与张世永教授预约采访时，张教授就建议说，采访前请先看一下美国的一份重要文件——《The National Strategy to Secure Cyberspace》，翻译过来就是《确保网络安全国家战略》。这份文件经过美国上千名专家和众多机构的讨论，最终由总统布什签署发布。

　　Cyberspace这个单词的流行始于1995年，那时，互联网在美国开始呈现爆炸式应用，相对于物理空间，那个由成千上万相互连接的计算机、服务器、路由器、交换机和光缆组成的“网络空间”，人们称之为Cyberspace。张世永教授说，这个名词在中文中很难找到确切的对应提法。他说，之所以在采访前就建议读一下白宫发表的原文，是为了定义信息安全概念的范围，从更高的高度、更广阔的视野看待信息安全问题。

　　认清网络安全的“相对性”

　　张世永说，“9·11”事件让美国意识到，美国本土再也不是不受攻击的乐土，而网络空间(即Cyberspace)更是没有国界，攻击以光速传播，后果难以预料。

　　从美国的这份文件看，美国把网络空间的安全提到了国家战略的高度。文件中称，美国的关键性基础设施由农业、食品、水、公共卫生、紧急救援、政府机构、国防工业基础、信息和电信、能源、运输、银行和金融、化学品和危险品、邮政和货运等公共和私营机构组成。网络是这些机构的神经系统，也是整个国家的控制系统。网络保障了关键性基础设施的工作，网络的健康对国家的经济与安全十分关键。

　　张世永认为，在讨论信息安全的时候，清醒地认识网络与生俱来的脆弱性非常必要。美国全国大讨论产生的这份文件把这个问题严肃地提到公众面前：“我们所依赖的信息基础设施的核心是互联网——一个最初在无意滥用该网络的科学家们中用来共享非保密研究成果的系统。”正由于这一本身的脆弱性，掌握了一定技术的任何人或组织，都有可能对网络发起攻击。

　　“黑客”们的攻击之所以经常得逞，一个重要原因就是他们深知网络上运行的设施存在漏洞，其中最重要的是软件漏洞。软件存在Bug是不可回避的，有些软件打了20年补丁还是有Bug。据报道，全世界每年上报的漏洞多达3500个，而绝大多数攻击是抓住了所谓“10大漏洞”进行的。目前，互联网中最大的漏洞是缺少对地址源的确认，因此，往往等到能确认攻击地址源、封闭源头服务器的时候，后果已经造成。据统计，去年，全球计算机网络此类弱点的数量比2001年增加了近400%。

　　张世永说，目前主要的信息安全技术，如密码、防火墙、入侵检测等等，大都分布在网络空间(Cyberspace)各个不同的环节和设施上，未能组成一个严密的系统。

　　正是由于网络“天性善良”，无论是恶意的还是“善意”的攻击，天天都在发生。因此，现在业界把“如何降低网络受到攻击后的脆弱性”提上了议事日程，而不再刻意强调网络如何不受攻击。正如民谚所说：“道高一尺，魔高一丈。”人们不能指望网络空间实现“绝对安全”，只能指望有一个相对安全、或者说“适度安全”的局面。

　　发展上海信息安全核心能力

　　张世永说，目前，我国有必要从国家战略的高度，看待网络安全问题，我国东部与西部发展尽管不平衡，但是与国计民生有关的领域，对信息化的依赖也到了相当高的水准，而沿海发达地区，除了小企业对信息化的依赖与发达国家有差距外，整个城市的管理对信息化的依赖程度已不亚于发达国家。

　　目前，全球信息安全技术正处于转型，确定恶意攻击来源的能力是全世界信息安全技术的前沿课题。张世永认为，上海应该把网络全网的全监和全控作为目标。既要注意防范国内不法分子利用网络散布政治谣言、黄色不健康信息等行为，更要把网络安全运行、降低运行风险和脆弱性提到首要地位。

　　由于上海对信息化依赖程度处于全国领先，所以上海要从宏观上重视信息安全问题，考虑区域信息化安全问题。上海要加强迅速确定恶意攻击来源的能力为核心的基础技术的研究，要注重安全技术的应用与标准化，健全自主的信息安全标准体系，要加强人才的培训力度，要加强相应学科的建设，要加强信息安全基础设施的建设，要完善和健全信息安全法律法规体系。对待网络攻击，要像防范化学灾害、火灾、台风那样经常演习。要居安思危，做好各种应急预案。一旦攻击或者灾害发生，首当其冲的任务是尽可能快地确定攻击来源，灾害的原因，以降低灾害的损失。

　　张世永教授说，上海最近发生的地质灾害给上海的信息安全上了非常有益的一课，它提醒上海应重视涉及到国计民生的网络应用的灾害备份、服务崩溃中断应急恢复，定期演习如何从灾害中迅速恢复这些关键网络应用。这也是国际上的一个趋势。(美国《确保网络安全国家战略》原文参见http：//www.dhs.gov/interweb/assetlibrary/National_Cyberspace_Strategy.pdf)。

　　信息安全的重要性，有必要提升到更高的认识高度。