關(guān)于我國信息安全的若干基本問題

關(guān)于我國信息安全的若干基本問題中國信息協(xié)會信息安全專業(yè)委員會2005年年會呂誠昭國務(wù)院信息化工作辦公室2005年8月20日寧夏.銀川立足國情

是建設(shè)國家信息安全保障體系的關(guān)鍵立足我國信息化的現(xiàn)狀和發(fā)展趨勢立足我國信息安全的現(xiàn)狀和發(fā)展趨勢立足我國信息產(chǎn)業(yè)的現(xiàn)狀和發(fā)展趨勢要立足國情就必須研究和了解國情研究這些基本問題的必要性對互聯(lián)網(wǎng)的作用和影響遠(yuǎn)遠(yuǎn)沒有充分認(rèn)識對基于互聯(lián)網(wǎng)的信息安全也遠(yuǎn)遠(yuǎn)沒有充分認(rèn)識需要適應(yīng)我國信息化發(fā)展和國家安全的需求，不斷探索和創(chuàng)新說明提出問題以供思考，通過討論求得共識所提問題不是對相關(guān)工作的全面評價問題1：對我國信息安全攻擊來源的判斷

FBI對美國信息安全的統(tǒng)計分析來自外部的攻擊：20%來自內(nèi)部的攻擊：80%對我國銀行系統(tǒng)的安全統(tǒng)計分析來自內(nèi)部：80%來自內(nèi)部外部勾結(jié)：15%來自外部：5%

資料來源：曲成義NSA提供的數(shù)字50%的最具破壞性的攻擊來自內(nèi)部人員美國專家提供的數(shù)字55%的信息破壞是由于誤操作我國信息安全攻擊來源

是什么分布？尚未有權(quán)威的全面統(tǒng)計數(shù)字缺少對我國信息安全攻擊來源的整體判斷通過網(wǎng)絡(luò)檢測的攻擊次數(shù)不等于成功攻擊的次數(shù)（敲門不等于入室）對攻擊來源的判斷是實現(xiàn)綜合防范的重要依據(jù)問題2：在我國由由于信息息安全所造成的的損失的的統(tǒng)計FBI關(guān)于由于于計算機(jī)機(jī)犯罪所所造成的的經(jīng)濟(jì)損損失的統(tǒng)統(tǒng)計2003年7月發(fā)布的的統(tǒng)計，，美國的的損失超超過2000億美元，，其中產(chǎn)權(quán)信息息的竊取取702億美元拒絕服務(wù)務(wù)656億美元計算機(jī)病病毒274億美元內(nèi)部網(wǎng)絡(luò)絡(luò)濫用118億美元（人為故故意）破破壞行為為52億美元金融欺詐詐102億美元系統(tǒng)入侵侵（滲透透）28億美元我國由于于信息安安全所造造成的經(jīng)經(jīng)濟(jì)損損失是多多少？只有個別別案例而而尚未有有全面的的統(tǒng)計數(shù)數(shù)字（成功））攻擊的的次數(shù)不不能說明明經(jīng)濟(jì)損損失信息安全全所造成成的經(jīng)濟(jì)濟(jì)損失是是確定信信息安全全成本的的重要依依據(jù)問題3：對我國信信息網(wǎng)絡(luò)絡(luò)脆弱性性的判斷斷信息技術(shù)術(shù)的脆弱弱性(漏洞)呈快速發(fā)發(fā)展趨勢勢年份報報告的的脆弱性性數(shù)目17134531126241910902437412937841Q-3Q2683對我國信信息網(wǎng)絡(luò)絡(luò)脆弱性性

是否否有正確確的判斷斷？互聯(lián)網(wǎng)的的廣泛應(yīng)應(yīng)用可能能使網(wǎng)絡(luò)絡(luò)的互聯(lián)聯(lián)互通發(fā)發(fā)生了變變化在發(fā)生突突發(fā)事件件的情況況下，能能否保證證用戶的的有效接接入？缺少全面面認(rèn)真地地研究和和分析對網(wǎng)絡(luò)與與信息系系統(tǒng)脆弱弱性的正正確判斷斷是積極極防御、、綜合防防范的基基礎(chǔ)問題4：商業(yè)密碼碼算法是是否應(yīng)當(dāng)當(dāng)是國家秘密密？密碼管理理體制面面臨的挑挑戰(zhàn)面臨電子子政務(wù)特特別是電電子商務(wù)務(wù)的開放放環(huán)境面臨全球球漫游的的通信環(huán)環(huán)境（無無線通信信、互聯(lián)聯(lián)網(wǎng)等））面臨通用用信息系系統(tǒng)的密密碼管理理（操作作系統(tǒng)等等）密碼管理理工作必必須適應(yīng)應(yīng)經(jīng)濟(jì)全全球化和和進(jìn)一步步開放的的大環(huán)境境問題5：商業(yè)密碼碼管理如如何適應(yīng)應(yīng)改革開放放的大環(huán)環(huán)境？密碼管理理是加強(qiáng)開開放系統(tǒng)統(tǒng)管理的的重要手手段封閉管理理與開放放環(huán)境的的矛盾封閉管理理一般適適用于規(guī)規(guī)模相對對小并容容易控制制的環(huán)境境開放環(huán)境境是面向向全社會會的大環(huán)環(huán)境管理上往往往表現(xiàn)現(xiàn)出力不不從心過分管理理又限制制了發(fā)展展要適應(yīng)我我國信息息化發(fā)展展的需求求《國家信息息化領(lǐng)導(dǎo)導(dǎo)小組關(guān)關(guān)于加強(qiáng)強(qiáng)信息安安全保障障工作的的意見》中提出：：按照滿足足需求、、方便使使用、加加強(qiáng)管理理的原則則修改完善善密碼管管理法規(guī)規(guī)建立健全全適應(yīng)信信息化發(fā)發(fā)展的密密碼管理理體制問題6：我國的信信息保密密管理工工作如何何實現(xiàn)多多部門協(xié)協(xié)同配合合？我國信息息保密工工作涉及及多部門門信息保密密工作涉涉及：保保密制度度檢查、、行政處處罰、刑刑事處罰罰、密碼碼應(yīng)用和和管理、、密碼分分析破譯譯等多方方面保密管理理涉及：：保密管管理部門門、各相相關(guān)行政政部門、、公安機(jī)機(jī)關(guān)、國國家安全全機(jī)關(guān)、、密碼管管理部門門、密碼碼分析部部門等多多個管理理部門分家還是是協(xié)同共共管？問題7：信息保密密管理是是否也要要考慮成本？NSA的信息安安全經(jīng)驗驗1信息系統(tǒng)統(tǒng)安全的的基本動動力仍然然是防止止信息的的非法授授權(quán)泄露露，即保保密性，，但是這這不再是是唯一的的關(guān)注點點當(dāng)信息系系統(tǒng)互相相連接成成局域網(wǎng)網(wǎng)和廣域域網(wǎng)，并并組成保保密的或或非保密密的采用用互聯(lián)網(wǎng)網(wǎng)協(xié)議時時，除了了保密性，還需要要防止對對信息的的非授權(quán)權(quán)修改，，及數(shù)據(jù)的完完整性；還需要要防止拒拒絕服務(wù)務(wù)攻擊，，保證數(shù)數(shù)據(jù)的可用性是否存在在不考慮慮成本的的

絕對對保密措措施？保護(hù)信息息的保密密性、完完整性和和可用性性都需要要考慮成成本考慮成本本，就要要平衡損損失與投投入，要要考慮時時效，要要考慮綜綜合防范范問題8：不適當(dāng)?shù)牡谋Ｃ苁鞘欠裨斐沙闪艘粋€怪圈圈？一個需要要解決的的的怪圈圈（不適當(dāng)當(dāng)?shù)膬?nèi)容容、范圍圍、期限限等））保密→→保守→（技術(shù)和和產(chǎn)業(yè)））落后→→不得不（（大規(guī)模模）引進(jìn)進(jìn)→無密可保保或不能能有效保保密→進(jìn)一步加加強(qiáng)保密密→怪圈影響響舉例影響了以以軍帶民民，以民民促軍→→技術(shù)落落后（歷歷史的教教訓(xùn)）有兩彈一一星，卻卻要引進(jìn)進(jìn)核電站站載人飛船船可以上上天，通通用的技技術(shù)卻落落后問題9：物理隔離離是否是是對涉密密信息管管理的唯唯一選擇擇？NSA的信息安安全經(jīng)驗驗2網(wǎng)絡(luò)安全全的需求求必須包包括國土土安全用于國土土安全的的基本信信息原則則是需要要共享要共享，，就必須須研究解解決安全全互操作作的技術(shù)術(shù)方案為連接頂頂級情報報系統(tǒng)與與本地的的第一應(yīng)應(yīng)答系統(tǒng)統(tǒng)，也必必須需要要這種互互操作基于NSA提供數(shù)字字的分析析美國國防防部系統(tǒng)統(tǒng)90%以上的成成功攻擊擊是利用用了已知知的漏洞洞，或者者已經(jīng)提供供了軟件件修改或或“補(bǔ)丁”的漏洞可以說明明美國國國防部系系統(tǒng)并非非全部采采用邊界界物理隔隔離安全成本本可能是是考慮的的重要因因素問題10：適應(yīng)互聯(lián)聯(lián)互通的的需求而而提高保保密技術(shù)術(shù)水平，，還是堅持持物理隔隔離而限限制互聯(lián)聯(lián)互通？？網(wǎng)絡(luò)邊界界保護(hù)的的主要技技術(shù)防火墻：：在內(nèi)外外網(wǎng)絡(luò)之之間建立立邊界，，幫助網(wǎng)網(wǎng)絡(luò)抵抗抗攻擊虛擬專用用網(wǎng)（加加密隧道道）：在在重要網(wǎng)網(wǎng)絡(luò)之間間，以保保護(hù)要穿穿越未加加保護(hù)的的管道的的安全網(wǎng)網(wǎng)絡(luò)之間間的信息息傳輸衛(wèi)兵（GUARD）：在需需要共享享安全域域之間的的信息時時使用計算機(jī)病病毒防護(hù)護(hù)系統(tǒng)各種隔離離技術(shù)問題11：解決信息息保密與與信息共共享的矛矛盾是否是推推動電子政發(fā)發(fā)展的一個關(guān)鍵？？怎么解決決？問題12：信息安全全等級保保護(hù)是否否應(yīng)當(dāng)遵遵循一致致的技術(shù)術(shù)路線？？NSA的信息安安全經(jīng)驗驗3在所有要要求的網(wǎng)網(wǎng)絡(luò)安全全方面，，在處理理頂級機(jī)機(jī)密軍事事信息的的系統(tǒng)和和控制國國家重要要基礎(chǔ)設(shè)設(shè)施某一一段的系系統(tǒng)之間間沒有多多少差別別這兩個系系統(tǒng)都需需要保障障或信任任，即信信任系統(tǒng)統(tǒng)設(shè)計合合理：—通過一套套安全標(biāo)標(biāo)準(zhǔn)進(jìn)行行的獨(dú)立立評估—即使在遭遭受惡意意攻擊或或人為破破壞的情情況下，，在其生生命周期期內(nèi)能夠夠正常運(yùn)運(yùn)行NSA的信息安安全經(jīng)驗驗4攻擊總是是通過最最薄弱的的環(huán)節(jié)，，必須在在系統(tǒng)的的各個環(huán)環(huán)節(jié)上進(jìn)進(jìn)行信息息保護(hù)三面圍起起的城堡堡是不安安全的幾乎在一一切情況況下，國國家安全全系統(tǒng)的的網(wǎng)絡(luò)安安全要求求與電子子商務(wù)或或重要基基礎(chǔ)設(shè)施施的網(wǎng)絡(luò)絡(luò)安全要要求是完完全一樣樣的研究的挑挑戰(zhàn)、安安全的特特點和開開發(fā)模型型也十分分相似問題13：終端的可可信計算算方案能保證安安全嗎？？值得思考考的問題題TCG聲稱其可可信計算算方案不不應(yīng)用于于軍事和和政府通過網(wǎng)絡(luò)絡(luò)認(rèn)證終終端的可可信是否否會引起起新的安安全問題題？問題14：網(wǎng)絡(luò)可信信方案對對我國信信息安全全產(chǎn)業(yè)有有什么影影響？可能的影影響可信計算算的牽頭頭企業(yè)是是通用信信息技術(shù)術(shù)產(chǎn)品制制造企業(yè)業(yè)通過路由由器融合合信息安安全專用用功能是是否意味味著產(chǎn)業(yè)業(yè)的壟斷斷趨勢？？信息安全全專用產(chǎn)產(chǎn)品制造造企業(yè)如如何應(yīng)對對？問題15：是否存在在一個放放之四海海而皆準(zhǔn)準(zhǔn)的完全可可信方案案？問題16：一個嚴(yán)格格可信可可控的互互聯(lián)網(wǎng)是否會影影響互聯(lián)聯(lián)網(wǎng)的可可用性？保證可用用性是互互聯(lián)網(wǎng)的的最初設(shè)設(shè)計目標(biāo)標(biāo)可控性和和靈活性性是一對對矛盾問題17：對信息服服務(wù)機(jī)構(gòu)構(gòu)的的行行政許可可或認(rèn)可可是否有有利于信信息服務(wù)務(wù)業(yè)的發(fā)發(fā)展？管理與市市場的矛矛盾經(jīng)驗教訓(xùn)訓(xùn)：每當(dāng)當(dāng)要加強(qiáng)強(qiáng)服務(wù)業(yè)業(yè)的發(fā)展展，服務(wù)務(wù)業(yè)的市市場就降降低1-2個百分點點問題是：：增加了了對服務(wù)務(wù)機(jī)構(gòu)過過多的行行政許可可許可和認(rèn)認(rèn)可限制制了信息息服務(wù)的的滲透性性、廣泛性和和靈活性性問題18：中國信息息安全的的解決方方案問題題討論力不從心心的現(xiàn)狀狀不適當(dāng)?shù)牡男姓S許可或認(rèn)認(rèn)證認(rèn)可可→限制了國國內(nèi)信息息安全服服務(wù)機(jī)構(gòu)構(gòu)的數(shù)量量→缺少足夠夠的市場場競爭→→國內(nèi)整體體信息安安全服務(wù)務(wù)水平降降低→不得不引引進(jìn)國外外服務(wù)機(jī)機(jī)構(gòu)→擔(dān)心信息息安全不不能得到到保障→→行政許可可與認(rèn)證證認(rèn)可的的

本質(zhì)質(zhì)區(qū)別是是什么？？僅僅是換換一個管管理部門門？我國信息息安全產(chǎn)產(chǎn)品認(rèn)證證的關(guān)關(guān)鍵問題題適應(yīng)信息息化發(fā)展展和國家家安全的的需求，，著實提提高產(chǎn)品品安全的的檢測水水平避免重復(fù)復(fù)檢測，，重復(fù)收費(fèi)費(fèi)，推動動產(chǎn)業(yè)發(fā)發(fā)展如果所提提問題符符合國情情，歡迎參加加討論?。≈x謝！9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃黃葉樹，，燈下白白頭人。。。04:17:2504:17:2504:1712/29/20224:17:25AM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2204:17:2504:17Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。04:17:2504:17:2504:17Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2204:17:2504:17:25December29,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。29十十二月20224:17:25上午午04:17:2512月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月224:17上上午午12月月-2204:17December29,202216、行動動出成成果，，工作作出財財富。。。2022/12/294:17:2504:17:2529December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。4:17:25上上午4:17上上午04:17:2512月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒有。。。04:17:2504:17:2504:1712/29/20224:17:25AM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2204:17:2504:17Dec-2229-Dec-2212、世間成成事，不不求其絕絕對圓滿滿，留一一份不足足，可得得無限完完美。。。04:17:2504:17:2504:17Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2204:17:2504:17:25December29,202214、意志堅強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。29十二二月20224:17:25上上午04:17:2512月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月224:17上午午12月-2204:17December29,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/294:17:2504:17:2529December202217、空山新雨雨后，天氣氣晚來秋。。。4:17:25上上午4:17上上午04:17:2512月-229、楊楊柳柳散散和和風(fēng)風(fēng)，，青青山山澹澹吾吾慮慮。。。。12月月-2212月月-22Thursday,December29,202210、閱閱讀讀一一切切好好書書如如同同和和過過去去最最杰杰出出的的人人談?wù)勗捲??！?4:17:2504:17:2504:1712/29/20224:17:25A