|
快速發(fā)展的互聯(lián)網(wǎng)在給人們帶來(lái)便利的同時(shí)��,其日益凸顯的信息安全問(wèn)題也對經(jīng)濟社會(huì )發(fā)展�、人民的正常生活乃至國家的安全體系構成了威脅�����。在眾多不同層次的信息安全漏洞中�,我國信息系統安全風(fēng)險較為突出����。業(yè)界專(zhuān)家和全國人大代表建議:盡快確立我國信息系統安全標準�,加強我國在信息系統安全領(lǐng)域自主創(chuàng )新的能力�����,建立信息系統安全標準體系����,完善政府采購相關(guān)措施����,并強制推廣使用自主知識產(chǎn)權安全技術(shù)產(chǎn)品���,以實(shí)現我國信息系統裝備安全�����、可信�、可控����。
三大因素影響我服務(wù)器系統安全
在整體信息安全保障體系中���,安全產(chǎn)品按照不同應用情況和網(wǎng)絡(luò )結構�,一般分為系統層����、網(wǎng)絡(luò )層和應用層�。目前我國防火墻����、防病毒���、入侵檢測等網(wǎng)絡(luò )層和應用層的安全技術(shù)和解決方案日趨成熟�,但由于多種原因���,我國在系統層安全特別是服務(wù)器安全防范方面還比較薄弱����。
據中科院信息安全技術(shù)工程研究中心主任卿斯漢介紹�,目前�����,影響我國服務(wù)器系統安全的主要原因有三:其一�,目前國內大多數的服務(wù)器操作系統是由國外公司提供的���,系統內核邏輯編程都掌握在他人之手���,國內用戶(hù)缺乏對底層技術(shù)的了解�����,軟件中是否存在有“后門(mén)”無(wú)從了解��,這給國家安全埋下了相當嚴重的隱患��;其二�,美國在高級別或操作系統安全技術(shù)上對我國實(shí)行封鎖���,美國商務(wù)部出口管理局制定的《出口控制條例》禁止相關(guān)系統產(chǎn)品出口�����;其三��,我國在服務(wù)器操作系統研發(fā)上還相對滯后����。也因為如此����,我國在服務(wù)器安全防范上必須加強自主研發(fā)和產(chǎn)業(yè)化運營(yíng)���。
服務(wù)器研發(fā)有進(jìn)展產(chǎn)業(yè)化仍需加強
2007年12月���,由浪潮集團主導完成的中國第一個(gè)服務(wù)器安全國家標準--信息安全國家標準體系正式實(shí)施�����,其自主研發(fā)的國內首款作用于系統層的信息安全軟件產(chǎn)品——服務(wù)器操作系統安全加固系統也通過(guò)了信息產(chǎn)業(yè)部主持的成果鑒定����。由中科院院士沈昌祥擔任鑒定委員會(huì )主任的專(zhuān)家組認為��,浪潮服務(wù)器操作系統安全加固系統能夠有效提高商用服務(wù)器操作系統的安全保護能力�����,并具有良好的自我保護功能�����,填補了我國在使用多種主流服務(wù)器商用操作系統同時(shí)安全加固的空白��。
盡管如此�,與發(fā)達國家相比我國在信息系統安全領(lǐng)域還存在一定的差距�;而且在這一領(lǐng)域“攻防”技術(shù)的對弈也在不斷變化�����。從加強國家信息安全的戰略角度來(lái)看��,我國在這一領(lǐng)域的持續創(chuàng )新能力和層次亟須強化提升�。
卿斯漢等專(zhuān)家認為����,目前我國在信息系統安全領(lǐng)域的許多理論研究����,如密碼算法等方面已經(jīng)走在世界前列��,但在成果的產(chǎn)業(yè)化方面卻與發(fā)達國家存在較大的差距--突出的一點(diǎn)是企業(yè)與科研機構的脫節���。今后一段時(shí)間里�����,我國需要大力推動(dòng)這一領(lǐng)域的產(chǎn)學(xué)研融合發(fā)展�。
建立信息系統安全標準體系完善政府采購相關(guān)措施
全國人大代表�、信息系統安全專(zhuān)家孫丕恕建議���,第一����,信息系統安全標準是構建國家信息安全保護體系必須具備的技術(shù)�����、管理規范����,國家要盡快建立自主完善的標準體系���,同時(shí)要加強標準的普及使用��。特別是要在主機等主要設備的操作系統和數據庫安全技術(shù)��、安全服務(wù)器技術(shù)和產(chǎn)品研發(fā)等方面實(shí)現迅速突破�,為國家基礎信息系統及重要信息系統提供第二級以上信息安全等級保護產(chǎn)品����!
第二�����,利用政府采購政策促進(jìn)技術(shù)創(chuàng )新���、產(chǎn)品創(chuàng )新和產(chǎn)業(yè)結構升級是發(fā)達國家的普遍做法�����,特別是在涉及信息系統安全的核心技術(shù)產(chǎn)品方面更為突出�。發(fā)達國家還普遍禁止在重要行業(yè)�����、部門(mén)���、單位采購使用國外產(chǎn)品���,2007年5月發(fā)生的美國國務(wù)院限制使用聯(lián)想PC事件�,充分反應了美國在涉及信息安全方面對于自主品牌的傾斜�����。
當前我國許多重要信息系統建設中仍然繼續大量采購外國品牌的關(guān)鍵信息設備和安全產(chǎn)品����。在2007年政府信息化建設采購中����,國外品牌占據了我國中低端服務(wù)器系統47.9%的份額�,金融�、電信等重要行業(yè)使用中高端國外品牌服務(wù)器系統高達80%以上���;政府部門(mén)采購外國品牌安全產(chǎn)品的比重也很高�����。
建議盡快制定出臺信息安全等級產(chǎn)品采購和安全服務(wù)機構目錄及相應的管理辦法��,從法律����、政策����、管理����、技術(shù)標準以及監管等層面��,在把住市場(chǎng)準入關(guān)的同時(shí)����,把住重要信息系統和網(wǎng)絡(luò )安全的入口關(guān)�����,實(shí)施重要信息系統的關(guān)鍵設備�����、安全產(chǎn)品���、安全服務(wù)準入管控措施�����,明確在國家基礎信息系統�����、重要信息系統的關(guān)鍵設備����、信息安全產(chǎn)品必須使用自主知識產(chǎn)權的國產(chǎn)化產(chǎn)品���。 |