面对信息安全领域的新趋势与新特点,我们亟需通过完善国家信息安全战略、构建信息安全体系、推广自主可控的安全技术和产品等方式提高我国信息安全技术水平。
随着信息化技术的不断发展和广泛应用,信息正逐渐成为人类社会发展的重要战略资源和维护国家安全与社会稳定的重要基石,信息安全技术水平也成为衡量一个国家综合国力的重要标志之一。
国际信息安全发展趋势
近几年来,国际信息安全领域动作频繁,国际信息安全领域的发展呈现新特点和新趋势。
1.信息安全技术发展的关联性、主动性显著加强
向 完整、联动、快速响应的防护系统方向发展,采用系统化的思想和方法构建信息系统安全保障体系成为信息安全技术发展的一种趋势,具有复杂性、动态性、可控性 等特点:复杂性体现在网络和系统的生存能力;动态性体现在主动实时防护能力,包括应急响应、数据恢复、病毒与垃圾信息防范、网络监控与安全管理;可控性体 现在网络和系统的自主可控能力,包括高安全等级系统、密码与认证授权、逆向分析与可控性等。随着可信计算、软件安全、主动式恶意代码防护等技术日益受到重 视,信息安全技术上已逐步由传统的被动防御向主动防御方向发展。
2010年,美国政府 实施了一项代号为“完美公民”的信息安全防护项目,旨在保护政府重要基础设施或企业免遭黑客侵袭,国家安全局打算从电网、核电站、空中交通管理系统等入 手,大力部署网络安全的多层防御体系,最终全面介入基础设施;北约紧随其后拟建立三重安全防御体系的“数字盾牌”等。种种迹象预示着一种全新的信息安全战 略:基础“有效保护”和“大规模报复”的主动防御技术的建立,使信息安全发展正在向主动防御进行根本性转变。正是由于采取了主动防御的安全策略,“美中经 济与安全评估委员会”的一份年度报告中称:2010年可能是最近十年来针对计算机网络攻击最少的一年。
2.信息安全产品呈现高效化、系统化、集成化趋势
一 方面,随着网络和信息技术的迅猛发展,各种信息安全产品必须不断提高性能,方能满足高速海量数据环境下的信息安全需求;另一方面,随着网络和信息系统组成 日趋复杂化,将信息安全技术依据一定的安全体系进行设计、整合和集成,从而达到综合防范的目的成为必然趋势。信息安全技术作为关键环节已融入信息系统和产 品的设计与生产中,成为不可替代的独立模块,信息安全产品的集成化趋势日益显著。
3.信息安全产业形态向服务化方向发展
随 着产业整体发展的不断成熟和市场竞争的加剧,以及信息安全产品功能的趋同和产品成本的不断下降,信息安全厂商的核心竞争力逐渐向服务领域集中,并带动信息 安全市场向服务化方向发展。此外,信息系统复杂程度的不断提高和防护难度的不断加大,迫使信息系统用户不得不将信息安全服务外包,由此催生一批专业化信息 安全服务公司。
4.信息安全技术和产品的应用领域不断拓展
随着信息安全技术与产品的不断成熟和创新,在保证信息安全产业独立性的同时,其技术和产品的应用正迅速向经济社会的各个领域拓展。如基本虚拟化的云安全技术受到重视,云安全服务业务细分化,入侵检测向趋势预测行为分析发展,网关安全和终端安全融合发展等。
5.互联网空间成为信息安全的主战场
网 络成为当今世界信息传输的主要载体,计算机网络和移动互联网的安全问题成为信息安全领域的核心问题。当前,全球正处于网络空间战略的调整变革期,美、俄、 英、法、德等国均公开表示将网络攻击列为国家安全的主要威胁之一,将采取包括外交、军事和经济在内的多种手段保障网络空间安全。
我国信息安全领域与国际先进水平的差距
国际上信息安全领域已从早期的通信保密阶段和信息安全阶段,发展到目前的信息保障阶段。我国在国家立法保障、组织监管以及技术产品方面与世界先进水平还有不小差距。
1.我国信息安全技术水平亟需提高
国 防科技大学的一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入。2011年12月,国内知名程序员网站CSDN 的600万用户的资料被泄露,并在网络上提供下载;随后“开心网”的用户资料数据库开始流传,“人人网”500万用户资料、“多玩游戏”800万用户资 料、“7K7K小游戏”2000万用户资料相继出现在网上??
信息安全技术的理论核心 是现代密码学,发达国家不但在分组密码和序列密码设计和分析的理论与技术已非常成熟,更在加密算法的标准化方面做了大量的工作,构建出一套完善的信息安全 技术标准。我国虽然也设计了不少对称加密算法,但尚未形成具有自主知识产权的统一加密标准,国家层面自主知识产权的信息安全技术标准也未成形,这成为我国 信息安全技术发展的重要瓶颈。目前我国涉及信息安全核心技术的元器件、芯片、操作系统和大型软件等基础产品自主可控能力低,国民经济重要部门的许多信息设 备来自国外。
2.信息安全管理体系亟需大力加强
高 效有力的管理体系是国家信息安全的关键。发达国家高度重视信息安全领域的管理体系建设工作,如美国于1998年5月颁发了《保护美国关键基础设施》总统令 (PDD-63)。围绕信息安全成立了多个组织,包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件 响应能动组等十多个全国性机构。各主要发达国家也都建立了完善的信息安全监管体系。
我 国信息安全领域管理方面相对滞后,存在职能交叉,管理体系力量分散,信息技术、信息管理和信息法制有机协调的作用未充分显现出来。网络病毒、网络犯罪屡见 不鲜,单位与个人信息没有有效安全保护,政府在信息安全、秩序管理方面还缺乏统一有效的协调和监管。我们要根据国情,从安全体系整体着手,建立全方位的防 护体系,加大管理力度和监管力度。
3.信息安全立法工作需要完善
目 前,我国还没有专门制定信息安全保障的专门性法律,只在有关法律规定的条款中包含了对信息安全特别是网络安全危害行为的处理办法,或是针对信息安全领域的 部分具体问题,制定的一些法规。这些法规内容离散,且相关执法部门和管理部门分设多个单位,实际工作中无法有效形成国家层面独立的、系统的信息安全法规体 系。
对我国信息安全建设的建议
1.建立完善的国家信息安全战略
加 强国家信息安全的战略对策研究,应建立和完善适应信息化发展的信息安全保障体系,全面提高国家信息安全保障能力,按照“积极防御、综合治理、科学发展、掌 握主动”的方针,提高对信息安全的管理、防范、控制能力。在国家信息安全战略建设方面,关键是要加快信息安全立法进度,制定专门的法律法规,完善信息安全 立法体系。
2.构建我国信息安全体系
在 信息化建设的大背景下,要建立健全信息安全的各级各类监管机构,明确规定各部门的信息安全监管范畴和内容,建立和完善信息安全监管人才体系。此外,尽快完 善关键领域、核心业务、重要信息系统的安全准入制度,加快构建互联网安全管理机制,从而提升信息系统的安全保障能力。全面落实信息安全战略对策,加强信息 安全基础性工作,采取有效措施提高基础网络和重要信息系统的安全保障能力,加强信息网络违法犯罪打击和网络文化建设。
3.大力推广应用自主可控的安全技术和产品
一 方面应大力发展具有自主知识产权的信息安全技术产品,实现我国重要信息安全系统技术和装备的国产化;另一方面,要大力支持自主可控信息安全产品的推广和使 用,不仅在事关国家信息安全的要害部门,更在百姓日常生活中大力推广和应用,在部分领域甚至应采取强制性措施,以确保事关国家信息安全的关键信息不落入外 敌之手。
(中电科技国际贸易有限公司总裁、党委副书记)