面對信息化的高速發(fā)展，信息安全面臨著極其嚴峻的形勢。國家信息化專家咨詢委員會曲成義站在全局的高度，深刻剖析了信息安全的四大特征和難點，指出了信息安全需創(chuàng)建的四種能力和“六性”，并從信息安全的頂層設(shè)計出發(fā)，總結(jié)出四項全局對策。

　　一、信息安全要創(chuàng)建“四種能力”

　　1.構(gòu)建完善的信息安全基礎(chǔ)設(shè)施，為信息安全提供公共的支撐能力：如建立由數(shù)字認證、安全測評、網(wǎng)絡(luò)監(jiān)控、事件通報、應(yīng)急支援、災(zāi)難恢復、輿情治理等信息安全基礎(chǔ)支撐平臺和支撐體系。

　　2.提升信息安全的防護與對抗能力：信息安全的攻與防是一個過程，要在預警、監(jiān)測、防護、恢復、反擊等過程的各個環(huán)節(jié)都采取有效的對抗手段，才能奏效。

　　3.建立應(yīng)對網(wǎng)絡(luò)突發(fā)災(zāi)難事件的應(yīng)急和容災(zāi)能力：當網(wǎng)絡(luò)突然災(zāi)難事件來臨時，要啟動應(yīng)急預警，采取災(zāi)難恢復機制，即使全系統(tǒng)毀滅，也能在異地即時恢復信息系統(tǒng)的使用，保持業(yè)務(wù)的可持續(xù)性。

　　4.強化信息安全管理可控能力：鑒于信息系統(tǒng)的復雜性和使用行為的多樣性，單靠技術(shù)手段是不能完全奏效的，必須動用管理可控手段，雙管齊下，所以信息安全的對策是技術(shù)與管理手段并用。

　　二、信息安全要保障信息及其服務(wù)具有“六性”

　　這“六性”包括：信息的“保密性”、信息的“完整性”、系統(tǒng)及服務(wù)的“可用性”、信息內(nèi)容及主體行為的“可核查性”、主客體身份的“真實性”，主體行為和信息內(nèi)容的“可控性”。

　　三、果斷推進信息安全的全局對策

　　1.落實信息安全的等級保護制度

　　在信息安全投入（資金、人力、資產(chǎn)等）與系統(tǒng)所能承受的最小風險之間找到科學的平衡點，保護國家、社會的最大利益。

　　2.構(gòu)建網(wǎng)絡(luò)信息系統(tǒng)的“信息安全保障體系”

　　根據(jù)信息系統(tǒng)的安全等級，依據(jù)國家已發(fā)布的相關(guān)標準和規(guī)范，在作好信息系統(tǒng)安全需求分析的基礎(chǔ)上，構(gòu)建或者調(diào)整網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障體系，重點抓好：①網(wǎng)絡(luò)縱深防御體系的設(shè)計、安全域的科學劃分和安全邊界的有效隔離；②網(wǎng)絡(luò)動態(tài)防護機制設(shè)計，安全機制能在安全對抗的全生命周期過程中有效協(xié)同和對抗；③建設(shè)好基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，包括身份認證、授權(quán)管理和責任認定。④強化內(nèi)部審計，從網(wǎng)絡(luò)級、數(shù)據(jù)庫級、系統(tǒng)級、主機級和介質(zhì)級的全局審計入手，并逐漸使審計點前移；⑤建設(shè)好信息系統(tǒng)的“信息安全管理體系”（ISMS），遵從PDCA模型，不斷優(yōu)化ISMS。

　　3.抓好信息安全測評的風險評估工作

　　鑒于網(wǎng)絡(luò)信息系統(tǒng)是一個“復雜巨系統(tǒng)”，其信息安全檢測與風險評估是一項“系統(tǒng)工程”，在重視培育自評估能力的同時，要重點通過專業(yè)的第三方（行政檢查評估或服務(wù)委托評估），即時發(fā)現(xiàn)隱患，采取對策，調(diào)整系統(tǒng)，提升強度，與所確定的安全等級相匹配。