论文部分内容阅读
信息安全保障在我国的需求日益扩大,逐渐成为人们关注的焦点。在信息安全技术推陈出新、信息安全产品市场趋于成熟的同时,信息安全自身的形态将发生怎样的变化?信息安全技术的发展将呈何种走势?在这个过程中,国家相应的政策法规又将扮演什么样的角色、产生什么样的影响?有关专家建议,要技术政策双管齐下。
7月18日,在由中国信息协会信息安全专业委员会主办、国家信息中心信息安全研究与服务中心协办的“‘十一五’信息安全发展趋势高峰论坛”上,许多到会主管部门领导、知名专家做了主题发言,内容涉及信息安全技术、信息系统等级保护工作、风险评估、信任体系以及电子政务建设等方面。
技术总是双刃剑
随着信息化的深入发展,信息安全的问题越来越突出。黑客技术发展迅速,攻击工具越来越丰富、攻击速度越来越快、攻击造成的损失越来越大,所有这些都对信息安全技术的发展提出了更高的要求。
我国信息安全保障工作从2003年的初步规划起,一路走来,发展至今,成效如何呢?由于政府主管部门的有力推进和规模化商用市场的形成等原因,我国在若干信息安全关键技术的研究开发和产业化方面,已经取得了一批较好的技术成果。特别是在“十五”期间,在863计划等国家计划的支持下,已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容的监控与处理等方面取得了较大的进展。据参加论坛的863专家组专家冯登国介绍,我国目前信息安全技术在密码技术、认证授权技术、信息产品逆向分析技术、网络内容安全监控技术、数字水印技术以及数据恢复技术等项技术上都有所突破甚至走在国际前列。
综观我国在信息安全技术领域的发展历史,不难看到,虽然取得了很多优秀成果,但仍存在一些问题,具体可总结为,第一,技术发展不平衡,比如对于某些热点技术,研究的单位、部门、人员很多、很集中,而另外一些领域却几乎无人问津,技术成果水平高低不一的现象,在领域对比上很突出;其次,研究方向不全面,如病毒技术在厂商中研究得很多、讨论得也很热,而国家的相关研究机构却少有研究,研究工作主要集中在某几个方向上而没有覆盖信息安全主要方向;第三,研究工作的系统性不强,如一些技术产品的升级换代研究以及产品的不同版本兼容性都存在很大欠缺,研究工作缺乏系统性和持久性;第四,研究与应用脱节,作为偏应用方面的工作需要企业和应用部门的共同参与,才能做出满足实际应用的高水平研究成果,而这方面的合作却很欠缺。冯登国专家指出,“总的来讲:缺乏信息安全关键技术的创新研究。”
我国的信息安全技术还面临着计算模型与计算能力、网络化与普适化、智能化与自动化、理论研究与显示需求的差异性等挑战。首先,当前的实用信息安全技术,特别是密码技术,和计算技术密切相关,其安全性本质上是计算安全性;而计算模型的演变目标则是追求更具表达能力、更符合人类思维模式、更具易构造性和易演化性的计算模型,相互之间有矛盾。至于网络化的挑战,可以看到,网络在给人类社会带来方便的同时,由于其开放性和共享性,也引发了很多安全问题,如网络病毒、网络攻击、网络恐怖、垃圾信息等等。美国CRA(Computing Research Association)总结的五项挑战之一就是,“创建无处不在的安全网”。网络化的挑战由此可见一斑。
其次,如同任何一项技术,信息技术也是一把双刃剑,带来方便的同时也带来了安全问题。例如,人们利用智能和自动化技术编写了大量的攻击工具、病毒、垃圾邮件等等。另外,网络攻击工具的智能化和自动化程度的提升,使得网络攻击更加容易、成本更低,以很小的开销就可以造成严重后果或影响,智能化与自动化在帮助解决信息安全问题的同时,也会加大解决问题的难度。
最后,理论与实际的差距也构成一大挑战。因为理论研究相对比较单纯、考虑因素和实验环境有限,这与现实世界的复杂多变、环境的恶劣形成鲜明对比。而人们的实际需求,特别是有时政府的要求是“万无一失”的,这就提出了安全的绝对性和紧迫性的要求。从人类认识角度来讲,安全是一个过程,只有相对安全,而没有绝对安全。这样,实际要求就与技术能够解决安全问题的有限性也就是安全的相对性之间存在着鸿沟。因此,如上四条挑战无疑是需要相关机构与部门考虑对策的。冯登国还指出信息安全技术“抽象化、可信化、网络化、标准化、集成化”的发展趋势,并指出我国信息安全保障体系建设的三方面需求,即自主创新能力、国际竞争力、政策优势。
政策保障已趋完备
自党的十六届四中全会后,国家已经把信息安全与政治安全、经济安全、文化安全放在同等重要的位置,对信息安全问题的重视,已经上升到了国家安全的高度,信息安全被列为与信息化建设同步进行的重要战略规划。其实,说到对信息安全技术的重视与战略需求,国家的3个政策文件,包括国务院于2006年2月9日发布的《国家中长期科学和技术发展规划纲要(2006-2020年)》、中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》以及《国家“十一五”信息安全科技发展规划要点》等,已经做了很好的阐述,足以说明信息安全技术的战略地位。其中,《国家中长期科学和技术发展规划纲要(2006-2020年)》中明确指出,“本世纪头20年,是我国经济社会发展的重要战略机遇期,也是科学技术发展的重要战略机遇期。”同时规划,“今后15年,科技工作的指导方针是:自主创新,重点跨越,支撑发展,引领未来。”该如何理解指导方针的十六个字呢?冯登国谈到,“自主创新就是从增强国家创新能力出发,加强原始创新、集成创新和引进消化吸收再创新。重点跨越是坚持有所为、有所不为,选择具有一定基础和优势、关系国计民生和国家安全的关键领域,集中力量、重点突破,实现跨越式发展。支撑发展是从现实的紧迫需求出发,着力突破重大关键、共性技术,支撑经济社会的持续协调发展。引领未来则是着眼长远,超前部署前沿技术和基础研究,创造新的市场需求,培育新兴产业,引领未来经济社会的发展。”由此,我们看到了国家对信息安全保障工作的前瞻性战略眼光。
2003年中办发27号文件《国家信息化领导关于加强信息安全保障工作的意见》的发布,明确了我国信息安全保障工作的指导方针、基本原则和主要任务,确立了用5年左右的时间基本建成国家信息安全保障体系的工作目标。随后,各有关部门根据27号文件精神也颁发了相关政策文件。具体包括:《电子政务总体框架》、《关于网络信任体系建设的若干意见》、《关于信息安全风险评估工作的意见》、《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》等。今年又适逢国家“十一五”开局年,《国民经济和社会发展第十一个五年规划纲要》中也明确提出要强化信息安全保障工作,要积极防御、综合防范,提高信息安全保障能力;强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设,发展咨询、测评、灾备等专业化信息安全服务;健全等级保护、风险评估和安全准入制度;加强基础信息网络和国家重要信息系统的安全防护;推进信息安全产品产业化。这些政策与纲要在技术保障之余又为我国信息安全问题的解决提供了有力的政策保障,它必然会对我国信息安全建设产生深刻的影响,并大大推进我国信息安全保障体系的建设。所有这些,都标志着我国的信息安全保障工作进入了一个崭新的阶段。
7月18日,在由中国信息协会信息安全专业委员会主办、国家信息中心信息安全研究与服务中心协办的“‘十一五’信息安全发展趋势高峰论坛”上,许多到会主管部门领导、知名专家做了主题发言,内容涉及信息安全技术、信息系统等级保护工作、风险评估、信任体系以及电子政务建设等方面。
技术总是双刃剑
随着信息化的深入发展,信息安全的问题越来越突出。黑客技术发展迅速,攻击工具越来越丰富、攻击速度越来越快、攻击造成的损失越来越大,所有这些都对信息安全技术的发展提出了更高的要求。
我国信息安全保障工作从2003年的初步规划起,一路走来,发展至今,成效如何呢?由于政府主管部门的有力推进和规模化商用市场的形成等原因,我国在若干信息安全关键技术的研究开发和产业化方面,已经取得了一批较好的技术成果。特别是在“十五”期间,在863计划等国家计划的支持下,已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容的监控与处理等方面取得了较大的进展。据参加论坛的863专家组专家冯登国介绍,我国目前信息安全技术在密码技术、认证授权技术、信息产品逆向分析技术、网络内容安全监控技术、数字水印技术以及数据恢复技术等项技术上都有所突破甚至走在国际前列。
综观我国在信息安全技术领域的发展历史,不难看到,虽然取得了很多优秀成果,但仍存在一些问题,具体可总结为,第一,技术发展不平衡,比如对于某些热点技术,研究的单位、部门、人员很多、很集中,而另外一些领域却几乎无人问津,技术成果水平高低不一的现象,在领域对比上很突出;其次,研究方向不全面,如病毒技术在厂商中研究得很多、讨论得也很热,而国家的相关研究机构却少有研究,研究工作主要集中在某几个方向上而没有覆盖信息安全主要方向;第三,研究工作的系统性不强,如一些技术产品的升级换代研究以及产品的不同版本兼容性都存在很大欠缺,研究工作缺乏系统性和持久性;第四,研究与应用脱节,作为偏应用方面的工作需要企业和应用部门的共同参与,才能做出满足实际应用的高水平研究成果,而这方面的合作却很欠缺。冯登国专家指出,“总的来讲:缺乏信息安全关键技术的创新研究。”
我国的信息安全技术还面临着计算模型与计算能力、网络化与普适化、智能化与自动化、理论研究与显示需求的差异性等挑战。首先,当前的实用信息安全技术,特别是密码技术,和计算技术密切相关,其安全性本质上是计算安全性;而计算模型的演变目标则是追求更具表达能力、更符合人类思维模式、更具易构造性和易演化性的计算模型,相互之间有矛盾。至于网络化的挑战,可以看到,网络在给人类社会带来方便的同时,由于其开放性和共享性,也引发了很多安全问题,如网络病毒、网络攻击、网络恐怖、垃圾信息等等。美国CRA(Computing Research Association)总结的五项挑战之一就是,“创建无处不在的安全网”。网络化的挑战由此可见一斑。
其次,如同任何一项技术,信息技术也是一把双刃剑,带来方便的同时也带来了安全问题。例如,人们利用智能和自动化技术编写了大量的攻击工具、病毒、垃圾邮件等等。另外,网络攻击工具的智能化和自动化程度的提升,使得网络攻击更加容易、成本更低,以很小的开销就可以造成严重后果或影响,智能化与自动化在帮助解决信息安全问题的同时,也会加大解决问题的难度。
最后,理论与实际的差距也构成一大挑战。因为理论研究相对比较单纯、考虑因素和实验环境有限,这与现实世界的复杂多变、环境的恶劣形成鲜明对比。而人们的实际需求,特别是有时政府的要求是“万无一失”的,这就提出了安全的绝对性和紧迫性的要求。从人类认识角度来讲,安全是一个过程,只有相对安全,而没有绝对安全。这样,实际要求就与技术能够解决安全问题的有限性也就是安全的相对性之间存在着鸿沟。因此,如上四条挑战无疑是需要相关机构与部门考虑对策的。冯登国还指出信息安全技术“抽象化、可信化、网络化、标准化、集成化”的发展趋势,并指出我国信息安全保障体系建设的三方面需求,即自主创新能力、国际竞争力、政策优势。
政策保障已趋完备
自党的十六届四中全会后,国家已经把信息安全与政治安全、经济安全、文化安全放在同等重要的位置,对信息安全问题的重视,已经上升到了国家安全的高度,信息安全被列为与信息化建设同步进行的重要战略规划。其实,说到对信息安全技术的重视与战略需求,国家的3个政策文件,包括国务院于2006年2月9日发布的《国家中长期科学和技术发展规划纲要(2006-2020年)》、中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》以及《国家“十一五”信息安全科技发展规划要点》等,已经做了很好的阐述,足以说明信息安全技术的战略地位。其中,《国家中长期科学和技术发展规划纲要(2006-2020年)》中明确指出,“本世纪头20年,是我国经济社会发展的重要战略机遇期,也是科学技术发展的重要战略机遇期。”同时规划,“今后15年,科技工作的指导方针是:自主创新,重点跨越,支撑发展,引领未来。”该如何理解指导方针的十六个字呢?冯登国谈到,“自主创新就是从增强国家创新能力出发,加强原始创新、集成创新和引进消化吸收再创新。重点跨越是坚持有所为、有所不为,选择具有一定基础和优势、关系国计民生和国家安全的关键领域,集中力量、重点突破,实现跨越式发展。支撑发展是从现实的紧迫需求出发,着力突破重大关键、共性技术,支撑经济社会的持续协调发展。引领未来则是着眼长远,超前部署前沿技术和基础研究,创造新的市场需求,培育新兴产业,引领未来经济社会的发展。”由此,我们看到了国家对信息安全保障工作的前瞻性战略眼光。
2003年中办发27号文件《国家信息化领导关于加强信息安全保障工作的意见》的发布,明确了我国信息安全保障工作的指导方针、基本原则和主要任务,确立了用5年左右的时间基本建成国家信息安全保障体系的工作目标。随后,各有关部门根据27号文件精神也颁发了相关政策文件。具体包括:《电子政务总体框架》、《关于网络信任体系建设的若干意见》、《关于信息安全风险评估工作的意见》、《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》等。今年又适逢国家“十一五”开局年,《国民经济和社会发展第十一个五年规划纲要》中也明确提出要强化信息安全保障工作,要积极防御、综合防范,提高信息安全保障能力;强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设,发展咨询、测评、灾备等专业化信息安全服务;健全等级保护、风险评估和安全准入制度;加强基础信息网络和国家重要信息系统的安全防护;推进信息安全产品产业化。这些政策与纲要在技术保障之余又为我国信息安全问题的解决提供了有力的政策保障,它必然会对我国信息安全建设产生深刻的影响,并大大推进我国信息安全保障体系的建设。所有这些,都标志着我国的信息安全保障工作进入了一个崭新的阶段。