我国信息安全发展战略与产业化思路
圈醛耄ini警Securitv嗣|;I黎受鐾一安全论坛
瀚黼黼黼鞠黼黼黼黼黼黼黼黼黼黼黼黼龋蕊黼黼黼我国信息安全发展战略
与产业化思路
中国工程院院士沈昌祥
我国信息安全研究
现状和发展趋势
进入21世纪,我国信息安全发展的大环境已经日臻完善,并且等到了政府的高度重视,成立了国家信息化领导小组,朱镕基总理任组长,胡锦涛、李岚清、丁关根、吴邦国、曾培炎任副组长,曾培炎任办公室主任,下设信息安全管理小组等4个司局级机构;国家领导人还多次发出有关信息安全和网络安全的指示,主管部门作了大量实质性的工作;在国家技术监督局和其它主管部门的指导下,我国与国际标准接轨的信息安全与网络安全技术和产品标准陆续出台,安全产品检测认证机构相继成立,我国信息安全产品的规范化进程已经纳入轨道;建立了全国信息技术标准化技术委员会信息技术安全分技术委员会;经国家技术监督局和公安部授权,成立了公安部计算机信息系统安全产品质量监督检验中心。
关于信息安全的立法和法规的逐步完善,促进了信息安全产业的发展,目前,我国政府制定的信息安全的管理办法有:《中华人民共和国计算机安全保护条例》、《中华人民共和国商用密码管理条例》、《中华人民共和国计算机信息网络国际联网管理暂行办法》、《关于对与国际联网的计算机信息系统进行备案工作的通知》、《计算机信息网络国际联网安全保护管理办法》。另外,在刑法的修订中,还增加了有关计算机犯罪的条款。
与此同时,有一批致力于我国信息安全事业的研究机构与公司在从事信息安全基础研究、技术开发与技术服务工作。目前,注册的信息安全公司或具有安全经营项目的公司约350多家。以高强
度密码算法和防火墙产品为龙头,我国
信息安全产业的发展已成雏形。
我国的网络信息安全研究具备了一
定的基础和条件,尤其是在密码学研究方
面积累较多,基础较好,只要国家重视,加
大投入,恰当组织,可以取得实质性进展,
不仅能构筑我国信息与网络安全防线,而
且在国际上也能占领一席之地。
信息安全评测标准及我国
信息系统安全的等级划分
80年代,美国国防部在计算机保密
模型(Bell&laPadula模型)的基础上,制
订了“可信计算机系统安全评价准则”
(TCSEC),其后又制订了关于网络系统、
数据库等方面的系统安全解释,形成了
安全信息系统体系结构的最早原则,将
计算机安全按从低到高顺序分为四等八
级:D,C1,C2,B1,B2,B,A1,超A1。
90年代初,英、法、德、荷四国联合提
出了包括保密性、完整性、可能性概念的
“信息技术安全评价准则”(ITSEC)。
近年来六国七方(美国国家安全局
和国家技术标准研究所、加、英、法、德、
荷)共同提出了“信息技术安全评价通用
准则”(ccforITSEC)。1999年5月,国际
标准化组织和国际电联(ISO/IEC)通过了
将CC标准作为国际标准ISO/IECl5408
信息技术安全评估准则的最后文本。
CC标准充分突出“保护轮廓(PP)”,
将评估过程分为“功能”和“保证”两部
分。为了能够有效地使用安全功能需求
和安全保证需求,CC标准还引入了“包
(Package)”的概念,以提高已定义结果的
可重用性。在“保证”部分中,以包的概念
定义了七个安全保证级别(EAL)。并将评
估等级分为从EALL到AL7共7级。每
一级均需评估个功能类,即配置管理、分
发和操作、开发过程、指导文献、生命期
的技术支持、测试、脆弱性评估要落实到
具体的需求ST。
我国信息系统安全等级主要有以下
划分:
由公安部提出并组织制定的强制性
国家标准——《计算机信息系统安全保
护等级划分准则》中规定等级:
第一级:用户自主保护级;(对应Cl
级)
第二级:系统审计保护级;(对应C2
级)
第三级:安全标记保护级;(对应B1
级)
第四级:结构化保护级;(对应B2
级)
第五级:访问验证保护级。(对应B3
级)
我国信息安全产业存在的问题
信息安全已经逐渐被人们重视起
来,但我国政府部门和企业对引进的信
息技术和设备缺乏保护信息安全所必不
可少的有效管理和技术改造;基础信息
产业薄弱,严重依赖国外;技术创新不
够,安全技术、安全产品低水平重复;缺
乏足够的资金投入,支持信息安全基础
研究与关键技术研究;缺乏市场需求,市
场需求是影响我国信息安全产业发展的
关键;法制建设不健全,依法管理力度不
够,甚至出现有法不依,执法不严的情
况;国家信息安全管理机构缺乏权威,协
调不够;信息安全基础设施建设不够;信
万方数据