《中国信息安全产业发展白皮书(2005-XXXX)30809.docx》由会员分享,可在线阅读,更多相关《中国信息安全产业发展白皮书(2005-XXXX)30809.docx(134页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国信息息安全产产业发展展白皮书书(2000520110)中国信息息产业商商会信息息安全产产业分会会前言中国信息息产业商商会信息息安全产产业分会会(以下下简称商商会)220022年3月月29日日正式成成立,当当年,商商会对我我国信息息安全产产业进行行过一次次较全面面的调研研,并写写出我我国信息息安全产产业调研研与建议议(20002年年)。三三年来,信信息安全全产业自自身发展展与环境境发生了了许多重重要的变变化,出出现了一一些新的的情况与与要求,有有必要编编写一本本中国国信息安安全产业业发展白白皮书(22005520110)(以以下简称称白皮书书),为为我国信信息安全全产业制制定发展展战略提提供
2、咨询询意见,同同时为信信息安全全产品、技技术与服服务的用用户提供供咨询服服务,也也为国家家政府主主管信息息化安全全部门提提供参考考意见。本白皮书书分成三三部分:第一部分分:信息息安全产产业情况况第二部分分:信息息安全技技术发展展展望第三部分分:我国国信息安安全产业业发展建建议中国信息息化安全全事业在在近几年年来得到到快速的的发展,这这种发展展首先是是由于从从中央到到地方政政府的广广泛重视视。国家家把国家家安全划划分为国国土安全全、政治治安全、经经济安全全和信息息安全,信信息化安安全是其其中重要要的组成成部分。因因此,信信息化安安全市场场得到迅迅速的发发展,使使信息化化安全建建设的需需求在不不断
3、扩大大。其次次,这种种发展还还由于我我国有一一批积极极进取的的信息安安全的创创新企业业,促进进了信息息安全产产业的发发展。还还应当看看到,我我国信息息化安全全领域有有一批敢敢为天下下先的高高水平的的专家队队伍和信信息安全全产业的的商会在在推动产产业发展展和凝聚聚企业发发挥了较较大的作作用。我国信息息化已经经有200多年的的历史,而而比较大大规模的的信息化化安全建建设也仅仅有近110年历历史。对对十年来来信息化化安全建建设进行行总结与与分析,树树立信息息化安全全新认识识,并在在此基础础上奠定定信息化化安全的的新起点点,从而而开辟信信息化安安全的新新领域,积积极培养养新的发发展增长长点将发发挥重要
4、要作用。信信息化安安全建设设必须从从出于对对“安全责责任”关注推推进到对对“安全责责任”和“安全效效益”的双重重关注,只只有坚持持这种效效益性安安全建设设方针,才才能维持持信息化化安全产产业的可可持续发发展。我们需要要特别说说明的是是,在谈谈到信息息化安全全时不可可能不谈谈到存在在的问题题,在编编写本白白皮书时时我们征征求一些些部门及及其负责责人意见见,同时时面向事事业发展展的要求求尽可能能客观的的分析和和提出建建议。本本白皮书书不考虑虑各领域域利益与与职责关关系的平平衡与协协调,编编写本白白皮书时时可能存存在信息息与资料料的遗漏漏。本白白皮书仅仅仅作为为商会提提出的发发展意见见,不代代表任何
5、何国家管管理部门门观点。如如果本白白皮书的的某些讨讨论和意意见与读读者意见见不一致致或存在在遗漏,请请读者包包涵和理理解,可可以与我我们联系系与商榷榷。本白皮书书由商会会常务副副理事长长屈延文文教授执执笔起草草,经商商会理事事长会议议讨论和和进一步步修改,于于20005年33月111日通过过。本白白皮书是是信息安安全产业业的企业业决策发发展道路路的重要要参考与与指导性性文件,并并希望作作为国家家、行业业、地方方、企业业在制定定“十一”五发展展计划的的参考文文件。本白皮书书上报中中国信息息产业商商会、信信息产业业部产品品管理司司,并抄抄报国务务院信息息化工作作办公室室、国家家发改委委、信息息产业
6、部部、科技技部、教教育部、国国家审计计署、中中国人民民银行、认认监委、银银监会、证证监会、保保监会、工工商总局局、中国国海关、铁铁道部、交交通部、民民航总局局、国家家广电总总局、安安全部、公公安部、保保密局、中中办机要要局、解解放军总总参某部部、总装装、国家家电力总总公司、电电监会、国国家金税税工程办办公室、国国家金卡卡工程办办公室、国国家金盾盾工程办办公室、国国家金财财工程办办公室、北北京市、上上海市、天天津市、重重庆市等等省市信信息化主主管部门门等。本本白皮书书还下发发商会所所有成员员单位领领导。20055年3月月11日日目录前言2第一部分分:信息息安全产产业情况况6第一章我我国信息息安全
7、产产业概述述7第二章信信息安全全产业市市场情况况概述882.1要要全面、系系统地认认识信息息化的安安全问题题82.1.1国家家视角考考察信息息化安全全问题882.1.2领域域视角考考察信息息化安全全问题992.1.3企业业视角考考察信息息化安全全问题992.1.4技术术保障部部门视角角考察信信息化安安全问题题102.1.5用户户视角考考察信息息化安全全问题1102.1.6必须须关注信信息化安安全服务务的综合合性、高高技术性性和对策策性特点点102.1.7信息息化安全全认识要要与时俱俱进1222.2国国家信息息化安全全市场分分类1332.3国国家基础础设施信信息化安安全建设设情况1132.3.1
8、 电电信网络络与电信信业务信信息化安安全建设设情况1132.3.2 广广电信息息化安全全建设情情况1552.3.3 银银行信息息化安全全建设情情况1662.3.4 证证券信息息化安全全建设情情况1882.3.5 电电力信息息化安全全建设情情况1992.3.6 铁铁路信息息化安全全建设情情况2112.3.7 交交通信息息化安全全建设情情况2332.3.8 民民航信息息化安全全建设情情况2332.3.9 政政法信息息化安全全建设情情况2442.3.10 国防信信息化安安全建设设情况2262.4电电子政务务信息安安全建设设情况2272.4.1 电电子政务务信息化化安全概概述2772.4.2 监监管现
9、代代化和信信息化情情况2882.4.3 政政府网络络服务信信息化安安全情况况322.4.4 政政府办公公业务信信息化安安全情况况322.4.5政府府信息化化安全应应急体系系建设情情况3332.5 电子商商务信息息安全建建设情况况332.5.1 电电子商务务信息化化安全概概述3332.5.2 企企业电子子商务信信息化安安全情况况342.5.3 银银行电子子商务信信息化安安全情况况352.5.4 政政府电子子商务信信息化安安全情况况362.6 产业信信息化安安全建设设情况3372.6.1 产产业信息息化安全全概述3372.6.2 产产业信息息化安全全情况3372.6.3 产产业信息息化安全全应急体
10、体系建设设情况3382.7 城市信信息化安安全建设设情况3392.7.1 城城市信息息化安全全概述3392.7.2 城城市基础础设施信信息化安安全情况况392.7.3 城城市电子子政务安安全情况况402.7.4 城城市电子子商务安安全情况况402.7.5 人人民生活活信息化化安全情情况4002.7.6 智智能化社社区信息息化安全全建设情情况4112.7.7 家家电设施施网络化化安全建建设情况况412.7.8 城城市呼救救服务信信息化安安全建设设情况4422.7.9 城城市应急急信息化化体系建建设情况况42第三章信信息安全全产业企企业情况况443.1信信息安全全产业企企业情况况概述4443.2信
11、信息安全全产业企企业资产产情况4443.3信信息安全全产业的的资本市市场情况况453.4信信息安全全产业的的技术情情况4553.5信信息安全全产业的的服务情情况477第四章信信息安全全产业环环境4994.1在在国家宏宏观经济济调控中中快速发发展信息息安全产产业4994.2我我国信息息安全产产业发展展的基础础环境4494.3我我国信息息安全产产业发展展的国际际环境4494.4我我国信息息安全产产业发展展的法律律环境5504.5我我国信息息安全市市场秩序序情况5514.6关关于信息息安全标标准化建建设情况况514.7关关于信息息安全产产品测评评认证情情况5224.8关关于信息息化安全全产业基基地5
12、33第二部分分:信息息化安全全技术发发展展望望54第一章信信息化安安全技术术发展概概述555第二章信信息化安安全传统统技术发发展展望望562.1信信息化安安全传统统技术概概述5662.2数数据安全全技术5562.3信信息隐藏藏与发现现技术5572.4系系统与网网络防护护技术5572.5系系统与网网络安全全检测、监监控技术术582.6安安全管理理平台技技术5992.7病病毒、蓄蓄意代码码检测与与消除技技术5992.8身身份认证证技术5592.9业业务连续续性技术术60第三章信信息化安安全新技技术发展展展望6613.1信信息化安安全新技技术概述述613.2可可信计算算平台(TCP)技术613.3可
13、可信网络络平台(TNP)和可信应用平台(TAP)技术623.4多多代理技技术6223.5数数字标签签技术6643.6无无第三方方认证与与行为可可信认证证技术6663.7监监管信息息化和信信息化监监管技术术663.8网网络对抗抗技术6683. 99多代理理计算网网格技术术693. 110信息息系统体体系结构构技术与与方法771第四章信信息化安安全理论论研究展展望7334.1信信息化安安全理论论研究概概述7334.2软软件行为为学系列列著作7734.3认认证管理理算法理理论7554.4计计算网格格理论:多代理理网格操操作系统统764.5代代理程序序设计与与代理软软件工程程理论7774.6网网络虚拟
14、拟世界社社会学研研究7884.7信信息化安安全总体体框架778第三部分分:我国国信息安安全产业业发展建建议800第一章我我国信息息安全产产业发展展概述881第二章谁谁能抓住住产生又又一个“微软公公司”的发展展机遇?82第三章关关于建立立信息化化安全新新型产业业基地与与集团882第四章关关于建立立分类产产品标准准化企业业联盟884第五章关关于建立立现代化化的信息息安全产产品测评评认证体体系844第六章关关于建立立我国信信息安全全产业发发展和维维权基金金85第七章关关于建立立和完善善企业技技术与业业务体系系架构886第八章信信息化安安全建设设的关键键课题建建议8668.1信信息化安安全的理理论课题
15、题868.2信信息化安安全的技技术课题题878.3信信息化安安全的应应用课题题878.4信信息化安安全的产产业发展展课题889结束语990参考文献献90第一部分分:信息息安全产产业情况况第一章 我国信信息安全全产业概概述我国信息息化安全全产业大大致可以以划分三三个发展展阶段:第一阶段段:19995年年以前,以以通信保保密和依依照TCCSECC的计算算机安全全标准开开展计算算机的安安全工作作,其主主要的服服务对象象是政府府保密机机构和军军事机构构。主要要从事这这方面的的工作的的是一些些科研机机构和军军事机构构,例如如原电子子工业部部第155所、电电子工业业部300所和原原邮电部部数据所所等研究究
16、机构及及其相关关企业。第二阶段段:在原原有基础础上,119955年开始始,以北北京天融融信网络络安全技技术有限限公司、北北京启明明星辰信信息技术术有限公公司、北北京江南南科友科科技有限限公司、北北京中科科网威信信息技术术有限公公司、北北京清华华德实科科技股份份有限公公司、上上海复旦旦光华信信息科技技股份有有限公司司等一批批从事信信息化安安全企业业的诞生生为标志志的创业业发展阶阶段,主主要从事事计算机机与互联联网的网网络安全全。从119999年起,将将信息安安全的工工作重点点逐步转转移到银银行与电电信信息息化安全全建设上上。20000年年我国第第一个行行业性质质的银银行计算算机系统统安全技技术规
17、范范出台台,为我我国信息息化安全全建设奠奠定了基基础和树树立了示示范。但但是,这这个时期期主要提提供的是是隔离、防防护、检检测、监监控、过过滤等中中心的局局域网安安全服务务技术与与产品,其其主要面面对病毒毒、黑客客和非法法入侵等等威胁。到到20001年,一一时间全全国成立立13000多家家从事信信息化安安全的企企业。第三阶段段:以220022年成立立中国信信息产业业商会信信息安全全产业分分会为标标志的有有序发展展阶段。这这个阶段段不仅从从事互联联网的信信息与网网络安全全,而且且开始对对国家基基础设施施信息化化安全开开展工作作,产生生了许多多自有知知识产权权的信息息与网络络安全产产品。22002
18、2年法论论功对我我国广电电和信息息基础设设施的攻攻击,从从反面促促使了我我国信息息安全产产业的发发展。与与此同时时,我国国电子政政务、银银行、证证券、保保险、电电信、电电力、铁铁路、交交通、民民航、海海关、税税收、工工商、公公安、安安全、保保密、机机要和军军队都相相应开展展了信息息化安全全建设,信信息化安安全建设设已经在在信息化化全方位位领域中中进行,信信息化安安全得到到了普遍遍的重视视。在这这个阶段段,有大大批的信信息安全全企业创创立,同同时也有有大批的的信息安安全企业业倒闭或或者改做做其他,一一些优秀秀企业更更加强大大,企业业资产得得到了较较大增加加。与此此同时,一一些国内内重要的的IT企
19、企业或许许多上市市公司开开始积极极介入信信息安全全产业,推推动了信信息安全全产业规规模扩大大。这个个时期的的技术与与产品逐逐步走向向产品芯芯片化、客客户化、平平台化和和高技术术化,并并促进了了信息安安全管理理平台的的研究与与开发。信信息化安安全的品品牌和知知识产权权的工作作得到更更多的重重视和加加强。在在企业的的呼吁下下,商会会推动下下,我国国信息安安全产业业出台了了中国国信息安安全产业业反不正正当公约约,为为建立“遵纪守守法、诚诚信自律律、公平平竞争和和共同监监督”的市场场秩序,奠奠定了基基础。目前,信信息安全全产业正正在进入入新的发发展时期期。这个时期期表现在在对十年年来信息息化安全全建设
20、进进行总结结与分析析,树立立信息化化安全新新认识,并并在此基基础上奠奠定信息息化安全全的新起起点,从从而开辟辟信息化化安全的的新领域域,积极极培养新新的发展展增长点点将发挥挥重要作作用。例例如,科科学院与与工程院院的张效效祥、金金怡濂、何何德全、蔡蔡吉人、周周仲义和和沈昌祥祥六个院院士给国国务院信信息化工工作办公公室领导导的关关于积极极开展银银行监管管信息化化和银行行信息化化监管研研讨工作作的建议议,得得到了国国信办领领导的高高度重视视,并批批转人民民银行与与银监会会领导阅阅示。国国信办领领导在银银监会回回复的报报告中说说,六院院士的建建议引起起了人民民银行与与银监会会领导的的重视,银银监会领
21、领导认为为要启动动银行监监管信息息化工作作,希望望得到国国家与社社会的广广泛支持持与帮助助。在十十届三次次人大会会期间,银银监会领领导在答答记者会会上说,提提升金融融风险监监管信息息科技水水平是加加强银行行风险监监管的重重要措施施之一。这个时期期主要受受到未来来信息化化安全自自主保障障、监管管、应急急和威慑慑体系建建设巨大大需求的的牵引而而逐步展展开的,其其重要标标志表现现在商会会的QNNS工作作室的软软件行为为学系系列著作作的出版版发行和和积极推推动以多多代理技技术、标标签技术术、无第第三方认认证技术术、监管管技术、对对抗技术术等适合合于大范范围网络络环境、针针对超海海量数据据对象和和满足高
22、高智能应应用与管管理的新新型技术术与产品品研发工工作的开开展上。同同时也表表现在商商会推出出可信网网络平台台(TNNP)、可可信应用用平台(TTAP)和和可信计计算平台台(TCCP)的的新型市市场理念念上。这这种可信信平台的的市场理理念得到到国家电电子政务务规划部部门、国国家金融融风险监监管部门门、国家家税务管管理部门门和国家家涉密网网管理部部门等单单位的高高度重视视。这种种新的发发展理念念还反映映在商会会推出的的安全管管理平台台企业联联盟、可可信计算算平台(CC_TCPP)企业业联盟、可可信网络络平台(TTNP)企企业联盟盟、CPPK企业业联盟等等标准化化机构和和信息安安全服务务等级标标准企
23、业业联盟机机构的创创立和技技术标准准的制定定上。本白皮书书讨论信信息产业业情况主主要从信信息安全全产业的的市场情情况、信信息安全全产业企企业情况况和信息息安全产产业环境境情况进进行讨论论。所谓谓信息安安全产业业的市场场情况主主要讨论论信息安安全产业业面临的的用户开开展信息息安全系系统和工工程项目目建设的的情况。为为了使讨讨论分类类清晰,我我们将从从国家基基础设施施信息化化、电子子政务、电电子商务务、产业业信息化化和城市市信息化化(包括括人民生生活信息息化)需需要的信信息化安安全建设设进行分分类研究究,研究究它们的的现状和和存在的的问题以以及今后后的信息息化安全全建设的的要求。所所谓信息息安全产
24、产业的企企业情况况主要讨讨论信息息安全企企业资产产、资本本市场、技技术情况况、服务务情况。所所谓信息息安全产产业的环环境情况况主要讨讨论信息息安全市市场秩序序、国外外信息安安全企业业进入中中国市场场情况、信信息安全全标准化化建设情情况、信信息安全全测评认认证情况况和信息息安全技技术法规规建设情情况。第二章信信息安全全产业市市场情况况概述2.1要要全面、系系统地认认识信息息化的安安全问题题我国信息息化安全全建设任任务非常常艰巨,主主要包括括各种业业务的社社会公网网、行业业专网、互互联网等等信息基基础设施施运营、管管理和服服务的安安全自主主保障、安安全监管管、安全全应急和和打击信信息犯罪罪为核心心
25、的威慑慑体系的的建设,其其内容包包括网络络系统安安全建设设、领域域和企业业的业务务信息化化安全建建设、网网络内容容与行为为的安全全建设和和用户关关注的网网络安全全建设等等方面。这这些安全全建设对对于不同同的领域域和领导导层面关关注的内内容、对对象和程程度各不不相同。这这种信息息化安全全需求不不同方面面的考虑虑,一方方面是由由于关注注的威胁胁和风险险不同,另另一方面面是由于于关注的的安全价价值不相相同。信息安全全企业要要全面、系系统地认认识信息息化的安安全问题题,将会会开拓自自己的眼眼界,看看到更具具有潜在在市场价价值领域域,不断断扩大企企业的市市场规模模,而不不至把企企业的服服务范围围限制在在
26、一个封封闭的狭狭窄空间间内。开开辟新的的市场领领域需要要做多方方面的准准备,需需要帮助助用户了了解这个个新的市市场的需需求,同同时,企企业也需需要做细细致的技技术准备备,开发发新的产产品,提提供新的的深化服服务。信信息化安安全领域域应当永永远地保保持思考考、发现现和创新新的渴望望与追求求,要不不断地鼓鼓励企业业的敢为为天下先先的进取取精神。需要特别别注意的的问题是是国外在在中国信信息化安安全市场场提供安安全产品品,主要要是从用用户角度度考虑的的,在中中国信息息化安全全市场中中通常没没有从国国家、领领域安全全考虑的的高水平平的安全全产品,尤尤其是平平台化的的国外产产品。2.1.1国家家视角考考察
27、信息息化安全全问题鉴于中国国所处的的国际政政治、经经济、外外交和军军事环境境,国家家制定了了信息化化带动工工业化的的发展战战略,反反映出国国家领导导人对信信息化安安全非常常重视。国国家领导导人关注注国家主主权意义义上的受受到侵害害的网络络行为、网网络犯罪罪和网络络恐怖主主义行为为,尤其其是那些些危害国国家安全全、社会会稳定和和文化侵侵蚀等方方面的内内容安全全。同时时,国家家领导人人也非常常关注国国家基础础设施的的宏观安安全问题题。国家家领导人人对信息息化安全全高度重重视,对对各领域域信息化化安全建建设起到到了巨大大的推动动作用。国国家为了了维护上上述安全全问题,建建立相应应的具备备更加强强大的
28、职职能的运运行机构构。我国政府府负责安安全工作作的部门门对于密密码、涉涉密网络络与公共共网络隔隔离、对对信息化化安全技技术、产产品和服服务进行行测评认认证和市市场准入入应当理理解为代代表国家家提出的的安全要要求。作为信息息产业部部门管理理信息化化应当划划分成两两大类:即政府府管理类类信息化化产品与与系统(GOTS)和商用产品与系统管理类别(COTS)。目前在这方面管理尚没有统一管理条例和制度之前,各政府部门可以考虑制定自己的管理条例。2.1.2领域域视角考考察信息息化安全全问题领域主管管部门首首先承担担国家关关注的网网络行为为与内容容安全责责任,同同时还承承担着制制定领域域信息化化安全标标准(
29、例例如互操操作性、安安全性和和服务性性的用户户标准体体系)和和技术法法规的责责任,也也承担着着建立领领域政府府管理类类产品(GOTS)配置管理服务体系的职责。领域主管部门还应当十分关注领域范围内市场秩序的建立。但是,对于许多领域来说,上述方面的领域应当关注的工作,目前开展得不是很好,缺少对领域信息化安全全面认识。当前,领领域管理理部门要要特别关关注包括括安全标标签在内内的技术术法规和和领域标标准制定定工作。领域管理理部门主主要关心心的领域域发展与与安全关关系问题题。有许许多领域域对其发发展与安安全之间间的关系系认识不不清,认认为关注注信息化化安全建建设,影影响了领领域的发发展。这这些认识识显然
30、是是错误的的,产生生这些认认识的原原因包括括如下几几个方面面:1、有许许多领域域对于发发展与安安全之间间的关系系的认识识有待提提高,例例如有些些领域的的主管部部门提出出“发展是是最大的的安全”或“不发展展是最大大的不安安全”等的观观点。虽虽然这些些观点是是正确的的,但是是对于具具体指导导信息化化安全建建设是不不够的。应应当实在在地对领领域中安安全问题题进行分分析,分分析那些些对发展展构成威威胁的风风险是什什么,根根据实际际情况对对风险进进行分类类和排序序,制定定出领域域信息化化安全建建设的发发展规划划,合理理地使用用资金。2、信息息化安全全问题的的敏感性性与许多多部门负负责人的的工作业业绩相关
31、关。出现现了多方方面的对对信息化化安全建建设进行行干预现现象,有有时这些些干预是是相互矛矛盾的。一一个领域域的信息息化安全全发展事事业被许许多部门门与人的的利益所所污染和和损害。一一个领域域的信息息化的事事业发展展规划变变成了针针对部门门与人际际关系的的规划,严严重地阻阻碍了信信息化安安全事业业的发展展。为了了解决这这些问题题,有时时又必须须采取迂迂回的方方法,通通过不断断地沟通通和创造造变化的的条件取取得认识识上进步步。3、一些些企业利利益集团团的反对对。有些些企业提提供的信信息化产产品与技技术,不不包括信信息化安安全方面面的内容容,提出出信息化化安全要要求后,这这些企业业认为增增加了企企业
32、的成成本或者者丧失竞竞争优势势,游说说领域主主管部门门,安全全建设影影响了他他们的发发展目标标和企业业的利益益。这些些企业利利益集团团包括一一些国外外的公司司。2.1.3企业业视角考考察信息息化安全全问题运营商通通过实施施领域信信息化安安全标准准(例如如互操作作性、安安全性和和服务性性的用户户标准体体系)和和技术法法规,来来体现出出对国家家关注的的网络行行为、内内容安全全、安全全生产、业业务连续续性服务务、网络络安全问问题和用用户关注注的安全全问题的的解决,同同时接受受国家和和领域对对安全问问题的监监管。实施信息息化建设设将越来来越要求求对企业业业务与与技术组组织体系系结构进进行改革革,实现现
33、管理层层次的扁扁平化、时时空聚焦焦化的低低管理成成本效益益。当现现代企业业领导人人在不认认识信息息化对企企业提高高企业竞竞争能力力帮助,不不明确适适合信息息化的业业务与技技术组织织体系结结构和信信息化可可能带来来的负面面的作用用有方案案能够抑抑制(例例如企业业知识产产权和企企业员工工在上班班时间做做非预期期的工作作)之前前,有见见识的企企业领导导人是不不会匆忙忙上信息息化的。从从这个意意义上看看,信息息化安全全建设必必须与企企业的风风险监管管信息化化结合起起来,这这种结合合是促进进企业信信息化事事业发展展的因素素。所以以,企业业应当关关注业务务运营系系统安全全建设。从事信息息化安全全的企业业,
34、要了了解企业业领导人人关注的的问题,才才会不断断扩展信信息化安安全建设设的市场场。2.1.4技术术保障部部门视角角考察信信息化安安全问题题近10年年来开展展的信息息化安全全建设主主要是针针对技术术支持部部门关注注的网络络与系统统的安全全问题,也也是专家家们关注注的安全全问题,主主要包括括计算机机病毒、黑黑客入侵侵、非法法访问、蓄蓄意代码码等网络络攻击事事件引起起的安全全问题。技技术保障障部门关关注的焦焦点是信信息化系系统的正正常运行行。在数据与与系统(软软硬件、网网络等)安安全保障障上能够够做到具具有安全全防护,便便于安全全管理,不不仅进行行了局域域网范围围的安全全保障建建设,同同时也考考虑“
35、大范围围的网络络环境的的”安全建建设。在在安全应应急处理理方面,能能够确保保业务连连续性;在安全全监管方方面,实实现了针针对行为为与内容容的监管管,实现现可信网网络平台台(TNNP)建建设。在企业进进行业务务与技术术组织体体系结构构调整时时,要区区别技术术保障部部门和风风险监管管部门的的差别。风风险监管管中心应应当属于于一种业业务组织织机构,作作为运营营中心工工作。2.1.5用户户视角考考察信息息化安全全问题用户关注注的安全全主要是是:隐私私防护、权权益维护护、信息息安全和和可信接接入等问问题。我我国信息息安全企企业对普普通用户户的信息息安全问问题关心心的不够够。在国家和和基础设设施关注注的信
36、息息化安全全得到了了普遍的的重视,但但是在中中国还要要特别注注意关注注普通百百姓的信信息化安安全问题题,尤其其关系到到政府、企企业面对对社会的的服务系系统要特特别注意意安全问问题,在在一个越越来越重重视人权权、民主主的现代代社会里里,应当当得到特特别的重重视,否否则会面面对严重重的社会会问题和和法律问问题。例例如在发发达国家家,我们们可以看看到一些些面向公公众的社社会服务务系统(例例如银行行信用卡卡系统等等)都具具有非常常高的安安全保护护就是例例证。为了解决决用户关关注的安安全问题题,信息息安全企企业应当当对公共共网络可可信接入入专用网网络的服服务、信信息客体体在网络络中传输输的安全全保障、标
37、签路由与交换通信、信息安全标签、无第三方认证密钥管理和活性客体传输机制等提供服务和支持。2.1.6必须须关注信信息化安安全服务务的综合合性、高高技术性性和对策策性特点点信息安全全产业有有其鲜明明的特点点,虽然然产生于于信息化化和信息息系统,依依然与通通常的IIT服务务有许多多区别。信息化安安全的基基本特征征是服务务性的。这这种服务务性与一一般软件件的服务务性是不不同的。一一般应用用系统或或产品的的服务主主要是维维护和培培训,通通常服务务是非对对策性的的、非动动态的和和比较固固定的。信信息化安安全服务务是对策策性的、动动态性的的、不断断产生新新内容的的和似乎乎永远不不能成熟熟等特性性。信息息化安
38、全全服务范范畴几乎乎包括了了整个信信息化所所包括的的所有产产品和系系统,其其服务的的综合性性和复杂杂性是显显而易见见的。信信息化安安全服务务是最高高技术的的服务,无无论从设设计角度度和使用用的角度度都要求求深入、熟熟练和非非常专业业。我们们可以骄骄傲地说说,信息息化安全全服务是是世界上上最伟大大的服务务业,也也是最困困难的服服务业。信息化安安全的环环境性。信信息化安安全产品品与系统统不是孤孤立存在在和使用用的,产产品与系系统使用用的好坏坏及其效效果与它它们所处处环境密密切相关关。这种种与环境境的相关关性大大大增加了了信息化化安全服服务的难难度。信息化安安全服务务的主体体性、客客户性和和可信性性
39、。信息息化安全全不是单单纯地提提供一些些安全产产品与系系统,不不能采用用同样的的产品与与系统服服务于各各种不同同的用户户,商会会在20002年年调研报报告中谈谈到发展展策略时时,第一一个提出出的对策策就是“客户化化”。这种种客户化化要求不不仅仅是是由于不不同行业业与领域域对信息息化安全全的要求求不同,而而且面对对的威胁胁性质也也可能不不同,更更重要的的是信息息化安全全责任与与效益也也要求有有针对性性的服务务。信息息化安全全服务提提供的产产品与系系统发挥挥作用了了吗?这这个问题题始终是是用户关关注的问问题。如如何做到到让用户户对企业业提供的的安全产产品与系系统具有有可信性性认可是是信息化化安全服
40、服务极其其重要的的问题。我我们需要要再一次次的呼吁吁企业与与用户注注意,提提供信息息化安全全服务功功能和能能力与为为用户建建立可信信性的服服务是两两类不同同性质的的服务。不不能提供供客户化化和可信信性服务务的安全全企业必必将要丧丧失其客客户群或或市场领领地。 信息化安安全服务务有很强强的时间间性、变变化性、及及时性、动动态性、非非成熟性性和对策策性。通通常的IIT产品品服务主主要是面面对产品品的可靠靠性和应应用培训训中产生生的问题题进行服服务,这这种服务务结构总总体来说说是静态态的,是是完全预预期的。现现代计算算机服务务中,已已经有相相当的服服务内容容是由于于计算机机病毒、黑黑客入侵侵等造成成
41、的,这这些服务务已经不不是计算算机产品品的供应应尚能够够服务的的,而是是信息安安全企业业提供的的。这种种危害计计算机应应用的攻攻击还在在不断地地翻新,新新的威胁胁几乎天天天发生生。一个个信息化化安全产产品的供供应商,不不能象普普通的计计算机产产品的供供应商那那样,必必须面对对不断发发生的新新问题,为为用户提提供新的的服务内内容。凡凡是依照照传统的的计算机机产品和和应用软软件供应应商的服服务模式式提供信信息化安安全服务务的,不不可能得得到用户户的满意意,如果果不调整整其服务务策略,必必然会丧丧失市场场。信息化安安全服务务的复杂杂性、综综合性、深深入性和和高技术术性。信信息化安安全的复复杂性和和综
42、合性性涉及到到通信、计计算机、外外部设备备、硬件件、BIIOS、操操作系统统、数据据库系统统、应用用软件、系系统体系系结构、系系统与网网络防护护体系、系系统和网网络的检检测与监监控体系系、系统统与网络络备份体体系、系系统的应应用与操操作、系系统与网网络的管管理等。上上述范畴畴的每一一项服务务都是技技术性很很强的业业务工作作,何况况还要涉涉及诸多多方面的的服务呢呢!商会会在20002年年调研报报告中谈谈到发展展策略时时,提出出的第二二个“平台化化”对策就就是基于于这种复复杂性和和综合性性认识的的。信息息化安全全服务的的深入性性是指威威胁与防防护都要要对系统统与网络络的脆弱弱性有深深刻的了了解,对
43、对系统和和网络非非常熟悉悉的使用用和长时时间的接接触。信信息化安安全服务务另一个个高技术术性表现现在服务务的远程程化、代代理化发发展趋势势的要求求,商会会在20002年年调研报报告中谈谈到发展展策略时时,提出出的第三三个对策策是“服务高高技术化化”就是基基于这种种认识的的。信息化安安全服务务的高成成本性。经经过商会会的多年年调研,信信息化中中的安全全建设大大约占有有15%到200%的项项目投入入。这个个投入如如此之大大,不能能理解为为信息化化安全仅仅仅购买买信息化化安全产产品或系系统。根根据我们们统计,购购买信息息化安全全产品费费用一般般在5%到100%左右右,而信信息化的的安全服服务费用用大
44、约在在5%到到15%,这主主要是由由于信息息系统复复杂程度度差距较较大,安安全服务务的成本本差别也也较大。但但是,我我们可以以看出信信息化安安全服务务大约在在信息化化安全建建设中占占有500%的份份额,而而我们知知道一般般的信息息化服务务只占信信息化项项目建设设费用的的10%左右,可可见信息息化安全全服务与与一般信信息化服服务的成成本之间间的较大大差别。信信息化安安全产品品与系统统的用户户除采购购产品本本身之外外,还必必须采购购其服务务,否则则根据上上面的分分析,信信息化安安全产品品与系统统的采购购将会变变得毫无无意义。那那麽,企企图只考考虑兜售售产品与与系统而而不为用用户提供供安全服服务的企
45、企业,显显然是一一种没有有实力的的或对用用户安全全不负责责的企业业。一个个用户如如果如此此购买信信息化安安全产品品与系统统,该用用户至少少是对信信息化安安全的特特点没有有认识,或或者说也也是对自自己不负负责任。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和代理化的推进方面做出不懈努力,不断降低服务成本。正由于信信息化安安全服务务的上述述特性,商商会正在在积极调调整和建建议一些些企业专专门从事事信息化化安全服服务,也也正是这这个原因因商会严严厉的批批评不关关注信息息化安全全服务、只只管销售售所谓安安全产品品和对客客户毫不不负责的的企业。2.1.7信息息化安全全认识要
46、要与时俱俱进信息化安安全认识识必须以以与时俱俱进的态态度进行行调整,这这是信息息化安全全建设的的大问题题,不仅仅企业需需要改进进对信息息化安全全的认识识,信息息化主管管部门也也应当适适时地调调整信息息化安全全的概念念体系,增增强责任任、危机机和全局局意识。例如如何何划分系系统和网网络安全全等级的的问题,有有几种视视点:依依照网络络传输信信息安全全要求来来划分网网络安全全级别;依照系系统和网网络提供供安全防防护服务务能力等等级划分分系统和和网络安安全级别别;依照照系统和和网络中中可信性性的级别别来划分分系统和和网络的的安全级级别。只只要把这这些问题题提出来来,一个个比较认认真对待待问题的的人士,
47、一一定会区区别它们们之间的的差别。在在有些情情况下,可可以考虑虑依照网网络传输输信息安安全要求求划分其其安全级级别;在在另一些些情况下下,可以以考虑依依照系统统和网络络提供安安全防护护服务能能力等级级划分其其安全级级别;但但是,无无论怎样样划分安安全等级级,都必必须依照照系统和和网络的的可信性性的级别别来划分分其安全全设施发发挥作用用的“心中有有数”程度;如如果有了了上述三三种分类类认识,在在研究信信息化安安全标准准和制定定信息化化技术法法规方面面就会有有一个明明确的认认识体系系。再例如如如何看待待信息化化安全标标准问题题。信息息化安全全标准不不能看成成僵死的的东西,信信息化安安全的许许多标准
48、准随着信信息化发发展,出出现了非非满足和和不适应应的新问问题。例例如TCCSECC是19985年年美国国国防部提提出的标标准,这这个标准准连带它它的许多多附加文文件,对对于单一一计算机机和操作作系统的的安全建建设起到到过很好好的指导导作用。这这个标准准划分等等级原则则是依据据系统提提供的安安全服务务能力的的的等级级来确定定的,尤尤其其中中的“授权可可信”的安全全概念需需要进行行调整,做做到对身身份授权权与行为为可信的的双重关关注;改改变把信信息安全全质量评评估等级级和安全全功能强强度等级级混合在在一个等等级划分分标准系系列内而而存在可可操作性性问题的的局面。TTCSEEC这个个标准对对于信息息系统、网网络、通通信、微微电子等等信息产产品存在在着相当当程度的的不适合合性,更更谈不上上将这个个标准作作为整个个信息技技术或信信息化的的安全标标准。例如如何何看待信信息化安安全的技技术法规规