劉鋒：信息安全需從多角度看待

清華同方電腦總工程師劉鋒

目前，市場上提供信息安全產(chǎn)品和服務(wù)的企業(yè)大體可以分為兩類：一是面向普通消費用戶提供信息安全防護產(chǎn)品和服務(wù)的企業(yè)。二是主要為國家涉密部門提供專門信息安全服務(wù)的企業(yè)。在國家管控方面，政府對第二類企業(yè)的監(jiān)控和管理力度更大一些，而對第一類企業(yè)的管控力度稍顯不足。

1999年，國務(wù)院出臺了《中華人民共和國商用密碼產(chǎn)品管理條例》（以下簡稱《條例》），對信息安全產(chǎn)品進行規(guī)制。其管理對象包括所有“對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品”。《條例》明確規(guī)定，商用密碼技術(shù)屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專控管理，由國家密碼管理委員會及其辦公室(以下簡稱“國家密碼管理機構(gòu)”)主管全國的商用密碼管理工作。同時，省、自治區(qū)、直轄市負責(zé)密碼管理的機構(gòu)根據(jù)國家密碼管理機構(gòu)的委托，承擔(dān)商用密碼的有關(guān)管理工作。但在實際執(zhí)行過程中，國家密碼管理機構(gòu)由于權(quán)限較弱、人力資源緊張等原因，管理工作開展得并不是十分理想。

其實，要想破解目前信息安全領(lǐng)域存在的問題，首先要厘清信息安全產(chǎn)品的概念。公眾對信息安全產(chǎn)品的理解一般可分為硬件安全產(chǎn)品、軟件安全產(chǎn)品以及專門的信息安全類產(chǎn)品。從專業(yè)角度來看，大家不應(yīng)該把信息安全看做是一個具體的事物或具體的技術(shù)，而應(yīng)看成是一個完整而多面的體系，這個體系存在的根本目的是確保信息的傳遞和擴散受到有效管控。

當(dāng)前，世界已經(jīng)進入信息時代，最顯著的特點就是信息的有效和快速傳遞。在這樣一個時代，信息的復(fù)制本身是沒有成本的，而在信息復(fù)制有成本的時候，使用者只需管控物理實體就可以了。此時，信息安全的概念便應(yīng)運而生，其存在的意義便是嚴(yán)格地阻擋信息的超范圍傳遞。在信息時代，很多傳統(tǒng)的保密手段都已經(jīng)失去了功用。為了確保信息在快速有效傳遞的同時不超出傳遞范圍，就需要一個體系來確保信息的擴散是受控的。這就是業(yè)內(nèi)對信息安全的整體理解。

一般來講，信息的安全傳遞主要涉及到信息加密、信息傳輸手段、信息管控以及身份鑒別等事項。一方面，要確保信息本身的安全，即運用加密手段保存和傳遞信息。另一方面，信息在傳遞過程中是由使用者經(jīng)手的，所以身份鑒別就顯得尤為重要，其內(nèi)容具體包括信息傳遞給誰、使用者有何種權(quán)限、由誰進行信息管理、使用者個人信息的保護以及信息使用的安全性等問題。（梁爽執(zhí)筆）