收藏
下载资源

信息安全国家发展战略与两个关键问题

上传人:j7****6 文档编号:61610220 上传时间:2018-12-06 格式:PPT 页数:71 大小:330.50KB
返回 下载 相关 举报
信息安全国家发展战略与两个关键问题_第1页
第1页 / 共71页
信息安全国家发展战略与两个关键问题_第2页
第2页 / 共71页
信息安全国家发展战略与两个关键问题_第3页
第3页 / 共71页
信息安全国家发展战略与两个关键问题_第4页
第4页 / 共71页
信息安全国家发展战略与两个关键问题_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《信息安全国家发展战略与两个关键问题》由会员分享,可在线阅读,更多相关《信息安全国家发展战略与两个关键问题(71页珍藏版)》请在金锄头文库上搜索。

1、,中国工程院 沈昌祥 院士 2001-08-06,信息安全工程技术,一、信息与网络安全的重要性及严峻性,信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注与投入。 网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是对抗霸权主义、抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋力攀登的制高点。 网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、

2、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。,我国信息化建设需要的大量基础设备依靠国外引进,无法保证我们的安全利用和有效监控。因此,解决我国的信息安全问题不能依靠外国,只能走独立自主的发展道路。 目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。要用我国自己的安全设备加强信息与网络的安全性,需要大力发展基于自主技术的信息安全产业,而自主技术的发展又必须从信息与网络安全的基础研究着手,全面提高创新能力。 当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏洞,以致宏观安全体系研究上的投入严重不足,这样做是不能从根本上解决问题的,急

3、需从安全体系结构整体的高度开展强有力的研究工作,从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑,并为信息与网络安全的工程奠定坚实的基础,推动我国信息安全产业的发展。,二、国内外研究现状和发展趋势,美国 计划:在PDD-63基础上,发布了保护美国计算机空间。 组织:建立了信息安全管理的完整的组织体系:保护关键基础设施总统委员会、国家基础设施保障委员会、国家安全局、国家基础设施防护中心等。 设施:建立了完备的国家信息安全的基础设施:。 资金:持续增长的财政拨款 技术:支持基础技术与关键技术的研究 人才:人力资源的培养 立法:与国会密切合作,推动有关网络和计算机安全的立法进

4、程。,1995年颁布了联邦信息、信息化和信息保护法。 法规强调了国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务,提供高效益、高质量的信息保障创造条件”。 法规中明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。 2000年,普京总统批准了国家信息安全学说。 明确了联邦信息安全建设的目的、任务、原则和主要内容。 第一次明确指出了俄罗斯在信息领域的利益是什么,受到的威胁是什么,以及为确保信息安全首先要采取的措施等。,俄罗斯,日本,日本政府已将信息安全问题从防范一般性高技术犯罪提升到保障国家安全的层面,从国家利益的高度强调信息化发展和信息安全问题。,

5、新加坡,早在1996年,宣布对互联网络实行管制,宣布实施分类许可证制度。该制度是一种自动取得许可证的制度,目的是鼓励正当使用互联网络,促进其在新加坡的健康发展。它依据计算机空间的最基本标准谋求保护网络用户,尤其是年轻人,免受非法和不健康的信息传播之害。 新加坡新闻与艺术部还成立了一个“全国互联网络咨询委员会”,以便处理有关互联网络和电子信息服务的事务。,评测标准:,80年代,美国国防部在计算机保密模型(Bellla Padula模型)的基础上,制订了“可信计算机系统安全评价准则”(TCSEC),其后又制订了关于网络系统,数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则,将计算机

6、安全按从低到高顺序分为四等八级:D,C1,C2,B1,B2,B,A1,超A1。 90年代初,英、法、德、荷四国联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)。,近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC)。1999年5月,国际标准化组织和国际电联(ISO/IEC)通过了将CC标准作为国际标准ISO/IEC 15408信息技术安全评估准则的最后文本。 CC标准充分突出“保护轮廓(PP)”,将评估过程分为“功能”和“保证”两部分。为了能够有效地使用安全功能需求和安全保证需

7、求,CC标准还引入了“包(Package)”的概念,以提高已定义结果的可重用性。在“保证”部分中,以包的概念定义了7个安全保证级别(EAL)。并将评估等级分为从EAL1到EAL7共7级。每一级均需评估7个功能类,即配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评估。,安全协议目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展提高阶段。 网络安全监控管理理论和机制的研究受到重视,黑客入侵手段的研究分析,系统脆弱性检测技术,报警技术,信息内容分级标识机制,智能化信息内容分析等研究成果已经成为众多安全工具软件的基础。 1976年美国学者提出的公

8、开密钥密码体制克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,并可用于身份认证,它是当前研究的热点。,电子商务和电子政务的安全性是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了认证理论、密钥管理等的研究。 基于密码理论的综合研究成果和可信计算基系统的研究成果,构建公开密钥基础设施(PKI)和密钥管理基础设施(KMI)成为当前的另一个热点。但是,PKI在互操作性、操作经验、经费的可承担性、制定正确的政策和工作流程、人员的培训和管理框架等方面仍然面临着巨大的困难。,我国研究现状和发展趋势:,为适应信息安全和网络安全的发展形势, 我国政府制定了一系列基本的管理办法。 “中华人民

9、共和国计算机安全保护条例” “中华人民共和国商用密码管理条例” “中华人民共和国计算机信息网络国际联网管理暂行办法” “关于对与国际联网的计算机信息系统进行备案工作的通知” “计算机信息网络国际联网安全保护管理办法”等。 在刑法的修订中, 增加了有关计算机犯罪的条款。 关于信息安全的立法和法规的逐步完善, 促进了信息安全产业的发展。,信息发展的大环境日臻完善 政府重视 国家领导人多次发出有关信息安全和网络安全的指示, 主管部门作了大量实质性的工作 在国家技术监督局和其它主管部门的指导下, 我国与国际标准接轨的信息安全与网络安全技术和产品标准陆续出台,安全产品检测认证机构相继成立,我国信息安全产

10、品的规范化进程已经纳入轨道。 建立了全国信息技术标准化技术委员会信息技术安全分技术委员会。 经国家技术监督局和公安部授权, 成立了公安部计算机信息系统安全产品质量监督检验中心。 经国务院信息化工作领导小组办公室授权, 成立了中国互联网安全产品认证中心。,有一批致力于我国信息安全事业的研究机构与公司在从事信息安全基础研究、技术开发与技术服务工作。 一批学校成立了研究所、系科与教研室 目前注册的信息安全公司或具有安全经营项目的公司约350多家 以高强度密码算法和防火墙产品为龙头, 我国信息安全产业的发展已成雏形。 截止今年上半年,通过公安部计算机信息系统安全产品质量监督检验中心检测通过的产品有13

11、大类420种,具有一定的规模。 我国的网络信息安全研究毕竟已具备了一定的基础和条件,尤其是在密码学研究方面积累较多,基础较好,只要国家重视,加大投入,恰当组织,可以取得实质性进展,不仅能构筑我国信息与网络安全防线,而且在国际上也能占领一席之地。 安全需求逐步增加,安全市场有一定的起色 2000年,我国约不到5亿元人民币的安全市场 2001年,安全工程明显增加,可望达50亿元人民币的安全市场,严峻形势 ,整体安全防范技术水平低下 信息与网络安全的防护能力很弱,许多应用系统处于不设防状态,具有极大的风险性和危险性。 对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。 由于国外电

12、脑硬件、软件中可能隐藏着“特洛伊木马”,一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的着“特洛伊木马”就有可能在某种秘密指令下激活,造成电脑网络、电信系统瘫痪。 基础信息产业薄弱,严重依赖国外。 电脑硬件面临遏制和封锁的威胁。我国电脑制造业对许多核心部件的研发、生产能力很弱,关键部位完全处于受制于人的地位。 电脑软件面临市场垄断和价格歧视的威胁。 在我国信息化建设的工程中,外国公司成为最大的获利者。 虽然目前没有具体的统计数据,但是,我国的计算机、通信、广播电视等与信息化相关的市场,已基本被国外公司垄断。 大部分研究机构和公司只顾开发产品,而对安全体系结构的研究太少,缺乏相应的理论基础。,

13、严峻形势 ,技术创新不够,安全技术、安全产品低水平重复 缺乏技术创新,安全产品处于低水平重复状态。 缺乏足够的资金投入,支持信息安全基础研究与关键技术研究。 缺乏市场需求,市场需求是影响我国信息安全产业发展的关键。,严峻形势 ,法制建设不健全,依法管理力度不够 立法不够、严重滞后 有法不依 执法不严 国家信息安全管理机构缺乏权威,协调不够 多重领导,缺乏权威 信息安全基础设施建设不够,三、信息安全发展战略、规划与政策,战略目标与任务,信息安全的国家战略目标: 保证国民经济基础设施的信息安全,抵御有关国家、地区、集团可能对我实施“信息战”的威胁和打击以及国内外的高技术犯罪,保障国家安全、社会稳定

14、和经济发展。 信息安全战略防御的重点任务: 国民经济中的国家关键基础设施,包括金融、银行、税收、能源生产储备、粮油生产储备、水电汽供应、交通运输、邮电通信、广播电视、商业贸易等国家关键基础设施。 重中之重是支持这些设施运作的信息安全基础设施建设。,加强国家信息安全机构及职能,有必要成立具有高度权威的国家信息安全委员会,研究确定国家信息安全的重大决策,发布国家信息安全政策,批准国家信息安全规划,对国家面临的重大国家信息安全紧急事件作出决断。 在国家信息安全委员会领导下设立国家信息安全技术委员会,在国家执法部门建立高技术刑事侦察队伍,提高对高技术犯罪的预防和侦破能力。,高度重视信息安全基础研究和人

15、才培养,国家有关部门对基本依靠国内力量建立起来的我国信息安全研究开发机构进行有机整合,在国家信息安全技术委员会统一协调指导下,按照一定的进度要求完成我国信息安全所急需的关键技术和设备的研制和试制,形成高质量的批量生产。切实保证我国拥有自己独特的、有效的信息安全技术和装备体系,使我们有足够的能力预防和抗击有关国家、地区、集团或其他敌对势力可能对我国发动的信息战争和高技术犯罪活动。 大力培养信息安全的专业人才,为各部门输送信息基础设施安全运行的骨干力量。我们还要注意采取切实措施吸引从事信息安全工作的出国人员和爱国华人为祖国服务或归国服务,通过他们了解国际高新技术的新发展。,推动信息安全产业的发展,

16、要加强自主的信息和网络安全技术的开发,尽快推动开发和生产我国自己的电脑核心硬件和安全操作系统平台,并予以减税或免税的优惠政策。 急需从安全体系整体的高度开展强力度的研究工作,从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑,并为信息网络安全的工程实现奠定坚实基础,推动我国信息安全产业的发展。 急需重点组织力量,加大基础理论和关键技术的研究: 安全体系结构、安全模型、安全策略研究 安全操作系统研究 主动防御技术 电子商务、电子政务急需的关键技术 ,加快信息安全立法,应该加快有关法规的研究,及早建立我国信息安全的法规体系。 建议首先考虑制订以下法规:信息安全法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息教育法、电子信息进出境法。,加大信息安全投入,信息安全设备设施的研制需要高强度的资金投入,建议通过国家投入、部门投入和社会融资的途径筹措。 国民经济信息化的信息安全不能完全依赖国家投入,它有可能成为投资的新热点,如何运用市场机制调动社会资金,走信息安全产业化的发展道路是值得探讨的问

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号