信息安全缺乏战略顶层设计

　　中国信息安全自主可控能力不足的背后，是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来，中国信息安全产业经历的20年，最需要反思的是国家层面的安全，但事实上，从业者在实践中却常常急功近利，怎么赚钱怎么来。“棱镜门”警醒我们，如果只有投机而没有战略，就谈不上博弈。

　　《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文)发布已有近十年，从那时至今，我国再无优异信息安全战略发布。今年会不会发布国家信息安全战略?这已成为安全界热议的焦点，但一些安全专家坦言，这个期望能不能在今年实现还很难说。顶层战略设计的缺失，让政府对企业整体战略协作、支持、互动和响应能力严重不足。当去年华为、中兴被美国调查时，我们却鲜见有相关的反制措施推出。

　　与此形成极大反差的是，美国几乎年年都有相关战略出台，每两年必有一个重大战略出台。奥巴马当选总统不到半年，在2009年5月即发布《网络空间政策评估报告》，其中谈到10条近期计划，14条中期计划，规划非常详尽，在抢占网络空间制高点方面又迈进了一步。2011年，美国发布了《网络空间国际战略》，其网络空间战略的关注点已经从国家战略上升到国际战略层面。

　　差距还体现在网络战演习中。据有关专家介绍，美国大概从2006年开始，每两年就举办一次网络风暴演习，该演习由美国诸多联邦政府共同组织，也吸纳私营公司参加，而且，参与演习的私营公司一次比一次多。在2010年，大概有60家私营企业参加了演习(其中不乏大牌IT企业)，演习场景基本上是电力系统攻防。而在我国，攻防演习这一话题常常是被回避的，甚至安全公司的攻防实验室都会被改称作积极防御实验室。安全界普遍认为，从威慑的角度来说，国家层面应有的威慑力是应该建立的，不必讳言。