總結過去，著眼未來，加強我國網絡安全的基礎建設

卿斯漢

總結過去，著眼未來，加強我國網絡安全的基礎建設

卿斯漢

卿斯漢

中科院信息工程研究所信息安全國家重點實驗室首席研究員,中科院軟件研究所首席研究員，中科院“十二五”信息安全工程監理組組長，中科院創新工程項目首席科學家，國家保密局技術顧問，中共中央辦公廳保密技術攻防重點實驗室學術委員會委員，中國電子學會理事，中國信息協會信息安全專委會常務副主任，中國計算機學會計算機安全委員會常委，中國計算機學會信息保密專委會常委，全國信息安全標準化技術委員會委員，可信計算工作組組長；博士生導師，享受政府特殊津貼。

多年來，他獲國家科技進步獎2次，中科院科技進步獎3次，排名均為第一；中共中央辦公廳科學技術獎1次，排名第二。

信息和網絡安全是國家安全的一個重要組成部分，同時也與個人隱私安全息息相關。近年來，特別是斯諾登事件之后，各國都加強了網絡安全的基礎設施建設和全民信息安全意識教育。我國作為一個負責任的大國，一定要堅持不懈地加強信息與網絡安全的基礎建設，一方面更好地保護我國的國家與公民安全，另一方面與其他國家積極合作，建立因特網的安全新秩序，對打擊國際恐怖活動與網絡犯罪有章可循、有法可依。

為此，我們必須認真總結經驗教訓。同時，在此基礎上著眼未來，加強頂層設計，制定我國網絡安全建設的路線圖，使我國網絡安全的基礎建設與強國和強軍的步伐一致。斯諾登事件雖然已經逐漸平息，但它對世界的長久影響不容低估。這一事件好比一劑催化劑，促使世界各國的決策者和廣大因特網用戶更加重視國家信息安全與個人隱私保護的問題；重新思考網絡空間的安全問題、因特網的管理問題，以及跨國應用的數據安全等問題。斯諾登事件的后續效應涉及外交、軍事、經濟、情報等諸多領域，對各國今后政策的制定和應對措施的決策將會產生久遠的影響。

為加強我國網絡安全的基礎建設，我們需要做的工作很多，需要迎頭趕上、趕超世界先進水平的領域還有很多。限于篇幅，在此挑選幾個重點進行闡述。

一、加強基礎研究與建設

近年來，我國在網絡安全的基礎研究與建設方面取得了重大進展，但整體上說與世界先進水平還有較大的差距。我們的短板表現在因特網的根域名服務器都在國外以及基礎軟件與硬件受制于人、原始創新稀缺等。這是我們急需解決的問題，要下決心做長期不懈的努力，以“兩彈一星”的精神和方式下大力氣加以解決。

二、加強云安全的研究與建設

近年來，云計算的發展十分迅速，采用云計算可以靈活配置和最大限度地利用資源、節省成本、方便用戶。美國制訂了“云優先”的國家戰略，要求在2015年前將現有的1100個聯邦數據中心減至800個。美國政府出臺了FedRAMP （Federal Risk and Authorization Management Program聯邦風險與授權管理計劃），其目標是提供標準化的方法對云計算進行安全評估、授權和連續監控。2011年12月8日，FedRAMP正式生效，并在美國政府部門內強制執行。2012年7月12日，美國國防部也推出了“云計算戰略”，其目標是：用最創新、最有效和最安全的方法實現云計算，進行信息和IT服務，在任何地方、任何時間和任何授權的設備上完成國防部的各種任務。

云計算是否可以迅速被廣大用戶接受的關鍵問題是云安全能否得到保證，因此各國都十分重視云安全。在云安全的標準化方面，2012年2月，JTC SC38與ITU-T SG13成立了聯合團隊。目前，《云計算參考架構》（ISO/IEC 17789）已經形成FCD稿，這是云計算標準化工作的方向標。該標準的目標是：① 從概念層面說明各類云服務；② 為理解、分類和比較各類云服務提供技術參考；③ 分析安全、互操作、可移植等領域的標準需求。美國的國家標準化研究院NIST在云安全的標準研究與制定方面做了大量的工作，為美國的云計算發展奠定了扎實的基礎。相對而言，我國的云安全標準化工作還相對滯后。目前，我國已經有兩個云安全國家標準即將公布，即《信息安全技術政府部門云計算服務安全指南》和《信息安全技術 云計算服務安全能力要求》。

我們建議加大我國云安全標準的研究和制定力度，包括以下幾個方面的內容：制定云安全標準路線圖；加強頂層設計；加強與云計算標準組的協調；以及加強政府主導下研究機構和企業的合作。

三、加強可信計算的研究與建設

近年來，TCG的可信計算技術受到了廣泛關注，我國也推出了使用自主密碼算法的TCM芯片。作為一種需要各個層次軟硬件相互配合推動的技術，我國的可信計算技術急需標準化對各參與方的行為進行規范和協調。

圖1是我們提出的可信計算標準路線圖建議。路線圖分為幾個部分：在路線圖的中間，是由可信硬件、可信平臺、支撐軟件、服務軟件、可信平臺服務接口5個層次組成的可信計算規范核心部分；下面是用于可信計算軟硬件產品的基礎技術規范；左邊是參照CC標準制定的可信計算各軟硬件產品類的保護輪廓規范；右面是可信計算與其他應用基礎設施的接口規范。

四、加強政務終端的統一安全配置

終端配置與信息安全息息相關，我們應當借鑒美國政府的經驗（聯邦桌面核心配置FDCC等），盡快制定符合我國政府終端安全目標和安全需求的政務終端安全配置標準，并支持標準配套實施工具的開發，以實現對全國政務終端的統一化和標準化的安全配置管理。具體建議如下：

（一）制定安全配置標準指南

根據我國政府對終端安全的政策要求和實際需求，制定中國政務終端安全配置標準。重點從權限、密碼、端口、服務等方面給出安全策略配置指南，加強對操作系統及應用軟件的安全管理，并提供詳細的安全配置策略目錄。

（二）研發標準配套工具

配套工具包括：安全配置策略自動部署工具、驗證測試工具以及標準符合性測試工具。

（三）標準的驗證、試點、部署與實施

在標準發布前要進行充分的測試和驗證，包括有效性測試、一致性測試和試點應用驗證。制定并實施部署計劃和應用推廣計劃。利用配套工具，進行全國政務終端的安全配置策略統一部署（允許例外），并進行監測和符合性測試評估。

在加強我國網絡安全基礎建設的過程中，我們要承認差距，充分借鑒國外的先進經驗，為我所用。吸取國外的教訓，不走彎路。以我為主，不斷創新，開創我國網絡安全基礎建設產學研的新局面。