|
快速發(fā)展的互聯(lián)網(wǎng)在給人們帶來(lái)便利的同時(shí),其日益凸顯的信息安全問(wèn)題也對(duì)經(jīng)濟(jì)社會(huì)發(fā)展、人民的正常生活乃至國(guó)家的安全體系構(gòu)成了威脅。在眾多不同層次的信息安全漏洞中,我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)較為突出。業(yè)界專家和全國(guó)人大代表建議:盡快確立我國(guó)信息系統(tǒng)安全標(biāo)準(zhǔn),加強(qiáng)我國(guó)在信息系統(tǒng)安全領(lǐng)域自主創(chuàng)新的能力,建立信息系統(tǒng)安全標(biāo)準(zhǔn)體系,完善政府采購(gòu)相關(guān)措施,并強(qiáng)制推廣使用自主知識(shí)產(chǎn)權(quán)安全技術(shù)產(chǎn)品,以實(shí)現(xiàn)我國(guó)信息系統(tǒng)裝備安全、可信、可控。
三大因素影響我服務(wù)器系統(tǒng)安全
在整體信息安全保障體系中,安全產(chǎn)品按照不同應(yīng)用情況和網(wǎng)絡(luò)結(jié)構(gòu),一般分為系統(tǒng)層、網(wǎng)絡(luò)層和應(yīng)用層。目前我國(guó)防火墻、防病毒、入侵檢測(cè)等網(wǎng)絡(luò)層和應(yīng)用層的安全技術(shù)和解決方案日趨成熟,但由于多種原因,我國(guó)在系統(tǒng)層安全特別是服務(wù)器安全防范方面還比較薄弱。
據(jù)中科院信息安全技術(shù)工程研究中心主任卿斯?jié)h介紹,目前,影響我國(guó)服務(wù)器系統(tǒng)安全的主要原因有三:其一,目前國(guó)內(nèi)大多數(shù)的服務(wù)器操作系統(tǒng)是由國(guó)外公司提供的,系統(tǒng)內(nèi)核邏輯編程都掌握在他人之手,國(guó)內(nèi)用戶缺乏對(duì)底層技術(shù)的了解,軟件中是否存在有“后門”無(wú)從了解,這給國(guó)家安全埋下了相當(dāng)嚴(yán)重的隱患;其二,美國(guó)在高級(jí)別或操作系統(tǒng)安全技術(shù)上對(duì)我國(guó)實(shí)行封鎖,美國(guó)商務(wù)部出口管理局制定的《出口控制條例》禁止相關(guān)系統(tǒng)產(chǎn)品出口;其三,我國(guó)在服務(wù)器操作系統(tǒng)研發(fā)上還相對(duì)滯后。也因?yàn)槿绱耍覈?guó)在服務(wù)器安全防范上必須加強(qiáng)自主研發(fā)和產(chǎn)業(yè)化運(yùn)營(yíng)。
服務(wù)器研發(fā)有進(jìn)展產(chǎn)業(yè)化仍需加強(qiáng)
2007年12月,由浪潮集團(tuán)主導(dǎo)完成的中國(guó)第一個(gè)服務(wù)器安全國(guó)家標(biāo)準(zhǔn)--信息安全國(guó)家標(biāo)準(zhǔn)體系正式實(shí)施,其自主研發(fā)的國(guó)內(nèi)首款作用于系統(tǒng)層的信息安全軟件產(chǎn)品——服務(wù)器操作系統(tǒng)安全加固系統(tǒng)也通過(guò)了信息產(chǎn)業(yè)部主持的成果鑒定。由中科院院士沈昌祥擔(dān)任鑒定委員會(huì)主任的專家組認(rèn)為,浪潮服務(wù)器操作系統(tǒng)安全加固系統(tǒng)能夠有效提高商用服務(wù)器操作系統(tǒng)的安全保護(hù)能力,并具有良好的自我保護(hù)功能,填補(bǔ)了我國(guó)在使用多種主流服務(wù)器商用操作系統(tǒng)同時(shí)安全加固的空白。
盡管如此,與發(fā)達(dá)國(guó)家相比我國(guó)在信息系統(tǒng)安全領(lǐng)域還存在一定的差距;而且在這一領(lǐng)域“攻防”技術(shù)的對(duì)弈也在不斷變化。從加強(qiáng)國(guó)家信息安全的戰(zhàn)略角度來(lái)看,我國(guó)在這一領(lǐng)域的持續(xù)創(chuàng)新能力和層次亟須強(qiáng)化提升。
卿斯?jié)h等專家認(rèn)為,目前我國(guó)在信息系統(tǒng)安全領(lǐng)域的許多理論研究,如密碼算法等方面已經(jīng)走在世界前列,但在成果的產(chǎn)業(yè)化方面卻與發(fā)達(dá)國(guó)家存在較大的差距--突出的一點(diǎn)是企業(yè)與科研機(jī)構(gòu)的脫節(jié)。今后一段時(shí)間里,我國(guó)需要大力推動(dòng)這一領(lǐng)域的產(chǎn)學(xué)研融合發(fā)展。
建立信息系統(tǒng)安全標(biāo)準(zhǔn)體系完善政府采購(gòu)相關(guān)措施
全國(guó)人大代表、信息系統(tǒng)安全專家孫丕恕建議,第一,信息系統(tǒng)安全標(biāo)準(zhǔn)是構(gòu)建國(guó)家信息安全保護(hù)體系必須具備的技術(shù)、管理規(guī)范,國(guó)家要盡快建立自主完善的標(biāo)準(zhǔn)體系,同時(shí)要加強(qiáng)標(biāo)準(zhǔn)的普及使用。特別是要在主機(jī)等主要設(shè)備的操作系統(tǒng)和數(shù)據(jù)庫(kù)安全技術(shù)、安全服務(wù)器技術(shù)和產(chǎn)品研發(fā)等方面實(shí)現(xiàn)迅速突破,為國(guó)家基礎(chǔ)信息系統(tǒng)及重要信息系統(tǒng)提供第二級(jí)以上信息安全等級(jí)保護(hù)產(chǎn)品。
第二,利用政府采購(gòu)政策促進(jìn)技術(shù)創(chuàng)新、產(chǎn)品創(chuàng)新和產(chǎn)業(yè)結(jié)構(gòu)升級(jí)是發(fā)達(dá)國(guó)家的普遍做法,特別是在涉及信息系統(tǒng)安全的核心技術(shù)產(chǎn)品方面更為突出。發(fā)達(dá)國(guó)家還普遍禁止在重要行業(yè)、部門、單位采購(gòu)使用國(guó)外產(chǎn)品,2007年5月發(fā)生的美國(guó)國(guó)務(wù)院限制使用聯(lián)想PC事件,充分反應(yīng)了美國(guó)在涉及信息安全方面對(duì)于自主品牌的傾斜。
當(dāng)前我國(guó)許多重要信息系統(tǒng)建設(shè)中仍然繼續(xù)大量采購(gòu)?fù)鈬?guó)品牌的關(guān)鍵信息設(shè)備和安全產(chǎn)品。在2007年政府信息化建設(shè)采購(gòu)中,國(guó)外品牌占據(jù)了我國(guó)中低端服務(wù)器系統(tǒng)47.9%的份額,金融、電信等重要行業(yè)使用中高端國(guó)外品牌服務(wù)器系統(tǒng)高達(dá)80%以上;政府部門采購(gòu)?fù)鈬?guó)品牌安全產(chǎn)品的比重也很高。
建議盡快制定出臺(tái)信息安全等級(jí)產(chǎn)品采購(gòu)和安全服務(wù)機(jī)構(gòu)目錄及相應(yīng)的管理辦法,從法律、政策、管理、技術(shù)標(biāo)準(zhǔn)以及監(jiān)管等層面,在把住市場(chǎng)準(zhǔn)入關(guān)的同時(shí),把住重要信息系統(tǒng)和網(wǎng)絡(luò)安全的入口關(guān),實(shí)施重要信息系統(tǒng)的關(guān)鍵設(shè)備、安全產(chǎn)品、安全服務(wù)準(zhǔn)入管控措施,明確在國(guó)家基礎(chǔ)信息系統(tǒng)、重要信息系統(tǒng)的關(guān)鍵設(shè)備、信息安全產(chǎn)品必須使用自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)化產(chǎn)品。 |