构建信息安全体系 推广自主可控产品

国际信息安全发展趋势

近几年来，国际信息安全领域动作频繁，各国政府、军队、相关企业成为该领域的主角。云计算、云安全、物联网、智慧地球、智能化安全产品、网络战等新概念、新技术和新产品纷纷粉墨登场，国际信息安全领域的发展呈现出一些新特点和新趋势。

技术发展关联性主动性显著加强

信息安全技术向完整、联动、快速响应的防护系统方向发展，采用系统化的思想和方法构建信息系统安全保障体系成为一种趋势，具有复杂性、动态性、可控性等特点。其中，复杂性体现在网络和系统的生存能力方面;动态性体现在主动实时防护能力方面，包括应急响应与数据恢复、病毒与垃圾信息防范、网络监控与安全管理;可控性则体现在网络和系统的自主可控能力方面，包括高安全等级系统、密码与认证授权、逆向分析与可控性等。

2010年，美国政府实施了一项代号为“完美公民”的信息安全防护项目，旨在保护政府重要基础设施或企业免遭黑客侵袭，国家安全局打算从电网、核电站、空中交通管理系统入手，大力部署网络安全的多层防御体系，最终全面介入基础设施;北约紧随其后拟建立3重安全防御体系“数字盾牌”。种种迹象预示着一种全新的信息安全战略即将实施。基础“有效保护”和“大规模报复”的主动防御技术的建立，使信息安全发展正在向主动防御进行根本性转变。正是由于采取了主动防御的安全策略，“美中经济与安全评估委员会”的一份年度报告表示，2010年可能是最近10年来针对计算机网络攻击最少的一年。

产品呈现高效系统集成化趋势

一方面，随着网络和信息技术的迅猛发展，各种信息安全产品必须不断提高其性能，方能满足高速海量数据环境下的信息安全需求;另一方面，随着网络和信息系统日趋复杂化，将信息安全技术依据一定的安全体系进行设计、整合和集成，从而达到综合防范的目的已成为一种必然趋势。因此，信息安全技术作为关键环节已融入信息系统和产品的设计和生产中，成为不可替代的一个独立模块，信息安全产品的集成化趋势日益显著。

产业形态向服务化方向发展

信息安全产业的发展逐步从当前的技术主导型转化到技术与服务并重型，并将成为产业发展新的增长点。随着产业整体发展的不断成熟和市场竞争的加剧，以及信息安全产品功能的趋同性和产品成本的不断下降，使得信息安全厂商的核心竞争力逐渐向服务领域集中，并带动信息安全市场向服务化方向发展。此外，信息系统复杂程度的不断提高和防护难度的不断加大，迫使信息系统用户不得不将信息安全服务外包，由此催生出一批专业化的信息安全服务公司。

技术和产品应用领域不断拓展

随着信息安全技术与产品的不断成熟和创新，在保证信息安全产业独立性的同时，其技术和产品的应用正迅速向经济社会的各个领域拓展，如基本虚拟化的云安全技术受到重视、云安全服务业务细分化、防火墙高速多功能化、入侵检测向趋势预测行为分析发展、网关安全和终端安全融合发展，以及下一代安全网关成为新热点等现象充分说明，信息安全技术和产品的应用早已不再局限于本领域范畴。

以云计算及其安全性问题为例，云计算从悄然兴起到蔚然成风，从概念讨论到务实应用，在短短几年内已成为信息产业最为活跃的研究领域，开辟了广阔的应用天地。各大IT公司纷纷宣布自己的云计算计划，加入到云计算技术的研发浪潮中。同时由于这一新兴技术与信息安全密切相关，也在信息安全领域产生了强烈反响。尽管云计算在研究应用方面还不成熟，但却开辟了信息安全领域的新方向，进一步拓展了信息安全技术的应用空间。

互联网空间成信息安全主战场

近年来，信息安全的主战场已经逐步转移到互联网空间，网络应用的迅速普及，使得网络成为当今世界信息传输和产生的主要载体，计算机网络和移动互联网的安全问题已成为信息安全领域的核心问题。当前，全球正处于网络空间战略的调整变革期，多个国家调整信息安全战略，明确网络空间战略地位，美、俄、英、法、德等国均公开表示将网络攻击列为国家安全的主要威胁之一，将采取包括外交、军事和经济在内的多种手段保障网络空间安全。

我国信息安全领域与国际先进水平存在差距

目前，我国已有大量的信息安全技术和产品投入实际应用，信息安全产业也初具规模。但国际信息安全领域已经从早期的通信保密阶段和信息安全阶段，发展到了目前的信息保障阶段。我国的信息安全在国家立法保障、组织监管以及技术产品方面与世界先进水平还有不小差距，与信息安全事关国家安全和经济社会发展的重要地位很不适应。

技术水平亟须提高

高水平的信息安全技术和产品是国家信息安全的基础和抓手。我国信息安全技术水平整体处于初级阶段，许多应用系统处于不设防状态。国防科技大学的一项研究表明，目前我国与互联网相连的95%的网络管理中心都遭到过境内外黑客的攻击或侵入。2011年12月，国内知名程序员网站CSDN的600万用户资料被泄露，并在网络上提供下载。随后“开心网”的用户资料数据库开始流传，“人人网”500万用户资料、“多玩游戏”800万用户资料、“7K7K小游戏”2000万用户资料相继出现在网上。

究其原因，核心技术标准的缺失，制约了我国信息安全技术领域的整体水平。信息安全技术的理论核心是现代密码学，涉及安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术，几乎所有安全产品均是以此为基础建立和衍生的。发达国家不但在分组密码和序列密码设计和分析方面已经非常成熟，而且更在加密算法的标准化方面做了大量的工作，构建出一套完善的信息安全技术标准。而我国虽然也设计了不少对称加密算法，但尚未形成具有自主知识产权的统一加密标准，国家层面的自主知识产权信息安全技术标准也未成形，这成为我国信息安全技术发展的瓶颈。目前，国内学术界和各有关方面正不懈努力，力争早日完成具有我国自主知识产权的信息安全技术标准。

整体技术水平的不足，直接导致了我国自主可控的信息安全技术和产品无法得到广泛运用。网络技术的无所不在，使得世界上任何一个个体都可能直接面对全球最高级别的安全威胁，在此背景下用户必然形成“只有最先进的才是安全的”的基本消费心态，由此导致我国自主可控的信息安全技术和产品难以得到大范围推广应用，产品无法在实践中得以检验，形成恶性循环。目前我国涉及信息安全核心技术的元器件、芯片、操作系统和大型软件等基础产品自主可控能力低，近70%的国民经济重要部门的信息设备来自国外。

管理体系亟须大力加强

高效有力的管理体系是国家信息安全的关键。发达国家高度重视信息安全领域的管理体系建设工作，如美国于1998年5月颁发了《保护美国关键基础设施》总统令(PDD-63)，并围绕信息安全成立了多个组织，包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构，各主要发达国家也都建立了完善的信息安全监管体系。

我国信息安全长期以来重建设轻管理，虽然整体发展速度十分迅猛，但管理相对滞后，存在着一定的职能交叉，使得管理体系力量分散，监管效果不理想，无法与快速发展的社会需求相适应，信息技术、信息管理和信息法制有机协调的作用还未充分显现出来。目前，涉及信息安全领域的种种问题饱受社会各界诟病，网络病毒、网络攻击、网络犯罪屡见不鲜，人们在网络上没有安全感，缺乏信任，单位信息、个人信息没有有效安全保护，政府在信息安全、秩序管理方面还缺乏统一有效的协调和监管。

因此，我们迫切需要根据国情，从安全体系整体着手，建立全方位的防护体系，加大管理力度和监管力度。只有这样，才能保证国家信息化的健康发展，确保国家安全和社会稳定。

立法工作需要完善

完备的法规体系是国家信息安全建设的前提和保障。美国于1998年制定了《信息保障技术框架》，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。2000年1月，美国发布了《保卫美国的计算机空间——保护信息系统的国家计划》，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划以及私营部门、州和地方政府的关键基础设施保障框架。

俄罗斯于1995年颁布了《联邦信息、信息化和信息保护法》。为提供高效益、高质量的信息保障创造条件，法规明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。1997年，俄罗斯出台的《俄罗斯国家安全构想》明确提出，“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重”。

随着国内信息技术的快速发展，我国也加快了国家信息安全立法保护的步伐。但目前我国还没有专门制定信息安全保障的专门性法律，只是在有关法律规定的条款中包含了对信息安全特别是网络安全危害行为的处理办法。如《宪法》、《刑法》、《国家安全法》、《反不正当法》、《国家保密法》、《著作权法》、《专利法》等。针对信息安全领域的部分具体问题，制定的一些法规有全国人大常委会《关于维护互联网安全的决定》、《中华人民共和国电子签名法》、国务院《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》等。

总的来说，我国关于信息安全的法规在数量上已有了一定规模，但其内容相互离散，且相关执法部门和管理部门分设在公安部、工业和信息化部、保密局、密码办等多个单位，在实际工作中无法有效形成国家层面独立的、系统化的信息安全法规体系。

对我国信息安全建设的建议

大力发展具有自主知识产权的信息安全技术产品，依靠自主创新，努力做到自主可控，实现我国重要信息安全系统技术和装备的国产化。

建立完善的国家信息安全战略

加强国家信息安全的战略对策研究，应建立和完善适应信息化发展的信息安全保障体系，全面提高国家信息安全保障能力，按照“积极防御、综合治理、科学发展、掌握主动”的方针，提高对信息安全的管理、防范、控制能力，确保基础网络、重要信息系统和信息内容的安全，促进国家信息化建设健康、稳步发展，维护国家安全、社会稳定和公众的合法权益。

在国家信息安全战略建设方面，关键要加快信息安全立法进度，完善信息安全立法体系。如前所述，我国在信息安全法律方面还有欠缺，而法律不但是信息安全领域的重要基石，也是安全体系中不可或缺的有机组成。因此，加快信息安全立法的步伐，制定专门的法律法规势在必行。

构建我国信息安全体系

随着信息化程度的深入，云计算、互联网、三网融合等新技术的兴起和产业变革，除了传统的病毒感染、网站被黑及资源滥用等，信息安全面临更新的、更复杂的挑战。基于信息安全面临的严峻形势和信息安全在国家战略层面的重要地位和作用，构建和完善我国信息安全系统尤为重要。

随着互联网技术的迅猛发展和我国信息化进程的加快，传统的监管方式越来越不适应新形势发展的需求。因此，我们要建立健全信息安全的各级各类监管机构，明确规定各部门的信息安全监管范畴和内容，建立和完善信息安全监管人才体系，培养和锻炼一批信息安全监管执法人才。此外，必须尽快完善关键领域、核心业务、重要信息系统的安全准入制度，加快构建互联网安全管理机制，从而提升信息系统的安全保障能力。

要坚持科学统筹，不断完善和加强各级政府对信息安全工作的领导，全面落实信息安全战略对策;加强信息安全基础性工作，增强信息安全保障的可持续发展能力;采取有效措施提高基础网络和重要信息系统的安全保障能力;加强信息网络违法犯罪打击和网络文化建设，提高对国家安全和社会稳定的信息安全保障能力。

推广应用自主可控安全技术产品

信息安全领域是一个永不停歇、没有国界、没有硝烟的战场，信息安全技术和产品就是这场战争中的武器装备，推广和使用正是其核心价值和本质所在。

面对日益严峻的信息安全问题，世界各发达国家均从国家立法、政策方面大力支持本国信息安全产品和产业，投入大量经费和人力物力推广和应用信息安全技术产品，以此作为确保其信息安全处于世界领先水平的重要手段。

目前，我国信息安全技术相对落后，技术优势与相关行业严重脱节，而且相关的软、硬件仍依赖进口，从源头上受制于人。当前我国重要信息安全系统仍采用国外的技术和装备，这对国家安全构成了潜在的威胁，由此所引发的安全事件屡屡发生。

在经济信息化、全球化和网络化的开放环境里，我国的信息安全形势必将愈发严峻，我们必须加强几方面的工作：一方面应大力发展具有自主知识产权的信息安全技术产品，依靠自主创新，努力做到自主可控，实现我国重要信息安全系统技术和装备的国产化。另一方面，要大力支持自主可控信息安全产品的推广和使用，不仅在事关国家信息安全的要害部门，更应在百姓的日常生活中大力推广和应用，尽可能取代国外的相关产品，在部分领域甚至应采取强制性措施，以确保我国家信息安全的关键信息不落入外敌之手。这样不仅可以为国家和人民的信息安全保驾护航，也能够为根本解决信息安全问题打下坚实的技术基础，提供完备的硬件设施。