政策进入落实期
2003年9月,中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件),提出要在5年内建设中国信息安全保障体系。2007年,是这一目标实现的倒数第二个年份。在国务院信息化办公室的大力推进下,27号文件提出的十项基本任务目前已经正在或基本落实。由于信息安全是这样一个复杂和关系重大的领域,国家采取了谨慎前行的方式,2006年之前,各种政策制度均处于试点阶段,2007年,将进入普及推广阶段。
信息安全的等级保护制度是国家大力倡导的信息安全基本政策。经过两年多的探索,2005年,公安部出台了等级保护规范, 2006年对等级保护制度进行了重点试点,并总结出了很好的经验和汲取的教训。2007年,毫无疑问,等级保护工作将在中国的各个重要的基础行业广泛推广。
灾难备份标准已经在2005年出台,2006年在中国的基础性行业,比如金融、电信、民航等,积极探索灾备和业务连续性模式已经有了明确的结果,2007年有望在更广泛的领域推广。
2006年,信息安全风险评估工作在试点的过程中,也取得了良好的成绩,有望在2007年全面展开。这不仅为用户带来了高等级的安全保护,也为产业带来了新的商业机会。
2006年,信息安全管理规范的试点工作也基本完成。从结果来看,基本取得了预期的效果,2007年,这一成果同样将在更广泛的领域采用。
经过多年的筹备,2006年6月,中国信息安全认证中心获中编办正式批准。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪,标志着我国信息安全认证认可体系建设迈出了重要步伐。
毫无疑问,在2007年,一方面一些重要的政策、标准还将继续采用试点的方式摸索成功的方法,并不断进行经验总结;另一方面,一些证明成功的经验将在更加广泛的领域推广,中国的信息安全政策将全面进入落地时期。
用户进入投入期
经过3年来国家对重点行业的重要用户进行信息安全理论和实际运营经验的培训和教育,目前,中国IT系统用户的信息安全意识已经普遍得到提高,尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业,已经开始广泛部署各种信息安全技术和产品,并按照国家的号召,在等级保护、风险评估、灾难备份和业务连续性等领域,逐步掌握科学规范的方法。2007年,这些重点行业将进入全面的投入期。
以金融业为例,过去人们一直认为金融行业对信息安全的建设非常重视,但实际上,金融业并不如想像的那样安全,一般的银行只部署了简单的信息安全技术和产品,并没有从体系上解决信息安全问题。但自2006年以来,金融业普遍开始进行认识上的转型,尤其是外资银行在国内业务的扩张,国内银行竞争压力加大,再加上网上银行业务模式比重的加大,势必使得金融信息安全建设在2007年将备受关注。
此外,用户从实践中已经认识到,信息安全的“系统”建设比单独购买信息安全产品更重要,只有整体IT系统的安全才能构成真正意义上的安全。因此,从系统角度考虑安全建设将成为主流理念。
在这种情况下,用户安全建设四层结构渐已成型。一是安全规划,确定系统的安全框架与建设步骤,包括为系统定级等;二是进行重点资源的保护以及安全产品购买;三是安全管理平台的建设,以便及时把握系统的安全状况;第四是日常运营管理,以保障安全体系正常发挥作用。
与往年一样,2007年全球的安全形势依然不容乐观,病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、流氓软件、针对漏洞的攻击等依然会以各种不同的面貌出现,也不排除会出现新的攻击形式。用户不得不保持高度的警惕,并在信息安全领域持续进行重大的投入,以保护自己的数字资产。
产业进入转型期
专家预测,2007年信息安全产业将进入一个全面的转型期。从全球看,2006年信息安全领域几个大手笔的收购事件,已经为2007的信息安全产业转型埋下了伏笔。
EMC公司以21亿美元收购著名的身份认证公司RSA公司,IBM以13亿美元收购著名的入侵检测与防御公司ISS公司,微软同样以巨资收购Web应用防火墙专业厂商Whale等,这意味着全球IT大公司开始全面关注信息安全技术和产品,并开始将这些信息安全技术应用在基础IT产品技术中,以便为用户提供更基础的信息安全服务。信息安全也许不再以一个单独的产业形式存在,但它已经融入到全球信息化的整体浪潮中,成为信息化不可分割的部分。
从中国来看,专业的信息安全公司也开始进行调整,以适应政策和用户需求的变化。在目前中国资本市场及政策并不完善的情况下,中国的企业还不能通过资本市场的收购来扩大信息安全技术产品线,但一些企业已经开始了国际化之路,比如天融信公司通过国际化的资本运作和引进职业经理人,已经开始了国际化的尝试。
从信息安全产品来看,网域神州预测, 2007年同样将进行重大的创新和变革。2007年流行的信息安全技术将分成3类:第一类是被广泛接受、广泛运用的产品,比如老三样的防火墙、反病毒和入侵检测;第二类是已经热了两年,开始在局部运用的产品,比如UTM、入侵防御等;第三类是开始被关注、并将成为前沿热点的产品,比如IPv6下的信息安全技术和产品。
为了响应国家对信息安全“自主可控”的目标,信息安全专家沈昌祥院士多年来一直倡导可信计算技术和产品的开发。他预测2007年,中国有望通过加强可信计算研究,打破信息安全领域被国外企业占据主导地位的局面。
大力发展我国可信计算技术及产业
中国工程院院士 沈昌祥
从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全(安全操作系统、安全数据库等)、网络安全等方面的研究工作。先后完成了重大科研项目二十多项,取得了一系列重要成果。
发展可信计算是国家安全的需要。国家“十一五”有关规划和863计划已将“可信安全计算平台研究”列入重点支持方向,并有较大规模的投入与扶植。具体来说,可信计算的发展重点将集中在以下几个方面。
第一,基于可信计算技术的可信终端是发展产业的基础。可信终端手机以及其他移动智能终端等)是以可信平台模块(TPM)为核心,它并不仅仅是一块芯片和一台机器,而是把CPU、操作系统、应用可信软件以及网络设备融为一体的基础设备,是构成可信体系的装备平台,应加大力度研制开发。
第二,高性能可信计算芯片是提高竞争能力的核心。可信计算核心是TPM芯片,TPM的性能决定了可信平台的性能。不仅要设计特殊的CPU和安全保护电路,而且还要内嵌高性能的加密算法、数字签名,散列函数、随机发生器等。
第三,可信计算理论和体系结构是持续发展的源泉。可信计算概念来自于工程技术发展,到目前为止还未有一个统一的科学严谨的定义,基础理论模型还未建立。因此现有的体系结构还是从工程实施上来构建,缺乏科学严密性。必须加强可信计算理论和体系结构研究,对安全协议的形式化描述和证明,逐步建立可信计算学科体系。
第四,可信计算应用关键技术是产业化的突破口。可信计算平台的主要技术手段是使用密码技术进行身份认证,实施保密存储和完整性度量,因此在TPM的基础上,如何开发可信软件栈(TSS)是提高应用安全保障的关键。
第五,可信计算相关标准规范是自主创新的保护神。我国可信计算平台研究起步不晚,技术上也有一定优势,但至今还没有相应的标准规范,处于盲目的跟踪和效仿TCG的建议。我国应加大力度制定相关标准规范,强制执行。
目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须把握住正确的研究方向,制定相应的发展战略,自主创新。
核心观点
目前我国信息安全建设正处在一个关键时期,发展可信计算是具有战略意义的事情,我们必须把握住正确的研究方向,制定相应的发展战略,自主创新。
信息安全认证成当务之急
博士、研究员 陈晓桦
现任《全国信息安全标准化技术委员会》委员兼副秘书长、国家电子政务标准化总体组成员、中国实验室国家认可委员会(CNAL)评定委员会委员等。曾任“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长。
随着信息化的推进,信息与网络系统的基础性、全局性作用越来越强,信息安全产品、服务以及信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。通过颁布法令与标准,在信息安全领域实施认证认可制度,已经成为当今经济全球化和信息化趋势下各国政府维护国家主权的重要手段。信息安全认证认可体系是建设国家信息安全保障体系的重要组成部分,加快我国信息安全认证认可制度的实施是当务之急。
近几年来,围绕对信息安全产品的测评认证,公安部、国家保密局、国家密码管理局、信息产业部和一些地方政府分别在各自的职能范围内,对一些信息安全产品实施了相关的检测、评估和许可等制度。
2006年年6月,中国信息安全认证中心获中编办正式批准。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪。中国信息安全认证中心正式成立,标志着我国信息安全认证认可体系建设迈出了重要步伐。
当前和今后一段时间,新成立的中国信息安全认证中心将着重开展以下五方面的工作: 一是进一步做好组建工作。尽快做到人员到位、制度到位和职能到位; 二是加强协调与沟通,营造良好的外部工作环境; 三是认真履行职责,确保认证质量; 四是加强认证技术的研发,提高认证检测水平,确保中心的认证技术能力满足业务发展的需要; 五是推进国际合作与交流。
信息安全产品测评认证是信息安全保障的基础性工作。特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。通过认证的手段,有利于改革政府管理方式和手段,创建公平竞争的环境,有效地保护和促进我国信息安全技术与产业的发展。
核心观点
在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。
从灾备迈向业务连续性管理
GDS万国数据服务有限公司副总裁汪琪
GDS万国数据服务有限公司首席灾备专家,深圳市科技专家委员会委员。中国大陆第一位获得DRI International “CBCP”认证的业务连续运作专家。
灾难恢复与业务连续管理经过多年的建设已开始初具规模,银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入信息系统的灾难恢复建设。
银行业作为中国灾难恢复和业务连续管理建设的领头行业,早在20世纪90年代末即开始规划和实施数据大集中和灾难备份,至今大部分国家政策性银行、国有大型商业银行及全国性股份制银行已形成了一定的灾难备份和恢复能力。2006年,整个银行业对灾难恢复与业务连续体系的认识正在快速提高。可以肯定的是,银行业的灾难备份和业务连续管理在2007年将有望得到快速发展。
2006年11月9日,中国银监会召开信息科技风险管理与评价审计工作(电视电话)会议。银监会党委书记、主席刘明康指出,当前我国银行业信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理以及业务持续性规划的研究和制定等五方面工作。根据刘明康主席的讲话,相信在2007年,银行将开始从对信息系统的灾难备份逐步向业务连续性规划和体系的建设完善过渡,以符合银监会审计的要求。
证券业、保险业中的大型公司在最近几年都在关注和研究灾难备份中心的建设,其建设的时间表一般都与其大集中的步伐相关,部分先行者已形成了一定的备份能力。证监会、保监会也陆续出台了关于备份和安全的部分管理办法,更加详细的管理规范也将在2007年出台。
另外,2007年,也是航空、税务、海关、电力等部门对灾难备份建设进行规划、设计和基础性平台性建设的关键阶段。
核心观点
灾难恢复与业务连续管理经过多年的建设已开始初具规模,银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入。
内部安全成当务之急
中国化工信息中心副主任 李中
现任中国化工信息中心副主任,曾主持并参与了中国化工综合信息服务系统、中国化工信息网、中国万维化工城网站的建设工作。
一直以来,化工企业对于信息安全的重视都有普遍的共识。包括石化、石油在内的众多化工企业都属于流程制造企业,具有产品多、数量大的行业特性,且要求化工设备绝对不能停。这也导致化工企业对信息安全的依赖程度很高,一旦发生网络系统中断、服务器宕机、数据丢失、上下游关系不连通,甚至仅仅是停电,带来的也将是难以承受的后果。
从目前的发展来看,化工企业的信息化发展已经从初级起步阶段进入了拓展阶段。各化工大中型企业均在ERP、OA、MIS、电子商务等诸多领域开展了建设,甚至已有超过70%的企业在建或已完成生产制造信息化系统的建设。
对于流程制造业来说,一旦信息化进入了生产制造环节,安全可靠就会被视为第一位。为了确保信息系统的安全,不少化工企业已经对系统平台的安全性做了大量的工作,一些防病毒、防攻击设备已经被许多企业所采用,一些大的集团公司甚至已开始考虑建设集中的机房,或是考虑容灾备份、VPN等。
总结
2006年的发展现状和趋势,企业在2007年的信息安全建设将进一步深入:内部安全建设成为当务之急,应急救援机制也需要尽快建立。
首先,大部分用户已经意识到内部安全的严重性,将进一步加强管理和采用安全技术来确保内网安全。目前,厂商和企业的主要关注点还集中在外网威胁方面,而对内网安全管理环节的重视相对较弱,一旦内网出现问题,后果将不堪设想。再者,内网直接关系到公司运作,内网资料是企业的核心,内网出现问题容易导致整个系统瘫痪,加上目前企业的内部使用人员的安全意识还不够,比较容易出现问题。
其次,化工企业将着力建立应急救援机制。在信息安全方面,虽然企业采取了一系列安全措施,但绝对的安全是没有的,必须依靠相应的机制来解决问题。
从2007年的这两方面重点来说,技术仅仅是信息安全的一部分,随着应用的深入和信息安全系统的逐步建立,加强管理的重要性已经开始凸显。
安全加速转型
网御神州(北京)有限公司总裁 任增强
曾先后任联想集团华北区总经理、联想集团大客户部总经理、联想集团信息安全事业部总经理、联想网御科技有限公司总裁。
信息安全产业,有型突破无型,一种新的布局正在形成。走过数年的探索期,从2006年开始步入了高速发展的转型期,经历其后三年的调整成型后,必将达到产业的稳定期。
眼下的2007年,既是产业发展的中间期,又是转型期的中心段,这一年必将是备受关注的一年,这一年也必将会有许多的告别过去和许多的开创未来。
第一,银行、证券成为安全建设的新亮点。面对外资银行业务扩张,国内银行的竞争压力加大,会加大网上银行及理财业务的比重,以更方便、快捷、高效的客户服务,新网上业务模式比重的加大,势必使得安全建设在这一年备受关注。
第二,安全建设开始出现理念上的转型。一方面,在国信办“等级保护”安全理念推动下,越来越多的客户认同并接受了“系统”建设的观点; 另一方面,一些客户经过多年的安全产品购买和基础建设后,从实践总结中认识到只有整体IT系统的安全才能构成真正意义上的安全。因此,从系统角度考虑安全建设将成为主流理念。
第三,安全产品将分为三大类,市场表现特质鲜明。2007年的安全产品将清楚地分为三大类; 第一类是被广泛接受、广泛运用的产品;第二类是已经热了两年,开始在局部运用的产品; 第三类是开始被关注、成为前沿热点的产品,以IPv6下的安全产品为代表。
第四,安全竞争格局显现雏形。未来的安全竞争格局会有两大显著特征:一是出现2~3家的第一阵营;二是专业性趋势,专业、专注、战略探索中的安全企业将成为信息安全建设的主力军。2007年,原来处于第一阵营的队伍面临分化,其中一部分将继续高速、健康发展,另一部分则会因为其内部制约或调整不及时而被淘汰或整合。
应对安全转型,才能成就产业明天。见证了2006年前的蓄势待发,经历了2006年的动力储备,在2007年静谧的安全蓝海中,有业界人士的共同努力和投入,相信安全产业定会快速成型——客户会更加成熟,技术会更加成熟,企业也会更加成熟。
核心观点
安全产业正在快速成型,客户会更加成熟,技术会更加成熟,企业也会更加成熟。
恶意软件威胁上升
McAfee Avert 实验室和产品研发高级副总裁 Jeff Green
主要负责管理McAfee全球的研究机构,拥有十年的安全软件从业经验,曾经在McAfee研发部担任了七年高级副总裁。
当我们看到尖端技术不断发展的时候,普通用户发现或避免恶意软件感染变得更加困难。
根据目前的趋势,迈克菲预计在2007年年底,将会发现第30万个威胁。在2007年,这些威胁主要集中在以下几个方面。
密码盗取站点不断上升。更多攻击试图通过仿冒的登录页面捕捉用户的ID和密码,以及针对在线服务站点(eBay)攻击不断上升,将在2007年更加明显。
图像垃圾邮件将会不断上升。图像垃圾邮件在过去的几个月里,增长迅速,而且这种趋势短期内不会改变。
网络站点的视频流行使之成为黑客的目标。在MySpace、YouTube和VideoCodeZone 上使用视频的形式不断增长,将吸引恶意软件编写者寻找渗透更多网络的机会。
更多移动攻击。随着利用蓝牙、短消息服务、即时消息、电子邮件、Wi-Fi、USB、音频、视频和Web进行连接,交叉设备污染的可能性大大增加。
广告软件将走向主流。在2006年,McAfee Avert实验室发现商业性PUP不断增长,而且相关类型的恶意木马,特别是键盘记录程序、密码盗取者、僵尸网络以及后门程序表现出更大增长。
身份盗取和数据损失将继续成为公众问题。公司泄漏丢失或数据被盗,不断增长的网络犯罪以及零售商、处理器和ATM系统被黑以及包含有机密数据的笔记本电脑被盗,将继续成为公众担忧的话题。
僵尸网络将继续增长。僵尸网络、执行自动化任务的计算机程序在不断上升,但将从低级的通信机制Internet Relay Chat (IRC)转向更少强迫式的方式。
寄生恶意软件正在回头。虽然寄生类恶意软件在所有恶意软件只占有不到10%的份额,但它看起来好像有回头的迹象。
核心观点
恶意软件的威胁将不断上升,普通用户发现或避免恶意软件感染变得更加困难。