刘锋：技术达人秀3

清华同方电脑总工程师刘锋

如果细分信息安全体系，这个体系在某些方面就类似于工厂的制造质量认证体系，包括设计端、制造端、检测端等一系列制度体系。其中，最容易被忽视，但最不应该被忽视的就是体系出现问题后的反馈（包含检讨和改正）机制。只有拥有完善的反馈机制，信息安全体系才能被称之为完整的体系。

从理论上讲，反馈机制的存在意义是为了防范信息安全体系中可能出现的漏洞。在技术实践中，出现安全问题可能性较大的环节是在信息的安全传递上。一般而言，信息传递的安全性主要与信息的加密手段和管控手段有关，其中，身份鉴别显得尤为重要。

要保证信息安全，首先要确保信息内容本身是安全的。在信息传递过程中，如何管理和传输信息、如何将其准确无误地传到指定使用者的手中、信息使用者拥有何种权限所涉及的安全关口，便是身份鉴别。在实际操作过程中，身份鉴别具体涉及的领域包括信息在使用过程中操作的安全性以及使用者个人信息（包括个人隐私、身份数据、敏感信息等方面）的安全保护。

为了最大程度地维护信息安全，IT业界在硬软件安全两方面都采取了相应的技术手段（如加密机和加密软件），通过加密和解密数据，既保证信息安全可靠，未被篡改地传递到正确的目的地，又保证信息在传递过程中免于出现泄露。

在预防携带信息的机器本身造成信息泄露方面，目前业界常用的技术方法是营造保密环境，比如建立具有电磁屏蔽功能的机房，防止电脑主机和显示器通过电磁波泄露信息，又如在IT产品中放置加解密设备，通过安全密钥非常规传输，即不走传统的电话网、传真、互联网等电子方式传递。

传统的信息传递方式在信息传递过程中都要经过很多跳跃的节点，而随着信息技术不断发展，通过这些电子途径的信息代码在经过这些节点时都是无法被使用者紧密控制的，很容易被还原成原始的数字信号。所以，这个环节并不够安全。信息数据使用环节的安全性主要是指安全鉴别接收者身份，确保将信息传到指定地点、指定终端机、指定使用者。

目前，如何保证信息能够按照技术要求的特定方式安全传递，是摆在相关管理机构面前的重要课题。政府机关日常的信息安全流程重点是在信息重新被解读后如何控制其再传播。（梁爽）