)需求分析，制定科學(xué)的培訓(xùn)計(jì)劃，認(rèn)真組織實(shí)施，及時(shí)跟蹤培訓(xùn)效果，避免出現(xiàn)走過場(chǎng)的現(xiàn)象，造成不必要的浪費(fèi)。因此，培訓(xùn)需求分析工作是安全培訓(xùn)不可忽視的環(huán)節(jié)，在企業(yè)人力資源管理中有著十分重要的地位。

1．有助于提高安全培訓(xùn)內(nèi)容的針對(duì)性。在培訓(xùn)需求分析中，通過對(duì)比分析員工崗位能力模型與員工實(shí)際能力的差異，結(jié)合HSE審核、業(yè)績(jī)考核和事故、意外事件教訓(xùn)，了解和掌握員工的安全技能和企業(yè)的安全管理狀況，才能確定針對(duì)性強(qiáng)的安全培訓(xùn)內(nèi)容，做到“干什么，學(xué)什么；缺什么，補(bǔ)什么”，防止培訓(xùn)內(nèi)容與崗位員工的實(shí)際需要脫節(jié)。只有認(rèn)真進(jìn)行了培訓(xùn)需求分析，才能全面、科學(xué)地安排培訓(xùn)內(nèi)容，為提高安全培訓(xùn)效果奠定基礎(chǔ)。

2．有助于選擇合適的培訓(xùn)方式。實(shí)際的培訓(xùn)管理中，通常會(huì)根據(jù)不同的培訓(xùn)內(nèi)容、不同的培訓(xùn)對(duì)象，采用不同的培訓(xùn)方式提高培訓(xùn)效果。通用的需加強(qiáng)和補(bǔ)充的基本知識(shí)和技能，可以采用集中強(qiáng)化培訓(xùn)的方式；只需要員工了解的，可采用會(huì)議培訓(xùn)和網(wǎng)絡(luò)培訓(xùn)的方式；只是個(gè)別崗位員工欠缺的知識(shí)和技能，可采用“一幫一”的方式；需要實(shí)際操作練習(xí)的，可采用崗位

實(shí)際練習(xí)的方式等等。通過培訓(xùn)需求分析，可以系統(tǒng)地鑒別出不同的培訓(xùn)內(nèi)容和崗位員工個(gè)體，需采用何種培訓(xùn)方式，做到因需施教、因材施教。

3．有助于確定合理的培訓(xùn)頻次。知識(shí)和技能，不是通過一次培訓(xùn)就能掌握，必須是經(jīng)常復(fù)習(xí)、練習(xí)、使用，或再次培訓(xùn)，才能達(dá)到熟練的程度。就培訓(xùn)管理來講，同一內(nèi)容反復(fù)培訓(xùn)是必要的。在進(jìn)行培訓(xùn)需求分析時(shí)，要結(jié)合環(huán)境的變化、要求的變化、人的記憶規(guī)律，確定合理的培訓(xùn)頻次，采用專題討論、會(huì)議培訓(xùn)、理論測(cè)試、崗位練習(xí)等方式，不斷強(qiáng)化記憶，提高培訓(xùn)效果。

4．有助于內(nèi)部培訓(xùn)師隊(duì)伍建設(shè)。培訓(xùn)需求分析，要充分考慮員工崗位能力評(píng)估結(jié)果，可側(cè)面反映出內(nèi)部培訓(xùn)師（授課教師）的水平，結(jié)合參加培訓(xùn)員工的評(píng)價(jià)，能明確內(nèi)部培訓(xùn)師在哪些方面需要改進(jìn)，是應(yīng)該加強(qiáng)語言表達(dá)能力，還是改進(jìn)課件的制作；是講解不夠深入，還是事例太少，起到促進(jìn)內(nèi)部培訓(xùn)師提高能力的作用。

5．有助于節(jié)約企業(yè)資源。管理者和人力資源管理部門在根據(jù)安全培訓(xùn)需求分析結(jié)果制定安全培訓(xùn)規(guī)劃和計(jì)劃時(shí)，肯定會(huì)充分考慮成本因素。通過在充分比較測(cè)算的基礎(chǔ)上，會(huì)選擇典型課堂培訓(xùn)、強(qiáng)化課堂培訓(xùn)、會(huì)議培訓(xùn)、專題討論、崗位實(shí)際練習(xí)、網(wǎng)絡(luò)培訓(xùn)等方式，在集中培訓(xùn)時(shí)，還會(huì)考慮培訓(xùn)地點(diǎn)、時(shí)間、規(guī)模、教師等因素，有利于管理層做出合理的決策，在滿足培訓(xùn)效果的基礎(chǔ)上，節(jié)約企業(yè)資源。

四、安全培訓(xùn)需求分析應(yīng)重點(diǎn)把握的環(huán)節(jié)

安全培訓(xùn)需求是為了滿足特定崗位的實(shí)際工作需要而必須接受的培訓(xùn)內(nèi)容，通過分析培訓(xùn)需求，建立培訓(xùn)需求矩陣，根據(jù)培訓(xùn)需求矩陣確定的培訓(xùn)課時(shí)、頻率、方式和掌握程度，制定員工個(gè)人和單位的培訓(xùn)計(jì)劃。在進(jìn)行安全培訓(xùn)需求分析時(shí)，要充分考慮崗位基本技能、崗位風(fēng)險(xiǎn)、崗位操作規(guī)程、相關(guān)法律法規(guī)及其他要求、HSE審核結(jié)果、崗位能力評(píng)估結(jié)果等十四個(gè)方面的因素，筆者認(rèn)為還要重點(diǎn)把握以下容易忽視或流于形式的環(huán)節(jié)。

1．崗位員工能力素質(zhì)模型的建立。崗位員工能力素質(zhì)模型是崗位員工能力評(píng)估的基礎(chǔ)，是一件工作量大、比較繁瑣的工作，不同的崗位有不同的模型，同一崗位在不同的地點(diǎn)有不同的模型，同一崗位在不同的時(shí)期也可能有不同的模型。當(dāng)崗位員工能力素質(zhì)模型建立后，要定期評(píng)審，使之符合崗位實(shí)際情況，不能因?yàn)榉爆?，讓定期評(píng)審流于形式。

2．人員、工藝和設(shè)備變更。崗位人員、工藝和設(shè)備都會(huì)因?yàn)楦鞣N原因產(chǎn)生變化，一旦忽視培訓(xùn)，很容易造成事故或意外事件。因此，人員、工藝和設(shè)備發(fā)生變更，要立即修正崗位員工能力素質(zhì)模型和培訓(xùn)計(jì)劃，及時(shí)組織培訓(xùn)，防止事故發(fā)生。

3．業(yè)績(jī)考核結(jié)果。在HSE管理體系審核、內(nèi)控測(cè)試、基礎(chǔ)管理審計(jì)等方式查找出的問題，很容易得到重視，并能及時(shí)進(jìn)行分析和整改，但業(yè)績(jī)考核結(jié)果，大部分員工認(rèn)為只是獎(jiǎng)金發(fā)放的依據(jù)，沒能認(rèn)真分析指標(biāo)完成困難的原因，如果是能力不夠造成的，應(yīng)加強(qiáng)培訓(xùn)。

4．應(yīng)急演練與應(yīng)急響應(yīng)總結(jié)。目前，崗位員工非常重視事故和事件的教訓(xùn)，能舉一反三地查找管理和技能的缺陷，但應(yīng)急演練與應(yīng)急響應(yīng)總結(jié)很容易被忽視，在應(yīng)急演練與應(yīng)急響應(yīng)中表現(xiàn)出的意識(shí)、知識(shí)和技能的欠缺，沒能很好地應(yīng)用到培訓(xùn)需求分析中。

5．再培訓(xùn)。針對(duì)人的記憶特點(diǎn)的再培訓(xùn)能得到重視，但環(huán)境的變化、要求的變化等因素常常通過開會(huì)進(jìn)行傳達(dá)和要求，沒有很好地融入到培訓(xùn)內(nèi)容中去，不能定期強(qiáng)化記憶和練習(xí)，造成培訓(xùn)內(nèi)容的缺失或漏項(xiàng)，影響培訓(xùn)效果。

五、結(jié)束語

員工安全培訓(xùn)是企業(yè)應(yīng)盡社會(huì)責(zé)任和法律義務(wù)，能有效地提高企業(yè)員工的安全意識(shí)和能力，提升企業(yè)安全生產(chǎn)水平，滿足安全生產(chǎn)的需要。安全培訓(xùn)需求分析是安全培訓(xùn)的基礎(chǔ)，只要把握住重點(diǎn)環(huán)節(jié)，培訓(xùn)需求分析就能發(fā)揮重要的作用，提升安全培訓(xùn)效果，不斷提高人力資源管理水平，為企業(yè)快速發(fā)展提供人力資源保障。

第四篇：安全管理機(jī)構(gòu)在企業(yè)中的作用

安全管理機(jī)構(gòu)在企業(yè)中的作用

安全生產(chǎn)管理機(jī)構(gòu)指的是生產(chǎn)經(jīng)營(yíng)單位中專門負(fù)責(zé)安全生產(chǎn)監(jiān)督管理的內(nèi)設(shè)機(jī)構(gòu)，其工作人員都是專職安全生產(chǎn)管理人員。

2014年12月1日新的《安全生產(chǎn)法》規(guī)定：礦山、金屬冶煉、建筑施工、道路運(yùn)輸單位和危險(xiǎn)物品的生產(chǎn)、經(jīng)營(yíng)、儲(chǔ)存單位，應(yīng)當(dāng)設(shè)置安全生產(chǎn)管理機(jī)構(gòu)或者配備專職安全生產(chǎn)管理人員。從業(yè)人員超過一百人的企業(yè)企業(yè)，應(yīng)當(dāng)設(shè)置安全生產(chǎn)管理機(jī)構(gòu)或者配備專職安全生產(chǎn)管理人員；從業(yè)人員在一百人以下的，應(yīng)當(dāng)配備專職或者兼職的安全生產(chǎn)管理人員。

下面就安全管理機(jī)構(gòu)的作用我談幾點(diǎn)個(gè)人看法：

一、安全管理機(jī)構(gòu)是企業(yè)貫徹、落實(shí)、執(zhí)行國(guó)家有關(guān)安全的法律、法規(guī)、地方規(guī)章制度和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)方面的“軍師”，是企業(yè)經(jīng)濟(jì)效益、人員和財(cái)產(chǎn)安全的重要保障部門。盡管從表面上看，安全管理部門不直接創(chuàng)造財(cái)富，不直接產(chǎn)生經(jīng)濟(jì)效益，甚至是常常要整改安全隱患，落實(shí)安全法律法規(guī)，加強(qiáng)安全生產(chǎn)方面的投入，發(fā)放勞動(dòng)防護(hù)用品，不停“花錢”，是個(gè)令人討厭的部門。但是，殊不知，“千里之堤毀于蟻穴”的故事 經(jīng)常在企業(yè)里上演。千里之堤，潰于蟻穴”，是出自《韓非子·喻老》中的一句話，后來廣為流傳，并演變成為今天的一條哲理成語。這句話深刻揭示了千里長(zhǎng)堤雖然看似十分牢固，卻會(huì)因?yàn)橐粋€(gè)小小蟻穴而崩潰的道理。更是警示我們世人，事情的發(fā)展是一個(gè)由小到大的過程，當(dāng)存在微小的安全隱患時(shí)，如果不給予足夠的重視和正確及時(shí)處理，就會(huì)留下無窮的后患。所以，我們?cè)趯?shí)際工作中要防微杜漸，從小事做起，及時(shí)處理好不安全因素，避免事故或?yàn)?zāi)難的發(fā)生。因?yàn)榘踩块T經(jīng)常性的檢查，發(fā)現(xiàn)了問題，及時(shí)整改，才沒有將小隱患變成大事故，沒有造成大的財(cái)產(chǎn)損失和破壞。也就是安全管理部門間接創(chuàng)造的經(jīng)濟(jì)。

二、企業(yè)安全部門的主要職責(zé)就是組織生產(chǎn)經(jīng)營(yíng)單位內(nèi)部各種安全檢查活動(dòng)查處本單位從業(yè)人員的不安全行為和物的不安全狀態(tài)，制止和查處違章指揮，違章作業(yè)和違反勞動(dòng)紀(jì)律的行為。試想，喝醉的司機(jī)興奮的駕車回家途中，與對(duì)面的大貨車相撞，車毀人亡。造成父母沒有兒子，妻子沒有丈夫，孩子沒有父親。。。

悲劇不可避免的發(fā)生了，現(xiàn)實(shí)中如果同桌吃飯的人不給司機(jī)勸酒，如果有人見司機(jī)喝酒了替他開車，如果找人代駕或者打的回家，如果。。。生活中沒有如果，殘酷的現(xiàn)實(shí)一定有很多原因。如果我們能將前期預(yù)防作為工作重點(diǎn)，就可以避免很多悲劇的發(fā)生。那么，企業(yè)的安全機(jī)構(gòu)就是那一部分“先知先覺 ”的執(zhí)行機(jī)構(gòu)，總是將可能的結(jié)果提前告知。他們將嚴(yán)格執(zhí)行安全法律法規(guī)，認(rèn)真仔細(xì)檢查，督促整改，其實(shí)在給企業(yè)看家，在盡職盡責(zé)保衛(wèi)我們的企業(yè)創(chuàng)造成果。

三、安全管理機(jī)構(gòu)是政府政策落實(shí)執(zhí)行的“最后一公里”。國(guó)家新修訂了《安全生產(chǎn)法》，新修訂了《職業(yè)病防治法》，新修訂了《應(yīng)工傷保險(xiǎn)條例》需要各個(gè)企業(yè)的安全管理人員在企業(yè)里宣傳，培訓(xùn)，落實(shí)，將新的法律法規(guī)知識(shí)普及個(gè)給位員工。職工只有懂法了。才會(huì)自覺遵守法律，自覺維護(hù)自身權(quán)益，自覺遵守各項(xiàng)規(guī)章制度。安全管理機(jī)構(gòu)代表企業(yè)執(zhí)行檢查、督促整改，制止違章，宣講法律，才會(huì)讓安全法規(guī)實(shí)實(shí)在在地落地生根，所以他們是最后要落地的“一公里”絕對(duì)不可以缺少。他們是默默無聞的奉獻(xiàn)者，在普度眾生，救人于日常工作中，他們的工作需要領(lǐng)導(dǎo)的理解支持，需要員工的配合。

四、在“以人文本，生命至上“的和諧社會(huì)里，任何一場(chǎng)災(zāi)難或者事故，處理不當(dāng)就會(huì)引起社會(huì)問題。安全無小事，安全管理工作要做好，首先就要有機(jī)構(gòu)保障，人員財(cái)力投入，才會(huì)產(chǎn)生效益。安全管理人員要有擔(dān)當(dāng)，有責(zé)任感。在參與本單位生產(chǎn)工藝、技術(shù)、設(shè)備的安全事故預(yù)防措施的制定；參與本單位新建、改建、擴(kuò)建工程的審查；組織制定本單位應(yīng)急預(yù)案的制定和演練 ；負(fù)責(zé)事故統(tǒng)計(jì)分析，參加事故調(diào)查；綜合分析企業(yè)安全生產(chǎn)中的突出問題，及時(shí)向負(fù)責(zé)人匯報(bào)并提出改進(jìn)意見的的過程中“認(rèn)真一點(diǎn)點(diǎn)”同時(shí)要不斷學(xué)習(xí)新的知識(shí)、發(fā)現(xiàn)新的問題，將本職工作做好。

，

第五篇：信息安全保障體系在漸進(jìn)中成熟

信息安全保障體系在漸進(jìn)中成熟

--------本刊專訪陳曉樺博士

轉(zhuǎn)載時(shí)間：2011-06-10

從2003年中央頒發(fā)的第27號(hào)文件《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》開始算起，至今已逾七載。俗語常說“7年之癢”，7年的時(shí)間往 往意味著曾經(jīng)的一腔熱血在經(jīng)歷了瓶頸之后，漸漸忘記初衷，變得麻木。那么中國(guó)信息安全這7年在經(jīng)歷了翻天覆地的變化之后，是否依然堅(jiān)定當(dāng)初的決心和發(fā)展信 念呢？最初設(shè)定的那些目標(biāo)和任務(wù)，完成情況如何？下一步工作如何開展？當(dāng)前我國(guó)信息安全形勢(shì)又是怎樣？

2011年新年伊始，帶著對(duì)中國(guó)信息安全領(lǐng)域這一路走來的種種困惑，記者采訪到了中國(guó)信息安全認(rèn)證中心副主任陳曉樺博士。他不僅是我國(guó)信息安全保障體系 逐步形成的見證人，更是一直奮戰(zhàn)其中的建設(shè)者。在采訪中，陳博士既談到了國(guó)家信息安全保障工作取得的成績(jī)，也談到了對(duì)工作中有關(guān)問題的反思。他對(duì)我國(guó)信息 安全形勢(shì)發(fā)展的思考，有更多源自產(chǎn)業(yè)現(xiàn)實(shí)的感悟，雖然這次采訪內(nèi)容覆蓋面有限，但正是從他所探究的這些細(xì)節(jié)上，業(yè)內(nèi)人士可以見微知著，得到啟發(fā)。

用他本人的話來講，信息安全工作涉及面非常廣，從政策法規(guī)建設(shè)到政府指引、從戰(zhàn)略規(guī)劃到實(shí)施方案，從產(chǎn)業(yè)規(guī)模到技術(shù)專利、從標(biāo)準(zhǔn)制定到人才培養(yǎng)，方方面面都需要加以總結(jié)，汲取經(jīng)驗(yàn)和教訓(xùn)，作為我國(guó)十二五甚至更長(zhǎng)遠(yuǎn)工作規(guī)劃的出發(fā)點(diǎn)。

認(rèn)證工作成績(jī)斐然

陳曉樺博士告訴記者，建立并完善信息安全認(rèn)證認(rèn)可制度，是建設(shè)我國(guó)信息安全保障體系工作當(dāng)中的一項(xiàng)重要任務(wù)。幾年來，在國(guó)家相關(guān)部門的堅(jiān)強(qiáng)領(lǐng)導(dǎo)和大力支 持下，這項(xiàng)制度的建立取得了突破性進(jìn)展。信息安全產(chǎn)品認(rèn)證制度的建設(shè)雖然遇到了重重阻力，但信息安全認(rèn)證中心還是克服了重重困難，積極配合相關(guān)領(lǐng)導(dǎo)部門，應(yīng)對(duì)國(guó)外的種種質(zhì)疑與不合理要求，為制度的實(shí)施做了大量的技術(shù)性支撐工作。2009年4月底，根據(jù)國(guó)內(nèi)外形勢(shì)的發(fā)展，國(guó)家對(duì)該項(xiàng)制度的實(shí)施范圍作了調(diào)整，即調(diào)整到了在政府采購法所規(guī)定的范圍，首先對(duì)13類信息安全產(chǎn)品強(qiáng)制要求認(rèn)證，并把實(shí)施的時(shí)間推遲了一年。2010年5月前，財(cái)政部、工信部、質(zhì)檢總局和 認(rèn)監(jiān)委聯(lián)合發(fā)布了財(cái)庫48號(hào)文件《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》，這標(biāo)志著國(guó)家信息安全產(chǎn)品認(rèn)證制度終于在經(jīng)歷曲折和反復(fù)后順利實(shí)施和運(yùn)行。

記者了解到，截止到2010年11月30日，信息安全認(rèn)證中心共頒發(fā)國(guó)家信息安全產(chǎn)品認(rèn)證證書158張，國(guó)家強(qiáng)制性產(chǎn)品(無線局域網(wǎng)產(chǎn)品)認(rèn)證證書105張，信息安全產(chǎn)品認(rèn)證的覆蓋面有了長(zhǎng)足提高，信息安全產(chǎn)品認(rèn)證的把關(guān)作用得到了體現(xiàn)。

多角度延伸認(rèn)證服務(wù)

不僅如此，陳曉樺博士透露，前些年，國(guó)內(nèi)的信息安全管理體系認(rèn)證幾乎被外資機(jī)構(gòu)壟斷，其潛在安全風(fēng)險(xiǎn)不可低估。而信息安全認(rèn)證中心積極服務(wù)于 國(guó)家重要信息系統(tǒng)的安全保障，在強(qiáng)化認(rèn)證質(zhì)量和服務(wù)的基礎(chǔ)上，積極開展ISMS認(rèn)證，得到了眾多關(guān)系到國(guó)計(jì)民生重要行業(yè)客戶的普遍認(rèn)同。另外，繼2008 年為服務(wù)奧運(yùn)安保工作推出應(yīng)急處理服務(wù)資質(zhì)認(rèn)證后，信息安全認(rèn)證中心還開展了信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證，國(guó)家信息中心等18家從事風(fēng)險(xiǎn)評(píng)估的企事業(yè)單 位在2010年6月獲得了首批認(rèn)證證書?！帮L(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)的推出，順應(yīng)了社會(huì)的需求，得到了企事業(yè)單位的積極響應(yīng)和好評(píng)?！标悤詷宀┦靠偨Y(jié)道。

在培訓(xùn)業(yè)務(wù)方面，信息安全認(rèn)證中心不僅開展了工廠檢查員、體系審核員、體系咨詢師與服務(wù)資質(zhì)評(píng)審員的培訓(xùn)工作，還根據(jù)市場(chǎng)需求啟動(dòng)了信息安全保障從業(yè)人員認(rèn)證，培訓(xùn)覆蓋面進(jìn)一步拓寬，影響力逐步顯現(xiàn)。信息安全認(rèn)證中心積極參與并承擔(dān)了多項(xiàng)國(guó)家和部委的科研和專項(xiàng)工作，并取得了一批成果。其承擔(dān)的863項(xiàng)目和國(guó)家科技支撐計(jì)劃項(xiàng)目分別通過了驗(yàn)收和中期檢 查；國(guó)家發(fā)改委信息安全專項(xiàng)、電子產(chǎn)業(yè)發(fā)展基金重點(diǎn)項(xiàng)目順利通過了中期檢查；“國(guó)家信息安全產(chǎn)品認(rèn)證專項(xiàng)”項(xiàng)目已完成基礎(chǔ)環(huán)境建設(shè)和檢測(cè)工具開發(fā)工作；參 與制定的一批行業(yè)標(biāo)準(zhǔn)已經(jīng)發(fā)布實(shí)施，若干國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目已完成征求意見工作，或已經(jīng)進(jìn)入報(bào)批階段。“從事這項(xiàng)制度的建立工作，我們深感任務(wù)艱巨，責(zé)任重大，使命光榮。我們清醒地認(rèn)識(shí)到，在機(jī)構(gòu)和隊(duì)伍

建設(shè)、核心業(yè)務(wù)拓展、基礎(chǔ)設(shè)施建設(shè)等方面還 有待進(jìn)一步加強(qiáng)，我們的服務(wù)能力和水平，還有待進(jìn)一步提高。我們目前的建設(shè)進(jìn)度和成效，離國(guó)家對(duì)我們的要求和業(yè)界的期望還有很大的距離?！标悤詷宀┦繉?duì)記 者表示，“我們?cè)?010年底已初步完成了中心發(fā)展的十二五戰(zhàn)略規(guī)劃的制定和論證工作，希望能夠指導(dǎo)今后5年相關(guān)工作的開展，大力推進(jìn)各項(xiàng)建設(shè)工作，充分 發(fā)揮信息安全認(rèn)證在國(guó)家信息安全保障體系中的基礎(chǔ)性作用，努力開創(chuàng)信息安全認(rèn)證工作新局面。”

啟示一：信息安全需要從國(guó)家層面制定整體發(fā)展戰(zhàn)略

陳曉樺觀點(diǎn)：信息安全不是一支“獨(dú)舞”，需要各個(gè)部門相互配合開展工作。但是由于缺乏國(guó)家層面的戰(zhàn)略指導(dǎo)，很多情況下，信息安全工作還只能依賴領(lǐng)導(dǎo)批示和安全事件來驅(qū)動(dòng)。把握當(dāng)前國(guó)內(nèi)外形勢(shì)和發(fā)展趨勢(shì)，制定國(guó)家信息安全總體發(fā)展戰(zhàn)略已經(jīng)迫在眉睫。

采訪中，記者得知，以前相關(guān)部門開展信息安全工作，職責(zé)分工不夠清晰，可謂縱橫交織，既有必要的互補(bǔ)，也有太多的重復(fù)，缺乏有效的溝通協(xié)調(diào)機(jī)制，工作比較被動(dòng)，經(jīng)常依靠領(lǐng)導(dǎo)批示和安全事件的驅(qū)動(dòng)。

陳曉樺博士認(rèn)為，雖然以前這種工作方式也解決了許多信息安全問題，但從法律法規(guī)和制度的完善度來看，還遠(yuǎn)遠(yuǎn)不夠。而且，即使到了現(xiàn)階段，信息安全 與保密工作在相當(dāng)大的程度上還帶有應(yīng)急處理的特點(diǎn)?！爱?dāng)然，這和信息安全工作的性質(zhì)有關(guān)，即使制定了一些法律法規(guī)和管理制度，采取了一些技術(shù)手段，也不能 完全遏制和避免安全和失泄密事件的發(fā)生?！标悤詷逄寡?，由于還缺乏來自國(guó)家層面的戰(zhàn)略規(guī)劃和設(shè)計(jì)，沒有健全的法律法規(guī)整體的指導(dǎo)，更沒有先進(jìn)、強(qiáng)大的科技 手段，這就導(dǎo)致信息安全工作在推動(dòng)時(shí)面臨不少困難，很多時(shí)候仍然依靠事件驅(qū)動(dòng)，或者依靠首長(zhǎng)批示開展工作，工作方式也不是一種制度化、常態(tài)化的方式。缺乏 整體規(guī)劃帶來的另一個(gè)后果，就是協(xié)調(diào)制度不完善，雖然相關(guān)部門也各司其職，但是容易出現(xiàn)各行其是的局面。由于信息化建設(shè)的高速發(fā)展，新技術(shù)新應(yīng)用層出不 窮，信息安全的總體規(guī)劃迫切需要全新的思路和設(shè)計(jì)。陳曉樺幽默地說，“救火還是需要的，但不要總是在救火。應(yīng)急機(jī)制是必要的，但更重要的是建立信息安全工 作的長(zhǎng)效機(jī)制?！彼嬖V記者，其實(shí)早在2004年，我國(guó)就成立了國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，這是我國(guó)信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，其辦公室設(shè)在原國(guó)信辦，成立的初衷是領(lǐng) 導(dǎo)我國(guó)信息安全相關(guān)部門開展工作，并協(xié)調(diào)各個(gè)部門之間工作。由于2008年機(jī)構(gòu)改革，原國(guó)信辦的職責(zé)并入了工業(yè)和信息化部。2009年底國(guó)務(wù)院又重新批準(zhǔn) 成立國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，制定國(guó)家信息安全總體發(fā)展戰(zhàn)略的工作，已經(jīng)提上日程?！笆鍑?guó)家信息安全保障工作的指導(dǎo)思想、戰(zhàn)略目標(biāo)、主要任務(wù)和重 點(diǎn)工作是什么？有哪些保障措施？這可能是國(guó)家信息安全戰(zhàn)略亟待明確的內(nèi)容。”

啟示二：健全法律法規(guī)需集思廣益；落實(shí)相關(guān)政策需科技支撐

陳曉樺觀點(diǎn)：過去有些部門規(guī)章的要求，都是一刀切，但在實(shí)際工作中并沒有解決用戶的切實(shí)問題。國(guó)家信息安全立法工作開展多年，已經(jīng)取得了很多經(jīng)驗(yàn)和教訓(xùn)，需要加以認(rèn)真總結(jié)，并需要與時(shí)俱進(jìn)，用科學(xué)的手段保障政策法規(guī)的嚴(yán)格執(zhí)行。

據(jù)公開報(bào)道，關(guān)于國(guó)內(nèi)信息安全立法工作，相關(guān)部門認(rèn)為當(dāng)前規(guī)范信息安全的法律法規(guī)有憲法、刑法、國(guó)家安全法、保守國(guó)家秘密法、治安管理處罰法、電子簽名 法、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》以及數(shù)十部部門規(guī)章。這些法律法規(guī)或規(guī)章對(duì)加強(qiáng)信息安全發(fā)揮了積極作用，但也存在內(nèi)容分散、相互交叉甚至抵觸的現(xiàn)象，影響了立法效力和執(zhí)法嚴(yán)肅性，對(duì)信息安全監(jiān)督管理造成了不利影響。需要對(duì)現(xiàn)有的信息安全的法律法規(guī)加以評(píng)估，包括清理和制修訂。2010年11月，工信部已完成了《信息安全條例》報(bào)送稿。國(guó)家今后將以該條例為基礎(chǔ)，提出綜合性的立法方案，解決當(dāng)前缺乏互聯(lián)網(wǎng)法律規(guī)范的問題。

“適當(dāng)?shù)臅r(shí)候，可以擴(kuò)大征集意見范圍，聽取更多國(guó)內(nèi)各界人士的意見或建議。有了《信息安全條例》，我國(guó)的信息安全工作就可以更加有序地依法開展，有利于排 除外界干擾，有利于界定各方責(zé)任，厘清關(guān)系。”陳博士如是說。當(dāng)然，信息安全問題，不僅僅是互聯(lián)網(wǎng)安全問題，從立法程序來看，《信息安全條例》正式出臺(tái)，可能還需要假以時(shí)日。

隨著國(guó)家信息化工作的推進(jìn)，對(duì)信息安全保密工作越來越重視。新修訂的《保守國(guó)家秘密法》于2010年10月1日實(shí)施，總結(jié)了多年來保密工作和立法工作的經(jīng) 驗(yàn)，為適應(yīng)信息化時(shí)代的需要，提出了許多具體而且可操作性強(qiáng)的要求。陳博士認(rèn)為需要提醒大家的是，今后，即便是違規(guī)把涉密設(shè)備或涉密計(jì)算機(jī)接入互聯(lián)網(wǎng)，也 要依法給予處分；如果再發(fā)生互聯(lián)網(wǎng)泄密事件，就要當(dāng)作泄露國(guó)家秘密罪論處，要依法追究刑事責(zé)任，而不再僅僅

是給予通報(bào)批評(píng)、降級(jí)等行政處分。“新保密法提 出的這些新要求，非常及時(shí)、非常必要。近些年，國(guó)內(nèi)偵破的互聯(lián)網(wǎng)竊密和失泄密案件時(shí)有發(fā)生，造成的危害極大，影響極為惡劣。必須加大法律的威懾和懲處作 用，盡量杜絕此類案件繼續(xù)發(fā)生?！?/p>

保障信息安全，管理和技術(shù)并重。除了法律法規(guī)和相關(guān)管理制度，還需要科技手段的支持。陳博士說，現(xiàn)在有的部委信息化程度很高，已經(jīng)建成了3個(gè)甚至4個(gè)相互 獨(dú)立的網(wǎng)絡(luò)，比如，與互聯(lián)網(wǎng)相連接的辦公網(wǎng)，可以上網(wǎng)瀏覽、檢索互聯(lián)網(wǎng)信息、收發(fā)郵件等；物理上相互隔離的政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)；有的機(jī)構(gòu)還有自己特殊的業(yè) 務(wù)網(wǎng)絡(luò)?！皩?duì)涉密網(wǎng)提出的物理隔離的強(qiáng)制要求，在我國(guó)目前的技術(shù)條件下是非常必要的。國(guó)家急需加緊研究開發(fā)自主可控、安全可靠的新一代信息隔離和交換技術(shù) 與產(chǎn)品，滿足不同網(wǎng)絡(luò)之間信息交換的現(xiàn)實(shí)合法需求，用先進(jìn)的技術(shù)手段來保障信息安全，進(jìn)一步發(fā)揮信息系統(tǒng)的作用，降低信息化建設(shè)的成本?！?/p>

啟示三：信息安全解決方案要開“藥方”而不是開“藥房”

陳曉樺觀點(diǎn)：某些信息安全企業(yè)的產(chǎn)品解決方案缺乏針對(duì)性，往往是以不變應(yīng)萬變，顯然行不通。我們要開妙手回春的藥方，而不是開一應(yīng)俱全的藥房，最好的“藥引子”就是安全企業(yè)主動(dòng)提升創(chuàng)新水平。

我國(guó)現(xiàn)有的信息安全技術(shù)、產(chǎn)品和服務(wù)，或許已經(jīng)基本上滿足我國(guó)信息安全的需求，但在骨干、高端、高性能方面，還缺乏自主創(chuàng)新性的產(chǎn)品。“有的企業(yè)由于緊跟 用戶需求，在產(chǎn)品設(shè)計(jì)中有了幾項(xiàng)小小的創(chuàng)新，最終成功中標(biāo)某個(gè)項(xiàng)目，這恰恰說明用戶需求的重要性?！标悤詷宀┦空J(rèn)為，目前國(guó)內(nèi)信息安全產(chǎn)品大多數(shù)都不是基 于國(guó)內(nèi)原創(chuàng)的安全理念，一些企業(yè)提供的行業(yè)安全解決方案也缺乏針對(duì)性，似乎放之四海而皆準(zhǔn)，不是開“藥方”，更像是在開“藥房”！

當(dāng)然，陳曉樺博士也認(rèn)為，在信息安全應(yīng)用領(lǐng)域，用新產(chǎn)品新技術(shù)去引導(dǎo)市場(chǎng)，完全實(shí)現(xiàn)“技術(shù)引領(lǐng)、技術(shù)驅(qū)動(dòng)”還是很困難的，經(jīng)常有廠商面向市場(chǎng)推廣產(chǎn)品時(shí)會(huì) 遇到不了解用戶需求的現(xiàn)象。“這和國(guó)家整體發(fā)展現(xiàn)狀有關(guān)，例如金融系統(tǒng)大量使用國(guó)外的服務(wù)器、路由和交換設(shè)備、數(shù)據(jù)庫管理系統(tǒng)、中間件，甚至包括安全防護(hù) 產(chǎn)品都不是國(guó)內(nèi)自主開發(fā)的。本土企業(yè)的產(chǎn)品在進(jìn)入現(xiàn)有系統(tǒng)時(shí)，可能會(huì)出現(xiàn)自主產(chǎn)品與國(guó)外產(chǎn)品不兼容等現(xiàn)象，影響國(guó)內(nèi)信息安全解決方案的推廣。有些外國(guó)公司 的產(chǎn)品中，大量使用非標(biāo)準(zhǔn)或私有協(xié)議，對(duì)其他企業(yè)的產(chǎn)品接入造成事實(shí)上的不公平競(jìng)爭(zhēng)?！标悤詷宀┦繄?jiān)持認(rèn)為，雖然面臨種種困難，但針對(duì)用戶需求、突破國(guó)外 產(chǎn)品的技術(shù)壁壘，用創(chuàng)新技術(shù)積極參與競(jìng)爭(zhēng)，仍然是我國(guó)產(chǎn)業(yè)發(fā)展、人才發(fā)展的長(zhǎng)遠(yuǎn)目標(biāo)，未來各關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全技術(shù)都應(yīng)該逐步做到自主 或可控。

在國(guó)內(nèi)安全企業(yè)自主創(chuàng)新的道路上，往往也會(huì)出現(xiàn)另外一個(gè)誤區(qū)。陳曉樺博士介紹道，現(xiàn)在有一個(gè)現(xiàn)象，很多廠商都在推出第幾代升級(jí)產(chǎn)品，更新?lián)Q代十分頻繁，甚 至剛成立幾年的公司，都已經(jīng)開發(fā)出了第四代第五代產(chǎn)品，其實(shí)這大多只是該公司產(chǎn)品型號(hào)的變化，并沒有真正實(shí)現(xiàn)技術(shù)的換代。讓人擔(dān)憂的是，這樣的行為說明這 些企業(yè)對(duì)國(guó)內(nèi)外的技術(shù)發(fā)展水平缺乏清醒的認(rèn)識(shí)。信息安全企業(yè)的研發(fā)人員應(yīng)該踏踏實(shí)實(shí)靜下心來做研究，把一些基本原理和技術(shù)搞清楚，真正研發(fā)出能滿足用戶需 求的，自主創(chuàng)新的好產(chǎn)品?！霸谄髽I(yè)發(fā)展到了一定規(guī)模時(shí)，企業(yè)擁有多少人才、多少自主知識(shí)產(chǎn)權(quán)、多少專利和多少自有品牌，這些才是衡量企業(yè)綜合實(shí)力的必要因 素，需要企業(yè)高度重視?！彼M(jìn)一步強(qiáng)調(diào)，“靠貼牌生產(chǎn)的信息安全企業(yè)，是注定做不大的?！?/p>

可喜的是，現(xiàn)在國(guó)內(nèi)有不少本土信息安全企業(yè)越來越重視自主創(chuàng)新，雖然年銷售額和盈利還不算高，但擁有的專利和創(chuàng)新技術(shù)不少，這說明企業(yè)有發(fā)展眼光、有發(fā)展后勁。

啟示四：需要繃緊的那根弦不是安全知識(shí)而是安全意識(shí)

陳曉樺觀點(diǎn)：雖然信息安全和保密的重要性被廣泛認(rèn)識(shí)，但從很多行業(yè)、部門甚至業(yè)界專家的行為中不難發(fā)現(xiàn)，他們并不缺乏安全知識(shí)，而是缺乏安全意識(shí)。

很多安全技術(shù)名詞被大家天天掛在嘴邊，但具有諷刺意義的是，安全意識(shí)卻沒有得到足夠的重視。陳曉樺惋惜地指出，很多信息安全廠家的高層或者市場(chǎng)人員，在名 片上留的郵件地址都是Hotmail、Gmail這樣的郵箱；甚至在申報(bào)國(guó)家項(xiàng)目中，很多單位匯總到專家辦公室的項(xiàng)目申請(qǐng)書、驗(yàn)收材料，都通過 Hotmail、Gmail發(fā)送；很多學(xué)校、科研院所的領(lǐng)導(dǎo)、骨干，為了與國(guó)外通信方便，都習(xí)慣使用境外服務(wù)器的郵件地址。

“這可能和早期使用免費(fèi)郵箱的習(xí)慣有關(guān)。但即便如此，由于郵件服務(wù)器在境外，我國(guó)重點(diǎn)單位或企業(yè)院校的專家和領(lǐng)導(dǎo)用這些郵箱來傳輸一些敏感材料和信息，也 是非常不合適的。因?yàn)榘l(fā)送的郵件往往涉及到安全項(xiàng)目的科研成果，所以這只能說明使用者缺乏安全意識(shí)！”陳曉樺強(qiáng)調(diào)，“關(guān)鍵部門、重要崗位該用什么樣的通信 服

務(wù)，尤其是政府部門的官員和工作人員，都需要在頭腦里時(shí)刻有根弦?！彼Z重心長(zhǎng)地告訴記者，“在沒有采取特殊安全保密技術(shù)手段的情況下，大家在互聯(lián)網(wǎng)上 通過郵件傳遞信息，通過手機(jī)打電話和發(fā)送短信，其實(shí)就是信息的‘裸奔’！有些甚至還‘奔’出了國(guó)門?！?/p>

對(duì)某些看似普通的信息，其安全管理也需要加強(qiáng)?！坝捎谏鐣?huì)分工日益專業(yè)化，很多日常工作都很容易涉及到國(guó)家或行業(yè)的敏感信息，很多人還沒有從國(guó)家安全的高 度認(rèn)識(shí)到，對(duì)這些信息的安全管理是多么重要。”陳曉樺博士舉例告訴記者，銀行資金流向也是一個(gè)很敏感的事情，這不僅牽扯到銀行自身，還涉及到國(guó)家重點(diǎn)單位 的敏感信息。如果銀行對(duì)這類信息的安全管理沒有足夠重視，就很容易造成敏感信息泄露。例如，某個(gè)野戰(zhàn)部隊(duì)在地方銀行當(dāng)中的資金信息一旦泄露，通過分析工資 結(jié)構(gòu)就可以了解到這個(gè)部隊(duì)的人員結(jié)構(gòu)，通過分析其維護(hù)費(fèi)用就可以了解武器裝備的規(guī)模，甚至其作戰(zhàn)能力。

記者了解到，一些在境外上市的公司提交材料時(shí)，會(huì)不經(jīng)意間就把涉及到國(guó)家、行業(yè)和重點(diǎn)企業(yè)的敏感材料提交出去。“很多失泄密事件的后果首先體現(xiàn)在國(guó)家經(jīng) 濟(jì)利益的巨大損失方面，比如談判時(shí)我方的鐵礦石進(jìn)口底價(jià)。很多網(wǎng)絡(luò)安全事件和失泄密事件給國(guó)家?guī)砹擞绊懢蜆I(yè)、經(jīng)濟(jì)發(fā)展不平衡、社會(huì)不穩(wěn)定等一系列問題。根據(jù)《保守國(guó)家秘密法》，國(guó)家的重要經(jīng)濟(jì)信息、核心科技信息其實(shí)和軍事、外交信息一樣，都屬于國(guó)家秘密，這是需要我們理解并嚴(yán)格保密的。”陳博士歸納道。

啟示五：加強(qiáng)科研項(xiàng)目和專項(xiàng)主管部委的協(xié)調(diào)和交流，避免重復(fù)建設(shè)和浪費(fèi)

陳曉樺觀點(diǎn)：每年國(guó)家都會(huì)投入巨額資金支持信息安全技術(shù)的研發(fā)和產(chǎn)業(yè)化。由于專項(xiàng)基金的不同管理部門之間缺乏有效的溝通機(jī)制，存在重復(fù)資助的現(xiàn)象。在關(guān)鍵技術(shù)研究、產(chǎn)品設(shè)計(jì)與制造、產(chǎn)業(yè)化等環(huán)節(jié)，甚至出現(xiàn)支持的時(shí)間點(diǎn)錯(cuò)位的現(xiàn)象，所謂“先生兒子，后生爸爸”。

眾所周知，這些年發(fā)改委、工信部、科技部每年在信息安全技術(shù)研發(fā)和產(chǎn)業(yè)化方面投入了大量的資金，對(duì)我國(guó)信息安全技術(shù)研究、產(chǎn)業(yè)發(fā)展發(fā)揮了巨大的作用，可 謂成績(jī)輝煌，功不可沒。陳曉樺博士認(rèn)為，一方面國(guó)家應(yīng)該繼續(xù)鼓勵(lì)和加大資金的投入，支持技術(shù)研究、開發(fā)重點(diǎn)產(chǎn)品、實(shí)現(xiàn)產(chǎn)業(yè)化目標(biāo)。另一方面，國(guó)家應(yīng)該大力 促進(jìn)科研成果更加有效地轉(zhuǎn)換成產(chǎn)品和技術(shù)。他告訴記者，一些花費(fèi)了國(guó)家資金，花費(fèi)了專家和科研人員大量時(shí)間研究出的科研成果，在驗(yàn)收完以后就束之高閣，過 了很長(zhǎng)的時(shí)間這些成果還沒有轉(zhuǎn)化為技術(shù)和產(chǎn)品。由于對(duì)這些成果的利用效果缺乏考評(píng)機(jī)制，因此，也無從判斷在國(guó)家投資的科研項(xiàng)目當(dāng)中，3年、5年或10年后 最終有多少轉(zhuǎn)化成滿足市場(chǎng)需求的主流產(chǎn)品，有的技術(shù)在幾年內(nèi)沒有投入到市場(chǎng)，就會(huì)被新技術(shù)所淘汰。

“在科研院所形成的創(chuàng)新技術(shù)、專利，如何轉(zhuǎn)化成為產(chǎn)品和生產(chǎn)力方面，還很難形成一套高效完善的制度，因?yàn)檫@牽扯到很多現(xiàn)行管理制度。但國(guó)家不能只鼓勵(lì)科研 院所只做基礎(chǔ)前端的研究，還應(yīng)該改革現(xiàn)行制度，出臺(tái)鼓勵(lì)科技成果轉(zhuǎn)化的新政策和配套的制度，把科技成果轉(zhuǎn)化的效果也作為考核評(píng)價(jià)指標(biāo)?！标悤詷宀粺o擔(dān)憂地 說，無論是現(xiàn)在，還是5年甚至10年以后，如果我國(guó)信息安全建設(shè)當(dāng)中大量采用的安全技術(shù)和產(chǎn)品，大都不是國(guó)家專項(xiàng)經(jīng)費(fèi)支持的結(jié)果，那今后該怎么評(píng)價(jià)國(guó)家的 專項(xiàng)和基金的成就？

除了資金投入產(chǎn)出效果的考量外，就國(guó)家各個(gè)部委牽頭的多個(gè)專項(xiàng)和基金計(jì)劃而言，雖然在定位上有不同的分工，但也有重復(fù)，更由于相互之間缺乏有效的溝通和協(xié) 調(diào)機(jī)制，時(shí)常會(huì)發(fā)生重復(fù)投資的現(xiàn)象。陳曉樺解釋道，國(guó)家的各專項(xiàng)申請(qǐng)和審批都有嚴(yán)格的程序，公開競(jìng)爭(zhēng)，專家論證，領(lǐng)導(dǎo)決定。打一個(gè)比方，某單位同期既申請(qǐng) 863高技術(shù)項(xiàng)目，又向地方科委申請(qǐng)經(jīng)費(fèi)支持，又向國(guó)家發(fā)改委申請(qǐng)產(chǎn)業(yè)化支持，還同時(shí)向電子產(chǎn)業(yè)發(fā)展基金申請(qǐng)，可能還申請(qǐng)了中小企業(yè)創(chuàng)新基金、聯(lián)合其他單 位申請(qǐng)了“核高基”等等。但是，實(shí)際上其核心技術(shù)是相同的，如果同期支持，就會(huì)產(chǎn)生重復(fù)。另外，還存在另一種時(shí)間錯(cuò)位現(xiàn)象，比如：去年國(guó)家支持某單位的產(chǎn) 業(yè)化項(xiàng)目，今年國(guó)家又支持其重點(diǎn)產(chǎn)品招標(biāo)項(xiàng)目，明年國(guó)家才支持其研發(fā)關(guān)鍵技術(shù)的現(xiàn)象，即所謂“先生兒子，后生爸爸”現(xiàn)象。“這種現(xiàn)象還不僅僅存在于國(guó)家的 信息安全專項(xiàng)領(lǐng)域，其他領(lǐng)域情況可能還要更嚴(yán)重一些。”啟示六：對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)設(shè)施而言，其信息系統(tǒng)的安全運(yùn)行與設(shè)施本身同等重要

陳曉樺觀點(diǎn)：隨著我國(guó)信息化高速發(fā)展，信息系統(tǒng)的支撐性、全局性作用也與日俱增，信息系統(tǒng)與基礎(chǔ)設(shè)施建設(shè)已交織為一體，需要充分重視。目前大多數(shù)基礎(chǔ)設(shè) 施都是比較脆弱的，哪怕是一些細(xì)小環(huán)節(jié)出現(xiàn)問題，都會(huì)導(dǎo)致整個(gè)基礎(chǔ)設(shè)施的癱瘓。正所謂“千里之堤，潰于蟻穴”，很多時(shí)候，我們需要未雨綢繆。

信息系統(tǒng)的安全保障管理工作也極為重要，現(xiàn)在很多影響國(guó)計(jì)民生的基礎(chǔ)設(shè)施都離不開信息化。一旦其信息系統(tǒng)受到破壞或出現(xiàn)故障，社會(huì)基礎(chǔ)設(shè)施也就無法正常運(yùn) 行。陳曉樺舉例道，如果銀行清算系統(tǒng)出現(xiàn)故障，最

直接的影響就是銀行無法及時(shí)進(jìn)行資金結(jié)算，消費(fèi)者無法刷卡支付；民航登錄系統(tǒng)被破壞，乘客必然無法準(zhǔn)時(shí)登 機(jī)；通信系統(tǒng)被地震破壞后，所有的座機(jī)、手機(jī)打不通，最急迫的信息就無法傳遞??這一切現(xiàn)象都表明，國(guó)民經(jīng)濟(jì)的基礎(chǔ)設(shè)施都越來越離不開信息化系統(tǒng)。“不難 得出結(jié)論，其信息系統(tǒng)的安全可靠與基礎(chǔ)設(shè)施的正常運(yùn)行密不可分，二者幾乎同等重要。但事實(shí)上，我們對(duì)支撐這些基礎(chǔ)設(shè)施的信息技術(shù)系統(tǒng)的安全重視程度還遠(yuǎn)遠(yuǎn) 不夠?！彼麖?qiáng)調(diào)，互聯(lián)網(wǎng)作為新興媒體，網(wǎng)上一旦發(fā)生安全事件、熱點(diǎn)事件就非常吸引眼球，但基礎(chǔ)設(shè)施的信息安全也同樣需要關(guān)注，甚至應(yīng)該得到更高程度的重 視。

事實(shí)上，僅僅是重視還不夠，我們不得不承認(rèn)一個(gè)現(xiàn)實(shí)存在的問題，那就是我們還沒有掌握許多核心技術(shù)，這種狀況可能還要持續(xù)很多年，我們對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重 要信息系統(tǒng)的安全也未能做到心中有數(shù)。陳曉樺博士認(rèn)為，“畢竟我國(guó)自主設(shè)計(jì)開發(fā)的系統(tǒng)還不夠，很多基礎(chǔ)設(shè)施可控的程度自然也不夠。這就需要安全管理工作要 提前部署，防患于未然?！?/p>

對(duì)安全管理的重視還有很關(guān)鍵的一個(gè)環(huán)節(jié)，那就是對(duì)供應(yīng)鏈的管理。一條完整的供應(yīng)鏈涉及到很多環(huán)節(jié)，包括產(chǎn)品元器件生產(chǎn)和采購、產(chǎn)品設(shè)計(jì)與開發(fā)、產(chǎn)品制造、部署和安裝、使用與運(yùn)行、服務(wù)、升級(jí)和維修等，要做到安全可控管理，就必須對(duì)整個(gè)供應(yīng)鏈進(jìn)行全程控制?！斑@個(gè)觀點(diǎn)主要是針對(duì)重要的用戶、國(guó)家核心單位、關(guān) 鍵基礎(chǔ)設(shè)施。雖然我國(guó)研發(fā)的信息安全系統(tǒng)難免也存在缺陷，但仍然需要對(duì)供應(yīng)鏈上若干過程加以安全管理，充分了解。畢竟蟻穴雖小可潰千里長(zhǎng)堤。”他舉了一個(gè) 例子，有個(gè)數(shù)據(jù)統(tǒng)計(jì)機(jī)構(gòu)，其信息技術(shù)設(shè)備都很先進(jìn)，當(dāng)發(fā)現(xiàn)某存儲(chǔ)設(shè)備故障后就將其直接送到外面維修，這個(gè)舉動(dòng)表明該單位對(duì)供應(yīng)鏈安全管理顯然缺乏足夠的認(rèn) 識(shí)。由于時(shí)間和篇幅所限，記者的采訪暫時(shí)告一段落。陳曉樺博士針對(duì)我國(guó)信息安全工作成績(jī)的介紹和反思，觀點(diǎn)鮮明，語言生動(dòng)，見解獨(dú)特，發(fā)人深醒。正如他所言，我國(guó)信息安全保障工作并不能一蹴而就，需要有一個(gè)長(zhǎng)期建設(shè)和不斷優(yōu)化的過程，所謂“總結(jié)是為了進(jìn)步”，記者希望通過這次在2011年最初的采訪，讓越來越 多的人了解我國(guó)的信息安全保障工作，讓越來越多的人為國(guó)家信息安全保障體系建設(shè)添磚加瓦。

專家信息鏈接：陳曉樺簡(jiǎn)介

1979年考入國(guó)防科技大學(xué)計(jì)算機(jī)系，1993年獲國(guó)防科技大學(xué)博士學(xué)位。曾在電子科技大學(xué)博士后流動(dòng)站工作兩年。1997年起，參加原中國(guó)信息安全產(chǎn)品 測(cè)評(píng)認(rèn)證中心籌建工作，曾任總工程師、副主任、常務(wù)副主任、研究員。2006年10月，參加中國(guó)信息安全認(rèn)證中心籌建工作，2007年2月任中國(guó)信息安全 認(rèn)證中心副主任、黨委委員。

入選1999“百千萬人才工程”，獲2000政府特殊津貼，獲2008國(guó)家科學(xué)技術(shù)進(jìn)步一等獎(jiǎng)；任全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長(zhǎng)、委 員；《信息安全與通信保密》、《計(jì)算機(jī)安全》編委；電子科技大學(xué)、北方交大兼職教授；上海交通大學(xué)博士生導(dǎo)師；國(guó)家自然科學(xué)基金、國(guó)家發(fā)改委信息安全專 項(xiàng)、電子信息產(chǎn)業(yè)發(fā)展基金重點(diǎn)招標(biāo)項(xiàng)目、國(guó)家科學(xué)技術(shù)進(jìn)步獎(jiǎng)評(píng)審專家；曾任國(guó)家“十五”863計(jì)劃第二屆信息技術(shù)領(lǐng)域信息安全技術(shù)主題專家組副組長(zhǎng)，國(guó)家 互聯(lián)網(wǎng)應(yīng)急中心242專項(xiàng)第一屆專家組組長(zhǎng)。目前主要從事與信息安全檢測(cè)、評(píng)估與認(rèn)證相關(guān)理論、技術(shù)、方法、標(biāo)準(zhǔn)、工具的研究和開發(fā)工作。

熱點(diǎn)評(píng)議

記者：前段時(shí)候鬧得沸沸揚(yáng)揚(yáng)的騰訊與奇虎360事件終于在公開道歉中落下帷幕，您認(rèn)為這對(duì)信息安全市場(chǎng)中的企業(yè)有何警示作用？

陳曉樺：從世界范圍來看，企業(yè)之間適度競(jìng)爭(zhēng)是非常正常的。但3Q事件是國(guó)內(nèi)企業(yè)之間不公平競(jìng)爭(zhēng)、惡性競(jìng)爭(zhēng)現(xiàn)象的一次爆發(fā)，牽扯了上億用戶的權(quán)益。我希望這 件事情除了國(guó)家行業(yè)管理部門以外，地方政府部門不要再被企業(yè)牽扯進(jìn)去。企業(yè)經(jīng)過相關(guān)部門的協(xié)調(diào)，應(yīng)該根據(jù)國(guó)家法律法規(guī)，按照公平競(jìng)爭(zhēng)的原則，把為用戶服好 務(wù)作為目標(biāo)，自我約束不正當(dāng)?shù)氖袌?chǎng)競(jìng)爭(zhēng)行為。我建議企業(yè)之間的競(jìng)爭(zhēng)不要通過不兼容和封殺對(duì)方這類手段來損害用戶的權(quán)益。如果僅僅是做到暫時(shí)互相不封殺，但 仍然在繼續(xù)較勁，并期望獲得地方政府和相關(guān)機(jī)構(gòu)的支持在地方政策或行政許可等方面去打壓對(duì)方，這只能說明兩家企業(yè)將越走越遠(yuǎn)，并沒有真正汲取教訓(xùn)。從長(zhǎng)遠(yuǎn) 看，這對(duì)行業(yè)和企業(yè)發(fā)展并沒有好處。希望其他信息安全企業(yè)引以為鑒。

記者：2010年信息安全產(chǎn)業(yè)很多技術(shù)概念被持續(xù)熱炒，像云計(jì)算等等，眾人紛紛持觀望熱捧等態(tài)度，您認(rèn)為該如何對(duì)待不斷推陳出新的技術(shù)理念？

陳曉樺：云計(jì)算、三網(wǎng)融合、物聯(lián)網(wǎng)都是這兩年被不斷熱炒的技術(shù)和經(jīng)營(yíng)理念。我認(rèn)為當(dāng)新技術(shù)、新理念出

現(xiàn)的時(shí)候，應(yīng)當(dāng)保持3種態(tài)度。第一個(gè)態(tài)度是不要驚慌，不要輕易高喊“狼來了”。幾年前，可信計(jì)算推廣時(shí)，一些專家認(rèn)定一旦可信計(jì)算的模式在全世界推廣后，我國(guó)的信息安全產(chǎn)業(yè)將受到打壓和排擠，產(chǎn)業(yè)將重新洗 牌。實(shí)際上這么多年過來了，我們也應(yīng)對(duì)過來了，那些現(xiàn)象也沒有發(fā)生，產(chǎn)業(yè)的技術(shù)標(biāo)準(zhǔn)體系和產(chǎn)業(yè)升級(jí)不是輕易就能發(fā)生跨越式改變的。第二個(gè)態(tài)度是要敢于質(zhì)問 這是不是“皇帝的新裝”。面對(duì)新技術(shù)新應(yīng)用的出現(xiàn)，要保持冷靜，要思考這是不是產(chǎn)品和技術(shù)的升級(jí)換代，是否真正是創(chuàng)新的技術(shù)、革命性的技術(shù)，不要人云亦 云。第三個(gè)態(tài)度是去研究是不是“新瓶裝舊酒”。要敢于質(zhì)疑，不能盲目跟風(fēng)炒作。對(duì)云計(jì)算的態(tài)度應(yīng)該要謹(jǐn)慎，保持冷靜，先多下功夫認(rèn)真研究云計(jì)算的經(jīng)營(yíng)模式 和關(guān)鍵技術(shù)。現(xiàn)在似乎與云計(jì)算有關(guān)的項(xiàng)目就是好的投資項(xiàng)目，上市企業(yè)聲稱與云計(jì)算相關(guān)就股票飛漲。在工程建設(shè)方面，不要為了政績(jī)或形象工程就一哄而上，不 妨先期安排幾個(gè)行業(yè)或地方試點(diǎn)或者示范，等積累了一些成功經(jīng)驗(yàn)，再規(guī)?；瘜?shí)施。我認(rèn)為也許三五年以后云計(jì)算會(huì)顯現(xiàn)出優(yōu)越性，現(xiàn)階段還只是一個(gè)夢(mèng)想，只有極 個(gè)別的案例。關(guān)于云計(jì)算安全問題，應(yīng)該提前研究，但如果現(xiàn)階段就安排試點(diǎn)、示范就過早了?！捌ぶ淮?，毛將焉附？”

記者：在2010年底頗受關(guān)注的十二五規(guī)劃即將正式落地，您對(duì)此持何態(tài)度？

陳曉樺：2010年11月，中央發(fā)布了制定第十二個(gè)五年規(guī)劃的建議。國(guó)家的信息安全戰(zhàn)略規(guī)劃，應(yīng)該承上啟下，既能夠與“十一五”規(guī)劃的工作銜接，又能指導(dǎo) 今后5年的工作，還需要提前考慮更長(zhǎng)遠(yuǎn)的發(fā)展。自2003年中辦27號(hào)文件頒布以來，我國(guó)的信息安全保障工作取得了顯著成就，但我們也應(yīng)該看到，還有很多 老問題沒有得到有效解決。國(guó)家信息安全保障體系是多層面、多方位的，它的建設(shè)工作應(yīng)該有輕重緩急之分，應(yīng)當(dāng)有總體規(guī)劃，應(yīng)當(dāng)有全局意識(shí)。在新時(shí)期、新形勢(shì) 下，新技術(shù)、新應(yīng)用層出不窮，新問題、新挑戰(zhàn)不斷涌現(xiàn)，各方面的信息安全保障工作，亟待做出戰(zhàn)略部署，需要加強(qiáng)協(xié)調(diào)，形成整體，形成合力。2011年是我 國(guó)第十二個(gè)五年規(guī)劃的開局之年，希望國(guó)家早日出臺(tái)國(guó)家信息戰(zhàn)略規(guī)劃，頒布新的指導(dǎo)性文件，從“十二五”開始，使我國(guó)的網(wǎng)絡(luò)與信息安全協(xié)調(diào)機(jī)制切實(shí)發(fā)揮更大 的作用。

轉(zhuǎn)自：《信息安全與通信保密》網(wǎng)站