本刊记者：虚拟化、云计算、移动互联网应用的爆发，让信息安全环境发生了翻天覆地的变化。对目前中国的网络安全现状，您怎么看？面对严峻的形势，信息安全体系建设的思路该如何调整？

　　周庆山：我认为中国的网络安全问题堪忧，海量信息与庞大数据难以凭借以往有效的漏斗式管理模式进行控制，公民的信息安全意识和知识也都很缺乏，相关立法和管理制度也不够完善，往往将信息安全简单地视为技术防范措施。没有意识到信息安全体系建设不仅要重视技术防范和法律规范的实施，还需要完善设施管理、风险管理、运行管理等体系化管理制度，因此需要强化“三分技术，七分管理”的原则，特别是要加强信息安全管理体系ISMS（Information Security Management Systems）建设，并积极引进和实施国际和国内信息安全的相关标准，此外，还需要加强信息安全专业培训与公众信息安全素养宣传和教育。

　　本刊记者：随着美国国会祭出“信息安全”大旗，展开针对中国通信企业华为、中兴的调查，许多国内信息安全专家开始反思，并对中国的网络安全状况表示出担忧。国外是如何保障网络信息安全的？他们的哪些做法可供中国借鉴？

　　周庆山：确实值得反思，美国可以对我国的企业提出调查与质询，我们如此依赖国外的很多网络技术与系统，更应该对此相应采取调查与评估质询。信息化建设不仅仅是简单的经济与产业问题，更涉及国家信息安全与风险管理问题。

　　网络安全不仅仅是技术问题，也不仅仅是数据安全问题。网络安全是系统工程，涉及到基础设施、硬件设备、网络系统、软件和信息数据等内容。其中数据信息安全是狭义的信息安全，主要包括信息的保密、完整和可用性。因此，国外在信息安全保障方面更注重体系化建设、并从积极防御转变成主动出击。同时制订了系列法规，特别强调人的作用，即人的管理素养和防范能力，并通过教育和培训来实施这些法规。他们的一些做法确实值得我们借鉴。

　　在立法方面，美国早在1987年就制定了《信息安全法》，要求政府颁布计算机安全标准、培训信息安全专职人员、为计算机系统安全和隐私信息制订安全计划，并出台了一系列信息保障与网络安全战略与政策规划。相反，我国目前只有一些行政法规和部门规章，它们的效力较低，这些交叉重复的法规的实际规制力也较差。除了在相关法中进行了某些补充，以及人大颁布的相关决定外，还没有专门的《网络安全法》。《电子签名法》侧重的是加密与认证技术规范，不是一部系统的信息安全法。只有一个《计算机信息系统安全保护条例》，还是1994年颁布的，已经远远不能适应现代信息网络，特别是移动互联网、云计算和物联网时代的信息安全需要。

　　本刊记者：个人信息的泄露不是一个技术问题，而是一个社会问题。从用户的角度来看，信息安全对政策、法规的依赖是不是越来越大？

　　周庆山：信息安全的技术关键还在人的实施和执行，而人的行为需要健全和完善的政策法规以及管理制度来规范。信息安全问题首先需要从政策法规角度完善必要的信息收集、处理和服务的规范。比如在目前的云计算环境下，如果中小企业没有自己的云主机系统，只有一个服务平台的话，大量的经济信息与商业秘密就会成半裸露状态呈现在云服务器上。为此，欧盟最近就要求：在12～18个月之内，所有入云的中小企业的信息都必须全部删除，而且不允许跨境传播。

　　本刊记者：我们如何才能有效防范个人信息泄露的风险，怎么抓源头？您觉得解决网络信息安全问题的关键在哪里？

　　周庆山：防范个人信息泄露的风险，主要是要注重对收集和拥有这些信息的机构的规范和监督管理，解决问题的关键在于有法可依，严格执法，完善管理制度。特别是信息安全的等级保护制度，对于不同类型的信息系统要采取不同的安全管理制度。此外，还需要完善风险评估工作。2003年，《国家信息化领导小组关于加强信息安全保障工作的意见（27号文）》便将信息安全等级保护作为国家信息安全保障工作的重点，并提出要重视信息安全风险评估工作，要对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，进行相应的等级安全建设和管理。

　　本刊记者：目前，信息安全已经成为国家安全的核心内容和关键要素，并日益成为整个社会所有安全的基础。您认为加强网络管理还存在哪些困难？据了解，您是国内最早研究信息法学的学者之一，您觉得高校在人才培养方面需要做哪些工作？

　　周庆山：我认为网络信息安全管理的难点在于网络犯罪的隐蔽性、超地域性、虚拟性、技术超前性等，这些问题造成了现实物理性规制措施的失灵。特别是随着社交媒体的发展，信息的互动性、个人性、移动性、病毒式传播机制等使得这一问题更加凸显，尤其是目前，很多网络核心硬件和软件乃至网络设施等技术与云数据都被发达国家所控制。发展拥有自主知识产权的产品和服务十分必要。

　　信息安全需要培养的人才不仅是技术人才，还需要培养更多的技术应用、管理和政策法规专业人才，积极培养学生这方面的知识、素养和技能，并需要加强这一领域的研究和探索，我们系里陆续开设了一系列与之相关的课程，我们从20世纪90年代就在国内最早开设了《信息政策与法规》、《信息技术伦理》等课程，并开设有专门的《信息安全》、《信息素养》、《个人信息管理》等课程。目前《信息政策与法规》还成为北大社科大类的平台开放课，提供给法学院、政府管理学院、国际关系学院、新闻传播学院、社会学系等专业学生选修。此外，我们也积极参与相关的学术活动，比如中国法学会信息法学研究会以及国内外相关机构信息政策法律方面学术交流与研讨。

　　本刊记者：信息安全问题跟信息化建设相伴相生。您认为涉及个人和企业的最重要的信息安全问题有哪些？

　　周庆山：我认为企业的信息安全重在制度建设，特别是需要制定信息安全预案，并且需要有专人负责。近来，政府颁布了一些相关的法律法规，大家都要有所了解。比如全国人民代表大会常务委员会颁布了《关于加强网络信息保护的决定》，还有于2013年2月1日起正式实施的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南（GB/Z28828-2012）》，其中明确了个人信息保护的“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”8项原则。这些规范对企业有严格的责任要求。此外，辽宁省的地方标准《信息安全个人信息保护规范（DB21/T1628.1-2012）》已于2012年2月7日发布，3月7日正式实施。新标准实施后，企业申报个人信息保护评价（PIPA），必须符合新的标准才能发放《个人信息保护合格证书》。

　　在个人信息安全保护方面，则需要加强个人信息安全相关知识和素养方面的教育，并且要注重提高信息安全意识和养成良好的信息操作习惯。