海关是维护国家经济安全的重要进出口贸易管理部门。作为我国信息化建设较早的政府部门之一，海关总署一直高度重视信息化在政府机关中的应用，并坚持把信息化建设放在优先发展的战略地位。

从1978年开始，海关首先在旅客行李物品征税工作中使用计算机，这标志着海关开始进入信息化阶段。1988年，海关通关管理系统开始正式应用。1998年，为配合通关作业改革，海关推出了H883系统4.0版，实现了通关管理的联网运行。从1999年开始，海关信息化系统开始进入跨部委综合应用阶段。再到2001年，海关执法评估系统开始进入应用阶段，初步建成了以海关总署对全国海关业务监控和政务办公为主要内容的“电子总署”。从1978年到现在，海关在信息化方面已经走过了三十余年的发展历程。

在海关实施信息化的过程中，信息安全工作无疑是重中之重，那么如何才能保证海关信息化的安全运行?海关在保障信息安全方面有哪些具体的经验?为此，计世网记者对全国海关信息中心网络与信息系统安全保密处处长刘涤西进行了独家专访。

网络与信息系统安全保密处处长刘涤西

记者：海关的信息化进程起步较早，至今已经走过了三十余年的发展历程，您能否介绍一下海关在信息化方面，以及在信息安全应用方面分别具有哪些特点?

刘涤西：海关在信息化方面主要有两大特点：一是海关的信息化起步早，早在1978年，海关就将第一台进口计算机设备引用到广东地区的旅客行李物品检测，并从此开始了信息化的历程;二是海关的信息化对海关业务的支撑程度也比较高，目前海关所有的业务系统基本上都已实现了信息化支撑。

另外，海关在信息安全方面也具有两个显著的特点：一是海关信息安全工作的起步早;二是海关信息安全工作的进展快，目前海关信息安全系统还处于进一步深化的过程中。

记者：海关在实施信息化的过程中，在信息安全方面都遇到了哪些问题，有哪些具体的需求?

刘涤西：第一，海关信息安全工作在实施信息化的过程中，积累了大量的安全需求，我们希望有企业或产品可以持续跟踪这些需求，并且能随之逐步成长完善。目前，全国各地的海关在信息化成熟度方面、信息安全管理水平方面都各不相同，因此我们更希望能有一套可以与用户一起成长、一起发展的信息安全管理系统平台。

第二，我们需要的是针对被监管者的一个系统。目前市场上的信息安全产品比较丰富，主要分为两大类：一类是用于系统的防护，在管理方面则基于客户端管理、设备管理、监控管理等，比较偏向于技术;而另一类则是服务于提出信息安全要求的监管者，这类多为一些评估、测评软件。而我们海关已经跨越了信息安全产品部署的阶段，目前正在走向对自己的安全进行自主管理的过程。因此在这个阶段，海关在寻求能服务于被监管者这个用户群体，并可以用于信息安全管理的系统平台软件。

第三，海关的重点需求点在于，需要按现阶段国家对信息安全的要求以及我们部门现有的成熟度，重点针对信息安全合规性工作作为突破口逐步向风险管理的方向迈进。希望将信息安全合规性工作作为落脚点，逐步引入信息安全风险式管理。

第四，我们希望以信息安全策略管理为核心，逐步向信息安全体系化建设发展。该系统不只是一个基础的平台或工具，它涵盖更多的是信息安全的服务、辅导和策略，以及一些成功的实践经验的引入。

第五，海关的信息安全管理平台应承载海关的安全需求逐步信息化的过程。不能简单地将其看作是一个小的管理系统或工具，它最终还要持续去跟踪国家对安全的要求，对信息安全体系研究的成果，以及我们在管理方面对这些要求和成果落地的实践案例。我们希望未来能有更多的公司或业界同仁来关注我们的这种需求。

记者：据了解，海关目前正在与一家国内专业信息安全咨询机构谷安天下进行合作，那么谷安天下是否可以满足您上面提到的那些需求?能否简单介绍一下合作的内容?

刘涤西：准确来说，应该是谷安参与了海关信息安全方面的信息化发展。在我们之前的信息安全系统招标中，谷安的一套以风险管理为核心的系统中标，由此开始了谷安与海关在信息安全方面的深入合作。

据我们了解，谷安一直比较关注以部委为代表的信息安全需求的发展，并在对海关信息安全进行深入跟踪的基础上，逐步完善了一些以合规性管理为核心的安全管理功能。谷安更善于把握和理解一线用户切实的新的信息安全管理需求，表现出了较好的创造力和活力。

谷安作为一个新兴的信息安全公司，他们的关注点恰好与用户的需求点是相互融合的，这是我们选择谷安的一个重要原因。

记者：信息化是一个长期而又复杂的过程，在信息安全方面难免会遇到一些困难和问题，对于海关来说，在与谷安进行合作的过程中遇到的最大问题是什么?

刘涤西：说到最大的困难和问题，我认为这也是此次项目合作的基础，那就是这个项目的边界具有不确定性。我们实际上不是在购买某一种产品和服务，而是在寻求一种解决问题的方法。在这个方法里面，产品所占的比例并不是很大，但也需要这个产品能够随时跟进我们需求的变化，同时这也决定了某一个产品的深入程度和生命力。

谷安在这方面还是具有一定优势的，他们在信息安全的研究、培训体系建设方面积累了一大批人才，这些专业的人才与用户结合，把需求和技能相互碰撞来为用户寻求解决方案，这点是比较难得的。

记者：此项目实施后所获得的实际效果如何?海关的哪些问题得到了解决?

刘涤西：应该说实际效果已经产生了，并且还在进一步产生之中。在此平台的现有基础上，对于国家的合规性要求，特别是对于一般性测评的要求，我们基本上都可以实现用该系统自身来寻找差距并得到测评结果，初步已经可以支持国家对安全方面要求的自测评功能，并且目前已经实现了两层级的管理。

另外，我们还初步实现了对信息安全管理的闭环管理。从要求的提出、寻找差距、制定整改计划，到策略的调整、策略的审计，再到新差距的产生和评估，应该说信息安全管理体系PDCA初步已经实现了循环。

此外，目前还初步实现了实践参考的概念，已经实现了在同一体系下，对不同用户之间的信息进行比对参考。在此情况下，可以适用于企业对于自身安全体系的测评与管理，还可以适用于这种管理过程中的持续改进。

记者：能否与我们分享一下海关在信息安全方面一些宝贵的经验?

刘涤西：说到经验，海关系统对于信息安全的关注应该算是我们最大的经验。海关虽然在信息安全方面起步不算太早，但是海关一直都非常关注信息安全。我们网络与信息系统安全保密处是2008年由总署党组专门批准成立的，是服务于全国海关信息安全保密工作的一个处室，我们一直在持续关注着信息安全的发展，同时在此过程中尝试使用各种手段来解决实际遇到的各种问题。正是由于这种持续的关注，我们在2005年时制定了自己的信息安全规划：

第一个阶段我们称之为“救火阶段”，主要是从解决问题入手，依靠专家骨干来落实报告和检查机制。

第二个阶段我们称之为“保健阶段”，主要是从信息安全资产管理、流程管理、安全管理过程的规范、安全产品的配备上来对已经发现的问题进行整改。

第三个阶段则是“养生阶段”，主要是从信息安全标准和信息安全管理体系入手，系统地、有计划有步骤地来建立一个单位信息安全管理技术的体系，并对该体系实现可衡量、可持续改进。

这三个阶段也被我们称为信息安全的“皮”、“肉”和“骨”。

因此说，我们的经验就是关注与专注。此外，如果没有自己的队伍，也就没人能去关注、专注，而人的素质对于信息安全也是非常重要的，这也是我们关注的另一重要因素。第三个因素则是方法和手段。有了人才之后，还要在一种大的需求环境下，逐步去寻求一种方法和手段来支撑，从而更加有效地开展工作。在此三个因素中，前两个因素无疑更为重要一些。