课程:信息安全技术授课教师:张鹏云摘要:随着科技的发展,信息技术的推广,信息安全越来越重要。
虽然,近几年全球经济和IT业的波动对我国IT业产生了一定的影响,但我们认为这种波动从总体上并不会阻碍我国信息产业的发展。
我国的信息产业正步入蓬勃发展期,各个行业信息化的强大需求必将推动我国信息产业的快速发展。
在此,我们对IT行业中的一个重要领域——信息安全,在推动我国信息化进程和国民经济发展中的重要作用进行初步探讨。
关键词:信息安全、密码技术、应用引言:随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性,进而又发展为——攻(击)、防(范)、(检)测、控(制)、管(理)、评(估)等多方面的基础理论和实施技术。
信息技术出现新的研究进展。
一、信息安全最新研究前沿进展信息安全技术研究主要以提高安全防护、隐患发现、应急响应及信息对抗能力为目标。
针对现代信息安全内涵概念,目前国内外在该领域的技术研究热点主要包括以下几个方面:信息安全基础设施关键技术、信息攻防技术、信息安全服务技术及安全体系。
1.信息安全基础设施关键技术涉及密码技术、安全协议、安全操作系统、安全数据库、安全服务器、安全路由器等等。
2.信息攻防技术由于在广泛应用的国际互联网上,黑客、病毒入侵破坏事件不断发生,不良信息大量传播,以及国家、组织出于政治、经济、军事目的而日益兴起的信息战、信息攻防技术已是当前国内外的重要研究热点。
信息攻防技术涉及信息安全防御和信息安全攻击两方面,主要技术研究内容包括:黑客攻防技术、病毒攻防技术、信息分析与监控技术、入侵监测技术、防火墙、信息隐藏及发现技术、数据挖掘技术、安全资源管理技术、预警、网络隔离等。
3.信息安全服务技术信息安全服务技术包括系统风险分析和评估、应急响应和灾难恢复技术等。
4.安全体系信息安全涉及到技术、管理等诸多方面,是一个人、网、环境相结合的复杂大系统。
针对这样的复杂系统,研究其安全体系比较困难,但却非常必要。
二、我国信息安全现状与分析现状:1、我国初步建成了国家信息安全组织保障体系国务院信息办专门成立了网络与信息安全领导小组,成员有信息产业部、公安部、国家保密局、国家密码管理会员会、国家安全部等强力部门,各省、市、自治州也设立了相应的管理机构。
并且成立了国家计算机网络应急技术处理协调中心(简称CNCERT/CC),专门负责收集、汇总、核实、发布权威性的应急处理信息、为国家重要部门提供应急处理服务、协调全国的CERT组织共同处理大规模网络安全事件、对全国范围内计算机应急处理有关的数据进行统计、根据当前情况提出相应的对策、与其他国家和地区的CERT进行交流。
曾经还成立了中国信息安全产品测评认证中心(简称CNITSEC),代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。
负责对国内外信息安全产品和信息技术进行测评和认证、对国内信息系统和工程进行安全性评估和认证、对提供信息安全服务的组织和单位进行评估和认证、对信息安全专业人员的资质进行评估和认证。
目前建有上海、东北、西南、华中、华北五个授权评认证中心机构和两个系统安全与测评技术实验室。
2、制定和引进了一批重要的信息安全管理标准为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》,并引进了国际上著名的《ISO 17799:2000:信息安全管理实施准则》、《BS 7799-2:2002:信息安全管理体系实施规范》、《ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。
信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。
3、制定了一系列必须的信息安全管理的法律法规从上世纪九十年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。
4、信息安全风险评估工作已经得到重视和开展风险评估是信息安全管理的核心工作之一。
2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。
但是仍然存在许多问题:1、信息安全管理现状仍还比较混乱,缺乏一个国家层面上的整体策略。
实际管理力度不够,政策的执行和监督力度不够。
部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。
部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。
2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起来。
3、具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
4、专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
5、技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。
6、缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高,真正的法律少,行政规章多,结构不合理,不成体系;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,有法难依;数量上不够,内容上不完善,制定周期太长,时间上滞后,往往无法可依;监督力度不够,有法不依、执法不严;缺乏专门的信息安全基本大法,如信息安全法和电子商务法等;缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、网络版权保护法等;公民的法律意识较差,执法队伍薄弱,人才匮乏。
7、我国自己制定的信息安全管理标准太少,大多沿用国际标准。
在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护,致使有标准企业或用户可以不执行,而执行过程中出现的问题得不到及时、妥善解决。
8、信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。
三、信息安全技术的应用应用:由于信息系统安全的独特性,人们已将其用于军事对抗领域。
计算机病毒和网络黑客攻击技术必将成为新一代的军事武器。
信息对抗技术的发展将会改变以往的竞争形式,包括战争。
信息系统安全的主要任务信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
信息安全整体防护策略国网公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。
四、信息技术的重要性信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈。
在将来的战争中谁占有了制信息权,谁就掌握了战争的主动权。
商业上的竞争也是如此。
信息安全已成为影响国家安全、经济发展、个人利害、社会稳定的重大关键问题。
从保护国家和个人利益出发,各国政府无不重视信息和网络安全。
特别是各发达国家均大力加强信息安全的研究和督导,着眼于国家安全和民族利益,仅仅满足于分散的、以封堵已发现的安全漏洞为目的的研究是行不通的。
必须从基础着手,对网络环境下的信息安全开展强力度的研究,为我国的信息安全提供全新的、整体的理论指导和基础构件支撑,是我们IT业界的当务之急。
五、信息安全技术建设方向信息安全与我国的经济安全,社会安全和国家安全紧密相连,是我国信息化进程中具有重大战略意义的课题。
近年来,信息安全已受到我国政府的高度重视,党和国家领导人多次强调加强信息安全工作的重要性。
国家自然科学基金、973、863等计划已将信息安全列为重要研究方向,许多科研机构及企业也开展了相关研究,并取得一定成果。
然而与发达国家相比尚存在不小差距,相关产业的发展也比较落后。
目前存在的主要问题是:低水平分散、重复研究,整体技术创新能力不足,信息安全产业规模相对较小且缺乏联合和集中,一些关键软硬件系统还不能自主研制生产等等。
为了推动我国信息安全工作的发展,应采取如下政策措施:1.加强信息安全管理我国信息安全领域所表现出的不足,在很大程度上归因于管理体制不健全。
为此,应在中央和地方两级建立高效的信息安全领导机构,制定和实施重大决策并协调各方关系,振兴信息安全产业。
此外,应建立完善的信息安全标准、法律法规体系,以便规范信息安全领域的行为。
2.加强信息安全基础设施建设信息安全基础设施是信息安全得以实现的基本条件,包含PKI、密码等关键技术及产品,以及包括信息安全检测评估中心、应急响应中心等在内的信息安全服务体系。
目前,我国信息安全基础设施尚不健全,需要加强建设。
3.开展信息安全关键技术研发在信息安全技术和产品研发方面,应坚持“有所为、有所不为、重点突破,技术创新”的方针,开展关键安全芯片、安全操作系统、密码技术等方面的重点自主研发;并跟踪国外研究状况,进行关键技术创新研究,力求保障我国信息安全不受制于人。
4.发展信息安全产业信息安全产业的强劲发展是提高国家信息安全水平的必然途径。
我国需要大力发展信息安全产业,以振兴国家信息安全综合实力。
5.加强信息安全专业人才培养目前,国内信息安全人才紧缺,不适应国家信息安全建设的需要和未来发展的需要,急需加大安全技术、安全管理、安全教育及复合型人才的培养,造就一批能够解决信息安全重大系统工程技术难题的高级专家,以及一批适应市场竞争的科技创新人才。