1、德国是欧洲头号经济大国,也是仅次于美国、日本的世界第三经济强国。2004年德国国内生产总值 21770 亿欧元,人均国内生产总值 26000 欧元。德国为出口型经济,2004 年外贸出口 7309 亿欧元,连续两年成为世界第一出口国。为了增强综合国力和国际竞争力,德国非常重视信息化建设,1999 年制定的“21 世纪信息社会的创新与工作机遇”纲要是德国第一个走向信息社会的战略计划。进入新世纪后,德国又制定了“2006 年德国信息社会行动纲领”,这是德国走向信息社会的主体计划,对信息化建设的主要方面提出了明确的目标,强调要通过政府创造环境,实行政府与产业界及社会各界的合作,形成向信息社会转移的体
2、制和机制。目前,德国正在制定第三套信息化行动计划(2006 年至 2010 年) ,这个计划与欧盟的信息社会计划是一致的,估计在明年发布。通过制定和实施信息化发展战略,德国信息化获得了较快的发展。德国在制定和实施信息化战略中有以下几个突出特点。 第一,在电子政务建设中重视信息系统的整合。德国把推行电子政务作为实施信息化战略的重要组成部分。2000 年联邦政府制定了“2005 年联邦政府在线计划”,旨在通过推行电子政务提高行政效率,开拓新的工作领域,促进政府服务现代化。德国电子政务既有从联邦到州的垂直计划,也有 13000 个县市之间的水平计划。为了使垂直方向和水平方向的电子政务发挥更大的功能,
3、2003年 6 月,德国总理施罗德和政府各部部长批准了整合电子政务的共同战略“德国在线”计划。通过这个计划,电子政务的整体功能得到提高,联邦政府、州政府和地方政府能够共同提供在线服务。目前,联邦政府在线提供 440 项服务,州政府在线提供 300 项服务,全国 30%的人享受在线服务,几乎百分之百的企业都能利用电子政务与政府打交道。德国是世界上第一个建立电子政务标准的国家。德国还向欧盟各国和俄罗斯推广本国制定的标准。德国整合全国政务信息系统更多的是通过推广标准进行的。联邦政府通过代理机构发布电子政务应用的标准文件,而且每年修改,由联邦内务部在各地的代理机构实施,确保电子政务的互操作性。这些文件
4、虽然是建议性的,不是强制性的,但因为有统一的机构去推动,作用十分明显。 第二,开放软件源代码。德国在制定和实施信息化战略时认为,联邦整个信息化战略是由好多软件支撑的,很多网络攻击也是由软件引起的。只有开放软件源代码,才能增强信息平台的独立性,提高信息系统的可操作性和互操作性,促进网络安全。为了保证使用应用软件的安全性,德国联邦内政部在联邦政府内部、联邦政府与各州政府之间积极推进使用开放源代码软件,并为此制定了国家战略。目前,德国虽然在开放软件源代码方面信息还不充分,不少最终用户也不愿意开放软件源代码,但政府正在推进这项工作,已有 60 多个机构从事这项工作。 第三,高度重视信息安全。德国在信息
5、安全方面是欧洲的典范,主要做法包括三方面。一是有明确的责任部门。德国联邦经济和劳工部下属的联邦电信和邮政总局主要负责联邦电信基础设施的安全维护工作;内政部和其下属联邦信息安全署主要负责信息技术应用方面的安全问题,如互联网安全管理、防病毒入侵和应急处理计算机问题等。联邦安全署还负责对互联网进行内容监管,对需要跨部门协调的工作制定统一的方案。联邦内政部下属的联邦信息安全署设有计算机紧急反应小组,提供每天 24 小时的“ 应急服务”,解决互联网的安全问题,防止计算机病毒和网络攻击。联邦政府专门成立联邦信息安全办公室,负责处理信息安全方面的技术问题。二是重视运用法律手段。德国联邦经济和劳工部下属的联邦
6、电信和邮政总局在为德国联邦其他部门提供基础电信服务的同时,还负责起草和制定电信法和数字签名法等法律,并协调联邦政府各部门有效使用数字签名来保障信息安全。联邦政府制定了具体的计划和措施加强互联网上的安全,包括颁布了电子签名法和电子商务法 。三是综合运用相关技术措施。德国联邦政府为加强信息安全采取了一系列的措施,包括重大基础设施的保护,增强社会各界的信息安全意识,通过设立安全门户网站为企业和个人提供相关信息和安全工具,增强互联网上的信息安全,开展信息安全认证,推广新的安全技术,与 IT 企业合作开展安全技术趋势研究,大力研发和使用密码技术、安全可靠的构件和生物识别技术等。 第四,重视信息技术创新及
7、信息产业发展。当今世界,信息技术发展日新月异,对经济、社会发展的作用越来越明显。加快信息技术创新,保持和扩大本国信息技术在世界上的优势,是发达国家的普遍做法。德国政府把信息技术发展看成是其他领域创新的基石,在信息技术创新方面的任务是帮助本国企业走进全球市场,帮助企业保持和扩大竞争优势。德国政府还从创造就业机会出发,对信息技术研究资助的重点是有利于创造就业机会和对德国经济产生真正积极影响的项目,保证当前和未来的信息技术领先,支持在全球市场中居“领导者”地位的德国公司。德国政府还利用强大的研究能力和雄厚的资金,对一些关键领域的信息技术创新进行支持。2004 年,西门子公司在通信领域获得 2013
8、项专利,较大程度上得益于政府的大力支持。德国政府还吸引和支持外国公司到德国投资建厂,发展信息技术。1999 年以来,美国 AMD 公司在德国共计投资50 亿美元,除了 AMD 公司自有资金和 15%的银行贷款外,在资金支持、土地使用、配套设施建设,特别是专业知识人才队伍等方面都得到德国政府的资助。 信息技术创新和应用对德国经济发展发挥了巨大作用。互联网已成为推动经济发展的重要因素。2003 年,德国电子商务业务量首次突破 1000 亿欧元,成为欧洲最重要的电子商务市场。目前,德国 50%以上的工业生产和 80%以上的出口依靠着最先进的信息与通信系统。制造业中,大约 50%的增加值和新增就业机会
9、及 50%以上的出口业务都是与 ICT 技术创新联系在一起的。不久的将来,汽车生产成本中电子产品的比例将超过 30%。信息技术创新有效地促进了德国信息产业的增长。近年来,德国信息产业增长速度比整个经济增长速度快五倍。受全球信息产业大环境的影响,2002 年德国信息产业出现了微小的负增长,之后便走出低谷,出现恢复性增长。2004 年,德国信息产业国内销售额超过 1300 亿欧元,就业人员约 75 万人,是德国的第三大产业。 虽然我国与德国的国情不同,但德国推进信息化的一些做法值得我们借鉴。 第一,制定好我国信息化发展战略和专项规划。信息化是当今世界经济社会发展的重要趋势,是提高综合国力和国际竞争
10、力的重大举措。为了实现信息化健康发展,发挥信息化对经济、社会发展的重要作用,德国高度重视制定和实施信息化发展战略,而且根据国内外形势变化不断地对信息化战略进行调整和更新,效果十分明显。我国信息化建设起步晚、基础差,为了减少损失、少走弯路,使信息化更好地服从和服务于全面建设小康社会的宏伟事业,应当借鉴国外经验,抓紧制定和实施信息化发展战略,认真贯彻落实党的十六大提出的“以信息化带动工业化,以工业化促进信息化”的方针,当前要制定好“十一五”信息化发展规划,提出信息化发展的目标、重点和政策措施,促进我国信息化建设更快更好地发展。 第二,在电子政务建设中要充分利用互联网,并重视利用法律和标准解决系统间
11、的互联互通问题。互联网作为集信息采集、存贮、处理、传递和共享为一体的信息网络,是推行电子政务的重要平台。利用互联网推行电子政务,不仅能够节约大量的投资,而且有利于信息共享和公众获取信息服务。德国绝大多数的电子政务系统都是建立在互联网上,只有特殊需要的涉密信息系统才建专网。在解决信息系统间的互联互通问题时,他们更多的是通过法律手段,明确各部门的职责,并采取标准等技术手段。我国资金短缺,社会主义制度决定了我们的电子政务对公服务的任务更多更重,因此我国的电子政务建设要重新认识互联网,充分利用互联网,尽可能地减少建设专网。鉴于目前我国已经形成了许多难以互联互通和信息共享的专网,应加快立法进程,规范各部
12、门的职责和义务,建立健全相关技术标准,促进各个信息系统间的信息共享、互联互通和协同操作。 第三,电信监管和信息化管理体制改革要主动适应新技术变化。信息化是一项崭新的事业,在发展过程中需要对原有的管理体制和相关部门做出适当调整。为适应电信技术发展的要求,德国 1997 年撤销邮政部,将相关职能并入联邦经济与劳工部。在制定电信监管政策时德国有关部门认为,VoIP(互联网语音电话)与下一代互联网一样,是一项很好的新技术,很有发展潜力,运营商也很感兴趣,不能对其加以太多的管制。德国对 VoIP 和对普通电话是一样的,虽然目前还不能确定利用 VoIP 打电话人的所在位置,但长期来看是可以解决的。德国不仅
13、在电信领域主动适应 VoIP 和宽带接入等新技术,还积极推动广电、电信和互联网融合,已将三网的监管职能划归联邦经济与劳工部下属的电信与邮政司。我国正处于完善社会主义市场经济体制的关键时期,又处在信息化快速发展的重要时期,应当根据我国的具体情况,借鉴国外的经验和做法,深化对信息化发展管理体制改革的研究,努力建立健全具有中国特色的信息化管理体制。 第四,在信息安全方面加强交流与合作。在信息安全工作方面,德国与我们的认识基本一致,做法有许多相同之处。所不同的是,德国信息安全管理体制相当集中,并在不断调整之中,即使分属不同的部门,部门之间也在做到了职责清晰、分工明确、协调有度,形成了信息安全监管的合力
14、。为了提高信息安全水平,德国鼓励网络融合,在广电、电信和计算机网络的基础上建立统一的平台。另外,德国鼓励使用开放源代码软件,并把推进源代码软件的使用作为信息安全的重点工作来抓。德国在信息安全方面拥有较多的经验,我国应该加强和德国就信息安全方面的交流,特别是对于开放源代码软件的使用情况进行交流,吸取他们的有益经验,提高我国的信息安全工作水平。 第五,为企业成为信息技术创新主体创造良好的环境。企业既是国家经济实力的基础和支柱,也是技术创新的主体。德国之所以能够在信息技术的一些领域保持领先地位,根本原因之一是发挥了企业作为信息技术创新主体的作用,并拥有像西门子这样一些勇于创新的公司。我国要加快信息技
15、术创新,缩小与发达国家的差距,也必须发挥企业的主体作用。目前,我国企业在资金和科技实力上还不能与德国、日本、美国的企业相比,特别需要国家的积极扶持。要实施激励企业技术创新的财税金融政策,完善和调整国家产业技术政策,支持企业对引进技术的消化、吸收和再创新,利用政府采购促进企业自主创新。美国社会和经济的快速发展依赖于一个错综复杂的信息网络。克林顿政府在其63 号总统令中指出: “我们的经济越来越依靠那些互依赖的、由计算机和网络支持的基础设施,对我们的基础设施和信息系统的非常规攻击有可能使我们的军事和经济力量遭到巨大伤害”。为维护国家安全和经济增长,美国政府陆续颁布了一系列的法律、法规和指南来提高对
16、其关键信息系统的安全保障能力。“911”事件后,美国政府对信息安全更加重视,陆续出台了一些新的举措。 一、鉴于社会和经济的快速发展对信息网络的严重依赖性,重点保护国家关键基础设施。 美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。 1998 年 5 月克林顿总统签署第 63 号总统令克林顿政府对关键基础设施保护的政策 (PDD63) ,提出“ 最迟不晚于 2000 年,美国应当实现初步的信息保障能力。 ”PDD63 令要求从总统令发布之日起,五年后美国将已经获得并保持对国家的关键基础设施进行保护的能力,以防止可能会严重危害到下述职能的有预谋的行为:联邦政府履行其重要的
17、国家安全责任并确保公众健康和安全;州和地方政府维持有序运转,提供最起码的重要公共服务;私营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上。2001 年 10 月,布什总统签署第 13231 号行政令 信息时代的关键基础设施保护 ,授权成立一项旨在通过不断努力来保护关键基础设施中的信息系统的保护项目,包括对应急战备通信设施及其相关的物理设施进行保护。2003 年 2 月发布的保护网络空间的国家战略 (以下简称战略)则进一步指出:“美国的政策是通过保护关键基础设施,
18、防止信息系统的运行遭到破坏,从而保护美国的人民、美国的经济及国家的安全”。其中,国家的基础设施包括农业、食品、供水、公共健康、应急服务、政府、国防工业基地、信息与通信、能源、运输、银行与金融、化学品和危险物品、邮政和船运部门的公共和私营部门。 二、信息安全与信息保密信息安全不等同于信息保密,信息保密仅仅是信息安全的一个方面。 在 2002 年 3 月通过的 联邦信息安全管理法案 (FISMA)中,信息安全被定义为“保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性”。其中完整性是指防止不恰当的信息修改和破坏,也包括确保信息的不可否认性和可认
19、证性;保密性是指对信息访问和公开的授权限制,包括对个人隐私和私有信息的保护;可用性是指对信息的及时和可靠的访问。 三、分工负责,各司其职 信息安全的工作涉及方方面面,不可能只依靠一个机构来执行法律和政策,但也不应该分工不明确,以致于“政出多门” ,造成“ 政策撞车” ,反而形成“谁都抓,谁都无法落实”的局面。因此在实施基础设施保护时,美国政府特别注意明确规定各机构的职责范围,在各个层次上都力求做到分工负责,各司其职。 (一) 国家层面 PDD63 令中规定:“总统指派一个由大型基础设施提供商和州及地方官员组成的小组组成总统基础设施保障委员会”。总统基础设施保障委员会将定期集会,以加强关键基础设
20、施保护中公共和私营部门间的合作关系,并在必要的时候向总统提交报告。第 13231 号行政令则将部委间的协调机构 “总统关键基础设施保护委员会”改为行政实体“ 总统关键基础设施保护办公室”,作为联邦基础设施安全保护的最高管理协调机构。 (二) 部委层面针对每一个有可能成为信息或物理攻击目标的基础设施部门,第PDD63 号行政令为其指定了一个唯一的联邦部局作为联络时的领导机构。对于某些关键基础设施保护职能必须主要由联邦政府执行,如国防、外事、情报、执法。其中的每一项特殊职能,都应有一个领导机构负责协调美国政府在该领域内的活动。针对“9.11”以后的安全形势,美国专门成立了国土安全部,并对部门间的职
21、责作出了调整。 战略中指出:国土安全部负责信息与通信、运输(航空、公共运输、水运、天然气管道、高速公路) 、邮政和海运、应急服务以及政府持续性;财政部负责银行与金融;健康与公共服务部负责公共健康(包括预防、监视、化验室和个人健康服务) 、食品(不包括肉类和禽类食品) ;能源部供水化学工业和危险物品管理;农业部负责农业和食品(肉类和禽类食品) ;国防部负责国防工业基地。另外,科技政策办公室(OSTP )负责协调关键基础设施保护方面的科研工作;管理和预算办公室(OMB)负责监督联邦政府的计算机安全项目中的政策、原则、标准和方针在整个政府部门的实施情况;美国国务院负责协调网络安全方面的国际协作事务。
22、中央情报局负责评估其他国家对美国的网络和信息系统的威胁。司法部和联邦调查局负责对网络犯罪的调查和起诉工作。 (三) 机构层面各个联邦机构自己负责机构内的信息系统的安全保障工作。FISMA 规定,联邦机构的首脑根据风险情况和对信息(由机构收集或者维护)和信息系统(机构使用或者运行)的损害程度提供安全保护。 四、信息安全保护职责 (一) 信息安全保护机构主管应确保对信息(由机构收集或者维护)和信息系统(机构使用或者运行)提供安全保护;遵守相关法律、政策、程序、标准和指南的要求;将安全管理融入到机构战略和运营规划中;定期向机构主管、众议院的政府改革和科学委员会、参议院的政府事务与商业、科学和运输委员
23、会、国会授权的对口委员会以及审计总署提交报告,汇报机构信息安全策略以及实践的有效性。 (二) 年度独立评估每个机构每年必须对其信息安全程序和实践进行独立评估以确认其有效性(FISMA ) 。 独立评估包括: 1对安全策略、过程和典型子系统的安全实践的有效性测试; 2基于相关法律、政策、程序、标准和指南的评估; 3独立陈述(涉及国家安全时)在独立评估的基础上,联邦管理与预算局应国会上报评估汇总结果,而联邦审计总署应周期性评估并向国会汇报各机构信息安全策略和实践的适度与有效性以及相关要求的执行情况。 我国目前正在全面推进国民经济和社会信息化,加速开展电子政务、电子商务和企业信息化建设,整个社会对信
24、息网络的依赖与日俱增。信息网络在极大地促进我国经济、文化、科技发展和社会进步的同时,也给国家安全和社会稳定带来了严峻挑战。我们应充分借鉴国外的先进经验,探索并制定符合中国国情的信息安全战略、方针和政策,进一步提高信息安全的保障能力和防护水平,逐步探索出一条适应社会主义市场经济发展的信息安全模式。 五、参考文献: (一) Federal Information Security Management Act,USA ,2002 (二) Critical Infrastructure Protection in the Information Age,Executive Order 13231,U
25、SA , 2001。 (三) Security of Federal Automated Information Resources, Appendix III to OMB Circular No. A-130,office of Management and Budget,2000。 (四) The Clinton Administrations Policy on Critical Infrastructure Protection,Presidential Decision Directive 63,1998 。 (五) The National Strategy to Secure Cyberspace,USA,2003。 (六) Http:/www.dhs.gov
