專家把脈中國(guó)信息安全

近日，在中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院主辦、北京賽迪信息技術(shù)評(píng)測(cè)有限公司承辦的\"2002年中國(guó)信息安全產(chǎn)業(yè)與技術(shù)發(fā)展高峰論壇\"上，國(guó)家信息化專家咨詢委員會(huì)曲成義研究員 、中國(guó)工程院倪光南院士、中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室趙戰(zhàn)生主任等專家分析了我國(guó)目前國(guó)家信息安全方面的現(xiàn)狀，對(duì)國(guó)家信息安全保障體系架構(gòu)進(jìn)行了探討，并指出政務(wù)信息化政府采購(gòu)不僅應(yīng)滿足經(jīng)濟(jì)指標(biāo)，也應(yīng)兼顧信息安全。

我國(guó)信息化發(fā)展空前迅速，信息安全保障需求已成為信息化發(fā)展的重要部分。如何以信息化提升綜合國(guó)力，并在信息化快速發(fā)展的同時(shí)確保國(guó)家的信息安全，已成為各國(guó)政府關(guān)心的熱點(diǎn)問題。

中國(guó)信息化建設(shè)在突飛猛進(jìn)的同時(shí)，也面臨著一系列的信息安全隱患。關(guān)鍵信息的安全管理漏洞，將會(huì)給政府、電信、金融、民航等重點(diǎn)行業(yè)帶來不可估量的嚴(yán)重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發(fā)生，也將造成巨大的經(jīng)濟(jì)損失，甚至威脅到國(guó)家的安全。

建立國(guó)家信息安全保障體系

信息安全保障體系的建設(shè)策略是要建立信息安全防護(hù)能力，要具有隱患發(fā)現(xiàn)能力、網(wǎng)絡(luò)反應(yīng)能力、信息對(duì)抗能力。

信息安全技術(shù)保障體系的建立要強(qiáng)調(diào)自主研發(fā)與創(chuàng)新，要組建研發(fā)國(guó)家隊(duì)與普遍推動(dòng)相結(jié)合，推動(dòng)自主知識(shí)產(chǎn)權(quán)與專利，建設(shè)技術(shù)工程中心與加速產(chǎn)品孵化，加大技術(shù)研發(fā)專項(xiàng)基金，全面推動(dòng)與突出重點(diǎn)的技術(shù)研發(fā)相結(jié)合。要建立縱深的防御體系，采用網(wǎng)絡(luò)信息安全域的劃分與隔離控制、內(nèi)部網(wǎng)安全服務(wù)與控制策略、外部網(wǎng)安全服務(wù)與控制策略、互聯(lián)網(wǎng)安全服務(wù)與控制策略、公共干線的安全服務(wù)與控制策略、計(jì)算環(huán)境的安全服務(wù)機(jī)制、多級(jí)設(shè)防與科學(xué)部署策略、全局安全檢測(cè)、集成管理、聯(lián)動(dòng)控制與恢復(fù)等手段來保障信息安全。此外，要采用信息系統(tǒng)安全工程的控制方法和安全技術(shù)產(chǎn)品與系統(tǒng)互操作性策略。

建立資質(zhì)認(rèn)證機(jī)制和監(jiān)理機(jī)制，形成社會(huì)化服務(wù)和行政監(jiān)管體系。要建立基于數(shù)字證書的信任體系、信息安全測(cè)評(píng)與評(píng)估體系、應(yīng)急響應(yīng)與支援體系、計(jì)算機(jī)病毒防治與服務(wù)體系，建立災(zāi)難恢復(fù)基礎(chǔ)設(shè)施和密鑰管理基礎(chǔ)設(shè)施。

在搭建國(guó)家信息安全保障體系框架時(shí)，要建立信息安全標(biāo)準(zhǔn)與法規(guī)環(huán)境，這就需要強(qiáng)力推動(dòng)信息安全標(biāo)準(zhǔn)化工作、加強(qiáng)信息安全標(biāo)準(zhǔn)的研發(fā)、評(píng)審、審批，加快信息安全法規(guī)的制訂以及相關(guān)法規(guī)的制訂。此外，還需要培養(yǎng)大量高級(jí)信息安全人才。

信息安全需要技術(shù)保障

信息安全保障，從保密性、完整性、可用性、可控性、不可否認(rèn)性等安全屬性的需要，以及在預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)及反擊等環(huán)節(jié)提出了諸多的技術(shù)需求。

目前，國(guó)際上出現(xiàn)了一個(gè)叫\(zhòng)"MALWERE(壞件)\"的新概念，它把計(jì)算機(jī)病毒、蠕蟲、邏輯炸彈、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內(nèi)。在這個(gè)概念的推動(dòng)下，計(jì)算機(jī)病毒檢測(cè)功能必將逐步有所擴(kuò)充。

現(xiàn)在的防火墻在功能上有了許多擴(kuò)展和延伸，許多產(chǎn)品把VPN的功能加入到防火墻中，也有把入侵檢測(cè)(IDS)、病毒檢測(cè)等功能模塊加入防火墻之中。

為了實(shí)現(xiàn)對(duì)各種安全模塊的集中管理，共享安全事件審計(jì)分析信息，統(tǒng)一制訂和實(shí)施安全策略，還出現(xiàn)了集中安全管理平臺(tái)的研制開發(fā)。

政府信息化采購(gòu)應(yīng)兼顧信息安全

政務(wù)信息化政府采購(gòu)不僅應(yīng)滿足經(jīng)濟(jì)指標(biāo)，也應(yīng)兼顧信息安全?，F(xiàn)在我國(guó)《政府采購(gòu)法》已經(jīng)出臺(tái)，這將有利于政務(wù)信息化的信息安全，也有利于本國(guó)IT企業(yè)的發(fā)展。

在政府采購(gòu)中，電子政務(wù)占有重要的地位。據(jù)預(yù)測(cè)，2002年中國(guó)電子政務(wù)市場(chǎng)總投資將達(dá)到350億元，比2001年增長(zhǎng)23.4％；2002年～2004年中國(guó)電子政務(wù)總體市場(chǎng)年復(fù)合增長(zhǎng)率為25.7％。按照這一速度計(jì)算，5年后電子政務(wù)市場(chǎng)的投資額將突破1000億元，因此它將成為國(guó)內(nèi)外企業(yè)關(guān)注的一個(gè)焦點(diǎn)。

《政府采購(gòu)法》支持本國(guó)產(chǎn)業(yè)

采購(gòu)法中明確規(guī)定，除一些特殊情況外，政府采購(gòu)應(yīng)當(dāng)采購(gòu)本國(guó)貨物、工程和服務(wù)(包括本國(guó)軟件和服務(wù))，這個(gè)規(guī)定既有利于本國(guó)企業(yè)，也有利于保障信息安全。

加入WTO并不等于立刻開放政府采購(gòu)市場(chǎng)，因?yàn)榧尤隬TO并不等于加入《政府采購(gòu)協(xié)議》(GPA)。GPA是所謂\"復(fù)邊貿(mào)易協(xié)議\"，僅對(duì)簽字成員方有效，我國(guó)在兩年后才會(huì)談判是否加入GPA。而在我國(guó)加入WTO的GPA之前，根據(jù)國(guó)際慣例，可以通過政府采購(gòu)扶持本國(guó)產(chǎn)業(yè)。

政府采購(gòu)支持NC推廣

目前，具有我國(guó)自主知識(shí)產(chǎn)權(quán)、非Wintel架構(gòu)(采用方舟CPU和LinuxOS)的NC已經(jīng)開始在學(xué)校、銀行等單位應(yīng)用。它具有信息安全性好、容易管理和維護(hù)、成本低等優(yōu)點(diǎn)，非常適合在電子政務(wù)中推廣應(yīng)用?，F(xiàn)在國(guó)家有關(guān)部門要求在電子政務(wù)中采用NC，因此可以在政務(wù)信息化項(xiàng)目的招標(biāo)中，將上述這些指標(biāo)列入招標(biāo)條件，那么NC將明顯勝過PC。只要依法采購(gòu)，NC就可以首先在政務(wù)信息化中得到推廣，然后在政府的帶動(dòng)下，逐步推廣到其他領(lǐng)域，逐步改變我國(guó)計(jì)算機(jī)產(chǎn)業(yè)的\"無(wú)芯\"狀態(tài)。

政府采購(gòu)支持軟件產(chǎn)業(yè)

電子政務(wù)的信息安全要求和扶持本國(guó)軟件產(chǎn)業(yè)基本上是統(tǒng)一的，我們可以在政務(wù)信息化政府采購(gòu)中對(duì)被采購(gòu)軟件作出如下要求：一、實(shí)行源代碼備案、審查；二、公開協(xié)議和文件格式；三、跨Linux、Windows等多個(gè)操作系統(tǒng)平臺(tái)。