６位信息安全人士眼中的２００７：信息安全落地年

政策進入落實期

2003年9月，中央頒布了《國家信息化領導小組關于加強信息安全保障工作的意見》（27號文件），提出要在5年內建設中國信息安全保障體系。2007年，是這一目標實現的倒數第二個年份。在國務院信息化辦公室的大力推進下，27號文件提出的十項基本任務目前已經正在或基本落實。由于信息安全是這樣一個復雜和關系重大的領域，國家采取了謹慎前行的方式，2006年之前，各種政策制度均處于試點階段，2007年，將進入普及推廣階段。

信息安全的等級保護制度是國家大力倡導的信息安全基本政策。經過兩年多的探索，2005年，公安部出臺了等級保護規范， 2006年對等級保護制度進行了重點試點，并總結出了很好的經驗和汲取的教訓。2007年，毫無疑問，等級保護工作將在中國的各個重要的基礎行業廣泛推廣。

災難備份標準已經在2005年出臺，2006年在中國的基礎性行業，比如金融、電信、民航等，積極探索災備和業務連續性模式已經有了明確的結果，2007年有望在更廣泛的領域推廣。

2006年，信息安全風險評估工作在試點的過程中，也取得了良好的成績，有望在2007年全面展開。這不僅為用戶帶來了高等級的安全保護，也為產業帶來了新的商業機會。

2006年，信息安全管理規范的試點工作也基本完成。從結果來看，基本取得了預期的效果，2007年，這一成果同樣將在更廣泛的領域采用。

經過多年的籌備，2006年6月，中國信息安全認證中心獲中編辦正式批準。至此，我國信息安全認證認可體系的建設構架基本形成，工作機制基本確定，對信息安全產品實施統一認證的條件基本準備就緒，標志著我國信息安全認證認可體系建設邁出了重要步伐。

毫無疑問，在2007年，一方面一些重要的政策、標準還將繼續采用試點的方式摸索成功的方法，并不斷進行經驗總結；另一方面，一些證明成功的經驗將在更加廣泛的領域推廣，中國的信息安全政策將全面進入落地時期。

用戶進入投入期

經過3年來國家對重點行業的重要用戶進行信息安全理論和實際運營經驗的培訓和教育，目前，中國IT系統用戶的信息安全意識已經普遍得到提高，尤其是金融、電信、民航、電力、制造業等信息化程度高的重點行業，已經開始廣泛部署各種信息安全技術和產品，并按照國家的號召，在等級保護、風險評估、災難備份和業務連續性等領域，逐步掌握科學規范的方法。2007年，這些重點行業將進入全面的投入期。

以金融業為例，過去人們一直認為金融行業對信息安全的建設非常重視，但實際上，金融業并不如想像的那樣安全，一般的銀行只部署了簡單的信息安全技術和產品，并沒有從體系上解決信息安全問題。但自2006年以來，金融業普遍開始進行認識上的轉型，尤其是外資銀行在國內業務的擴張，國內銀行競爭壓力加大，再加上網上銀行業務模式比重的加大，勢必使得金融信息安全建設在2007年將備受關注。

此外，用戶從實踐中已經認識到，信息安全的“系統”建設比單獨購買信息安全產品更重要，只有整體IT系統的安全才能構成真正意義上的安全。因此，從系統角度考慮安全建設將成為主流理念。

在這種情況下，用戶安全建設四層結構漸已成型。一是安全規劃，確定系統的安全框架與建設步驟，包括為系統定級等；二是進行重點資源的保護以及安全產品購買；三是安全管理平臺的建設，以便及時把握系統的安全狀況；第四是日常運營管理，以保障安全體系正常發揮作用。

與往年一樣，2007年全球的安全形勢依然不容樂觀，病毒、木馬、釣魚攻擊、垃圾郵件、僵尸網絡、間諜軟件、流氓軟件、針對漏洞的攻擊等依然會以各種不同的面貌出現，也不排除會出現新的攻擊形式。用戶不得不保持高度的警惕，并在信息安全領域持續進行重大的投入，以保護自己的數字資產。

產業進入轉型期

專家預測，2007年信息安全產業將進入一個全面的轉型期。從全球看，2006年信息安全領域幾個大手筆的收購事件，已經為2007的信息安全產業轉型埋下了伏筆。

EMC公司以21億美元收購著名的身份認證公司RSA公司，IBM以13億美元收購著名的入侵檢測與防御公司ISS公司，微軟同樣以巨資收購Web應用防火墻專業廠商Whale等，這意味著全球IT大公司開始全面關注信息安全技術和產品，并開始將這些信息安全技術應用在基礎IT產品技術中，以便為用戶提供更基礎的信息安全服務。信息安全也許不再以一個單獨的產業形式存在，但它已經融入到全球信息化的整體浪潮中，成為信息化不可分割的部分。

從中國來看，專業的信息安全公司也開始進行調整，以適應政策和用戶需求的變化。在目前中國資本市場及政策并不完善的情況下，中國的企業還不能通過資本市場的收購來擴大信息安全技術產品線，但一些企業已經開始了國際化之路，比如天融信公司通過國際化的資本運作和引進職業經理人，已經開始了國際化的嘗試。

從信息安全產品來看，網域神州預測， 2007年同樣將進行重大的創新和變革。2007年流行的信息安全技術將分成3類：第一類是被廣泛接受、廣泛運用的產品，比如老三樣的防火墻、反病毒和入侵檢測；第二類是已經熱了兩年，開始在局部運用的產品，比如UTM、入侵防御等；第三類是開始被關注、并將成為前沿熱點的產品，比如IPv6下的信息安全技術和產品。

為了響應國家對信息安全“自主可控”的目標，信息安全專家沈昌祥院士多年來一直倡導可信計算技術和產品的開發。他預測2007年，中國有望通過加強可信計算研究，打破信息安全領域被國外企業占據主導地位的局面。

大力發展我國可信計算技術及產業

中國工程院院士 沈昌祥

從事計算機信息系統、密碼工程、信息安全體系結構、系統軟件安全（安全操作系統、安全數據庫等）、網絡安全等方面的研究工作。先后完成了重大科研項目二十多項，取得了一系列重要成果。

發展可信計算是國家安全的需要。國家“十一五”有關規劃和863計劃已將“可信安全計算平臺研究”列入重點支持方向，并有較大規模的投入與扶植。具體來說，可信計算的發展重點將集中在以下幾個方面。

第一，基于可信計算技術的可信終端是發展產業的基礎。可信終端手機以及其他移動智能終端等）是以可信平臺模塊（TPM）為核心，它并不僅僅是一塊芯片和一臺機器，而是把CPU、操作系統、應用可信軟件以及網絡設備融為一體的基礎設備，是構成可信體系的裝備平臺，應加大力度研制開發。

第二，高性能可信計算芯片是提高競爭能力的核心。可信計算核心是TPM芯片，TPM的性能決定了可信平臺的性能。不僅要設計特殊的CPU和安全保護電路，而且還要內嵌高性能的加密算法、數字簽名，散列函數、隨機發生器等。

第三，可信計算理論和體系結構是持續發展的源泉。可信計算概念來自于工程技術發展，到目前為止還未有一個統一的科學嚴謹的定義，基礎理論模型還未建立。因此現有的體系結構還是從工程實施上來構建，缺乏科學嚴密性。必須加強可信計算理論和體系結構研究，對安全協議的形式化描述和證明，逐步建立可信計算學科體系。

第四，可信計算應用關鍵技術是產業化的突破口。可信計算平臺的主要技術手段是使用密碼技術進行身份認證，實施保密存儲和完整性度量，因此在TPM的基礎上，如何開發可信軟件棧（TSS）是提高應用安全保障的關鍵。

第五，可信計算相關標準規范是自主創新的保護神。我國可信計算平臺研究起步不晚，技術上也有一定優勢，但至今還沒有相應的標準規范，處于盲目的跟蹤和效仿TCG的建議。我國應加大力度制定相關標準規范，強制執行。

目前我國信息安全建設正處在一個關鍵時期，發展可信計算是具有戰略意義的事情，我們必須把握住正確的研究方向，制定相應的發展戰略，自主創新。

核心觀點

目前我國信息安全建設正處在一個關鍵時期，發展可信計算是具有戰略意義的事情，我們必須把握住正確的研究方向，制定相應的發展戰略，自主創新。

信息安全認證成當務之急

博士、研究員 陳曉樺

現任《全國信息安全標準化技術委員會》委員兼副秘書長、國家電子政務標準化總體組成員、中國實驗室國家認可委員會（CNAL）評定委員會委員等。曾任“十五”863計劃第二屆信息技術領域信息安全技術主題專家組副組長。

隨著信息化的推進，信息與網絡系統的基礎性、全局性作用越來越強，信息安全產品、服務以及信息系統固有的敏感性和特殊性，直接影響著國家的安全利益和經濟利益。通過頒布法令與標準，在信息安全領域實施認證認可制度，已經成為當今經濟全球化和信息化趨勢下各國政府維護國家主權的重要手段。信息安全認證認可體系是建設國家信息安全保障體系的重要組成部分，加快我國信息安全認證認可制度的實施是當務之急。

近幾年來，圍繞對信息安全產品的測評認證，公安部、國家保密局、國家密碼管理局、信息產業部和一些地方政府分別在各自的職能范圍內，對一些信息安全產品實施了相關的檢測、評估和許可等制度。

2006年年6月，中國信息安全認證中心獲中編辦正式批準。至此，我國信息安全認證認可體系的建設構架基本形成，工作機制基本確定，對信息安全產品實施統一認證的條件基本準備就緒。中國信息安全認證中心正式成立，標志著我國信息安全認證認可體系建設邁出了重要步伐。

當前和今后一段時間，新成立的中國信息安全認證中心將著重開展以下五方面的工作: 一是進一步做好組建工作。盡快做到人員到位、制度到位和職能到位; 二是加強協調與溝通，營造良好的外部工作環境; 三是認真履行職責，確保認證質量; 四是加強認證技術的研發，提高認證檢測水平，確保中心的認證技術能力滿足業務發展的需要; 五是推進國際合作與交流。

信息安全產品測評認證是信息安全保障的基礎性工作。特別是在當前我國信息技術與產業的核心競爭力還不強，關鍵技術、關鍵設備還受制于人的情況下，嚴格把住信息技術產品的市場準入關尤為重要。通過認證的手段，有利于改革政府管理方式和手段，創建公平競爭的環境，有效地保護和促進我國信息安全技術與產業的發展。

核心觀點

在當前我國信息技術與產業的核心競爭力還不強，關鍵技術、關鍵設備還受制于人的情況下，嚴格把住信息技術產品的市場準入關尤為重要。

從災備邁向業務連續性管理

GDS萬國數據服務有限公司副總裁 汪琪

GDS萬國數據服務有限公司首席災備專家，深圳市科技專家委員會委員。中國大陸第一位獲得DRI International “CBCP”認證的業務連續運作專家。

災難恢復與業務連續管理經過多年的建設已開始初具規模，銀行、證券、保險、航空、稅務、海關、電力、鐵道等國家重要信息系統部門都開始規劃或已經投入信息系統的災難恢復建設。

銀行業作為中國災難恢復和業務連續管理建設的領頭行業，早在20世紀90年代末即開始規劃和實施數據大集中和災難備份，至今大部分國家政策性銀行、國有大型商業銀行及全國性股份制銀行已形成了一定的災難備份和恢復能力。2006年，整個銀行業對災難恢復與業務連續體系的認識正在快速提高。可以肯定的是，銀行業的災難備份和業務連續管理在2007年將有望得到快速發展。

2006年11月9日，中國銀監會召開信息科技風險管理與評價審計工作（電視電話）會議。銀監會黨委書記、主席劉明康指出，當前我國銀行業信息科技風險管理要著重關注和做好信息科技建設與業務發展的協調、信息安全的內部控制體系、信息科技體系變動和發展的管理、信息系統運行和操作管理以及業務持續性規劃的研究和制定等五方面工作。根據劉明康主席的講話，相信在2007年，銀行將開始從對信息系統的災難備份逐步向業務連續性規劃和體系的建設完善過渡，以符合銀監會審計的要求。

證券業、保險業中的大型公司在最近幾年都在關注和研究災難備份中心的建設，其建設的時間表一般都與其大集中的步伐相關，部分先行者已形成了一定的備份能力。證監會、保監會也陸續出臺了關于備份和安全的部分管理辦法，更加詳細的管理規范也將在2007年出臺。

另外，2007年，也是航空、稅務、海關、電力等部門對災難備份建設進行規劃、設計和基礎性平臺性建設的關鍵階段。

核心觀點

災難恢復與業務連續管理經過多年的建設已開始初具規模，銀行、證券、保險、航空、稅務、海關、電力、鐵道等國家重要信息系統部門都開始規劃或已經投入。

內部安全成當務之急

中國化工信息中心副主任 李中

現任中國化工信息中心副主任，曾主持并參與了中國化工綜合信息服務系統、中國化工信息網、中國萬維化工城網站的建設工作。

一直以來，化工企業對于信息安全的重視都有普遍的共識。包括石化、石油在內的眾多化工企業都屬于流程制造企業，具有產品多、數量大的行業特性，且要求化工設備絕對不能停。這也導致化工企業對信息安全的依賴程度很高，一旦發生網絡系統中斷、服務器宕機、數據丟失、上下游關系不連通，甚至僅僅是停電，帶來的也將是難以承受的后果。

從目前的發展來看，化工企業的信息化發展已經從初級起步階段進入了拓展階段。各化工大中型企業均在ERP、OA、MIS、電子商務等諸多領域開展了建設，甚至已有超過70%的企業在建或已完成生產制造信息化系統的建設。

對于流程制造業來說，一旦信息化進入了生產制造環節，安全可靠就會被視為第一位。為了確保信息系統的安全，不少化工企業已經對系統平臺的安全性做了大量的工作，一些防病毒、防攻擊設備已經被許多企業所采用，一些大的集團公司甚至已開始考慮建設集中的機房，或是考慮容災備份、VPN等。

總結2006年的發展現狀和趨勢，企業在2007年的信息安全建設將進一步深入：內部安全建設成為當務之急，應急救援機制也需要盡快建立。

首先，大部分用戶已經意識到內部安全的嚴重性，將進一步加強管理和采用安全技術來確保內網安全。目前，廠商和企業的主要關注點還集中在外網威脅方面，而對內網安全管理環節的重視相對較弱，一旦內網出現問題，后果將不堪設想。再者，內網直接關系到公司運作，內網資料是企業的核心，內網出現問題容易導致整個系統癱瘓，加上目前企業的內部使用人員的安全意識還不夠，比較容易出現問題。

其次，化工企業將著力建立應急救援機制。在信息安全方面，雖然企業采取了一系列安全措施，但絕對的安全是沒有的，必須依靠相應的機制來解決問題。

從2007年的這兩方面重點來說，技術僅僅是信息安全的一部分，隨著應用的深入和信息安全系統的逐步建立，加強管理的重要性已經開始凸顯。

安全加速轉型

網御神州（北京）有限公司總裁 任增強

曾先后任聯想集團華北區總經理、聯想集團大客戶部總經理、聯想集團信息安全事業部總經理、聯想網御科技有限公司總裁。

信息安全產業，有型突破無型，一種新的布局正在形成。走過數年的探索期，從2006年開始步入了高速發展的轉型期，經歷其后三年的調整成型后，必將達到產業的穩定期。

眼下的2007年，既是產業發展的中間期，又是轉型期的中心段，這一年必將是備受關注的一年，這一年也必將會有許多的告別過去和許多的開創未來。

第一，銀行、證券成為安全建設的新亮點。面對外資銀行業務擴張，國內銀行的競爭壓力加大，會加大網上銀行及理財業務的比重，以更方便、快捷、高效的客戶服務，新網上業務模式比重的加大，勢必使得安全建設在這一年備受關注。

第二，安全建設開始出現理念上的轉型。一方面，在國信辦“等級保護”安全理念推動下，越來越多的客戶認同并接受了“系統”建設的觀點; 另一方面，一些客戶經過多年的安全產品購買和基礎建設后，從實踐總結中認識到只有整體IT系統的安全才能構成真正意義上的安全。因此，從系統角度考慮安全建設將成為主流理念。

第三，安全產品將分為三大類，市場表現特質鮮明。2007年的安全產品將清楚地分為三大類; 第一類是被廣泛接受、廣泛運用的產品；第二類是已經熱了兩年，開始在局部運用的產品; 第三類是開始被關注、成為前沿熱點的產品，以IPv6下的安全產品為代表。

第四，安全競爭格局顯現雛形。未來的安全競爭格局會有兩大顯著特征：一是出現2～3家的第一陣營；二是專業性趨勢，專業、專注、戰略探索中的安全企業將成為信息安全建設的主力軍。2007年，原來處于第一陣營的隊伍面臨分化，其中一部分將繼續高速、健康發展，另一部分則會因為其內部制約或調整不及時而被淘汰或整合。

應對安全轉型，才能成就產業明天。見證了2006年前的蓄勢待發，經歷了2006年的動力儲備，在2007年靜謐的安全藍海中，有業界人士的共同努力和投入，相信安全產業定會快速成型——客戶會更加成熟，技術會更加成熟，企業也會更加成熟。

核心觀點

安全產業正在快速成型，客戶會更加成熟，技術會更加成熟，企業也會更加成熟。

惡意軟件威脅上升

McAfee Avert 實驗室和產品研發高級副總裁 Jeff Green

主要負責管理McAfee全球的研究機構，擁有十年的安全軟件從業經驗，曾經在McAfee研發部擔任了七年高級副總裁。

當我們看到尖端技術不斷發展的時候，普通用戶發現或避免惡意軟件感染變得更加困難。

根據目前的趨勢，邁克菲預計在2007年年底，將會發現第30萬個威脅。在2007年，這些威脅主要集中在以下幾個方面。

密碼盜取站點不斷上升。更多攻擊試圖通過仿冒的登錄頁面捕捉用戶的ID和密碼，以及針對在線服務站點（eBay）攻擊不斷上升，將在2007年更加明顯。

圖像垃圾郵件將會不斷上升。圖像垃圾郵件在過去的幾個月里，增長迅速，而且這種趨勢短期內不會改變。

網絡站點的視頻流行使之成為黑客的目標。在MySpace、YouTube和VideoCodeZone 上使用視頻的形式不斷增長，將吸引惡意軟件編寫者尋找滲透更多網絡的機會。

更多移動攻擊。隨著利用藍牙、短消息服務、即時消息、電子郵件、Wi-Fi、USB、音頻、視頻和Web進行連接，交叉設備污染的可能性大大增加。

廣告軟件將走向主流。在2006年，McAfee Avert實驗室發現商業性PUP不斷增長，而且相關類型的惡意木馬，特別是鍵盤記錄程序、密碼盜取者、僵尸網絡以及后門程序表現出更大增長。

身份盜取和數據損失將繼續成為公眾問題。公司泄漏丟失或數據被盜，不斷增長的網絡犯罪以及零售商、處理器和ATM系統被黑以及包含有機密數據的筆記本電腦被盜，將繼續成為公眾擔憂的話題。

僵尸網絡將繼續增長。僵尸網絡、執行自動化任務的計算機程序在不斷上升，但將從低級的通信機制Internet Relay Chat (IRC)轉向更少強迫式的方式。

寄生惡意軟件正在回頭。雖然寄生類惡意軟件在所有惡意軟件只占有不到10%的份額，但它看起來好像有回頭的跡象。

核心觀點

惡意軟件的威脅將不斷上升，普通用戶發現或避免惡意軟件感染變得更加困難。