《中国信息安全产业发展白皮书精编版[90页].docx》由会员分享,可在线阅读,更多相关《中国信息安全产业发展白皮书精编版[90页].docx(90页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、最新资料推荐中国信息安全产业发展白皮书(20052010)中国信息产业商会信息安全产业分会前言中国信息产业商会信息安全产业分会(以下简称商会)2002年3月29日正式成立,当年,商会对我国信息安全产业进行过一次较全面的调研,并写出我国信息安全产业调研与建议(2002年)。三年来,信息安全产业自身发展与环境发生了许多重要的变化,出现了一些新的情况与要求,有必要编写一本中国信息安全产业发展白皮书(20052010)(以下简称白皮书),为我国信息安全产业制定发展战略提供咨询意见,同时为信息安全产品、技术与服务的用户提供咨询服务,也为国家政府主管信息化安全部门提供参考意见。本白皮书分成三部分:第一部分
2、:信息安全产业情况第二部分:信息安全技术发展展望第三部分:我国信息安全产业发展建议中国信息化安全事业在近几年来得到快速的发展,这种发展首先是由于从中央到地方政府的广泛重视。国家把国家安全划分为国土安全、政治安全、经济安全和信息安全,信息化安全是其中重要的组成部分。因此,信息化安全市场得到迅速的发展,使信息化安全建设的需求在不断扩大。其次,这种发展还由于我国有一批积极进取的信息安全的创新企业,促进了信息安全产业的发展。还应当看到,我国信息化安全领域有一批敢为天下先的高水平的专家队伍和信息安全产业的商会在推动产业发展和凝聚企业发挥了较大的作用。我国信息化已经有20多年的历史,而比较大规模的信息化安
3、全建设也仅有近10年历史。对十年来信息化安全建设进行总结与分析,树立信息化安全新认识,并在此基础上奠定信息化安全的新起点,从而开辟信息化安全的新领域,积极培养新的发展增长点将发挥重要作用。信息化安全建设必须从出于对“安全责任”关注推进到对“安全责任”和“安全效益”的双重关注,只有坚持这种效益性安全建设方针,才能维持信息化安全产业的可持续发展。我们需要特别说明的是,在谈到信息化安全时不可能不谈到存在的问题,在编写本白皮书时我们征求一些部门及其负责人意见,同时面向事业发展的要求尽可能客观的分析和提出建议。本白皮书不考虑各领域利益与职责关系的平衡与协调,编写本白皮书时可能存在信息与资料的遗漏。本白皮
4、书仅仅作为商会提出的发展意见,不代表任何国家管理部门观点。如果本白皮书的某些讨论和意见与读者意见不一致或存在遗漏,请读者包涵和理解,可以与我们联系与商榷。本白皮书由商会常务副理事长屈延文教授执笔起草,经商会理事长会议讨论和进一步修改,于2005年3月11日通过。本白皮书是信息安全产业的企业决策发展道路的重要参考与指导性文件,并希望作为国家、行业、地方、企业在制定“十一”五发展计划的参考文件。本白皮书上报中国信息产业商会、信息产业部产品管理司,并抄报国务院信息化工作办公室、国家发改委、信息产业部、科技部、教育部、国家审计署、中国人民银行、认监委、银监会、证监会、保监会、工商总局、中国海关、铁道部
5、、交通部、民航总局、国家广电总局、安全部、公安部、保密局、中办机要局、解放军总参某部、总装、国家电力总公司、电监会、国家金税工程办公室、国家金卡工程办公室、国家金盾工程办公室、国家金财工程办公室、北京市、上海市、天津市、重庆市等省市信息化主管部门等。本白皮书还下发商会所有成员单位领导。2005年3月11日目录前言2第一部分:信息安全产业情况6第一章 我国信息安全产业概述7第二章 信息安全产业市场情况概述82.1要全面、系统地认识信息化的安全问题82.1.1国家视角考察信息化安全问题82.1.2领域视角考察信息化安全问题92.1.3企业视角考察信息化安全问题92.1.4技术保障部门视角考察信息化
6、安全问题102.1.5用户视角考察信息化安全问题102.1.6必须关注信息化安全服务的综合性、高技术性和对策性特点102.1.7信息化安全认识要与时俱进122.2国家信息化安全市场分类132.3国家基础设施信息化安全建设情况132.3.1 电信网络与电信业务信息化安全建设情况132.3.2 广电信息化安全建设情况152.3.3 银行信息化安全建设情况162.3.4 证券信息化安全建设情况182.3.5 电力信息化安全建设情况192.3.6 铁路信息化安全建设情况212.3.7 交通信息化安全建设情况232.3.8 民航信息化安全建设情况232.3.9 政法信息化安全建设情况242.3.10 国
7、防信息化安全建设情况262.4电子政务信息安全建设情况272.4.1 电子政务信息化安全概述272.4.2 监管现代化和信息化情况282.4.3 政府网络服务信息化安全情况322.4.4 政府办公业务信息化安全情况322.4.5政府信息化安全应急体系建设情况332.5 电子商务信息安全建设情况332.5.1 电子商务信息化安全概述332.5.2 企业电子商务信息化安全情况342.5.3 银行电子商务信息化安全情况352.5.4 政府电子商务信息化安全情况362.6 产业信息化安全建设情况372.6.1 产业信息化安全概述372.6.2 产业信息化安全情况372.6.3 产业信息化安全应急体系建
8、设情况382.7 城市信息化安全建设情况392.7.1 城市信息化安全概述392.7.2 城市基础设施信息化安全情况392.7.3 城市电子政务安全情况402.7.4 城市电子商务安全情况402.7.5 人民生活信息化安全情况402.7.6 智能化社区信息化安全建设情况412.7.7 家电设施网络化安全建设情况412.7.8 城市呼救服务信息化安全建设情况422.7.9 城市应急信息化体系建设情况42第三章 信息安全产业企业情况443.1信息安全产业企业情况概述443.2信息安全产业企业资产情况443.3信息安全产业的资本市场情况453.4信息安全产业的技术情况453.5信息安全产业的服务情况
9、47第四章 信息安全产业环境494.1在国家宏观经济调控中快速发展信息安全产业494.2我国信息安全产业发展的基础环境494.3我国信息安全产业发展的国际环境494.4我国信息安全产业发展的法律环境504.5我国信息安全市场秩序情况514.6关于信息安全标准化建设情况514.7关于信息安全产品测评认证情况524.8关于信息化安全产业基地53第二部分:信息化安全技术发展展望54第一章信息化安全技术发展概述55第二章 信息化安全传统技术发展展望562.1信息化安全传统技术概述562.2数据安全技术562.3信息隐藏与发现技术572.4系统与网络防护技术572.5系统与网络安全检测、监控技术582.
10、6安全管理平台技术592.7病毒、蓄意代码检测与消除技术592.8身份认证技术592.9业务连续性技术60第三章 信息化安全新技术发展展望613.1信息化安全新技术概述613.2可信计算平台(TCP)技术613.3可信网络平台(TNP)和可信应用平台(TAP)技术623.4多代理技术623.5数字标签技术643.6无第三方认证与行为可信认证技术663.7监管信息化和信息化监管技术663.8网络对抗技术683. 9多代理计算网格技术693. 10信息系统体系结构技术与方法71第四章 信息化安全理论研究展望734.1信息化安全理论研究概述734.2软件行为学系列著作734.3认证管理算法理论754
11、.4计算网格理论:多代理网格操作系统764.5代理程序设计与代理软件工程理论774.6网络虚拟世界社会学研究784.7信息化安全总体框架78第三部分:我国信息安全产业发展建议80第一章 我国信息安全产业发展概述81第二章 谁能抓住产生又一个“微软公司”的发展机遇?82第三章 关于建立信息化安全新型产业基地与集团82第四章 关于建立分类产品标准化企业联盟84第五章 关于建立现代化的信息安全产品测评认证体系84第六章 关于建立我国信息安全产业发展和维权基金85第七章 关于建立和完善企业技术与业务体系架构86第八章 信息化安全建设的关键课题建议868.1信息化安全的理论课题868.2信息化安全的技术
12、课题878.3信息化安全的应用课题878.4信息化安全的产业发展课题89结束语90参考文献90第一部分:信息安全产业情况第一章 我国信息安全产业概述我国信息化安全产业大致可以划分三个发展阶段:第一阶段:1995年以前,以通信保密和依照TCSEC的计算机安全标准开展计算机的安全工作,其主要的服务对象是政府保密机构和军事机构。主要从事这方面的工作的是一些科研机构和军事机构,例如原电子工业部第15所、电子工业部30所和原邮电部数据所等研究机构及其相关企业。第二阶段:在原有基础上,1995年开始,以北京天融信网络安全技术有限公司、北京启明星辰信息技术有限公司、北京江南科友科技有限公司、北京中科网威信息
13、技术有限公司、北京清华德实科技股份有限公司、上海复旦光华信息科技股份有限公司等一批从事信息化安全企业的诞生为标志的创业发展阶段,主要从事计算机与互联网的网络安全。从1999年起,将信息安全的工作重点逐步转移到银行与电信信息化安全建设上。2000年我国第一个行业性质的银行计算机系统安全技术规范出台,为我国信息化安全建设奠定了基础和树立了示范。但是,这个时期主要提供的是隔离、防护、检测、监控、过滤等中心的局域网安全服务技术与产品,其主要面对病毒、黑客和非法入侵等威胁。到2001年,一时间全国成立1300多家从事信息化安全的企业。第三阶段:以2002年成立中国信息产业商会信息安全产业分会为标志的有序
14、发展阶段。这个阶段不仅从事互联网的信息与网络安全,而且开始对国家基础设施信息化安全开展工作,产生了许多自有知识产权的信息与网络安全产品。2002年法论功对我国广电和信息基础设施的攻击,从反面促使了我国信息安全产业的发展。与此同时,我国电子政务、银行、证券、保险、电信、电力、铁路、交通、民航、海关、税收、工商、公安、安全、保密、机要和军队都相应开展了信息化安全建设,信息化安全建设已经在信息化全方位领域中进行,信息化安全得到了普遍的重视。在这个阶段,有大批的信息安全企业创立,同时也有大批的信息安全企业倒闭或者改做其他,一些优秀企业更加强大,企业资产得到了较大增加。与此同时,一些国内重要的IT企业或
15、许多上市公司开始积极介入信息安全产业,推动了信息安全产业规模扩大。这个时期的技术与产品逐步走向产品芯片化、客户化、平台化和高技术化,并促进了信息安全管理平台的研究与开发。信息化安全的品牌和知识产权的工作得到更多的重视和加强。在企业的呼吁下,商会推动下,我国信息安全产业出台了中国信息安全产业反不正当公约,为建立“遵纪守法、诚信自律、公平竞争和共同监督”的市场秩序,奠定了基础。目前,信息安全产业正在进入新的发展时期。这个时期表现在对十年来信息化安全建设进行总结与分析,树立信息化安全新认识,并在此基础上奠定信息化安全的新起点,从而开辟信息化安全的新领域,积极培养新的发展增长点将发挥重要作用。例如,科
16、学院与工程院的张效祥、金怡濂、何德全、蔡吉人、周仲义和沈昌祥六个院士给国务院信息化工作办公室领导的关于积极开展银行监管信息化和银行信息化监管研讨工作的建议,得到了国信办领导的高度重视,并批转人民银行与银监会领导阅示。国信办领导在银监会回复的报告中说,六院士的建议引起了人民银行与银监会领导的重视,银监会领导认为要启动银行监管信息化工作,希望得到国家与社会的广泛支持与帮助。在十届三次人大会期间,银监会领导在答记者会上说,提升金融风险监管信息科技水平是加强银行风险监管的重要措施之一。这个时期主要受到未来信息化安全自主保障、监管、应急和威慑体系建设巨大需求的牵引而逐步展开的,其重要标志表现在商会的QN
17、S工作室的软件行为学系列著作的出版发行和积极推动以多代理技术、标签技术、无第三方认证技术、监管技术、对抗技术等适合于大范围网络环境、针对超海量数据对象和满足高智能应用与管理的新型技术与产品研发工作的开展上。同时也表现在商会推出可信网络平台(TNP)、可信应用平台(TAP)和可信计算平台(TCP)的新型市场理念上。这种可信平台的市场理念得到国家电子政务规划部门、国家金融风险监管部门、国家税务管理部门和国家涉密网管理部门等单位的高度重视。这种新的发展理念还反映在商会推出的安全管理平台企业联盟、可信计算平台(C_TCP)企业联盟、可信网络平台(TNP)企业联盟、CPK企业联盟等标准化机构和信息安全服
18、务等级标准企业联盟机构的创立和技术标准的制定上。本白皮书讨论信息产业情况主要从信息安全产业的市场情况、信息安全产业企业情况和信息安全产业环境情况进行讨论。所谓信息安全产业的市场情况主要讨论信息安全产业面临的用户开展信息安全系统和工程项目建设的情况。为了使讨论分类清晰,我们将从国家基础设施信息化、电子政务、电子商务、产业信息化和城市信息化(包括人民生活信息化)需要的信息化安全建设进行分类研究,研究它们的现状和存在的问题以及今后的信息化安全建设的要求。所谓信息安全产业的企业情况主要讨论信息安全企业资产、资本市场、技术情况、服务情况。所谓信息安全产业的环境情况主要讨论信息安全市场秩序、国外信息安全企
19、业进入中国市场情况、信息安全标准化建设情况、信息安全测评认证情况和信息安全技术法规建设情况。第二章 信息安全产业市场情况概述2.1要全面、系统地认识信息化的安全问题我国信息化安全建设任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设,其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。这种信息化安全需求不同方面的考虑,一方面是由于关注的威胁和风险不同,另一方
20、面是由于关注的安全价值不相同。信息安全企业要全面、系统地认识信息化的安全问题,将会开拓自己的眼界,看到更具有潜在市场价值领域,不断扩大企业的市场规模,而不至把企业的服务范围限制在一个封闭的狭窄空间内。开辟新的市场领域需要做多方面的准备,需要帮助用户了解这个新的市场的需求,同时,企业也需要做细致的技术准备,开发新的产品,提供新的深化服务。信息化安全领域应当永远地保持思考、发现和创新的渴望与追求,要不断地鼓励企业的敢为天下先的进取精神。需要特别注意的问题是国外在中国信息化安全市场提供安全产品,主要是从用户角度考虑的,在中国信息化安全市场中通常没有从国家、领域安全考虑的高水平的安全产品,尤其是平台化
21、的国外产品。2.1.1国家视角考察信息化安全问题鉴于中国所处的国际政治、经济、外交和军事环境,国家制定了信息化带动工业化的发展战略,反映出国家领导人对信息化安全非常重视。国家领导人关注国家主权意义上的受到侵害的网络行为、网络犯罪和网络恐怖主义行为,尤其是那些危害国家安全、社会稳定和文化侵蚀等方面的内容安全。同时,国家领导人也非常关注国家基础设施的宏观安全问题。国家领导人对信息化安全高度重视,对各领域信息化安全建设起到了巨大的推动作用。国家为了维护上述安全问题,建立相应的具备更加强大的职能的运行机构。我国政府负责安全工作的部门对于密码、涉密网络与公共网络隔离、对信息化安全技术、产品和服务进行测评
22、认证和市场准入应当理解为代表国家提出的安全要求。作为信息产业部门管理信息化应当划分成两大类:即政府管理类信息化产品与系统(GOTS)和商用产品与系统管理类别(COTS)。目前在这方面管理尚没有统一管理条例和制度之前,各政府部门可以考虑制定自己的管理条例。2.1.2领域视角考察信息化安全问题领域主管部门首先承担国家关注的网络行为与内容安全责任,同时还承担着制定领域信息化安全标准(例如互操作性、安全性和服务性的用户标准体系)和技术法规的责任,也承担着建立领域政府管理类产品(GOTS)配置管理服务体系的职责。领域主管部门还应当十分关注领域范围内市场秩序的建立。但是,对于许多领域来说,上述方面的领域应
23、当关注的工作,目前开展得不是很好,缺少对领域信息化安全全面认识。当前,领域管理部门要特别关注包括安全标签在内的技术法规和领域标准制定工作。领域管理部门主要关心的领域发展与安全关系问题。有许多领域对其发展与安全之间的关系认识不清,认为关注信息化安全建设,影响了领域的发展。这些认识显然是错误的,产生这些认识的原因包括如下几个方面:1、有许多领域对于发展与安全之间的关系的认识有待提高,例如有些领域的主管部门提出“发展是最大的安全”或“不发展是最大的不安全”等的观点。虽然这些观点是正确的,但是对于具体指导信息化安全建设是不够的。应当实在地对领域中安全问题进行分析,分析那些对发展构成威胁的风险是什么,根
24、据实际情况对风险进行分类和排序,制定出领域信息化安全建设的发展规划,合理地使用资金。2、信息化安全问题的敏感性与许多部门负责人的工作业绩相关。出现了多方面的对信息化安全建设进行干预现象,有时这些干预是相互矛盾的。一个领域的信息化安全发展事业被许多部门与人的利益所污染和损害。一个领域的信息化的事业发展规划变成了针对部门与人际关系的规划,严重地阻碍了信息化安全事业的发展。为了解决这些问题,有时又必须采取迂回的方法,通过不断地沟通和创造变化的条件取得认识上进步。3、一些企业利益集团的反对。有些企业提供的信息化产品与技术,不包括信息化安全方面的内容,提出信息化安全要求后,这些企业认为增加了企业的成本或
25、者丧失竞争优势,游说领域主管部门,安全建设影响了他们的发展目标和企业的利益。这些企业利益集团包括一些国外的公司。2.1.3企业视角考察信息化安全问题运营商通过实施领域信息化安全标准(例如互操作性、安全性和服务性的用户标准体系)和技术法规,来体现出对国家关注的网络行为、内容安全、安全生产、业务连续性服务、网络安全问题和用户关注的安全问题的解决,同时接受国家和领域对安全问题的监管。实施信息化建设将越来越要求对企业业务与技术组织体系结构进行改革,实现管理层次的扁平化、时空聚焦化的低管理成本效益。当现代企业领导人在不认识信息化对企业提高企业竞争能力帮助,不明确适合信息化的业务与技术组织体系结构和信息化
26、可能带来的负面的作用有方案能够抑制(例如企业知识产权和企业员工在上班时间做非预期的工作)之前,有见识的企业领导人是不会匆忙上信息化的。从这个意义上看,信息化安全建设必须与企业的风险监管信息化结合起来,这种结合是促进企业信息化事业发展的因素。所以,企业应当关注业务运营系统安全建设。从事信息化安全的企业,要了解企业领导人关注的问题,才会不断扩展信息化安全建设的市场。2.1.4技术保障部门视角考察信息化安全问题近10年来开展的信息化安全建设主要是针对技术支持部门关注的网络与系统的安全问题,也是专家们关注的安全问题,主要包括计算机病毒、黑客入侵、非法访问、蓄意代码等网络攻击事件引起的安全问题。技术保障
27、部门关注的焦点是信息化系统的正常运行。在数据与系统(软硬件、网络等)安全保障上能够做到具有安全防护,便于安全管理,不仅进行了局域网范围的安全保障建设,同时也考虑“大范围的网络环境的”安全建设。在安全应急处理方面,能够确保业务连续性;在安全监管方面,实现了针对行为与内容的监管,实现可信网络平台(TNP)建设。在企业进行业务与技术组织体系结构调整时,要区别技术保障部门和风险监管部门的差别。风险监管中心应当属于一种业务组织机构,作为运营中心工作。2.1.5用户视角考察信息化安全问题用户关注的安全主要是:隐私防护、权益维护、信息安全和可信接入等问题。我国信息安全企业对普通用户的信息安全问题关心的不够。
28、在国家和基础设施关注的信息化安全得到了普遍的重视,但是在中国还要特别注意关注普通百姓的信息化安全问题,尤其关系到政府、企业面对社会的服务系统要特别注意安全问题,在一个越来越重视人权、民主的现代社会里,应当得到特别的重视,否则会面对严重的社会问题和法律问题。例如在发达国家,我们可以看到一些面向公众的社会服务系统(例如银行信用卡系统等)都具有非常高的安全保护就是例证。为了解决用户关注的安全问题,信息安全企业应当对公共网络可信接入专用网络的服务、信息客体在网络中传输的安全保障、标签路由与交换通信、信息安全标签、无第三方认证密钥管理和活性客体传输机制等提供服务和支持。2.1.6必须关注信息化安全服务的
29、综合性、高技术性和对策性特点信息安全产业有其鲜明的特点,虽然产生于信息化和信息系统,依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训,通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统,其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务,无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说,信息化安全服务是世界上最伟大的服务业,也是最困难
30、的服务业。信息化安全的环境性。信息化安全产品与系统不是孤立存在和使用的,产品与系统使用的好坏及其效果与它们所处环境密切相关。这种与环境的相关性大大增加了信息化安全服务的难度。信息化安全服务的主体性、客户性和可信性。信息化安全不是单纯地提供一些安全产品与系统,不能采用同样的产品与系统服务于各种不同的用户,商会在2002年调研报告中谈到发展策略时,第一个提出的对策就是“客户化”。这种客户化要求不仅仅是由于不同行业与领域对信息化安全的要求不同,而且面对的威胁性质也可能不同,更重要的是信息化安全责任与效益也要求有针对性的服务。信息化安全服务提供的产品与系统发挥作用了吗?这个问题始终是用户关注的问题。如
31、何做到让用户对企业提供的安全产品与系统具有可信性认可是信息化安全服务极其重要的问题。我们需要再一次的呼吁企业与用户注意,提供信息化安全服务功能和能力与为用户建立可信性的服务是两类不同性质的服务。不能提供客户化和可信性服务的安全企业必将要丧失其客户群或市场领地。 信息化安全服务有很强的时间性、变化性、及时性、动态性、非成熟性和对策性。通常的IT产品服务主要是面对产品的可靠性和应用培训中产生的问题进行服务,这种服务结构总体来说是静态的,是完全预期的。现代计算机服务中,已经有相当的服务内容是由于计算机病毒、黑客入侵等造成的,这些服务已经不是计算机产品的供应尚能够服务的,而是信息安全企业提供的。这种危
32、害计算机应用的攻击还在不断地翻新,新的威胁几乎天天发生。一个信息化安全产品的供应商,不能象普通的计算机产品的供应商那样,必须面对不断发生的新问题,为用户提供新的服务内容。凡是依照传统的计算机产品和应用软件供应商的服务模式提供信息化安全服务的,不可能得到用户的满意,如果不调整其服务策略,必然会丧失市场。信息化安全服务的复杂性、综合性、深入性和高技术性。信息化安全的复杂性和综合性涉及到通信、计算机、外部设备、硬件、BIOS、操作系统、数据库系统、应用软件、系统体系结构、系统与网络防护体系、系统和网络的检测与监控体系、系统与网络备份体系、系统的应用与操作、系统与网络的管理等。上述范畴的每一项服务都是
33、技术性很强的业务工作,何况还要涉及诸多方面的服务呢!商会在2002年调研报告中谈到发展策略时,提出的第二个“平台化”对策就是基于这种复杂性和综合性认识的。信息化安全服务的深入性是指威胁与防护都要对系统与网络的脆弱性有深刻的了解,对系统和网络非常熟悉的使用和长时间的接触。信息化安全服务另一个高技术性表现在服务的远程化、代理化发展趋势的要求,商会在2002年调研报告中谈到发展策略时,提出的第三个对策是“服务高技术化”就是基于这种认识的。信息化安全服务的高成本性。经过商会的多年调研,信息化中的安全建设大约占有15%到20%的项目投入。这个投入如此之大,不能理解为信息化安全仅仅购买信息化安全产品或系统
34、。根据我们统计,购买信息化安全产品费用一般在5%到10%左右,而信息化的安全服务费用大约在5%到15%,这主要是由于信息系统复杂程度差距较大,安全服务的成本差别也较大。但是,我们可以看出信息化安全服务大约在信息化安全建设中占有50%的份额,而我们知道一般的信息化服务只占信息化项目建设费用的10%左右,可见信息化安全服务与一般信息化服务的成本之间的较大差别。信息化安全产品与系统的用户除采购产品本身之外,还必须采购其服务,否则根据上面的分析,信息化安全产品与系统的采购将会变得毫无意义。那麽,企图只考虑兜售产品与系统而不为用户提供安全服务的企业,显然是一种没有实力的或对用户安全不负责的企业。一个用户
35、如果如此购买信息化安全产品与系统,该用户至少是对信息化安全的特点没有认识,或者说也是对自己不负责任。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和代理化的推进方面做出不懈努力,不断降低服务成本。正由于信息化安全服务的上述特性,商会正在积极调整和建议一些企业专门从事信息化安全服务,也正是这个原因商会严厉的批评不关注信息化安全服务、只管销售所谓安全产品和对客户毫不负责的企业。2.1.7信息化安全认识要与时俱进信息化安全认识必须以与时俱进的态度进行调整,这是信息化安全建设的大问题,不仅企业需要改进对信息化安全的认识,信息化主管部门也应当适时地调整信息化安全的概念体系,增
36、强责任、危机和全局意识。例如如何划分系统和网络安全等级的问题,有几种视点:依照网络传输信息安全要求来划分网络安全级别;依照系统和网络提供安全防护服务能力等级划分系统和网络安全级别;依照系统和网络中可信性的级别来划分系统和网络的安全级别。只要把这些问题提出来,一个比较认真对待问题的人士,一定会区别它们之间的差别。在有些情况下,可以考虑依照网络传输信息安全要求划分其安全级别;在另一些情况下,可以考虑依照系统和网络提供安全防护服务能力等级划分其安全级别;但是,无论怎样划分安全等级,都必须依照系统和网络的可信性的级别来划分其安全设施发挥作用的“心中有数”程度;如果有了上述三种分类认识,在研究信息化安全
37、标准和制定信息化技术法规方面就会有一个明确的认识体系。再例如如何看待信息化安全标准问题。信息化安全标准不能看成僵死的东西,信息化安全的许多标准随着信息化发展,出现了非满足和不适应的新问题。例如TCSEC是1985年美国国防部提出的标准,这个标准连带它的许多附加文件,对于单一计算机和操作系统的安全建设起到过很好的指导作用。这个标准划分等级原则是依据系统提供的安全服务能力的的等级来确定的,尤其其中的“授权可信”的安全概念需要进行调整,做到对身份授权与行为可信的双重关注;改变把信息安全质量评估等级和安全功能强度等级混合在一个等级划分标准系列内而存在可操作性问题的局面。TCSEC这个标准对于信息系统、
38、网络、通信、微电子等信息产品存在着相当程度的不适合性,更谈不上将这个标准作为整个信息技术或信息化的安全标准。例如如何看待信息化安全的技术法规与条例的问题。信息化新技术的发展和信息化安全威胁变化促使信息化安全认识必须与时俱进。一个信息化安全的法规和条例是在其出台的历史环境和相应认识上制定的,随着信息化建设发展,出现了一些新问题和新情况,这种发展变化要求法规与条例进行修改;同时,法规与条理出台后,在实践中也必然会发现一些与客观环境不适合的问题,也需要在实践的基础上对法规与条例进行修改。例如,我国对于政府网络的安全划分长时期是依据系统和网络中传输信息的安全级别(绝密、机密、秘密、内部和公开)划分为核
39、密、普密和商密的。这样划分对非信息化时代曾经发挥过很好的作用,在信息化时代这种划分原则遇到了比较严重的挑战,显然围绕着如此划分系统和网络安全技术法规应当做些修改和调整,更加需要增加对网络可信性的监管或监控能力,如何调整是一个复杂的问题,需要认真研究和对待。2.2国家信息化安全市场分类本白皮书讨论的信息化安全市场分类为如下的五个方面:l 国家基础设施信息化安全领域l 电子政务安全领域l 电子商务安全领域l 产业信息化安全领域l 城市信息化(包括人民生活信息化)安全领域2.3国家基础设施信息化安全建设情况国家基础设施是指保证国家政治、经济、国防和社会各领域有效运行的基础设施,涉及电信、广电、金融、
40、电力、能源、民航、交通、政府、国防等国家系统和资产,其中国家信息基础设施是国家基础设施的重要组成部分。信息基础设施是20世纪90年代提出的概念。信息基础设施是指信息范围内的跨领域、支持承载服务的公共环境,通常包括网络通信系统、计算机网络、计算机系统和应用支持服务系统。国家信息基础设施(称之为NII)是指由国家使用并实现政府公务或经济活动的信息基础设施的联合体,NII应当是国防 、金融、电力、工业、商业、政府等范畴内信息基础设施的组合,例如,国防信息基础设施(称之为DII)、金融信息基础设施(称之为FII)等。在本白皮书中主要对信息化及其安全建设需求强劲的国家基础设施领域进行讨论,主要包括:电信
41、、广电、银行、证券、电力、铁路、交通、民航、政法和国防。目前,国家基础设施信息化安全建设仅仅是开始,对于大多数领域,当前主要问题依然是增强信息化安全建设的责任与危机意识,提高信息化安全认识,建立信息化安全建设高起点,对信息化安全建设需要做一个前瞻性的建设规划,建立一套安全、可信的信息系统。2.3.1 电信网络与电信业务信息化安全建设情况经济全球化、区域集团化的发展要求实现全球和区域实现一体化的应用平台。全球、区域和国家为此研究GII、NII信息基础设施的建设。GII、NII目前主要讨论通信网络、电视网络和计算机网络的多网融合发展。面向21世纪的网络服务和业务平台是一个基于多种通信体制,集电信、
42、电视、监控和计算机网络为一体的,多网融合的信息平台。每个行业在发展综合业务时都遇到了当前克服不了的困难,这些困难包括技术体制的,也包括当前用户接入网络的现实和用户的终端设备与其综合业务的发展无法配合的问题。因此业务逐渐从综合走向融合。我国电信行业的信息化与安全建设在全国范围内是走在前面的,其信息化安全建设得到多方面的重视。我国电信网络安全任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全保障、安全监管、安全应急和安全威慑。主要包括网络系统安全建设、电信业务信息化安全建设、网络内容与行为的安全建设和用户关注的电信网络安全建设等方面。这些安全建设对于不同
43、的领导层面关注的情况是不相同的。例如作为政府领导关注电信安全,主要是关注网络中的行为与内容的安全,其焦点重要在这些行为与内容对国家安全和社会稳定的影响。作为信息产业的管理部门,主要关心整个信息产业的发展与安全关系问题,关心电信行业运营市场秩序,关心领域的互操作性和安全性两者之关系。作为电信运营商的领导重要关注信息化与信息安全建设对运营的技术与业务组织体系结构的影响,求得企业价值最大化和风险最小化的平衡,实现风险价值化的有效评估。对电信运营技术支持部门重要关注的电信网络与系统的安全。而对于电信系统用户关注的安全主要是信息安全和公共网络可信接入用户专用网络问题。应当特别引起注意的是上述的信息化安全
44、建设存在着越来越严重的交叉问题。1、网络行为与内容的安全情况电信网络的行为与内容安全已经显现出来,而且会越来越突出,尤其在考虑恐怖主义和信息战的威胁,网络行为与内容安全将会变得越来越重要。这种安全威胁主要表现在:l 网络犯罪行为、恐怖行为和军事行为的威胁。l 网络内容攻击,包括利用传统媒体(广播、电视、信件)、电话(包括IP电话)、电子邮件、聊天室(ICQ、QQ)、板报(BBS)、论坛、个人主页、专用网站、垃圾邮件以及短信息群发等实施攻击,当前主要问题是法轮功、黄色、反动网站问题。这些问题关系到国家政权、社会的稳定。我国社会公共网络的安全管理工作取得了显著的成绩,但是还面临着对网络行为与内容监
45、管的艰巨任务。2、领域关注的安全情况。总体上讲电信领域的安全意识还比较淡漠,需要加强。表现在电信网络管理“七国八制”局面虽然有所改善,依然存在较大问题;电信网络互联、互通和互操作问题突出;在解决互操作性问题中,安全问题没有得到充分重视;国家许多电信网络在建设初期就没有建立网络监控体系,实现网络监控业务,欠帐太大,目前还没有看到改变的计划;电信网络长期重视传输效率与质量,缺少对安全因素引入对网络机制机理的研究;传输、信令、管理、运营信息化出现相互交叉造成的安全问题。 另外对于电信领域急需制定的安全性、互操作性和服务性标准系列,缺少整体规划。对于相应的技术法规制定工作,不能令业界满意。电信领域主管
46、部门主要关心的发展与安全关系问题需要有更加全面的认识。3、电信业务运营信息化安全情况电信业务运营信息化主要是指电信业务运营、管理、计费、销售、市场、开发、维护、培训等方面的信息化建设。这些信息化建设遇到的安全问题是典型的计算机网络的安全问题,是当前电信领域信息化安全建设的一个主要方面。4、电信网络系统安全情况电信网络系统安全建设是近期被关注的建设内容。主要是对电信的传输网络、信令系统和管理网络施行安全建设。电信网络面对的威胁包括:l 对基础设施网络带宽资源的攻击。插播攻击、拥塞或干扰攻击、海量通信攻击、偷用服务攻击、拒绝服务攻击、隐蔽通道攻击、传输分析攻击等、l 对网络管理通信和通信的信令系统
47、的攻击。例如,攻击通信的控制命令体系,修改对网络设备的操作命令。资源不可利用。l 对基础设施的网管中心(NMC)、管制中心、调度中心、通信中心与信息中心的攻击(要特别注意防范外包服务的网络远程服务攻击)。l 对基础设施设备破坏或接管控制性质的攻击,失去网络基础设施控制(要特别注意外包服务的网络远程服务攻击)。我国信息基础设施网络安全建设投入在全国来说是最大的,几年取得较大成绩,但是如下的一些问题依然应当引起注意:l 我国许多通信系统采用了GPS的时统进行同步,对我国通信系统安全存在很大隐患。l 网络的管理、信令系统的安全建设有待进一步加强。l 对网络插播攻击问题缺少检测、定位能力。对公网与专网之间的隔离情况缺少检测能力。l 对网络大规模入侵检测和防护缺少应对能力。l 对网络安全缺少全局的管理、指挥、监控、调度与协调能力。5、用户关注的电信网络安全情况电信系统用户关注的安全主要是信息安全和公共网络可信接入用户专用网络问题。但是电信行业对用户希望提供的这些安全服务要求太缺少,或者说基本上还属于空白。针对上述问题可以做如下的建议:l 电信运营商建立功能强大的网络管理中心。建立功能强大的网络管理中心,这个中心要对内容检查、系统管理、网络管理、
限制150内