劉鋒：信息安全需從多角度看待

清華同方電腦總工程師劉鋒

目前，市場上提供信息安全產品和服務的企業大體可以分為兩類：一是面向普通消費用戶提供信息安全防護產品和服務的企業。二是主要為國家涉密部門提供專門信息安全服務的企業。在國家管控方面，政府對第二類企業的監控和管理力度更大一些，而對第一類企業的管控力度稍顯不足。

1999年，國務院出臺了《中華人民共和國商用密碼產品管理條例》（以下簡稱《條例》），對信息安全產品進行規制。其管理對象包括所有“對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品”。《條例》明確規定，商用密碼技術屬于國家秘密，國家對商用密碼產品的科研、生產、銷售和使用實行專控管理，由國家密碼管理委員會及其辦公室(以下簡稱“國家密碼管理機構”)主管全國的商用密碼管理工作。同時，省、自治區、直轄市負責密碼管理的機構根據國家密碼管理機構的委托，承擔商用密碼的有關管理工作。但在實際執行過程中，國家密碼管理機構由于權限較弱、人力資源緊張等原因，管理工作開展得并不是十分理想。

其實，要想破解目前信息安全領域存在的問題，首先要厘清信息安全產品的概念。公眾對信息安全產品的理解一般可分為硬件安全產品、軟件安全產品以及專門的信息安全類產品。從專業角度來看，大家不應該把信息安全看做是一個具體的事物或具體的技術，而應看成是一個完整而多面的體系，這個體系存在的根本目的是確保信息的傳遞和擴散受到有效管控。

當前，世界已經進入信息時代，最顯著的特點就是信息的有效和快速傳遞。在這樣一個時代，信息的復制本身是沒有成本的，而在信息復制有成本的時候，使用者只需管控物理實體就可以了。此時，信息安全的概念便應運而生，其存在的意義便是嚴格地阻擋信息的超范圍傳遞。在信息時代，很多傳統的保密手段都已經失去了功用。為了確保信息在快速有效傳遞的同時不超出傳遞范圍，就需要一個體系來確保信息的擴散是受控的。這就是業內對信息安全的整體理解。

一般來講，信息的安全傳遞主要涉及到信息加密、信息傳輸手段、信息管控以及身份鑒別等事項。一方面，要確保信息本身的安全，即運用加密手段保存和傳遞信息。另一方面，信息在傳遞過程中是由使用者經手的，所以身份鑒別就顯得尤為重要，其內容具體包括信息傳遞給誰、使用者有何種權限、由誰進行信息管理、使用者個人信息的保護以及信息使用的安全性等問題。（梁爽執筆）