信息安全产业发展的三驾马车

那罡

作为一年一度的信息安全产业的盛会,中国信息安全大会已经连续成功举办九届。今年的主题是“影响十年·安全创新”,其中既包含对过去的展望,更包含对未来信息安全产业发展、技术创新的憧憬。

信息安全作为国家安全的重要组成部分,是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。可以说,目前我国信息安全产业是通过等级保护、可信计算和产业化发展相互结合,实现网络虚拟世界秩序的安全和可信。

产业化成为重点

中国的信息安全产业仅有二十多年历史,快速发展也只是近十年的事,尚存诸多不足。在互联网应用与普及方面,我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本一样。

中国工程院院士方滨兴认为,我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全。凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路。公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

据悉,教育部、公安部、工业和信息化部、国家标准化管理委员会等单位已经将“为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化”作为2009年信息安全重点工作。其中涉及到四个方面:

1.重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化。

2.重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化。

3.重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化。

4.重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。

技术成果的产业化过程应当是一个市场化、社会化的过程。将核心技术产品产业化地发展,推动产业结构升级,是提升核心技术发展的破局之举。

可信计算成为标尺

虽然我国的信息化技术同国际先进技术相比,存在一定的差距。但是,中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。

绝对的信息安全是不存在的,但信息安全却存在着一种终极的理想状态,那就是:进不去、看不见、拿不走和赖不掉。总结起来,这12字方针的目标就是可信计算。

中国可信计算工作组组长、中科院软件所副总工程师冯登国介绍,可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代——终端被攻击时可以实现自我保护、自我管理和自我恢复。

可以说,可信计算根就像是一把丈量计算机可信度的标尺。它会在启动之初对计算机系统上所有的运行软件进行可信性(完整性)分析,由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行,并自动恢复其合法的版本。所以,计算机一旦嵌入了该技术,即可在启动操作系统时发现内核已改,并根据用户需求进行阻止和恢复。

中国可信计算工作组发言人刘晓宇说,随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。

刘晓宇说,我国自主研发的可信技术从芯片到PC硬件到系统/应用软件以及CA认证,早已形成了一条初具规模的完整产业链。

冯登国表示:“2009年将是中国可信计算蓬勃发展的一年,为打造更为强大的可信计算体系,中国可信计算工作组将优化和完善TCM硬件平台,还将致力于打通产、学、研之间的一切壁垒,促进业内同行实质性的合作交流。”

等级保护推力强劲

信息安全等级保护,是这几年听到最多的词之一。从1994年国务院发布147号令至今,已经过去了15年。这些年间我国在信息安全领域已经制定了数十个国家标准和行业标准,初步形成了信息安全等级保护标准体系。

方滨兴说,目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心;另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。

随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步开展将取决于两个部委的有效协调和合作。

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购开始,2008年被普遍视为等级保护采购元年;更有业内人士说,2009年等级保护的好戏才真正上演。

“当前的信息与网络安全研究,处在忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系,并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

方滨兴认为,虽然信息系统安全等级保护的基本要求是明确的,但并不等于设计规范是明确的。在保护平台设计方面,尤其是在跨级、跨系统之间应该如何进行互联,均需要有相应的设计规范做指导。

但等级保护毕竟是一项新的课题,必然会遇到很多管理和技术方面的挑战。我国正面临等级保护工作的大好机遇,既有此前若干年的经验积累的优势,也有客观环境和政策支持优势。等级保护的成功还需要更多社会力量的参与和推动。