信息安全國家發(fā)展戰(zhàn)略與兩個關(guān)鍵問題

1、中國工程院沈昌祥 院士2001-08-06信息安全工程技術(shù)Copyright 2001 X-Exploit TeamX-Exploit Team一、信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性信息是社會發(fā)展的重要戰(zhàn)略資源。國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，信息安全成為維護(hù)國家安全和社會穩(wěn)定的一個焦點，各國都給以極大的關(guān)注與投入。網(wǎng)絡(luò)信息安全已成為急待解決、影響國家大局和長遠(yuǎn)利益的重大關(guān)鍵問題，它不但是發(fā)揮信息革命帶來的高效率、高效益的有力保證，而且是對抗霸權(quán)主義、抵御信息侵略的重要屏障，信息安全保障能力是21世紀(jì)綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分，是世紀(jì)之交世界各國在奮力攀登的制高

2、點。網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)濟、文化、社會生活的各個方面，使國家處于信息戰(zhàn)和高度經(jīng)濟金融風(fēng)險的威脅之中。我國信息化建設(shè)需要的大量基礎(chǔ)設(shè)備依靠國外引進(jìn)，無法保證我們的安全利用和有效監(jiān)控。因此，解決我國的信息安全問題不能依靠外國，只能走獨立自主的發(fā)展道路。目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。要用我國自己的安全設(shè)備加強信息與網(wǎng)絡(luò)的安全性，需要大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)，而自主技術(shù)的發(fā)展又必須從信息與網(wǎng)絡(luò)安全的基礎(chǔ)研究著手，全面提高創(chuàng)新能力。當(dāng)前我國的信息與網(wǎng)絡(luò)安全研究處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，以致宏觀

3、安全體系研究上的投入嚴(yán)重不足，這樣做是不能從根本上解決問題的，急需從安全體系結(jié)構(gòu)整體的高度開展強有力的研究工作，從而能夠為解決我國的信息與網(wǎng)絡(luò)安全提供一個整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為信息與網(wǎng)絡(luò)安全的工程奠定堅實的基礎(chǔ)，推動我國信息安全產(chǎn)業(yè)的發(fā)展。二、國內(nèi)外研究現(xiàn)狀和發(fā)展趨勢美國計劃：在PDD-63基礎(chǔ)上，發(fā)布了保護(hù)美國計算機空間。組織：建立了信息安全管理的完整的組織體系：保護(hù)關(guān)鍵基礎(chǔ)設(shè)施總統(tǒng)委員會、國家基礎(chǔ)設(shè)施保障委員會、國家安全局、國家基礎(chǔ)設(shè)施防護(hù)中心等。設(shè)施：建立了完備的國家信息安全的基礎(chǔ)設(shè)施：。資金：持續(xù)增長的財政撥款技術(shù)：支持基礎(chǔ)技術(shù)與關(guān)鍵技術(shù)的研究人才：人力資源的培養(yǎng)立法：與

4、國會密切合作，推動有關(guān)網(wǎng)絡(luò)和計算機安全的立法進(jìn)程。1995年頒布了聯(lián)邦信息、信息化和信息保護(hù)法。法規(guī)強調(diào)了國家在建立信息資源和信息化中的責(zé)任是“旨在為完成俄聯(lián)邦社會和經(jīng)濟發(fā)展的戰(zhàn)略、戰(zhàn)役任務(wù)，提供高效益、高質(zhì)量的信息保障創(chuàng)造條件”。法規(guī)中明確界定了信息資源開放和保密的范疇，提出了保護(hù)信息的法律責(zé)任。 2000年，普京總統(tǒng)批準(zhǔn)了國家信息安全學(xué)說。明確了聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。第一次明確指出了俄羅斯在信息領(lǐng)域的利益是什么，受到的威脅是什么，以及為確保信息安全首先要采取的措施等。 俄羅斯日本日本政府已將信息安全問題從防范一般性高技術(shù)犯罪提升到保障國家安全的層面，從國家利益的高度

5、強調(diào)信息化發(fā)展和信息安全問題。新加坡早在1996年,宣布對互聯(lián)網(wǎng)絡(luò)實行管制，宣布實施分類許可證制度。該制度是一種自動取得許可證的制度，目的是鼓勵正當(dāng)使用互聯(lián)網(wǎng)絡(luò)，促進(jìn)其在新加坡的健康發(fā)展。它依據(jù)計算機空間的最基本標(biāo)準(zhǔn)謀求保護(hù)網(wǎng)絡(luò)用戶，尤其是年輕人，免受非法和不健康的信息傳播之害。新加坡新聞與藝術(shù)部還成立了一個“全國互聯(lián)網(wǎng)絡(luò)咨詢委員會”，以便處理有關(guān)互聯(lián)網(wǎng)絡(luò)和電子信息服務(wù)的事務(wù)。 評測標(biāo)準(zhǔn)：80年代，美國國防部在計算機保密模型（Bellla Padula模型）的基礎(chǔ)上，制訂了“可信計算機系統(tǒng)安全評價準(zhǔn)則”（TCSEC），其后又制訂了關(guān)于網(wǎng)絡(luò)系統(tǒng)，數(shù)據(jù)庫等方面的系列安全解釋，形成了安全信息系統(tǒng)體系

6、結(jié)構(gòu)的最早原則，將計算機安全按從低到高順序分為四等八級：D，C1，C2，B1，B2，B，A1，超A1。90年代初，英、法、德、荷四國聯(lián)合提出了包括保密性、完整性、可用性概念的“信息技術(shù)安全評價準(zhǔn)則”（ITSEC）。近年來六國七方（美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、德、荷）共同提出了“信息技術(shù)安全評價通用準(zhǔn)則”（CC for ITSEC）。1999年5月，國際標(biāo)準(zhǔn)化組織和國際電聯(lián)（ISO/IEC）通過了將CC標(biāo)準(zhǔn)作為國際標(biāo)準(zhǔn)ISO/IEC 15408信息技術(shù)安全評估準(zhǔn)則的最后文本。CC標(biāo)準(zhǔn)充分突出“保護(hù)輪廓（PP）”，將評估過程分為“功能”和“保證”兩部分。為了能夠有效地使用安全功

7、能需求和安全保證需求，CC標(biāo)準(zhǔn)還引入了“包（Package）”的概念，以提高已定義結(jié)果的可重用性。在“保證”部分中，以包的概念定義了7個安全保證級別（EAL）。并將評估等級分為從EAL1到EAL7共7級。每一級均需評估7個功能類，即配置管理、分發(fā)和操作、開發(fā)過程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測試、脆弱性評估。 安全協(xié)議目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展提高階段。網(wǎng)絡(luò)安全監(jiān)控管理理論和機制的研究受到重視，黑客入侵手段的研究分析，系統(tǒng)脆弱性檢測技術(shù)，報警技術(shù)，信息內(nèi)容分級標(biāo)識機制，智能化信息內(nèi)容分析等研究成果已經(jīng)成為眾多安全工具軟件的基礎(chǔ)。1976年美

8、國學(xué)者提出的公開密鑰密碼體制克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時解決了數(shù)字簽名問題，并可用于身份認(rèn)證，它是當(dāng)前研究的熱點。電子商務(wù)和電子政務(wù)的安全性是當(dāng)前人們普遍關(guān)注的焦點，目前正處于研究和發(fā)展階段，它帶動了認(rèn)證理論、密鑰管理等的研究。基于密碼理論的綜合研究成果和可信計算基系統(tǒng)的研究成果，構(gòu)建公開密鑰基礎(chǔ)設(shè)施（PKI）和密鑰管理基礎(chǔ)設(shè)施（KMI）成為當(dāng)前的另一個熱點。但是，PKI在互操作性、操作經(jīng)驗、經(jīng)費的可承擔(dān)性、制定正確的政策和工作流程、人員的培訓(xùn)和管理框架等方面仍然面臨著巨大的困難。我國研究現(xiàn)狀和發(fā)展趨勢：為適應(yīng)信息安全和網(wǎng)絡(luò)安全的發(fā)展形勢, 我國政府制定了一系列基本的管理辦法。“中華

9、人民共和國計算機安全保護(hù)條例”“中華人民共和國商用密碼管理條例”“中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行辦法”“關(guān)于對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進(jìn)行備案工作的通知”“計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法”等。在刑法的修訂中, 增加了有關(guān)計算機犯罪的條款。關(guān)于信息安全的立法和法規(guī)的逐步完善, 促進(jìn)了信息安全產(chǎn)業(yè)的發(fā)展。 信息發(fā)展的大環(huán)境日臻完善政府重視國家領(lǐng)導(dǎo)人多次發(fā)出有關(guān)信息安全和網(wǎng)絡(luò)安全的指示, 主管部門作了大量實質(zhì)性的工作在國家技術(shù)監(jiān)督局和其它主管部門的指導(dǎo)下, 我國與國際標(biāo)準(zhǔn)接軌的信息安全與網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品標(biāo)準(zhǔn)陸續(xù)出臺，安全產(chǎn)品檢測認(rèn)證機構(gòu)相繼成立，我國信息安全產(chǎn)品的規(guī)范化進(jìn)程

10、已經(jīng)納入軌道。建立了全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會信息技術(shù)安全分技術(shù)委員會。經(jīng)國家技術(shù)監(jiān)督局和公安部授權(quán), 成立了公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。 經(jīng)國務(wù)院信息化工作領(lǐng)導(dǎo)小組辦公室授權(quán), 成立了中國互聯(lián)網(wǎng)安全產(chǎn)品認(rèn)證中心。有一批致力于我國信息安全事業(yè)的研究機構(gòu)與公司在從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作。一批學(xué)校成立了研究所、系科與教研室目前注冊的信息安全公司或具有安全經(jīng)營項目的公司約350多家以高強度密碼算法和防火墻產(chǎn)品為龍頭, 我國信息安全產(chǎn)業(yè)的發(fā)展已成雛形。 截止今年上半年，通過公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心檢測通過的產(chǎn)品有13大類420種，具有一定的規(guī)

11、模。我國的網(wǎng)絡(luò)信息安全研究畢竟已具備了一定的基礎(chǔ)和條件，尤其是在密碼學(xué)研究方面積累較多，基礎(chǔ)較好，只要國家重視，加大投入，恰當(dāng)組織，可以取得實質(zhì)性進(jìn)展，不僅能構(gòu)筑我國信息與網(wǎng)絡(luò)安全防線，而且在國際上也能占領(lǐng)一席之地。安全需求逐步增加，安全市場有一定的起色 2000年，我國約不到5億元人民幣的安全市場2001年，安全工程明顯增加，可望達(dá)50億元人民幣的安全市場嚴(yán)峻形勢 整體安全防范技術(shù)水平低下信息與網(wǎng)絡(luò)安全的防護(hù)能力很弱，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，具有極大的風(fēng)險性和危險性。對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。由于國外電腦硬件、軟件中可能隱藏著“特洛伊木馬”，一

12、旦發(fā)生重大情況，那些隱藏在電腦芯片和操作軟件中的著“特洛伊木馬”就有可能在某種秘密指令下激活，造成電腦網(wǎng)絡(luò)、電信系統(tǒng)癱瘓?；A(chǔ)信息產(chǎn)業(yè)薄弱，嚴(yán)重依賴國外。電腦硬件面臨遏制和封鎖的威脅。我國電腦制造業(yè)對許多核心部件的研發(fā)、生產(chǎn)能力很弱，關(guān)鍵部位完全處于受制于人的地位。電腦軟件面臨市場壟斷和價格歧視的威脅。在我國信息化建設(shè)的工程中，外國公司成為最大的獲利者。雖然目前沒有具體的統(tǒng)計數(shù)據(jù)，但是，我國的計算機、通信、廣播電視等與信息化相關(guān)的市場，已基本被國外公司壟斷。大部分研究機構(gòu)和公司只顧開發(fā)產(chǎn)品，而對安全體系結(jié)構(gòu)的研究太少，缺乏相應(yīng)的理論基礎(chǔ)。嚴(yán)峻形勢 技術(shù)創(chuàng)新不夠，安全技術(shù)、安全產(chǎn)品低水平重復(fù)缺乏

13、技術(shù)創(chuàng)新，安全產(chǎn)品處于低水平重復(fù)狀態(tài)。缺乏足夠的資金投入，支持信息安全基礎(chǔ)研究與關(guān)鍵技術(shù)研究。缺乏市場需求，市場需求是影響我國信息安全產(chǎn)業(yè)發(fā)展的關(guān)鍵。嚴(yán)峻形勢 法制建設(shè)不健全，依法管理力度不夠立法不夠、嚴(yán)重滯后有法不依執(zhí)法不嚴(yán)國家信息安全管理機構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠多重領(lǐng)導(dǎo)，缺乏權(quán)威信息安全基礎(chǔ)設(shè)施建設(shè)不夠三、信息安全發(fā)展戰(zhàn)略、規(guī)劃與政策Copyright 2001 X-Exploit TeamX-Exploit Team戰(zhàn)略目標(biāo)與任務(wù)信息安全的國家戰(zhàn)略目標(biāo)：保證國民經(jīng)濟基礎(chǔ)設(shè)施的信息安全，抵御有關(guān)國家、地區(qū)、集團(tuán)可能對我實施“信息戰(zhàn)”的威脅和打擊以及國內(nèi)外的高技術(shù)犯罪，保障國家安全、社會穩(wěn)定和

14、經(jīng)濟發(fā)展。信息安全戰(zhàn)略防御的重點任務(wù)：國民經(jīng)濟中的國家關(guān)鍵基礎(chǔ)設(shè)施，包括金融、銀行、稅收、能源生產(chǎn)儲備、糧油生產(chǎn)儲備、水電汽供應(yīng)、交通運輸、郵電通信、廣播電視、商業(yè)貿(mào)易等國家關(guān)鍵基礎(chǔ)設(shè)施。重中之重是支持這些設(shè)施運作的信息安全基礎(chǔ)設(shè)施建設(shè)。 加強國家信息安全機構(gòu)及職能 有必要成立具有高度權(quán)威的國家信息安全委員會，研究確定國家信息安全的重大決策，發(fā)布國家信息安全政策，批準(zhǔn)國家信息安全規(guī)劃，對國家面臨的重大國家信息安全緊急事件作出決斷。在國家信息安全委員會領(lǐng)導(dǎo)下設(shè)立國家信息安全技術(shù)委員會，在國家執(zhí)法部門建立高技術(shù)刑事偵察隊伍，提高對高技術(shù)犯罪的預(yù)防和偵破能力。 高度重視信息安全基礎(chǔ)研究和人才培養(yǎng) 國

15、家有關(guān)部門對基本依靠國內(nèi)力量建立起來的我國信息安全研究開發(fā)機構(gòu)進(jìn)行有機整合，在國家信息安全技術(shù)委員會統(tǒng)一協(xié)調(diào)指導(dǎo)下，按照一定的進(jìn)度要求完成我國信息安全所急需的關(guān)鍵技術(shù)和設(shè)備的研制和試制，形成高質(zhì)量的批量生產(chǎn)。切實保證我國擁有自己獨特的、有效的信息安全技術(shù)和裝備體系，使我們有足夠的能力預(yù)防和抗擊有關(guān)國家、地區(qū)、集團(tuán)或其他敵對勢力可能對我國發(fā)動的信息戰(zhàn)爭和高技術(shù)犯罪活動。大力培養(yǎng)信息安全的專業(yè)人才，為各部門輸送信息基礎(chǔ)設(shè)施安全運行的骨干力量。我們還要注意采取切實措施吸引從事信息安全工作的出國人員和愛國華人為祖國服務(wù)或歸國服務(wù)，通過他們了解國際高新技術(shù)的新發(fā)展。 推動信息安全產(chǎn)業(yè)的發(fā)展 要加強自主的

16、信息和網(wǎng)絡(luò)安全技術(shù)的開發(fā)，盡快推動開發(fā)和生產(chǎn)我國自己的電腦核心硬件和安全操作系統(tǒng)平臺，并予以減稅或免稅的優(yōu)惠政策。急需從安全體系整體的高度開展強力度的研究工作，從而能夠為解決我國的信息與網(wǎng)絡(luò)安全提供一個整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為信息網(wǎng)絡(luò)安全的工程實現(xiàn)奠定堅實基礎(chǔ)，推動我國信息安全產(chǎn)業(yè)的發(fā)展。急需重點組織力量，加大基礎(chǔ)理論和關(guān)鍵技術(shù)的研究：安全體系結(jié)構(gòu)、安全模型、安全策略研究安全操作系統(tǒng)研究主動防御技術(shù)電子商務(wù)、電子政務(wù)急需的關(guān)鍵技術(shù) 加快信息安全立法 應(yīng)該加快有關(guān)法規(guī)的研究，及早建立我國信息安全的法規(guī)體系。建議首先考慮制訂以下法規(guī)：信息安全法、電子信息犯罪法、電子信息出版法、電子信息

17、知識產(chǎn)權(quán)保護(hù)法、電子信息個人隱私法、電子信息教育法、電子信息進(jìn)出境法。 加大信息安全投入 信息安全設(shè)備設(shè)施的研制需要高強度的資金投入，建議通過國家投入、部門投入和社會融資的途徑籌措。國民經(jīng)濟信息化的信息安全不能完全依賴國家投入，它有可能成為投資的新熱點，如何運用市場機制調(diào)動社會資金，走信息安全產(chǎn)業(yè)化的發(fā)展道路是值得探討的問題。信息安全又是敏感領(lǐng)域，國家需要加強對這一未來產(chǎn)業(yè)的控股，從而控制技術(shù)、控制經(jīng)營管理權(quán)。 四、國家信息安全保障體系Copyright 2001 X-Exploit TeamX-Exploit Team信息安全法制體系信息安全組織體系國家信息基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安

18、全平臺及安全基礎(chǔ)設(shè)施信息安全經(jīng)費保障體系信息安全人才保障體系國家信息安全保障框架信息安全法律法規(guī)、標(biāo)準(zhǔn)體系信息安全組織體系信息系統(tǒng)基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全基礎(chǔ)設(shè)施信息安全經(jīng)費保障體系信息安全人才保障體系 信息安全保障框架建立信息安全法制體系加快立法、完善現(xiàn)有的法制體系依法治網(wǎng)，依法管網(wǎng)有法可依，有法必依建立國家信息安全組織管理體系加強組織管理體系建設(shè)，建立高效能的、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系 國信安辦 信息產(chǎn)業(yè)部國家安全部公安部國密辦、商密辦、國家保密局總參三部建立國家信息安全基礎(chǔ)設(shè)施建立國家信息安全基礎(chǔ)保障體系 風(fēng)險管理、入侵檢測、內(nèi)容安全建立國家安全事件應(yīng)急響應(yīng)體系病

19、毒、安全事件、國際協(xié)同建立國家信息安全認(rèn)證體系產(chǎn)品、資質(zhì)建立國家信息安全技術(shù)保障體系鼓勵信息安全基礎(chǔ)研究，特別是信息安全體系結(jié)構(gòu)、信息安全模型與安全策略的研究。增強創(chuàng)新能力與意識，集中、整合國內(nèi)技術(shù)優(yōu)勢，對信息安全關(guān)鍵技術(shù)的研究，加快關(guān)鍵技術(shù)的產(chǎn)品轉(zhuǎn)化與產(chǎn)業(yè)化。健全國家信息安全科技管理體制由國家科技部牽頭，整合信息產(chǎn)業(yè)部、總參、國防科工委、公安部、國家安全部、教育部、國家經(jīng)貿(mào)委、國家計委、財政部、國家稅務(wù)總局、國家保密局、國家密碼管理委員會辦公室等部門參與，在國家863計劃、973計劃和重點攻關(guān)計劃以及中小企業(yè)創(chuàng)新基金、自然科學(xué)基金、社會科學(xué)基金等國家計劃的基礎(chǔ)上，制定推進(jìn)信息安全技術(shù)進(jìn)步的國

20、家綜合計劃。建立國家信息安全經(jīng)費保障體系行政撥款：對信息安全管理、基礎(chǔ)設(shè)施、技術(shù)研發(fā)與人才培養(yǎng)的行政撥款。融資制度：建立國家信息安全專項融資制度。政策導(dǎo)向：政策引導(dǎo)我國安全市場，增加需求，擴大對自主版權(quán)的高性能的安全產(chǎn)品的采購，促進(jìn)我國信息安全產(chǎn)品的發(fā)展。優(yōu)惠與扶植政策：減免稅收等。信息安全保障基金。建立信息安全意識教育人才培養(yǎng)體系體系科研院所培養(yǎng)，信息安全的本科、碩士和博士學(xué)歷教育職業(yè)培訓(xùn)，信息安全就業(yè)培訓(xùn)、崗位培訓(xùn)、證書培訓(xùn)和職務(wù)培訓(xùn)等 類別公檢法信息安全“執(zhí)業(yè)”人才組織決策管理人才安全技術(shù)開發(fā)人才技術(shù)服務(wù)（集成、咨詢）人才培養(yǎng)安全意識教育培訓(xùn)課程體系五、信息安全產(chǎn)業(yè)化的發(fā)展思路、目標(biāo)、重

21、點和對策Copyright 2001 X-Exploit TeamX-Exploit Team發(fā)展思路充分發(fā)揮政府的主導(dǎo)、先導(dǎo)作用，加強宏觀調(diào)控。以法規(guī)形式明確信息安全設(shè)施使用范圍和采購政策，以需求帶動產(chǎn)業(yè)發(fā)展。抓住重點，自主漸進(jìn)發(fā)展。培育若干信息安全骨干企業(yè)和國產(chǎn)名牌產(chǎn)品。堅持獨立自主，創(chuàng)立新的安全體系。發(fā)展目標(biāo)近期目標(biāo)到2005年，在涉及國家安全、政府辦公自動化以及金融、財稅、通訊、教育等關(guān)鍵領(lǐng)域采用自主版權(quán)的安全設(shè)備和系統(tǒng)，基本滿足不同等級的安全保密要求;在重要的信息系統(tǒng)中，安全建設(shè)投資達(dá)到總建設(shè)投資的10-15%；在商用系統(tǒng)中，采用國產(chǎn)的安全產(chǎn)品和經(jīng)過安全性增強的通用系統(tǒng)平臺。形成10

22、個以上安全產(chǎn)品銷售收入超億元的信息安全企業(yè)，力爭達(dá)到150億元產(chǎn)業(yè)規(guī)模。發(fā)展目標(biāo)遠(yuǎn)期目標(biāo)經(jīng)過七年左右時間，實現(xiàn)信息安全產(chǎn)業(yè)規(guī)?；a(chǎn)，形成解決各種復(fù)雜系統(tǒng)安全問題的能力，為保障國家信息化安全提供全部設(shè)備和系統(tǒng);形成一批具有國際一流水平的產(chǎn)品，使信息安全產(chǎn)業(yè)在信息產(chǎn)業(yè)中處于核心主導(dǎo)地位。發(fā)展重點根據(jù)我國目前信息網(wǎng)絡(luò)系統(tǒng)安全的薄弱環(huán)節(jié)，近幾年應(yīng)重點發(fā)展安全保護(hù)、安全檢測與監(jiān)控類產(chǎn)品，相應(yīng)發(fā)展應(yīng)急反應(yīng)和災(zāi)難恢復(fù)類產(chǎn)品。信息保密產(chǎn)品用戶認(rèn)證授權(quán)產(chǎn)品安全平臺/系統(tǒng)網(wǎng)絡(luò)安全檢測監(jiān)控設(shè)備安全平臺/系統(tǒng)產(chǎn)品安全檢測與監(jiān)控產(chǎn)品安全授權(quán)認(rèn)證產(chǎn)品信息保密產(chǎn)品重點支持項目構(gòu)成重點支持項目密鑰管理產(chǎn)品高性能加密芯片產(chǎn)品

23、密碼加密產(chǎn)品數(shù)字 簽名產(chǎn)品安全授權(quán)認(rèn)證產(chǎn)品信息保密產(chǎn)品數(shù)字證書管理系統(tǒng)用戶安全認(rèn)證卡智能IC卡鑒別與授權(quán)服務(wù)器安全平臺/系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)Web安全平臺安全路由器與虛擬專用網(wǎng)絡(luò)產(chǎn)品網(wǎng)絡(luò)病毒檢查預(yù)防和清除產(chǎn)品安全檢測與監(jiān)控產(chǎn)品網(wǎng)絡(luò)安全隱患掃描檢測工具網(wǎng)絡(luò)安全監(jiān)控及預(yù)警設(shè)備網(wǎng)絡(luò)信息遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)情分析系統(tǒng)發(fā)展對策統(tǒng)一領(lǐng)導(dǎo)，宏觀調(diào)控，促進(jìn)發(fā)展。抓法制，立標(biāo)準(zhǔn)，創(chuàng)造良好的產(chǎn)業(yè)發(fā)展環(huán)境。國家增加對信息安全產(chǎn)業(yè)發(fā)展的資金投入，鼓勵風(fēng)險投資，創(chuàng)造良好的融資環(huán)境。實行信息安全產(chǎn)品與軍工產(chǎn)品等同的稅務(wù)優(yōu)惠政策。建立信息安全技術(shù)創(chuàng)新體系，制訂“新世紀(jì)目標(biāo)的發(fā)展計劃”，推動產(chǎn)業(yè)化發(fā)展。穩(wěn)定和吸引信息安全

24、人才，發(fā)揮人才的積極性和創(chuàng)造性。六、信息安全工程信息安全的概念信息的保密性（保證信息不泄漏給未經(jīng)授權(quán)的人）信息的完整性（防止信息被未經(jīng)授權(quán)的篡改，保證真實的信息從真實的信源無失真地到達(dá)真實的信宿）信息的可用性（保證信息及信息系統(tǒng)確實為授權(quán)使用者所用，防止由于計算機病毒或其它人為因素造成的系統(tǒng)拒絕服務(wù)，或為敵手可用）信息的可控性（對信息及信息系統(tǒng)實施安全監(jiān)控管理）信息的不可否認(rèn)性（保證信息行為人不能否認(rèn)自己的行為）計算機信息系統(tǒng)安全概念國際標(biāo)準(zhǔn)化組織（ISO）定義計算機信息系統(tǒng)安全概念：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更

25、改和顯露?！卑踩珒?nèi)容從計算機信息系統(tǒng)形態(tài)和運行過程出發(fā)，可把安全內(nèi)容分為：實體安全是指保護(hù)計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過程。運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如安全評估、審計跟蹤、備份與恢復(fù)、應(yīng)急措施），來保護(hù)信息處理過程的安全。信息安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、更改、破壞，或使信息被非法系統(tǒng)辨識、控制和否認(rèn)。即確保信息的完整性、保密性、可用性、可控性和不可否認(rèn)性。管理安全是指有關(guān)的法律法令和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運營。管理手段是對安全服務(wù)和安全機制進(jìn)

26、行管理，把管理信息分配到有關(guān)的安全服務(wù)和安全機制中去，并收集與它們的操作有關(guān)的信息。一個觀點過去 昨天 今天 COMSEC INFOSEC IAIA(Information Assurance):即在信息保障的概念下研究和解決安全問題PDRR模型信息安全保障的環(huán)節(jié)信息安全保障Information Assurance保護(hù)（Protect）檢測（Detect）反應(yīng)（React）恢復(fù)（Restore）保護(hù)Protect檢測Detect恢復(fù)Restore反應(yīng)ReactIA信息保障技術(shù)框架的內(nèi)容1.簡介2.深度保衛(wèi)戰(zhàn)略縱覽3.信息系統(tǒng)安全工程過程4.技術(shù)上的安全對策5.保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施6.保衛(wèi)邊界/

27、外部連接7.保衛(wèi)計算環(huán)境8.支撐基礎(chǔ)設(shè)施9 戰(zhàn)術(shù)環(huán)境中的信息保障10.對綜合解決方案的觀察 信息保障技術(shù)框架關(guān)注的領(lǐng)域邊界保護(hù)框架圖例攻擊類型圖例深度保衛(wèi)戰(zhàn)略的幾個主要方面安全策略安全策略是提供安全服務(wù)的一套準(zhǔn)則。安全策略是信息與網(wǎng)絡(luò)安全的核心。安全服務(wù)為開放互連系統(tǒng)網(wǎng)絡(luò)某一層提供的服務(wù)，在確定的層中以適當(dāng)?shù)姆绞浇M合調(diào)用，通常還要與網(wǎng)絡(luò)通信的可用服務(wù)和機制結(jié)合起來使用，以滿足安全策略和用戶要求。在國際標(biāo)準(zhǔn)化組織（ISO）確定的開放互連標(biāo)準(zhǔn)（OSI）中安全服務(wù)為：身份鑒別：用于確認(rèn)所聲明的身份的有效性；訪問控制：防止非授權(quán)使用資源或以非授權(quán)方式使用資源；數(shù)據(jù)保密：數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊

28、取、竊聽；數(shù)據(jù)完整：防止數(shù)據(jù)篡改；防止否認(rèn)：防止發(fā)送者否認(rèn)曾經(jīng)發(fā)送過數(shù)據(jù)或者內(nèi)容，防止接收者對所收到的數(shù)據(jù)或內(nèi)容的否認(rèn)。安全機制特定的安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制通信業(yè)務(wù)填充機制路由控制機制公證機制普通的安全機制普遍性安全機制有可信功能度、安全標(biāo)記、事件檢測、安全審計跟蹤、安全恢復(fù)、物理安全與人員可靠和可信任的軟硬件。安全服務(wù)與安全機制的關(guān)系安全等級劃分由公安部提出并組織制定的強制性國家標(biāo)準(zhǔn)計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則已于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2000年1月1日起實施。第一級：用戶自主保護(hù)級；（對應(yīng)C1級）第二級：系統(tǒng)審計保護(hù)級；（對應(yīng)C2級）第三級：安全標(biāo)記保護(hù)級；（對應(yīng)B1級）第四級：結(jié)構(gòu)化保護(hù)級；（對應(yīng)B2級）第五級：訪問驗證保護(hù)級。（對應(yīng)B3級）各級主要特性比較安全體系結(jié)構(gòu)框架計算機信息系統(tǒng)安全保護(hù)等級制度在用戶單位的實施流程計算機信息系統(tǒng)安全建設(shè)實施過程支持多種信息安全策略使用開放系統(tǒng)支持不同安全保護(hù)級別使用公共通信系統(tǒng)確定安全需求與安全策略確