刘锋：信息安全需从多角度看待

清华同方电脑总工程师刘锋

目前，市场上提供信息安全产品和服务的企业大体可以分为两类：一是面向普通消费用户提供信息安全防护产品和服务的企业。二是主要为国家涉密部门提供专门信息安全服务的企业。在国家管控方面，政府对第二类企业的监控和管理力度更大一些，而对第一类企业的管控力度稍显不足。

1999年，国务院出台了《中华人民共和国商用密码产品管理条例》（以下简称《条例》），对信息安全产品进行规制。其管理对象包括所有“对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。《条例》明确规定，商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理，由国家密码管理委员会及其办公室(以下简称“国家密码管理机构”)主管全国的商用密码管理工作。同时，省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托，承担商用密码的有关管理工作。但在实际执行过程中，国家密码管理机构由于权限较弱、人力资源紧张等原因，管理工作开展得并不是十分理想。

其实，要想破解目前信息安全领域存在的问题，首先要厘清信息安全产品的概念。公众对信息安全产品的理解一般可分为硬件安全产品、软件安全产品以及专门的信息安全类产品。从专业角度来看，大家不应该把信息安全看做是一个具体的事物或具体的技术，而应看成是一个完整而多面的体系，这个体系存在的根本目的是确保信息的传递和扩散受到有效管控。

当前，世界已经进入信息时代，最显著的特点就是信息的有效和快速传递。在这样一个时代，信息的复制本身是没有成本的，而在信息复制有成本的时候，使用者只需管控物理实体就可以了。此时，信息安全的概念便应运而生，其存在的意义便是严格地阻挡信息的超范围传递。在信息时代，很多传统的保密手段都已经失去了功用。为了确保信息在快速有效传递的同时不超出传递范围，就需要一个体系来确保信息的扩散是受控的。这就是业内对信息安全的整体理解。

一般来讲，信息的安全传递主要涉及到信息加密、信息传输手段、信息管控以及身份鉴别等事项。一方面，要确保信息本身的安全，即运用加密手段保存和传递信息。另一方面，信息在传递过程中是由使用者经手的，所以身份鉴别就显得尤为重要，其内容具体包括信息传递给谁、使用者有何种权限、由谁进行信息管理、使用者个人信息的保护以及信息使用的安全性等问题。（梁爽执笔）