信息安全產(chǎn)業(yè)發(fā)展的三駕馬車

那罡

作為一年一度的信息安全產(chǎn)業(yè)的盛會(huì),中國(guó)信息安全大會(huì)已經(jīng)連續(xù)成功舉辦九屆。今年的主題是“影響十年·安全創(chuàng)新”,其中既包含對(duì)過去的展望,更包含對(duì)未來信息安全產(chǎn)業(yè)發(fā)展、技術(shù)創(chuàng)新的憧憬。

信息安全作為國(guó)家安全的重要組成部分,是一項(xiàng)關(guān)系全局的戰(zhàn)略任務(wù),具有極端的重要性、緊迫性、長(zhǎng)期性和復(fù)雜性。可以說,目前我國(guó)信息安全產(chǎn)業(yè)是通過等級(jí)保護(hù)、可信計(jì)算和產(chǎn)業(yè)化發(fā)展相互結(jié)合,實(shí)現(xiàn)網(wǎng)絡(luò)虛擬世界秩序的安全和可信。

產(chǎn)業(yè)化成為重點(diǎn)

中國(guó)的信息安全產(chǎn)業(yè)僅有二十多年歷史,快速發(fā)展也只是近十年的事,尚存諸多不足。在互聯(lián)網(wǎng)應(yīng)用與普及方面,我國(guó)已經(jīng)進(jìn)入了世界大國(guó)的行列,因此我國(guó)的信息安全問題與國(guó)際上的問題基本一樣。

中國(guó)工程院院士方濱興認(rèn)為,我國(guó)在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動(dòng),企業(yè)重在引導(dǎo),公眾重在宣傳。就是說,凡是政府信息系統(tǒng),必須接受信息系統(tǒng)安全等級(jí)保護(hù)條例的約束,以行政的手段來強(qiáng)化信息系統(tǒng)的安全。凡是企業(yè)的系統(tǒng),通過對(duì)信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度,以保證企業(yè)所采用的信息安全防護(hù)手段符合國(guó)家的引導(dǎo)思路。公眾方面則通過對(duì)網(wǎng)絡(luò)安全方面的廣泛宣傳,讓公眾對(duì)網(wǎng)絡(luò)安全具有正確的認(rèn)識(shí),從而提高相應(yīng)的防范能力。

據(jù)悉,教育部、公安部、工業(yè)和信息化部、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等單位已經(jīng)將“為國(guó)家信息化建設(shè)及國(guó)家信息安全基礎(chǔ)設(shè)施提供支撐的信息安全產(chǎn)品產(chǎn)業(yè)化”作為2009年信息安全重點(diǎn)工作。其中涉及到四個(gè)方面:

1.重點(diǎn)支持基于國(guó)產(chǎn)可信計(jì)算芯片的安全應(yīng)用產(chǎn)品,以及基于自主密碼技術(shù)的高性能集成應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

2.重點(diǎn)支持移動(dòng)存儲(chǔ)介質(zhì)保密管理、惡意代碼防治、電子文檔安全管理、網(wǎng)絡(luò)數(shù)字版權(quán)保護(hù)、電子數(shù)據(jù)取證、安全保密檢查等產(chǎn)品,移動(dòng)終端、桌面終端安全防護(hù)等計(jì)算機(jī)安全保護(hù)產(chǎn)品,以及面向無線網(wǎng)絡(luò)的安全管理與安全應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

3.重點(diǎn)支持安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全中間件、安全服務(wù)器、安全接入設(shè)備、安全存儲(chǔ)、容災(zāi)備份軟件、安全辦公軟件等產(chǎn)品的產(chǎn)業(yè)化。

4.重點(diǎn)支持高性能專用安全芯片和專用安全設(shè)備,以及適用于新一代網(wǎng)絡(luò)環(huán)境的具有高性能、多安全功能的軟硬件集成化產(chǎn)品的產(chǎn)業(yè)化。

技術(shù)成果的產(chǎn)業(yè)化過程應(yīng)當(dāng)是一個(gè)市場(chǎng)化、社會(huì)化的過程。將核心技術(shù)產(chǎn)品產(chǎn)業(yè)化地發(fā)展,推動(dòng)產(chǎn)業(yè)結(jié)構(gòu)升級(jí),是提升核心技術(shù)發(fā)展的破局之舉。

可信計(jì)算成為標(biāo)尺

雖然我國(guó)的信息化技術(shù)同國(guó)際先進(jìn)技術(shù)相比,存在一定的差距。但是,中國(guó)和國(guó)際上其他組織幾乎是同步在進(jìn)行可信計(jì)算平臺(tái)的研究和部署工作。其中,部署可信計(jì)算體系中,密碼技術(shù)是最重要的核心技術(shù)。

絕對(duì)的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態(tài),那就是:進(jìn)不去、看不見、拿不走和賴不掉。總結(jié)起來,這12字方針的目標(biāo)就是可信計(jì)算。

中國(guó)可信計(jì)算工作組組長(zhǎng)、中科院軟件所副總工程師馮登國(guó)介紹,可信計(jì)算的基礎(chǔ)是在每個(gè)終端平臺(tái)上植入一個(gè)信任根,讓PC從BIOS到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層,均構(gòu)建信任關(guān)系,由此建立一個(gè)能在網(wǎng)絡(luò)上廣泛傳遞的信任鏈。這樣,人們將夢(mèng)想進(jìn)入一個(gè)計(jì)算免疫的時(shí)代——終端被攻擊時(shí)可以實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。

可以說,可信計(jì)算根就像是一把丈量計(jì)算機(jī)可信度的標(biāo)尺。它會(huì)在啟動(dòng)之初對(duì)計(jì)算機(jī)系統(tǒng)上所有的運(yùn)行軟件進(jìn)行可信性(完整性)分析,由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運(yùn)行,并自動(dòng)恢復(fù)其合法的版本。所以,計(jì)算機(jī)一旦嵌入了該技術(shù),即可在啟動(dòng)操作系統(tǒng)時(shí)發(fā)現(xiàn)內(nèi)核已改,并根據(jù)用戶需求進(jìn)行阻止和恢復(fù)。

中國(guó)可信計(jì)算工作組發(fā)言人劉曉宇說,隨著《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》等一系列國(guó)家政策的出臺(tái)與推動(dòng),以可信密碼模塊為TCM核心的PC、筆記本電腦、服務(wù)器、加密機(jī)等系列產(chǎn)品和解決方案,將逐步被我國(guó)政府/軍隊(duì)、制造、金融、企業(yè)/科研、公共機(jī)構(gòu)、航天等行業(yè)在IT領(lǐng)域廣泛采用。

劉曉宇說,我國(guó)自主研發(fā)的可信技術(shù)從芯片到PC硬件到系統(tǒng)/應(yīng)用軟件以及CA認(rèn)證,早已形成了一條初具規(guī)模的完整產(chǎn)業(yè)鏈。

馮登國(guó)表示:“2009年將是中國(guó)可信計(jì)算蓬勃發(fā)展的一年,為打造更為強(qiáng)大的可信計(jì)算體系,中國(guó)可信計(jì)算工作組將優(yōu)化和完善TCM硬件平臺(tái),還將致力于打通產(chǎn)、學(xué)、研之間的一切壁壘,促進(jìn)業(yè)內(nèi)同行實(shí)質(zhì)性的合作交流?！?/p>

等級(jí)保護(hù)推力強(qiáng)勁

信息安全等級(jí)保護(hù),是這幾年聽到最多的詞之一。從1994年國(guó)務(wù)院發(fā)布147號(hào)令至今,已經(jīng)過去了15年。這些年間我國(guó)在信息安全領(lǐng)域已經(jīng)制定了數(shù)十個(gè)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。

方濱興說,目前,政府在信息系統(tǒng)等級(jí)保護(hù)方面加大了推進(jìn)力度,已經(jīng)完成了等級(jí)保護(hù)的定級(jí)工作,接下來的工作就是采取有效措施來實(shí)施信息系統(tǒng)的安全等級(jí)保護(hù)技術(shù)。等級(jí)保護(hù)的大力推動(dòng),一方面在國(guó)際上展示了我國(guó)政府對(duì)信息安全和網(wǎng)絡(luò)安全的管理決心;另一方面,等級(jí)管理制度的建立,突破了我國(guó)慣性思維的管理理念。

隨著工業(yè)和信息化部的成立,公安部與工業(yè)和信息化部在信息系統(tǒng)等級(jí)保護(hù)管理方面出現(xiàn)了職能交叉,因此,等級(jí)保護(hù)工作的進(jìn)一步開展將取決于兩個(gè)部委的有效協(xié)調(diào)和合作。

2003年,國(guó)家出臺(tái)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(簡(jiǎn)稱“27號(hào)文件”),明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》(簡(jiǎn)稱“43號(hào)文件”)。隨著兩項(xiàng)標(biāo)志性文件的下發(fā),2007年被稱為等級(jí)保護(hù)的啟動(dòng)元年;由于要對(duì)現(xiàn)有信息安全系統(tǒng)進(jìn)行加固,大量產(chǎn)品和服務(wù)采購開始,2008年被普遍視為等級(jí)保護(hù)采購元年;更有業(yè)內(nèi)人士說,2009年等級(jí)保護(hù)的好戲才真正上演。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究,處在忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?！惫膊烤W(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)郭啟全認(rèn)為,“要徹底解決這些迫在眉睫的問題,歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前,我們迫切需要根據(jù)國(guó)情,從安全體系整體著手,在建立全方位的防護(hù)體系的同時(shí),完善法律體系,并加強(qiáng)管理體系。只有這樣,才能保證國(guó)家信息化的健康發(fā)展,確保國(guó)家安全和社會(huì)穩(wěn)定?！?/p>

“事實(shí)上,信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求,構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)》可以看出,信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)?！惫鶈⑷f。

方濱興認(rèn)為,雖然信息系統(tǒng)安全等級(jí)保護(hù)的基本要求是明確的,但并不等于設(shè)計(jì)規(guī)范是明確的。在保護(hù)平臺(tái)設(shè)計(jì)方面,尤其是在跨級(jí)、跨系統(tǒng)之間應(yīng)該如何進(jìn)行互聯(lián),均需要有相應(yīng)的設(shè)計(jì)規(guī)范做指導(dǎo)。

但等級(jí)保護(hù)畢竟是一項(xiàng)新的課題,必然會(huì)遇到很多管理和技術(shù)方面的挑戰(zhàn)。我國(guó)正面臨等級(jí)保護(hù)工作的大好機(jī)遇,既有此前若干年的經(jīng)驗(yàn)積累的優(yōu)勢(shì),也有客觀環(huán)境和政策支持優(yōu)勢(shì)。等級(jí)保護(hù)的成功還需要更多社會(huì)力量的參與和推動(dòng)。