中国计算机用户协会理事长演讲陈正清

2008年3月28日由微软（中国）有限公司和IT时代周刊主办的CIO信息安全圆桌会议于3月28日下午在北京召开。本次会议的主题是“网络安全于信息化”，搜讯网作为此次大会的直播媒体现场直播此次论坛。图为中国计算机用户协会理事长演讲陈正清在演讲。

    2008年3月28日由微软（中国）有限公司和IT时代周刊主办的CIO信息安全圆桌会议于3月28日下午在北京召开。本次会议的主题是“网络安全于信息化”，搜讯网作为此次大会的直播媒体现场直播此次论坛。图为中国计算机用户协会理事长演讲陈正清在演讲。

    首先，我们请出的专家是曾任国务院电子信息系统推广应用办公室副主任、电子工业部计算机与信息化推进司副司长、信息产业部电子信息中心主任，现任中国计算机用户协会理事长的陈正清先生，下面有请陈正清理事长。

    陈正清：尊敬的会议主席朱启明副总编，女士们、先生们，下午好！

    今天，应《IT时代周刊》和微软公司组织的这个会议的会晤组的邀请，我也感到很荣幸，能够参加这样的一次圆桌会议。

    那么，我代表中国计算机用户协会，预祝这次会议取得圆满成功！

    今天下着雨，这是春雨，都说“春雨贵如油”，大家都是不怕雨到这里来，我自己也和大家的心情一样，就是对网络安全、信息化这样一个热点的话题，在我的脑中一直在回荡，我和大家一样非常关心这个事情。

    今天，本来朱总编允许我偷懒，不在会议上发言，因为我的确很忙，没有做准备，所以随便讲几句，讲得不对的，因为在坐的都是行家，可以批评指正。

    我主要讲6点我自己对于信息化安全的体会。

    第一个，信息安全是信息化的命脉。也许大家会说你提得太高了，我是怎么认识的呢？就是我们从事信息化的同仁都感到，这是一个实际的情况、现实的情况，我计算机的病毒、网络攻击、垃圾邮件、系统漏洞、网络虚假有害的信息和网络违法的现象等等等等，经常影响到信息化事业的安全。

    我们中国有句俗话叫做“千里之堤溃于一穴”。我们国家的信息化领导小组特别强调，要高度重视信息化安全体系的建设，并且要求我们一手抓信息化，一手抓网络信息安全，两手都要硬。我们要在安全中发展，要在发展中确保安全。所以，信息化中信息安全是一个命脉，一旦出现了问题，信息化就要崩溃。就像我们的大堤一样，我们南方经常防汛，发现大堤是一个豆腐渣工程。我们的信息化也是一样的，一旦遇到了问题就要毁了。

    第二点，我的认识是，信息安全已经是国家安全的组成部分。中共中央曾经开过十六届四中全会，会议做了一个决定，加强党的执政能力建设的决定。在这个文件里面有一段非常重要的话，“要坚决防范和打击各种敌对势力的渗透，颠覆分裂活动，有效防范应对来自国际经济各种风险，确保国家的政治安全、经济安全、文化安全和信息安全”。党中央站在这样的高度，把信息安全和政治安全、经济安全、文化安全并列，作为我们国家四大安全内容之一。可见，信息安全是何等重要，绝不能掉以轻心。

    关于信息安全工作，信息安全体系的建设，既然是那么重要，是不是所有的问题都是一律对待？都是一样的重要？重要性是一样的呢？不是的，应该说信息安全工作的抓法，信息安全系统的建设中，一定要分等级确保重点。中央和国务院曾经在06年5月8日发布了一个06年到2020年的国家信息化的战略，这个文件报上公布过，大家估计从事信息化的同志都会去寻找里面的内容，哪些和我们有关。

    里面有一段文章指出，建立和完善信息化的等级保护制度，重点保护基础信息网络和关系到国家安全、经济命脉、社会稳定的重要信息系统。说它很重要，这是非常重要的，应该说是在我们确立的等级保护里面级别最高，因为它一出现问题，整个的信息化工作就要受到很大的影响。所以，中央和国务院把信息化的工作，信息安全的体系提出了分等级的保护，提出了5个等级管理的政策概念。也就是说，在信息系统建设中，比如说第一级、第二级是涉及一般的信息系统，不涉及国家安全的，是我们定为一般的。有一些重要的信息系统，我们定为第三、第四极。还有特别重要的信息系统，定为第五级。就是国家按照5级的等级来保护，就像一个人生病了，不是所有的病都需要用非常高贵的药，根据你的信息系统的安全的重要性来划分等级，这是很重要的管理办法，也是很重要的政策思想。

    等级保护是以制度方式来确保保护对象的重要程度和要求的，它必须有风险评估、应急处理、灾难恢复等前后衔接融为一体，才能确保信息安全体系的正确的、安全的运行。

    第四点，信息安全问题的解决，要依靠技术的发展。关于技术是比较广泛的概念，有IT技术，比如说这个杂志，《IT时代周刊》特别强调，这是很重要的技术。

    那么，信息系统的安全，在很大程度上要依靠信息技术的成果，同时还要依靠研发先进的信息安全的技术，来不断地完善，来保证这个体系的万无一失。关于技术很多了，因为今天有很多的专家在这里，我就不详细地展开谈这方面的事情。

    就是一个概念，信息系统安全是要依靠技术，而且这个技术是发展的技术，通用技术中特别强调了信息安全的技术。

    第五点，信息安全体系的建设，我们还是要认真地贯彻科学发展观。我这个讲的不是套话，我自己的认识，因为发展观非常强调第一要务的发展核心是以人为本，根本的要求是全面协调可持续，根本的方法是统筹兼顾。因为我们的信息系统是一个复杂的系统、开放的系统，需要用系统科学的方法来加以分析和讨论。人作为这个系统的创造者、使用者和管理者，同时，也可能是这个系统的破坏者和攻击者。国外的资料和我们国内的资料都一致说明这样一个问题，信息系统的安全问题，70%、80%是出自于内部，或者是操作人员未经许可，或者是操作人员的知识水平不够，无知操作错误，或者是有人利用内部进行内外勾结的破坏。所以，以人为本的概念，应该说我们系统的建设要依靠人，同时系统的管理也要依靠人，要对这些管理者提高技术、提高认识水平、提高责任心等几个方面同时进行。这就是贯彻我们的科学发展观，以人为本。

    我们要重视人的作用，包括提高全民的信息化知识水平和防范意识。要培养信息安全建设的人才，要强化直接从事信息产业、信息服务业，当然我们说信息安全体系建设的教育，这是很重要的。这个教育有技术教育、职业道德教育，还有法律教育。不知道大家注意到这一点没有，最近几年我们的煤矿安全事故经常出现。有一次我在报上出现，就是我们安全小组的负责人发现在山西这个煤矿是非常好的，它的预警系统也是非常完备的，但是晚上值班的时候人睡大觉了，出现了问题没有人管理，这就是人的问题。你掌握了技术，你要有职业道德，还要有法律意识，这些方面需要几管齐下。
    信息安全也是一样的，你掌握了技术，但是我们说你可以操纵它，可以为大家服务，但是你也可以破坏它。我们说防病毒者也可以制造病毒，这都是人为的，所以这需要双方面都去做。

    最后一点，信息安全系统建设要落到实处，要见效果，不要搞面子工程、献礼工程、形象工程。我们要做一个是一个，对国家有益、对企业有益、对大家都有益。

    谢谢大家，讲得不好请大家批评。