信息技术的发展,为人类开拓出崭新的生存空间。这种能力渗透到各行各业,使我们进入了无限遐想的信息革命时代。新技术的双刃剑效应,使其在带给我们巨大正能量的同时,也某种程度存在被某些人利用,违法违规的实施其个人贪欲,集团犯罪,国家称霸的可能性。
赵战生 全国信息安全标准化委员会委员
电讯欺诈、网络犯罪、网络传播的暴恐音视频、蛊惑人心的网络谣言几乎每天骚扰着我们。斯诺登事件让我们逐渐明白,信息安全不但涉及个人隐私,团体利益,更涉及到社会稳定、经济安全、国家安全,是威胁人类和平发展的重大问题。为应对空前严峻的信息安全态势,我国成立了网络安全和信息化领导小组及国家安全委员会,国家最高领导习近平同志亲自担任了这些新机构的领导,使我国的信息安全保障工作步入历史的新阶段。习近平同志严肃的指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”他认为“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”并指出“网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。”
“产”、“学”、“研”、“用”、“管”是信息安全保障工作中五位一体、不可或缺的角色链和责任链主体。调动一切积极因素信息安全保障工作才有望无缝连接,顶天立地,立于不败之地。
产业发达才能提供能力
“产”是信息产业,信息安全产业。他是生成规范化、规模化信息安全保障技术产品能力的实力集团。信息安全产业产生产品和服务,他们都是信息安全保障不可或缺的基础能力。拥有发达领先的信息安全产业才能拥有先进坚实的信息安全保障。在社会、军事需求的驱动和国家科技发展战略、计划、基金的引领下,原始创新的小企业,通过突破某个开拓新应用,提升保障能力的核心技术,显示了其创新思想和技术实力。在产业的发展中,市场与计划同样重要,市场体现的需求牵引,计划体现的国家驱动。
我国的信息安全产业正在起步发展。他为我国提供了密码技术、边界防护、病毒查杀等信息安全基础产品以及系统集成、风险评估、安全检测等基本服务。但人才匮乏,创新不足,规模弱小限制了他们在核心和高端的产品和技术服务方面与国外的竞争较量。由于信息安全涉及国家安全,没有自主可控的能力,落后就等于挨打,受制于人就可能任人绞杀,自己的安全必须自主解决,决不能幻想在开放的国际市场上能够买到不受霸权国家限制、控制、利用的信息安全产品。 我国的信息安全产业已经有了初步的基础,但是,提供信息安全保障的综合能力不强,要提高综合能力仅靠产业的现有实力是不够的,需要大家形成合作态势。如何深化是需要探索的新问题。真正的联盟需要把责任担当在一起,把利益捆绑在一起,把安全功能综合在一起,制定出阶段性的发展目标,从国家的现实需求出发,持之以恒的向核心高端技术产品和服务攻关攀登,成功必定出现在再坚持一下的努力之中。
学以致用,人才为本
“学”是院校。他是信息技术,信息安全技术和管理人才培养的基地。信息安全的纵深防御,跟本在于依靠有能力的明白人选择实施信息安全控制技术和落实风险管理,事件处理。产学研用管都需要技术人才、管理人才。人是信息安全保障的第一要素。
上世纪末,美国NSA的领导曾经对信息安全人才培养的失误做了深刻的反思,认为他们在信息安全方面损失了两个十年。理由是,如果从上世纪八十年代,小莫里斯蠕虫事件和福瑞德.科恩提出计算机病毒概念及其可能产生的危害时起,就重视信息安全人才的培养,到上世纪末,这些人已经成为心中拥有信息安全这根“弦”的政府部门和企业身居高位的主管了,可惜这没有成为现实。自那以后,NSA发起了信息安全优秀人才培养院校的计划。他们选择在信息安全研究方面有积累,有特色的高等院校给予支持,选学这个学科的研究生给予资助,吸引他们参加NSA的相关课题任务,择其优者录用到NSA的队伍中。支持的院校从最初的7所,逐步发展到70余所。其后,美国又制定了信息安全人才培养的国家战略,细粒度的分析了保障信息安全需要的岗位和专业知识需求,以更大的力度推动着信息安全专业人才的培养。
我们拥有信息安全本科的院校也达到了七八十所。但我们缺乏有效的机制和环境保障专业人才的成长和使用。我们的文化背景讲究名正言顺,信息安全的学科定位未经授权批准,计划经济的阴影,迫使相关人才的培养在某些二级学科的既定范围内进行。
研发奠定基础,创新攀登高峰
“研”是信息安全科学研究,通常以高等院校和科研机构为基地开展。信息安全科学研究的理论创新,技术突破,为今天的信息安全保障奠定科学技术基础,为明天的信息安全保障进行探索。信息安全大致归纳为信息的保密、保护、保障,关键基础设施的保护,有保障的信息共享几个的阶段,这些阶段有时间上的交叉,概念上的继承延伸。
保密阶段主要使用密码,密码技术用于通信保密。早期的通信保密主要为军政独需,独享。
随着计算机应用的普及,提升了人们对计算机安全的关注度,保护计算机安全成为一个历史时期信息安全的目标。美国率先提出了可信计算机安全评价准则(TCSEC),试图用访问控制机制保证只有授权者可以访问与其相关的信息。网络化的应用使人们认识到仅在计算机上关注信息保密性的局限性,提出了保障信息的保密性、完整性、可用性(CIA)的安全权保障要求。欧洲英法德荷四国联合制定的信息技术安全评价准则(ITSEC),六国七方联合制定的信息技术安全通用标准(CC)现在成为国际标准化组织(ISO)标准的ISO/IEC 15408体现了这个要求。传统的密码技术除了用于通信加密外,增添了签名认证和完整性检验等新功能,成为信息安全保障的核心技术。
近年来我国逐步认识到商用密码势在必行,相继研发出SM系列算法。我国学者自主设计的用于加密和完整性检验的,包括祖冲之算法、加密算法128-EEA3和完整性算法128-EIA3的祖冲之算法集(ZUC算法),也经国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的侯选算法。我国的商用密码工作从无到有,逐步走上科学、开放、规范的道路。但密码的保密和安全保障能力受到计算能力、破译能力快速提高的威胁,必须与时俱进,不断深化研究。
国防部门认识到仅依靠保护是不够的,提出要保障信息安全必须全面关注防护,检测、响应、恢复(PDRR),提出了信息安全保障的理念(IA),并在这种概念指导下,美国国家安全局颁发的信息技术保障框架(IATF),提出了三保卫一支撑(保护局域计算环境,保护边界和外部连接,保护网络传输,用PKI、KMI、防火墙、入侵检测等密码和边界防护技术作为支撑)的安全框架,以及依靠人使用管理和技术来实现信息安全保障的纵深防御的理念,影响了一个时期的信息安全保障能力的研发。
随着计算机网络化的应用深入到各行各业,支撑社会运作的关键基础设施保护保护(CIP)和作为关键基础设施核心的关键信息基础设施的保护(CIIP)受到高度重视。克林顿任总统的时期就将此作为重点任务。“9.11”后,小布什2003年制定的《保护网络空间的国家战略》中,提出了防止对美国关键基础设施的网络攻击;减少国家对网络攻击的脆弱性;在出现网络攻击时,尽量减少损失并缩短恢复时间等三项信息安全保障的战略目标。在这些战略目标的推动下,分析关键基础设施间的互影响,互依赖;评估检测国家的重要基础设施在恐怖袭击中的脆弱性,并为之排定优先级;保护关键基础设施和重要资产免受恐怖威胁利用脆弱性的缓解的管理战略和技术手段成为研究的重点。工业控制系统(DCS,SCADA)的安全保障成为研究的重点对象,风险管理(风险分析,风险评估,风险处置,事件处理,灾备恢复)成为信息安全保障的核心指导思想。相关需求的理论和技术手段成为研究的热点。
2005年2月,总统的信息技术顾问委员会(PITAC)关于赛博安全R&D 的报告《赛博安全:一个优先级的危机》中提出,无穷无尽的打补丁并不是保障信息安全的好办法,需要新的基础性的安全模型和方法来提升安全保障水平。提出了认证技术,安全基础协议,安全软件工程和软件保证,系统整体安全,网络监控与监测,减少损失和进行恢复的方法,捕获犯罪分子和阻止犯罪行为的网络法庭,新技术开发所需的模型和测试平台,评价标准、测试方法和实施方案,损害网络安全的非技术因素等十个领域为网络空间安全研究的优先领域。 为了回应PITAC报告,美国国家科学技术委员会与总统行政办公室公布了一份由网际安全与信息保障基础设施小组委员会、网络和信息技术研究与开发小组委员会联合工作组提交的《赛博安全与信息保障研究开发的联邦计划》。报告分析了网际安全功能、安全基础设施、特别领域的安全、网际安全描述和评估、网际安全的基础、网际安全和信息保障的研究开发的支撑性技术、网际安全的先进的下一代的系统和体系结构、网际安全的社会因素等八类技术领域,49项技术主题的定义、重要性、技术现状和能力差距。认证、授权和可信管理,访问控制和权限管理,攻击保护、预防和先发制人,无线安全,软件测试和评估工具等五项成为技术和投资的双重点。
奥巴马上台后,在小布什离任时提出的《综合的国家网络安全倡议》(NSPD-54)的基础上把美国的信息安全保障提升到攻防兼备的高度,并确立了先发制人的策略。他通过PPD-21《总统政策指令-关键基础设施的安全性和灵活性》和行政命令13636《改进关键基础设施的网际安全》推动了NIST网际安全框架标准的研究制定;又通过PPD-20《美国网络作战政策》,PPD-28《信号情报活动》明晰了网络战的定义授权和情报活动的原则立场和策略。围绕着攻防必将产生诸如网络工具武器、ATP的攻防和信息情报手段的攻防,我们对此必须高度警惕与关注。
云计算、物联网、移动通信、大数据、智慧XX等新技术,新应用为我们的信息安全保障提出了新问题,其安全理论和保障技术正在成为新热点。发达国家的信息化和信息安全保障是在拥有“芯”、“魂”的自主技术至高点的情况下展开的。他们具备在系统内核、宽带高速的信息技术高端开发网络信息系统的应用的能力,增强信息安全保障。不补上“缺芯少魂”的课,我们就不能从根本上实现自主可控。
用为先,需求牵全局,有效才落地
“用”是使用者,用户。他是需求的体现者,产生需求的牵引力,完成信息安全保障工作要求的落地、落实处。用户的信息安全需求看似显然,但并非显见,自在,自为。他们需要从信息安全意识的启蒙中觉悟、觉醒。其需求需要有先知先觉者担当提炼,提升的任务。处于信息化高速发展大国的我们,依然有为数不少的“大妈”们非要将辛勤积累的存款汇寄给隐身于网络空间的骗子们的现实,看到了我们在信息革命的征途上使命的繁重。
组织机构、行业的信息安全需求,体现在其依赖信息技术手段完成的使命、业务、应用上,只有相关组织和行业的人员对其最了解。但是,他们未必了解信息安全保障的技术和管理。这就需要从事信息安全保障的专业人员与相关组织、行业的管理人员、业务人员紧密配合才能有效的梳理业务的使命、应用的流程、活动及其相关的安全需求。十多年来,我国对重要系统和基础网络实施的信息系统安全等级保护制度,不断提升了重要用户的信息安全意识和信息安全保障能力。但是,仅从信息技术系统提炼的信息安全需求,虽然可以提升系统的信息安全程度,但和使命、业务、应用未能紧密结合的两张皮状况,依然不能使信息安全保障真正落地,等级保护制度需要我们不断完善与提升。
“9.11”之后,美国在制定其国家信息安全战略的过程中,为了提炼需求,明确要求,就提出来涉及家庭用户和小型商业机构、大型机构、国家信息基础设施部门、国家机构和政策、全球的53个问题,在研究半年之后,制定了其保护网络空间的国家战略(草案)并在此基础上修订,于2003年2月颁布了至今依然执行的保护网络空间的国家战略。在美国制定网络空间国家战略的过程中,要求作为国家关键基础设施的行业及其主管部门一一制定自己的信息安全战略,其后公共部门、银行与金融部门、信息与通信部门、高教部门、化工部门、电力部门、保险部门、供水部门、铁路部门、石油部门等,纷纷回应了要求,制定并颁布了自己的信息安全保障的战略。
美国和欧盟先后发动过多次网络风暴,他们选择了特定行业,组织了专门队伍,开展了攻击实验,这就是用接近实战的方法检验关键基础设施的信息安全保障状况,检查信息安全保障要求的落实情况,进一步提炼用户信息安全需求的好办法。
管托底,战略产生推动力
“管”是政府信息安全保障的相关管理部门的职责和任务。他体现在以国家意志提出信息安全保障的战略;制定信息安全保障的政策、法规、标准;做出信息安全保障的各种制度化安排;调动国力,保证和优化信息安全保障的资源配置;组织国家级信息安全保障工程的实施;组织检查评估信息安全保障的状况。
美国政府在2002年9月18日《保护网络空间的国家战略(草案)》中,针对家庭用户和小型商业机构;大型机构;国家信息基础设施部门(联邦政府、私营部门、州和地方政府、高等教育);国家机构和政策;全球等五个级别作为保护对象,展开其信息安全保障战略部门和任务的设计。并以网络空间安全所依赖的关键基石的保护共享系统的安全;培育一个强有力的经济和社会框架;制定国家计划和政策作为三大战略目的。为奠定这些基石所需的工作的保护Internet机制;监督控制和数据采集(SCADA)系统;研究;高度安全和可信的计算;保护新兴系统的安全;脆弱性矫正;意识培养;培训和教育;认证;信息共享;网络空间犯罪;市场推动力;隐私分析和预警;运营连续性;重建和恢复;国家安全;互依赖性和物理安全等十七个方面作为基础性战略任务。他们对这些基础战略任务一一提出更细粒度的战略目标和举措。继而,他们在2003年2月颁布的《保护网络空间的国家战略》中将战略表述修改为首先清晰地描述国家必须优先考虑的五项重要事务:国家网络空间安全响应系统;国家网络空间威胁和脆弱性消减计划;国家网络空间安全意识和培训计划;保护政府部门的网络空间安全;国家安全和国际网络空间安全合作。然后,将五项优先事务映射在草案叙述的五个级一一落位。
2000年9月9日,俄罗斯颁发了体现其战略思想的《俄罗斯联邦的信息安全学说》。该学说明确了在信息和信息保障领域的俄罗斯联邦的国家利益。在分析俄罗斯联邦信息安全的威胁种类和威胁的来源以及信息安全的状况的基础上,提出了维护安全的基本任务,保障方法,首要措施。并确定了俄罗斯联邦信息安全保障体系的组织基础。该学说以准备关于完善俄罗斯联邦信息安全的法律,方法论,科学技术和组织保障的建议;制定有针对性的方案,以确保信息的俄罗斯联邦安全作为制定俄罗斯联邦信息安全保障领域的国家政策的基础。
学说认定,国家利益是指个人,社会和国家均衡利益的总和。在信息安全保障领域,他由4个基本部分组成。第一,获得和使用信息领域遵守个人与公民的宪法权利和自由,保障俄罗斯的精神复兴,维护和加强社会的道德价值观,爱国主义和人道主义传统,国家的文化和科学潜力;第二,俄罗斯联邦国家政策的信息保障,该信息保障必须保证向俄罗斯及国际公众知会关于俄罗斯联邦国家政策的确实信息,俄罗斯联邦对具有重要意义的俄罗斯和国际生活事件的官方立场,保障公民访问开放状态的信息资源;第三,现代信息技术的发展,国有信息产业的发展,包括信息化手段工业,电视通信,保障国内市场的产品需求和产品进入国际市场,以及保障积蓄,储存和有效利用国家信息资源。只有在此基础上,在现代条件下,我们可以解决创造高端技术的问题,产业技术升级的问题,增强国内科学和技术成果产出。俄罗斯应该跻身微电子技术和计算机行业的世界领先国家之列;第四,对未经授权的访问信息资源的保护,确保信息和电信系统的安全。
学说指出对俄罗斯联邦信息安全威胁的来源来自外部和内部。外部威胁来源于:针对反对俄罗斯联邦在信息领域的外国政治,经济,军事,情报和信息活动;一些国家统治和侵犯俄罗斯在全球信息空间的利益的企图和市场排挤活动;信息技术和资源占有的国际竞争;国际恐怖组织的活动;与世界强国的技术优势差距;外国情报的活动;一些国家制定信息战争的概念。内部威胁来源于:国内产业领域的危机状态;国家和犯罪组织在信息领域的结合趋势;缺乏国家政权联邦机构,俄罗斯联邦主体国家政权机构在形成和实现统一的国家政策方面的协调活动;标准法律基础制定不足,以及执法力度不足;民间社会机构发展不足,政府对在俄罗斯信息市场的发展监控不足;没有足够的资金保障俄罗斯联邦信息安全;国家的经济实力不足;教育和培训体系的效率低下,缺乏保障信息安全领域熟练人才等。
学说提出的保障信息安全的基本任务是:制定俄罗斯联邦保障信息安全领域的国家政策基本走向,以及制定与执行该政策相关的措施和机制;发展和完善俄罗斯联邦保障信息安全系统,评估和预测对俄罗斯联邦信息安全的威胁以及对抗这些威胁的系统;制定保障俄罗斯联邦信息安全的联邦目的性纲领;制定评价保障俄罗斯联邦信息安全系统和手段有效性,以及认证这些系统和工具的标准和方法;改善保障俄罗斯信息安全的标准法律基础;确立联邦国家机构,俄罗斯联邦主体政权机构,地方自治机构官员,法人和公民遵守信息安全要求的责任;协调联邦国家机构,俄罗斯联邦主体政权机构,企业,不分所有制形式的组织在保障俄罗斯联邦信息安全领域的活动;信息安全保障的科学践基础的发展应当考虑到现代地缘政治局势,俄罗斯政治和社会经济发展的条件和使用“信息武器“实施威胁的事实;研制和建立形成和实现俄罗斯国家信息政策的机制;开发提高国家在形成国家电视广播组织,其他国家大众传媒手段内的信息政策方面的参与有效性;保障俄罗斯联邦在重要的,决定俄罗斯安全的信息和电信领域,首先是为军事技术武装建立专门的计算技术领域的工艺独立性;研制信息防护,保障信息工艺安全,首先是应用在管理军队和武器,生态威胁和经济重要生产系统内的信息防护手段的方法;发展和完善信息安全国家系统和防护国家秘密系统;建立与发展在和平时期,紧急情况和战时状态管理国家的现代防护工艺基础;在解决保障通过国家电信系统和通讯系统传播的信息安全的科学,技术和法律问题时,应扩大与国际和国外机构和组织的相互作用;为俄罗斯信息基础设施的积极发展创造条件,保障俄罗斯在建立和使用全球信息网络和系统过程中的参与;建立信息安全和信息工艺领域统一的人才培训体系。俄罗斯的信息安全学说直白明确,反思深刻,以我为主,攻防兼备。值得我们学习借鉴。
我国的信息安全战略尚未出台。虽然相关政策文件对我国信息安全保障工作有所推动,但战略的缺失必将影响信息安全保障工作的推动力。战略体现国家意志,战略明确目标任务,战略提出措施,战略分配角色责任。我们的最高国家领导担任了网络和信息安全领域的领导,使我们看到了国家正以一把手工程的决心拖动我国的网络信息安全保障工作,给我们巨大的期待和信心。
同心合力,相互配合才能得胜利
产学研用管,同心合力保安全。同心要在同共担保障信息安全是保国、安民的崇高责任上。同心建立在共识的基础上。共识体现在战略共识、政策共识、法规共识、标准共识、利益共识等多个方面。同心是合力的基础,合力是胜利的保障。
( 责任编辑: 佰佰安全网 )
1767
