电子政务建设：国家信息化安全建设发展战略思考

今天是 2008年9月7日星期日

电子商务直通车 --> 文章分类 --> 电子政务研究 --> 电子政务分析 --> 电子政务建设：国家信息化安全建设发展战略思考
电子政务建设：国家信息化安全建设发展战略思考电子商务直通车发表时间：2004年12月15日信息来源：中国电子政务信息网
一、信息与网络安全的重要性与严峻性　　1. 党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展。同时要求强化信息网络安全保障体系。　　2. 江泽民总书记在最近中共中央举办的法制讲座上指出：“信息网络化的发展也给我们的政府管理和社会管理提出了新的问题。比如，网上一些迷信、色情、暴力和其他有害信息的传播，对人民群众尤其是青少年的身心健康造成很大危害；网络违法犯罪行为日益突出，网上诈骗等违法活动，干扰了市场的有序运行。对保证我们国家的信息安全等问题，必须进一步研究和采取切实有效的措施。” 　　3. 朱镕基总理在扬州发生的一起利用遥控发射装置侵入银行、盗窍巨款案件的报告上批示：“这是一个信号，我们的银行要抓电脑技术，不能滞后在犯罪分子的后面。” 　　·信息是社会发展需要的战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给以极大的关注与投入。　　·网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题它不但是发挥信息革命事业带来的高效率、高效益的有力保证，而且是对抗霸权主义、抵御信息侵略的重要屏障，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。　　·网络信息安全问题如果解决不好将全方位地危及我国政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。　　·我国信息化建设需要的大量基础设备依靠国外引进，无法保证我们的安全利用和有效监控。因此，解决我国的信息安全问题不能依靠外国，只能走独立自主的发展道路。　　·目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。要用我国自己的安全设备加强信息与网络的安全性，需要大力发展基于自主技术的信息安全产业，而自主技术的发展又必须从信息与网络安全的基础研究着手，全面提高创新能力。　　·当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏洞，以致宏观安全体系研究上的投入严重不足，这样做是不能从根本上解决问题的，急需从安全体系结构整体的高度开展强有力的研究工作，从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑，并为信息与网络安全的工程奠定坚实的基础，推动我国信息安全业的发展。　　二、国内外信息安全现状和发展趋势　　世界各国都在努力…… 　　·各国政府都在进行信息安全管理工作规范化和制度化，使网络控制、信息控制、信息资源管理、黑客攻击的防网络犯罪的打击和泄密的防范上既有法可依，又有技术的支撑。　　·各国政府普遍意识到信息安全风险对其国家利益可能带来的威胁，因此都在为自身的安全进行努力。　　·各国政府都在立法、组织体系、基础设施保障、技术研发、经费保障、人才培养、意识教育等方面进行大量的工作。　　美国　　·计划：在PDD-63基础上，发布了《保护美国计算机空间》　　·组织：建立了信息安全管理的完整的组织体系：保护关键基础设施总统委员会、国家基础设施保障委员会、国家安全局、国家基础设施防护中心等。　　·设施：建立了完备的国家信息安全的基础设施。　　·资金：持续增长的财政拨款。　　·技术：支持基础技术与关键技术的研究。　　·人才；人力资源的培养。　　·立法：与国会密切合作，推动有关网络和计算机安全的立法进程。　　美国信息系统国家保护计划的目标　　·准备和防范　　·内容1：确认关键基础设施资产以及互依赖性，发现其脆弱性。　　·检测和响应　　·内容2：检测攻击和非法入侵　　·内容3：开发稳健的情报和执法功能，保持与法律的一致。　　·内容4：以实时的方式共享攻击警报和信息　　·内容5：建立响应、重建和恢复能力。　　·建立牢固的根基　　·内容6：为支持内容1-5，加强研究和开发。　　·内容7：培训和雇用足够数量的信息安全专家。　　·内容8：进行推广，使美国人民知晓提高计算机安全的必要性　　·内容9：通过立法和拨款，支持内容1-8。　　·内容10：在计划的每一步骤和每一部分中，要完全保护美国公民的自由权、隐私权以及私有数据。　　俄罗斯　　·1995年颁布了《联邦信息、信息化和和信息保护法》。　　·法规强调了国家在建立信息资源和信息化中的责任是“旨在完成俄联邦社会和经济发展的战略、战役任务，提供高效益、高质量的信息保障创造条件”。　　·法规中明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。　　·2000年，普京总统批准了《国家信息安全学说》　　·明确了联邦信息安全建设的目的、任务、原则和主要内容。　　·第一次明确指出了俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。　　德国　　·德国是欧洲信息技术最发达的国家，其电子信息和通讯服务已涉及该国所有经济和生活领域。由于因特网在电脑信息和通讯服务行业中的重要性，德国政府在其发展的初始阶段即对其立法进行规范。　　·1996年夏，德国政府出台了《信息和通讯服务规范法》，即《多媒体法》。此外，该国政府还通过了电信服务数据保护法，并根据发展信息和通讯服务的需要对刑法法典、治安法、传播危害青少年文字法、著作权法和报价法作了必要的修改和补充。　　法国　　·作为欧洲大陆的主要国家之一，在因特网的使用上却起步较晚。但在意识到因特网的重要性及其存在的问题之后，法国政府积极地关注因特网的发展并制定了有关法律。　　·与国会密切合作，推动有关网络和计算机安全的立法进程。从建设有法国特色信息社会的战略高度认识网络管理。　　·若斯潘总理提出了法国“必须进入信息社会”的目标，在保护网络安全与国民利益方面，在保护信息用户的隐私方面，保护电子交易的安全性和适应性，在与有害的内容和网络上犯罪做斗争、净化因特网空间方面，法国政府都做了大量的工作。　　·建立由政府引导的多层次信息网络管理模式：决策层、执行层、技术层及产业层共同组成的信息网络安全管理体系。　　日本　　·日本政府已将信息安全问题从防范一般性高技术犯罪提升到保障国家安全的层面，从国家利益的高度强调信息化发展和信息安全问题。　　新加坡　　·早在1996年，宣布对互联网络实行管制，宣布实施分类许可证制度。该制度是一种自动取得许可证的制度，目的是鼓励正当使用互联网络，促进其在新加坡的健康发展，它依据计算机空间的最基本标准谋求保护网络用户，尤其是年轻人，免受非法和不健康的信息传播之害。　　·新加坡新闻与艺术部还成立了一个“全国互联网络咨询委员会”，以便处理有关互联网络的电子信息服务的事务。　　我国研究现状和发展趋势：　　·为适应信息安全和网络安全的发展形势，我国政府制定了一系列基本的管理办法。　　·“中华人民共和国计算机安全保护条例” 　　·“中华人民共和国商用密码管理条例” 　　·“中华人民共和国计算机信息网络国际联网管理暂行办法” 　　·“于对国际联网的计算机信息系统进行备案工作的通知” 　　·“计算机信息网络国际联网安全保护管理办法”等。　　·在刑法的修订中，增加了有关计算机犯罪的条款。　　·关于信息安全的立法和法规的逐步完善，促进了信息安全产业的发展。　　可喜的一面　　·信息发展的大环境日臻完善　　·政府重视　　·最近成立了国家信息化领导小组，朱镕基总理任组长，胡锦涛、李岚清、丁关根、吴邦国、曾培炎任副组长，兼任办公室主任，下设信息安全管理小组等4个司局级机构。　　·国家领导人多次发出有关信息安全和网络安全的指示，主管部门作了大量实质性的工作。　　·在国家技术监督局和其它主管部门的指导下，我国与国际标准接轨的信息安全与网络安全技术和产品标准陆续出台，安全产品检测证机构相继成立，我国信息安全产品的规范化进程已经纳入轨道。　　·建立了全国信息技术标准化技术委员会信息技术安全分技术委员会。　　·经国家技术监督局和公安部授权，成立了公安部计算机信息系统安全产品质量监督检验中心。　　·有一批致力于我国信息安全事业的研究机构与公司在从事信息安全基础研究、技术开发与技术服务工作。　　·一批学校成立了研究所、系科和教研室　　·目前注册的信息安全公司或具有安全经营项目的公司约350多家　　·以高强度密码算法和防火墙产品为龙头，我国信息安全产业的发展已成雏形。　　·截止今年上半年，通过公安部计算机信息系统安全产品质量监督检验中心检测通过的产品有13大类420种，具有一定的规模。　　·我国的网络信息安全研究毕竟已具备了一定的基础和条件，尤其是在密码学研究方面积累多，基础较好，只要国家重视，加大投入，恰当组织，可以取得实质性进展，不仅能构筑我国信息与网络安全防线，而且在国际上也能占领一席之地。　　·安全需求逐步增加，安全市场有一定的起色。　　·2000年，我国约不到5亿元人民币的安全市场。　　·2001年，安全工程明显增加，可望达50亿元人民币的安全市场。　　存在的问题　　·安全威胁与风险初见端倪　　·大量网站被黑，特别是5月份红黑大战期间较为严重。　　·网上内容安全犹为突出：法轮功、失泄密、窃密。　　·银行、证券等金融系统问题突出。　　·内部人员，内外勾结违法犯罪严重。　　存在的问题　　·整体安全防范技术水平低下。　　·对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。　　·基础信息产业薄弱，严重依赖国外。　　·技术创新不够，安全技术、安全产品低水平重复　　·缺乏技术创新，安全产品处于水平重复状态。　　·缺乏足够的资金投入，支持信息安全基础研究与关键技术研究。　　·缺乏市场需求，市场需求是影响我国信息安全产业发展的关键。　　·法制建设不健全，依法管理力度不够。　　·立法不够、严重滞后。　　·有法不依、执法不严。　　·国家信息安全管理机构缺乏权威，协调不够。　　·多重领导，缺乏权威。　　·信息安全基础设施建设不够。　　·信息安全意识缺乏。　　信息与网络安全的发展进程：　　通信安全→信息安全→信息保障。　　战略目标与任务　　·信息安全的国家战略目标：　　·保证国民经济基础设施的信息安全，抵御有关国家、地区、集团可能对我实施“信息战”的威胁和打击以及国内外的高技术犯罪，保障国家安全、社会稳定和经济发展。　　·信息安全战略防御的重点任务：　　·国民经济中的国家关键基础设施，包括金融、银行、税收、能源生产储备、粮油生产储备、水电汽供应、交通运输、邮电通信、广播电视、商业贸易等国家关键基础设施。　　·重中之重是支持这些设施运作的信息安全基础设施建设。　　加快信息安全立法，建立信息安全法制体系　　·应该加快有关法规的研究，及早建立并完善我国信息安全的法规体系。　　·建议首先考虑制订以下法规：信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息教育法、电子信息进出境法。　　·依法治网，依法管网　　·有法可依，有法必依　　建立国家信息安全组织管理体系，加强国家信息安全机构及职能　　·加强组织管理体系建设，建立高效能的、职责分工明确的行政管理和业务组织体系。　　·国家信息领导小组确定国家信息安全的重大决策，发布国家信息安全政策，批准国家信息安全规划，对国家面临的重大国家信息安全紧急事件作出决断。　　·国信安办　　·公安部　　·国家安全部　　·国家密码管理委员会　　·国家保密局　　·军队有关部门建立国家信息安全保障基础设施　　·建立国家信息安全基础保障体系　　·风险管理、入侵检测、内容安全与监管…… 　　·建立国家安全事件应急响应体系　　·病毒、安全事件、国际协同…… 　　·在国家执法部门建立高技术刑事侦察队伍，提高对高技术犯罪的预防和侦破能力。　　·建立国家信息安全认证体系　　·产品、资质…… 　　建立国家信息安全技术保障体系　　·必须在信息安全技术保障体系中定义对一个系统进行信息保障的过程，以及对该系统中硬件和软件部件的安全需求。遵循这些原则，就可以对信息基础设施做到多层的防护，也可以称为“深度保卫战略”。深度保卫战略的四个主要技术焦点领域分别为：保卫网络和基础设施、保卫边界、保卫计算环境以及基础设施提供支持。 ·保卫网络和基础设施包括三个方面：主干网络的可用性、无线网络安全框架、系统互连和虚拟私有网(VPN)。　　·保卫边界包括三个方面：网络登录保护、远程访问、多级安全。　　·保卫计算环境包括两个方面；终端用户环境和系统应用程序的安全　　·支撑基础设施包括两个方面：密钥管理基础设施/公共密钥基础设施(KMI/PKI)，检测和响应。　　·信息保障依赖于人、操作和技术来实现一个组织的职能/业务运作，对技术/信息基础设施的管理也离不开这三个因素。稳键的信息障状态意味着信息保障的政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上都得到实施。深度保卫战略的几个主要方面　　建立国家信息安全经费保障体系，增大信息安全投入　　·信息安全设备设施的研制需要高强度的奖金投入，建议通过国家投入、部门投入和社会融资的途径筹措。　　·国民经济信息化的信息安全不能完全依赖国家投入，它有可能成为投资的新热点，如何运用市场机制调动社会奖金，走信息安全产业化的发展道路是值得探讨的问题。信息安全又是敏感领域，国家需要加强对这一未来产业的控股，从而控制技术、控制经营管理权。　　·行政拨款：对信息安全管理、基础设施、技术研发与人才培养的行政拨款。　　·融资制度：建立国家信息安全专项融资制度。　　·政策导向：政策引导我国安全市场，增加需求，扩大对自主版权的高性能的安全产品的采购，促进我国信息安全产品的发展。　　·优惠与扶植政策：减免税收等。　　·信息安全保障基金。　　高度重视人才培养，建立信息安全人才培养体系　　·体系　　·建立信息安全学科，加强正规信息安全的本科、硕士和博士学历教育　　·职业培训，信息安全就业培训、岗位培训、证书培训和职务培训等　　·类别　　·公检法信息安全“执业”人才　　·组织决策管理人才　　·安全技术开发人才　　·技术服务(集成、咨询)人才培养　　·全民安全意识教育　　·培训课程体系　　建立信息安全评测标准　　·80年代，美国国防部在计算机保密模型(Bell&la Padula模型)的基础上，制订了“可信计算机系统安全评价准则”(TCSEC)，其后又制订了关于网络系统，数据库等方面的系列安全解释。形成了安全信息系统体系结构的最早原则，将计算机安全按从低到高顺序分为四等八级：D，C1，B1，B2，B，A1，超A1。　　·90年代初，英、法、德、荷四国联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)。　　·近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC)。1999年5月，国际标准化组织和国际电联(ISO/IEC)通过了将CC标准作为国际标准ISO/IEC15408信息技术安全评估准则的最后文本。　　·CC标准充分突出“保护轮廓(PP)”，将评估过程分为“功能”和“保证”两部分。为了能够有效的使用安全功能需求和安全保证需求，CC标准还引入了“包(Package)”的概念，以提高已定义结果的可重用性。在“保证”部分中，以包的概念定义了7个安全认证级别(EAL)。并将评估等级分为从EAL1到EAL7共7级。每一级均需评估7个功能类，即配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评估。要落实到具体的需求ST。　　我国信息系统安全等级划分　　·由公安部提出并组织制定的强制性国家标准--《计算机信息系统安全保护等级划分准则》已于1999年9月13日经国家质量技术监督局发布，并于2000年1月1日起实施。　　·第一级：用户自主保护级；(对应C1级) 　　·第二级：系统审计保护级；(对应C2级) 　　·第三级：安全标记保护级；(对应B1级) 　　·第四级：结构化保护级；(对应B2级) 　　·第五级：访问验证保护级；(对应B3级) 　　信息安全产业是战略性核心产业　　·信息安全是维护国家安全和社会稳定的一个焦点；　　·信息安全将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面；　　·国家处于信息战和高度经济金融风险的威胁之中。　　独立自主发展信息安全产业将有力推进国家信息化进程　　·我国的信息安全技术落后，不能解决网络系统国家机密信息的安全保密问题。　　·进口安全设备受制于人，不仅不安全，存在缺陷和陷阱，而且高等级的安全产品国外禁止我们进口。　　·所建网络信息系统只能以行政手段，对使用作了种种限制，以防泄密，使信息系统不能充分发挥作用，严重制约着国家信息化的进程。　　·走独立自主的发展道路，大力发展自主技术的信息安全产业，用自己的安全设备加强信息与网络的安全性，使信息系统建得安全、用得放心，这将有力推进国家信息化建设的进程。　　发展信息安全产业将促进其它信息产业发展　　·信息安全产业包括硬件、软件和相关技术，它将与通信、计算机、网络等产品更新换代融为一体，构成信息系统。　　·安全的信息产品以集成电路为基础，组合成各种各样的安全电子原器件，应用于信息处理各个环节。　　·高安全等级的系统软件，如安全操作系统、安全数据库等，是重要的信息安全产品。　　·发展信息安全产业正面临一次难得的历史发展机遇。只要我们对策恰当，措施有力，充分利用已有的人才优势和巨大的国内市场，完全有可能抓住当前有利时机，把我国的信息安全产业振兴起来。　　我国信息安全产业的现状　　·我国的信息安全研究起步晚，产业化投入少，力量分散，与技术先进国家有差距，自主的信息安全设备不能满足国家信息化的需求。　　·据统计，我国信息化建设投资达5000亿元人民币，按用于信息安全投资占投资的5%计算，则需要有200亿元以上产值的产业规模，才能满足安全防护的需求。但是，我国目前信息安全产品产值约5亿元人民币(大约为美国的八百分之一)，远远满足不了国家信息化安全防护的需求。　　·然而我国的网络信息安全研究毕竟已具备了一定的基础和条件，尤其是作为信息安全的核心技术密码学研究方面积累较多，基础较好。　　·随着国家对信息安全的重视程度提高，加大投入，恰当组织，可以取得实质性进展。　　·目前已有不少研究单位和企业纷纷涉足信息安全技术研究和产品开发，形势喜人。　　影响我国信息安全产业发展的因素　　·全民信息安全意识失缺，各级领导重视不够。　　·管理不规范，标准不统一。　　·缺乏有效的产业投入。　　·信息安全企业税负重。　　发展思路　　·充分发挥政府的主导、先导作用，加强宏观调控。　　·以法规形式明确信息安全设施使用范围和采购政策，以需求带动产业发展。　　·抓住重点，自主渐进发展。　　·培育若干信息安全骨干企业和国产名牌产品。　　·坚持独立自主，创立新的安全体系。　　发展目标　　·近期目标　　·到2005年，在涉及国家安全、政府办公自动化以及金融、财税、通讯、教育等关键领域采用自主版权的安全设备的系统，基本不满足不同等级的安全保密要求；　　·在重要的信息系统中，安全建设投资达到总建设投资的10-15%；　　·在商用系统中，采用国产的安全产品和经过安全性增强的通用系统平台。　　·形成10个以上安全产品年销售收入超亿元的信息安全企业，力争年产值达到150亿元以上的产业规模。　　发展目标　　·远期目标　　·经过十年左右时间，实现信息安全产业规模化生产，形成解决各种复杂系统安全问题的能力，为保障国家信息化安全提供全部设备和系统；　　·形成一批具有国际一流水平的产品，使信息安全产业在信息产业中处于核心主导地位。　　发展重点　　·根据我国目前信息网络系统安全的薄弱环节，近几年应重点发展安全保护、安全检测与监控类产品，相应发展应急反应和灾难恢复类产品。　　·信息保密产品　　·用户认证授权产品　　·安全平台/系统　　·网络安全检测监控设备　　·应急反应和恢复　　发展对策　　·统一领导，宏观调控，促进发展。　　·抓法制，立标准，创造良好的产业发展环境。　　·国家增加对信息安全产业发展的资金投入，鼓励风险投资，创造良好的融资环境。　　·实行信息安全产品与军工产品等同的税务优惠政策。　　·建立信息安全技术创新体系，制订“新世纪目标的发展计划”，推动产业化发展。　　·稳定和吸引信息安全人才，发挥人才的积极性和创造性。　　结束语　　·信息安全是国家大事，必须强化我国信息安全保障体系，制定和实施国家信息安全保障战略计划是当务之急；　　·信息安全产业化是确保信息安全的国家重大举措，是推进国家信息化进程保障的物质基础，从战略高度大抓产业化；　　·强化我国信息安全保障体系，构建牢不可破的信息安全钢铁长城，是时代赋予我们的历史责任。　　作者：沈昌祥中国工程院院士
大部分文章摘自网上，如有侵犯您的权益请来信告知，我们会第一时间进行处理，谢谢!	[ 打印文章 ] [ 关闭窗口 ]