專家把脈中國信息安全

近日，在中國電子信息產業發展研究院主辦、北京賽迪信息技術評測有限公司承辦的\"2002年中國信息安全產業與技術發展高峰論壇\"上，國家信息化專家咨詢委員會曲成義研究員 、中國工程院倪光南院士、中科院信息安全國家重點實驗室趙戰生主任等專家分析了我國目前國家信息安全方面的現狀，對國家信息安全保障體系架構進行了探討，并指出政務信息化政府采購不僅應滿足經濟指標，也應兼顧信息安全。

我國信息化發展空前迅速，信息安全保障需求已成為信息化發展的重要部分。如何以信息化提升綜合國力，并在信息化快速發展的同時確保國家的信息安全，已成為各國政府關心的熱點問題。

中國信息化建設在突飛猛進的同時，也面臨著一系列的信息安全隱患。關鍵信息的安全管理漏洞，將會給政府、電信、金融、民航等重點行業帶來不可估量的嚴重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發生，也將造成巨大的經濟損失，甚至威脅到國家的安全。

建立國家信息安全保障體系

信息安全保障體系的建設策略是要建立信息安全防護能力，要具有隱患發現能力、網絡反應能力、信息對抗能力。

信息安全技術保障體系的建立要強調自主研發與創新，要組建研發國家隊與普遍推動相結合，推動自主知識產權與專利，建設技術工程中心與加速產品孵化，加大技術研發專項基金，全面推動與突出重點的技術研發相結合。要建立縱深的防御體系，采用網絡信息安全域的劃分與隔離控制、內部網安全服務與控制策略、外部網安全服務與控制策略、互聯網安全服務與控制策略、公共干線的安全服務與控制策略、計算環境的安全服務機制、多級設防與科學部署策略、全局安全檢測、集成管理、聯動控制與恢復等手段來保障信息安全。此外，要采用信息系統安全工程的控制方法和安全技術產品與系統互操作性策略。

建立資質認證機制和監理機制，形成社會化服務和行政監管體系。要建立基于數字證書的信任體系、信息安全測評與評估體系、應急響應與支援體系、計算機病毒防治與服務體系，建立災難恢復基礎設施和密鑰管理基礎設施。

在搭建國家信息安全保障體系框架時，要建立信息安全標準與法規環境，這就需要強力推動信息安全標準化工作、加強信息安全標準的研發、評審、審批，加快信息安全法規的制訂以及相關法規的制訂。此外，還需要培養大量高級信息安全人才。

信息安全需要技術保障

信息安全保障，從保密性、完整性、可用性、可控性、不可否認性等安全屬性的需要，以及在預警、保護、檢測、響應、恢復及反擊等環節提出了諸多的技術需求。

目前，國際上出現了一個叫\"MALWERE(壞件)\"的新概念，它把計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內。在這個概念的推動下，計算機病毒檢測功能必將逐步有所擴充。

現在的防火墻在功能上有了許多擴展和延伸，許多產品把VPN的功能加入到防火墻中，也有把入侵檢測(IDS)、病毒檢測等功能模塊加入防火墻之中。

為了實現對各種安全模塊的集中管理，共享安全事件審計分析信息，統一制訂和實施安全策略，還出現了集中安全管理平臺的研制開發。

政府信息化采購應兼顧信息安全

政務信息化政府采購不僅應滿足經濟指標，也應兼顧信息安全。現在我國《政府采購法》已經出臺，這將有利于政務信息化的信息安全，也有利于本國IT企業的發展。

在政府采購中，電子政務占有重要的地位。據預測，2002年中國電子政務市場總投資將達到350億元，比2001年增長23.4％；2002年～2004年中國電子政務總體市場年復合增長率為25.7％。按照這一速度計算，5年后電子政務市場的投資額將突破1000億元，因此它將成為國內外企業關注的一個焦點。

《政府采購法》支持本國產業

采購法中明確規定，除一些特殊情況外，政府采購應當采購本國貨物、工程和服務(包括本國軟件和服務)，這個規定既有利于本國企業，也有利于保障信息安全。

加入WTO并不等于立刻開放政府采購市場，因為加入WTO并不等于加入《政府采購協議》(GPA)。GPA是所謂\"復邊貿易協議\"，僅對簽字成員方有效，我國在兩年后才會談判是否加入GPA。而在我國加入WTO的GPA之前，根據國際慣例，可以通過政府采購扶持本國產業。

政府采購支持NC推廣

目前，具有我國自主知識產權、非Wintel架構(采用方舟CPU和LinuxOS)的NC已經開始在學校、銀行等單位應用。它具有信息安全性好、容易管理和維護、成本低等優點，非常適合在電子政務中推廣應用?，F在國家有關部門要求在電子政務中采用NC，因此可以在政務信息化項目的招標中，將上述這些指標列入招標條件，那么NC將明顯勝過PC。只要依法采購，NC就可以首先在政務信息化中得到推廣，然后在政府的帶動下，逐步推廣到其他領域，逐步改變我國計算機產業的\"無芯\"狀態。

政府采購支持軟件產業

電子政務的信息安全要求和扶持本國軟件產業基本上是統一的，我們可以在政務信息化政府采購中對被采購軟件作出如下要求：一、實行源代碼備案、審查；二、公開協議和文件格式；三、跨Linux、Windows等多個操作系統平臺。