新浪財經(jīng)訊 5月19日，由中國證監(jiān)會研究中心、北京證監(jiān)局舉辦的“第7屆中國(北京)期貨暨衍生品市場論壇”在北京國賓酒店召開，新浪財經(jīng)作為獨家門戶網(wǎng)絡(luò)合作伙伴全程圖文直播本次論壇。以下為北京市經(jīng)濟和信息化委員會賈力發(fā)言實錄。

　　賈力：大家下午好。非常高興今天有這么個機會，跟咱們期貨界的朋友交流一下信息安全的問題。我的發(fā)言分三個部分，第一，理解一下信息安全，第二，認識一下信息安全的重要性。第三，要跟大家交流一下在信息安全領(lǐng)會國家政策方面需要注意些什么問題。政策方面的東西可能比較枯燥。

　　理解信息安全，為什么講這個問題，這么多年在信息安全這個行業(yè)里，很多人對信息安全的理解不一致，不準確，有的人對信息安全的理解還產(chǎn)生一些誤解。所以我想借這個機會把這個問題跟大家交流一下，以便于更好的領(lǐng)會國家有關(guān)信息安全的政策。

　　首先什么是信息安全？

　　在座的各位如果對信息安全能夠回答，現(xiàn)在讓大家回答，我估計有很多不同的答案，在稱呼上就有很多不同，有叫網(wǎng)絡(luò)安全的，有叫信息網(wǎng)絡(luò)安全，有叫網(wǎng)絡(luò)信息安全，不同的答案，就這個叫法就不一樣。

　　在互聯(lián)網(wǎng)上大家可以搜一下，信息安全的定義也有很多。原因很多，每個人對信息安全的理解角度不同，可能有不同的理解。再一個從信息安全的產(chǎn)生到現(xiàn)在發(fā)展的不同歷史階段，人們對信息安全的認識也是不一樣的。

　　比如說我們以前沒有網(wǎng)絡(luò)，也沒有信息系統(tǒng)，大家認識信息安全就是狹義的就認為是信息內(nèi)容。現(xiàn)在有了信息系統(tǒng)，信息安全離不開網(wǎng)絡(luò)和信息系統(tǒng)，現(xiàn)在再理解信息安全，那就跟網(wǎng)絡(luò)，跟系統(tǒng)有密切的關(guān)系。

　　所以說很多人問我什么是信息安全，我總結(jié)了這么一個公式，有三部分，一個是網(wǎng)絡(luò)的安全，一個是信息系統(tǒng)的安全，還有一個就是信息內(nèi)容的安全，當(dāng)然信息內(nèi)容的安全是最重要的。

　　有時候一些朋友也問，信息安全到底是怎么回事，我也不是搞這個研究，不是做定義的，我找一種比較通俗的語言跟大家解釋，我有時候把信息安全比喻成交通安全來比，交通安全大家都知道，也是三部分，路的安全，車的安全，還有車里的人和物的安全。正好交通安全這三部分跟信息安全的三部分一一一對應(yīng)。我們經(jīng)常把信息網(wǎng)絡(luò)比喻成高速公路，信息系統(tǒng)就是高速公路上跑的車，有了這個大家理解信息安全就更容易一些了。這是講的一個信息安全的概念和定義。

　　還有一個就是信息安全的發(fā)展規(guī)律。很多人對信息安全的發(fā)展規(guī)律不是很了解，最后造成在工作中產(chǎn)生一些誤解。比如說一個行業(yè)，一個部門，或者一個單位，信息安全問題很突出。另一個單位沒什么信息安全的問題，或者很少，如果相比是不是能夠得出一個簡單的結(jié)論，信息安全問題突出的單位，他的工作做得就好，沒什么問題的單位工作做得就沒什么問題呢？有問題的單位做得不好？這個簡單的結(jié)論不對。北京市搞電子政務(wù)績效考評，同時也對信息安全做檢查，每年對比，連著幾年以后，發(fā)現(xiàn)凡是信息安全突出多的問題，恰恰是信息化做得好的，排在頭幾名的，都是一些信息安全做得不錯的，他的應(yīng)用也做得非常好。沒什么問題的單位，往往是信息化落后的單位。

　　這就說明一個問題，信息安全這個規(guī)律也是符合它的規(guī)律的，信息安全它是要跟我們信息化的依賴程度呈正本的，我們越離不開信息化，這時候信息安全的問題就會越多。這個規(guī)律要把握好的話，在我們的工作中就會避免很多的誤會。

　　這兩個問題跟大家先交流一下，特別是信息安全問題，一旦有了以后，我們一定要辯證的看。這兩個問題是比較重要的，在理解信息安全方面。

　　其次再說一下認識的問題。從08年開始到去年，我們北京市發(fā)生的比較大的一些信息安全的事件，08年奧運會的票務(wù)網(wǎng)站癱瘓的事大家都知道了，09年和10年，是公務(wù)員招考的網(wǎng)站癱瘓的問題，大家也都知道。還有一個就是10年的百度(微博)域名被劫持了，大家在網(wǎng)上都炒得很熱。這些事件，這里都是一些比較大的北京市的事件，從國家角度，從外省市來講也能看出來這么一個趨勢，它是跟信息安全的發(fā)展規(guī)律是相符的，我們越來越離不開信息化，自然信息安全的問題就越來越多，越來越突出。

　　但是這些問題有了以后，自然事件就會越來越多。也說明了我們現(xiàn)在目前的信息安全保障這項工作，跟信息化的發(fā)展是不匹配的，滯后于信息化的發(fā)展，而且這種滯后的程度是越來越大。原因也有很多，但是我想有一個非常重要的原因，就是我們對信息安全重要性的認識還沒達到一個應(yīng)有的這么一個程度，假如說我們對信息安全重要性的認識到了應(yīng)該有的程度，我相信很多的安全事件可能都可以避免了。

　　主要還是和信息安全的發(fā)展規(guī)律是相一致的，信息化應(yīng)用到什么程度，你信息安全重要到什么程度，你就要認識到什么程度，而這個程度它是要隨著你應(yīng)用不斷的發(fā)展，信息安全問題的突出，你的認識要不斷的提高，兩三年之前你覺得我認識到位了，放到今天或者再過幾年，可能這個認識程度就會落后。所以我要強調(diào)的是，要不斷提高對信息安全重要性的認識。

　　我們看一下國家方面的，04年國家提出，確保國家政治安全，經(jīng)濟安全，文化安全和信息安全，這是在中央文件里面第一次這么提。溫總理提出，要從公眾利益，社會穩(wěn)定，經(jīng)濟發(fā)展和國家安全的高度充分認識信息安全的極端重要性。確確實實信息安全涉及到我們的方方面面。

　　這是國家重視信息安全，02年當(dāng)時國家成立了由黃菊同志任組長的國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，08年經(jīng)過改革以后，根據(jù)胡總書記的批示，由李克強同志任組長的協(xié)調(diào)小組，包括了兩辦共17個成員單位。這個月的9號，總理剛剛召開的國務(wù)院常務(wù)會議，研究部署的推進信息化發(fā)展，保障信息安全工作。會議強調(diào)的6點，前4點都講的信息化的發(fā)展，最后兩點是信息安全的保障工作，一個是健全安全的防護和管理，一個是加快信息安全領(lǐng)域的建設(shè)。

　　近幾年也出臺了一些政策法規(guī)，有關(guān)信息安全的，我數(shù)了一下，大概將近40個。像非常有名的，這是04年加強信息安全保障工作的意見，還有94年國務(wù)院的一個靈，計算機信息系統(tǒng)安全保障條例，等級保護的管理辦法等等，這些文件都是非常非常重要的。

　　對信息安全這塊，國家這么重視，我們也確實沒有理由不重視，而且這個重視程度應(yīng)該是在不斷的提高，跟我們的業(yè)務(wù)和工作結(jié)合起來。

　　最后我和大家交流一下需要注意的問題，一個是領(lǐng)會國家信息安全的政策法規(guī)精神方面，還有具體的落實，事實方面，這么兩方面來講。

　　領(lǐng)會精神方面有三個點需要把握好，一個就是解決信息安全問題，一定要用體系的思路，因為信息安全它是一個系統(tǒng)工程，你不用體系的思路來解決，最后也無法解決這個問題。

　　什么叫體系？國家的一些專家把信息安全的體系歸納了6個方面，當(dāng)然也有歸納兩個方面的，也有7個方面，8個方面的，目前為止這6個方面用得比較多，我就講一下。一個是信息安全的組織領(lǐng)導(dǎo)，一個是信息安全的法制與標準化，還有信息安全的基礎(chǔ)設(shè)施，信息安全的技術(shù)與產(chǎn)業(yè)，宣傳教育，人才培養(yǎng)，資金保障。解決信息安全一定要成體系，這是一個木桶原理，這個木桶里面的水就比喻成信息安全，你水只要不流出來，就說明是安全的。我的木桶怎么讓它放的水最多，取決于你最短的那塊板。在我們的工作中一定要有桶的概念，還要有短板的概念，我們要不斷的補短板，這樣的話水才不至于流出來。這個水每年都在漲，我們的桶也要不斷的漲，只有讓它一致了，這個水才不至于流出來。之所以出了這么多的問題，就是因為桶增長的速度不如水的增長速度。

　　第二點需要把握的就是要確保重點。這水還沒流出來，還沒到的時候，大家就要考慮把這個馬桶把它加高。重點要找重點。國家的重點說的是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，從體系的角度來講就是得找短板。

　　第三個問題，在工作中是經(jīng)常要碰到的，就是要處理好幾個關(guān)系，一個是安全與發(fā)展的關(guān)系。我不知道大家是站在什么角度上，因為我是干安全的，經(jīng)常碰到干建設(shè)和干應(yīng)用的跟我說，說我的應(yīng)用很重要，你得保證我，他說發(fā)展是硬道理，我說這個話沒錯，但是不全，不完整，我從我的角度來講，給你加一句話，你光為了發(fā)展安全出了事也不成，所以還是要兩手抓，兩手都要硬，這里面真正的工作，不是簡單的進行平衡處理這個關(guān)系，它是要根據(jù)你的實際情況來進行判斷，進行取舍，有的時候你要取安全，有的時候你要舍安全，有的時候要取發(fā)展，有的時候要舍發(fā)展。

　　在03年非典的時候，當(dāng)時外界抨擊咱們信息公布得不及時，不準確，不透明，很多原因，咱們醫(yī)院有國家部委的，有部隊的，有地方，本身信息就很難。再加上我們的手段不行，沒有網(wǎng)絡(luò)，當(dāng)時非典的信息按照規(guī)定是涉密信息。當(dāng)時我們北京市一個電子政務(wù)外網(wǎng)把這些信息匯總到技術(shù)中心，這樣的話及時有效的公布，當(dāng)時你不可能兩個都保，你只能舍一個，保一個。這種梯子特別特別多。

　　安全和發(fā)展的關(guān)系如果處理不好的話，肯定我們的工作就更難了。

　　第二就是技術(shù)和管理的關(guān)系要處理好。信息安全發(fā)展到最后，實際上是一個高技術(shù)的對抗，在你發(fā)展過程中，工作中，到底是重技術(shù)，輕管理，還是重管理輕技術(shù)，這個之間也有一個平衡點，也是根據(jù)你實際的工作情況你要進行取舍。文件里說得很簡單就是并重，但是怎么并重是很難把握的。

　　要想解決風(fēng)險需要花錢，安全沒有絕對的，任何系統(tǒng)和網(wǎng)絡(luò)都存在風(fēng)險。假如說你花了99個億你達到了99%的安全，還有1%的風(fēng)險，要想解決這1%的風(fēng)險，它不是簡單的說我前面花了99億，我再花10個億，8個億就能達到百分之百，不是這么簡單的問題。

　　奧運會的時候我們就有一個體會，領(lǐng)導(dǎo)要求萬無一失，這最后的1%花的錢，可能是你前面99%的多少倍。這個我也沒有研究過到底是一個什么倍數(shù)的關(guān)系，但是得有這么一個認識，最后越往后，剩那百分之零點幾要解決掉，那個成本是非常高的。所以在我們工作中要平衡好這個問題。這個風(fēng)險多大，多大的風(fēng)險我能承受，多大的風(fēng)險我能接受，花的錢多少，我要綜合平衡成本和風(fēng)險，最后選擇我能接受的一個風(fēng)險來投入。

　　關(guān)于國家的精神領(lǐng)會的問題，有很多文件都有，但是光看文字可能很難領(lǐng)會。至少我覺得加強信息安全保障工作的意見，我覺得是要把它學(xué)好學(xué)透，對于我們領(lǐng)會國家的文件是非常有幫助的。

　　這個文件它從總體要求，主要原則，包括9個具體的方面都強調(diào)到了，講的就是主動，體系，重點，全都強調(diào)到了，但是怎么去領(lǐng)會這些文件的精神，還是得通過實際工作來認真領(lǐng)會這些精神。

　　第二個方面，在具體實施方面。我把實施分成三個階段，這里面有10點我認為是比較重要的，第一階段在信息化化建設(shè)之前，一個是要健全組織領(lǐng)導(dǎo)，這里面主要是你單位也好，行業(yè)也好，或者部門也好，應(yīng)該有一個主要的領(lǐng)導(dǎo)，至少是你們常務(wù)主管以上的，一個單位就是一把手，因為你安全的責(zé)任是一把手負責(zé)，你領(lǐng)導(dǎo)責(zé)任在這兒，你不管你的責(zé)任就沒承擔(dān)。

　　再一個需要注意的，把機構(gòu)要明確分工，特別常見的應(yīng)該請一個專家顧問，你還要注意專家的結(jié)構(gòu)，這個結(jié)構(gòu)能夠支撐你的業(yè)務(wù)。

　　還有一個落實責(zé)任，國家的規(guī)定里明確的說法，誰主管誰負責(zé)，誰用誰負責(zé)，實際上就是權(quán)責(zé)統(tǒng)一。一般來講我們都比較容易把責(zé)任層層落實，從領(lǐng)導(dǎo)到部門，最終落實到這個人，從縱向來講大家都很容易理解。但是還有一個問題這個責(zé)任制的分類，在工作中經(jīng)常有些人誤解。還有將來出了事以后好像找不著誰負什么責(zé)，誰負管理責(zé)任，誰負監(jiān)管責(zé)任。在建設(shè)之前，在分工的時候，在說權(quán)利的時候，一定要把責(zé)任落實了，橫向，縱向的權(quán)利責(zé)任都要落實。這樣的話他有意識，就可以避免很多的問題。

　　第二階段有四點，一個是方案設(shè)計，要考慮同步考慮，總理在5月9好開的會里，第五點專門強調(diào)同步的問題，研究部署推進信息化發(fā)展，保障信息安全工作，在信息安全保障方面強調(diào)，重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)要與安全防護設(shè)施同步規(guī)劃，退步建設(shè)，退步運行。

　　還有要準確定級，國家把信息系統(tǒng)分成五個等級，定級定在哪一級，你保護的強度是不一樣的，它有國家的標準，你定級定低了不成，高也不成，低了欠保護，將來會出問題，過保護，要平衡成本的問題，過保護是要投入的，再一個你過保護的話，你的管理應(yīng)用起來都會很麻煩。所以定級要準確。具體怎么定級我就不再細說了。同步和定級這是一個要點。

　　再一個就是選擇乙方，我們不可能做信息化工程的建設(shè)，肯定要外包，在選擇外包的時候，選擇第三方的時候也要需要要注意的問題。左面我列了一下外包的種類，一個是集成，監(jiān)理，服務(wù)等等，這塊在工作中確實很難把握，因為國家在這方面的政策很少。我在03年的時候當(dāng)時給國家提這個意見，到現(xiàn)在為止也沒什么進展，我認為這個事要從體系角度來講，這就是國家的短板，用戶在選擇建設(shè)方的時候不知道怎么選，有很多空白的地方。像集成和監(jiān)理目前還容易一些，因為國家對它有行政的許可，市場準入都好辦，但是那幾個方面都很難。我給大家提供這么一個表，就是供大家參考大家在選擇的時候。

　　再一個是產(chǎn)品，選產(chǎn)品也很難。這兩個文件非常重要，一個是當(dāng)時04年八個部門發(fā)的產(chǎn)品的認證體系的一個文件，接著發(fā)了一個廣告，這兩個文件奠定了我們國家信息安全產(chǎn)品的認證體系，規(guī)定了一個認證中心，所以大家在選擇產(chǎn)品的時候要看是誰給你測的，誰給你做的認證。

　　最后建設(shè)階段在驗收的時候一定要進行測評，一個是軟件測評，一個是安全測評。我們北京市很多的系統(tǒng)在沒測之前就上線了，結(jié)果就出事了。

　　最后一個階段就是運維階段。你運維的時候你的系統(tǒng)每年還要不斷的要維護，國家有規(guī)定，三級的要一年測一次，四級的半年測一次，五級的就更嚴了，不同的等級測評的周期是不一樣的。

　　最后一點就是監(jiān)控、備份，應(yīng)急東西都要考慮。

　　時間的關(guān)系我就講這么多，很多的東西我都沒展開，如果大家感興趣，我們會后再交流。謝謝各位。