彩巴巴彩票官网|91彩客彩票官网
歡迎來到學術參考發表網

中國信息安全產業現狀及發展

發布時間:2015-12-05 15:49

  1信息安全學科概述

  1.1什么是信息安全

  信息是一種資產,它像其他重要的資產一樣,具有很大價值,因此需要給予適當的保護.信息安全的目的就是要保護信息免受各方面的威脅,以確保業務的持續性并盡可能地減少損失.信息能夠以多種形式存在.它可以打印(或寫)在紙上,可以以電子形式存儲,可以通過郵寄方式(或使用電子方式)傳播,也可以顯示在膠片上,或用語言表達.信息無論以什么形式存在,或以何種方式共享和儲存,它都應該進行適當的保護,這就是信息安全學科的主要任務.信息安全具有以下三個主要特征:

  (1)保密性:確保信息只被授權人訪問.換句話說,保密性就是對抗對手的被動攻擊,保證信息不被泄漏給未經授權的人。

  (2)完整性:保護信息和信息處理方法的準確性和原始性.換句話說,完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。

  (3)可用性:確保授權的用戶在需要時可以訪問信息.換句話說,可用性就是保證信息及信息系統確實在任何需要時可為授權使用者所用。

  此外,可控性(對信息及信息系統實施安全監控)也是信息安全需要特別關注的特性之一。

  信息安全可以通過實行一套適當的控制措施來實現。這些控制措施至少包括:安全策略、工作條例、程序、組織結構和軟件功能等。信息安全學科是由數學、計算機科學與技術和通信工程等學科交叉而成的一門綜合性學科.目前主要研究領域涉及現代密碼學、計算機系統安全、計算機與通信網絡安全、信息系統安全、電子商務/電子政務系統安全、信息隱藏與偽裝等。

  密碼學是信息安全的核心,密碼手段為信息安全提供了可靠的保證.比如,使用密碼對信息加密是保證信息保密性的最有效辦法;基于密碼的數字簽名和身份認證技術是當前保證信息完整性的最主要方法之一;利用密碼進行系統登錄管理和存取授權管理是解決信息可用性問題的有效辦法:通過密碼和密鑰管理也可保旺信息的可控性。

  1.2為何需要信息安全

  信息是重要的資產.信息的保密性、完整性和可用性對維持相關機構的競爭優勢、現金流動、盈利性、合法性和商業形象等至關重要。

  當前,信息系統正面臨著來自各方面越來越多的安全威脅,如,計算機詐騙、間諜、陰謀、破壞和火災或水災等.特別是計算機病毒、黑客襲擊和拒絕服務攻擊等對信息系統的損害已變得越來越巨大;安全事件越來越普遍;安全保障的任務越來越艱巨;安全防護人員的業務水平要求越來越高。

  隨著社會信息化步伐的加快,人們對信息系統和信息服務的依賴性也越來越強,這意味著信息系統更容易受到安全威脅的攻擊,而且,一旦被攻擊,造成的影響也就越來越大.公眾網與專用網的互連互通,各種信息資源的共享,又加大了實現信息安全訪問控制的難度.分布式計算的趨勢,在很大程度上,減弱了集中式安全控制的有效性。

  很多信息系統在設計時都沒有充分考慮安全問題,實際上,如果在需求說明書中和設計階段就把信息安全控制措施考慮進去,那么,信息安全的實施就會更加經濟有效.通過純粹的技術手段也很難實現完整的安全保障體系,還應該有適當的管理和程序支持.有效的安全控制措施既需要周密的總體規劃,同時,也不能忽略某些細節問題。

  1.3確定安全需求、評估安全風險

  確定安全需求是建立安全保障體系的首要步驟,實施安全措施的開銷不應該超過安全事故導致的損失.安全需求的確定至少應該考慮以下三個方面:

  (1)對組織本身所面臨的風險進行評估.通過風險評估,分析具體信息系統可能面臨的威脅,確定系統的脆弱性和風險發生的可能性,并估計其潛在的影響.(2)在確定安全需求時,還需要充分考慮相關法律和法規的具體要求(比如,并不是任何人在任何系統中都可以隨意使用密碼技術),當然還要考慮相關機構和人員的特殊需求.(3)安全需求應該適應相關信息處理原則、目標和需求.安全僅僅是為信息系統服務的一個方面。

  安全風險評估的對象既可以是整個信息系統,也可以僅僅是某些局部系統或特定的組件或服務.風險評估需要綜合考慮以下內容:(1)安全事故可能造成的損失,特別是信息的保密性、完整性或可用性被破壞后所造成的潛在后果.(2)在已有安全控制措施的條件下,系統面臨的主要威脅和脆弱性在哪里,由此引發安全事故的可能性有多大.對于信息安全風險的管理和為避免風險而實行的控制措施來說,風險評估結果將有助于指導和確定合適的管理措施和優先級.評估風險與選擇控制措施的過程有可能需要進行若干次,以便涵蓋各個信息系統.對可能的安全風險和已實施安全控制措施的有效性進行定期評審是很重要的,它有助于根據以前的評估結果和可接受的風險級別,安全評估的層次應該有所差別.風險評估通常先在高層次上進行,以便優先為高風險領域提供資源,然后在更細的層次上進行,以解決具體的風險。

  1.4選擇安全控制措施

  安全需求確定后,就應該選擇相應的安全控制措施并加以實施,以確保安全風險降低到一個可以接受的程度.安全控制措施的選擇既要考慮與降低風險相關的實施成本和潛在經濟損失,又要考慮非經濟方面的因素(如:名譽損失)等.從法律角度來看,有效的安全控制措施應該包括:數據保護和個人信息隱私、審計記錄的保護、知識產權.一般的通用信息安全控制措施至少包括:信息安全策略、信息安全責任分配、信息安全教育與培訓、報告安全事故、業務持續性管理等.這些控制措施適用于大多數信息系統和大多數環境。

  1.5信息安全保障體系

  從技術角度講,信息安全保障體系就是通過一定的技術手段,提高系統的入侵檢測能力、事件反應能力和遭破壞后的快速恢復能力.信息保障有別于傳統的加密、身份認證、訪問控制、防火墻等技術,它強調信息系統整個生命期的主動防御,預警(early-Warning)、保護(Protect)、檢測(Detect)、響應(Response)、恢復(Recover)和反制(Counterattack),涵蓋了對現代信息系統安全保障的各個方面,構成了一個完整的體系(WPDRRC),使信息安全構筑在一個更加堅實的基礎之上.信息安全保障體系的范圍更寬,動態性更強,信息保障是安全加可信。

  2 我國信息安全產業現狀及發展趨勢

  2.1信息安全市場分析

  2.1.2經濟效益指標分析由于社會需求的迅速擴大,信息安全已經在全世界范圍內形成了一個新興的產業.據了解,目前全球信息安全產品和服務的產值約為232億美元,其中美國為127億美元、歐盟為58億美元.我國信息化建設已進入全面推進和加快發展的重要時期.近年來,我國信息產業迅速發展,已成為重要的經濟增長點和支柱產業.國內信息安全市場也達到了一定的規模.目前,在國內大約有專門從事信息安全產業的企業1300多家,其中有自主研發能力的企業390多家,有自主產品的企業190多家,從事信息安全服務的企業有300余家.國內信息安全產業的總產值增長速度也很快,1999年、2000年、2001年、2002年、和2003年,國內信息安全產業的總產值分別為9億、19億、40億、90億、120億.但是,我國信息安全產業在整個信息產業中所占的比率太小,僅僅是大約2%~3%.對此,國務院信息辦網絡及安全專家組組長何德全院士指出,信息安全產業滯后于信息產業是正常的,但如果兩者之間的差距過大,信息安全問題就會顯得突出.因此,信息安全產業在整個信息產業中所占比率的增長空間還很大.比如,根據中辦發[2003]17號文件要求,國家電子政務建設將建設和整合統一的電子政務網絡.電子政務網絡由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離.啟動人口基礎信息庫、法人單位基礎信息庫、自然資源和空間地理基礎信息庫、宏觀經濟數據庫的建設.建設和完善金關、金稅和金融監管(含金卡)、宏觀經濟管理、金財、金盾、金審、社會保障、金農、金質、金水等12金工程.據估計,電子政務市場規模將達到1200億元人民幣.這些電子政務工程的啟動,需要建設相應的信息安全基礎設施來保障政務信息安全,由此產生的信息安全市場規模,按照電子政務市場10%計算,將達到120億元人民幣。

  2.1.2社會效益指標分析加強國家信息安全保障工作,是我國經濟發展到一定階段的客觀要求.我國信息化建設已經進入全面推進和加快發展的重要時期.近年來,我國信息產業迅速發展,已經成為重要的經濟增長點和支柱產業.目前,信息技術已經在經濟和社會的各個領域得到廣泛應用.金融、電力、稅收、交通、教育、社會保障和社會治安等系統越來越依賴于網絡,現代企業特別是跨國經營的企業越來越離不開網絡,各級政府的行政管理和公共服務越來越多地通過網絡實現.信息系統已經成為能源、交通、金融等國家關鍵基礎設施的神經中樞,系統的安全直接影響到關鍵基礎設施的正常運轉.一旦發生信息安全問題,導致能源、金融、交通、通信、社會服務保障等的大面積癱瘓,一些局部和地區性熱點問題很容易通過網絡擴散為全局性問題;一些群體性事件也很容易通過網絡引發跨地區的連鎖反應,從而大大增加危害程度和處置難度,嚴重影響社會穩定,不僅會嚴重影響人們正常的生產生活,還會嚴重干擾正常的社會經濟秩序,造成重大經濟損失和社會影響.事實證明,信息化程度越高,信息安全問題就越突出,信息安全保障工作就越重要,就越需要一支過硬的隊伍來提供技術支持.只有有了掌握了過硬技術的隊伍,才能保障信國家的信息安全,推進信息化的進一步發展,以信息化帶動工業化,提高國民經濟運行效率和社會生產力水平,促進我國經濟的跨越式發展和全面建設小康社會宏偉目標的實現。

  3 我國信息安全產業急待解決的關鍵技術問題

  中央27號文指出“要集中力量,加強對密碼技術、安全隔離與審計、病毒防范、網絡監管、檢測與應急處理、信息安全測試與評估、取證、衛星防攻擊等關鍵技術以及相關技術的研究開發.”經過深入分析我國信息安全,特別是分析電子政務安全領域的現狀,當前急待解決的關鍵技術問題有:

  (1)以密碼技術為基礎的信任體系建設.特別是在較大范圍內,將各個信任體系整合為一個更大范圍的信任體系.如,在國家橋CA建設的基礎上,展開信任體系的關鍵技術研究,為電子政務網絡提供全面的信任體系解決方案,建立電子政務安全支撐基礎設施與服務,為其運行提供安全監控解決方案.

  (2)安全域理論以及安全域之間的隔離、訪問控制和審計問題.基于安全域構建信息安全保障體系是信息安全領域中一個重要的方法.

  (3)大范圍爆發的蠕蟲、病毒等惡意代碼的防范問題.當前,對于各行各業信息化威脅最大的安全問題就是蠕蟲大規模爆發問題:在2003年和2004年上半年,一些全球性的大規模蠕蟲爆發事件已經給我國電子政務和相關行業的信息化應用帶來的較為重大的損失.

  (4)大機構和大系統的風險評估問題.風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制.沒有準確及時地風險評估,會使得各個機構對于信息安全的狀況做出錯誤的判斷;風險評估應當成為各個機構建立信息安全保障體系中的優先步驟.在深入研究信息安全風險評估的理論、方法、標準、技術和工具的基礎上,積極準備,為國家開展基礎信息網絡和重要信息系統的信息安全風險評估檢查工作提供技術儲備.比如,為國家電子政務建設提供包括方案設計、工程實施、工程運行等整個生命周期的全程的信息安全風險評估.

  (5)網絡監控體系的建設.面對高速、多媒體海量信息,如何監控信息流,獲取和判斷信息內容,是一個復雜且難度極高的技術問題.發達國家一般運用最新最快的計算機來進行監控管理.我國也應該在國家級監控管理層次上研究發展必要的技術手段.在電子政務領域,也應當建立相應的監控體系.

  (6)應急技術研究.隨著信息化的推進,我國許多重要信息都在網絡上,在方便工作的同時,也存在安全的隱患.一旦發生災難,信息的安全和恢復就會存在問題.應急是信息安全的最后一道防線.國家基礎網絡和重要信息系統必須有相應的應急預案,才能在災難來臨時,不會出現混亂、業務停止等問題.國外在這方面研究比較早,也取得了很大成績,我國在充分借鑒國外先進成果的基礎上,必須研發有自主知識產權的應急與冗災理論、技術和產品.比如,應該深入研究信息系統的應急和災備恢復體系,為國家基礎網絡和重要信息系統,特別是國家電子政務系統提供相應的應急預案,確保在災難發生時系統能夠正常地運行。

  (7)等級保護是信息安全保障體系建設的一個重要原則和方法。

  (8)反入侵和取證技術.(9)物理隔離和邏輯隔離問題,以及內外網信息交換問題。

  (10)建設一體化的、高度集成的、智能化的信息安全平臺.當前的信息安全防范體系是各種不同的安全產品和技術簡單疊加組成的.由于不同的產品來自不同的廠家,產品的性能、規格、功能等都存在很大的差異.這些產品的簡單疊加,相互之間沒有任何聯動的途徑和機制,不能做到整個安全防范系統的簡單、易用和高效,還有可能帶來新的安全問題,整體的安全性如何更難以保證.國家基礎信息網絡和重要信息系統,特別是電子政務,急需一體化的、高度集成的、智能化的安全平臺,把網絡系統中的防火墻、入侵檢測系統、防病毒系統、信息加密、認證系統、審計系統、響應系統、備份系統等多種安全產品和技術,進行智能化地高度集成,形成一個一體化的解決方案.各種不同的安全技術和產品,通過這一安全平臺可以更好地協同工作、密切聯動,從而使整個系統的安全性、效率、可管理性等。

  上述關鍵技術問題是我國信息安全保障方面,特別是電子政務安全領域中亟待解決的關鍵技術問題.對于這些關鍵技術問題的解決,再加上良好的信息安全保障體系價值鏈,將這些關鍵點串聯起來,就可以有效地提高我國信息安全保障體系的水平.此外,我國的信息安全整體水平在國際上還屬于比較落后的地位.為了進一步加快我國信息安全保障體系水平的提升,需要在可控的范圍內加強國際合作。

  4 我國信息安全產業的發展戰略

  (1)信息安全產品客戶化.當前國內信息安全產品種類過度集中,低水平重復較為嚴重,產業結構失調,資源配置不當,缺乏競爭力.從功能角度看,產品高度集中在網絡周邊防護和密碼設備上,而身份識別和信息審計等產品相對較少.從領域角度看,安全產品主要集中在電信網、電視網和互聯網的局域網系統設備、應用和用戶設備的安全方面,骨干網(特別是電信骨干網和電視骨干網)的安全產品幾乎是空白.由于不同行業用戶有不同的安全威脅、安全環境、安全技術、安全培訓和安全維護等,因此,其安全需求也各不相同.產品客戶化既能夠提供量身訂制的服務,又能夠充分發揮國內企業的優勢.國內信息安全企業應該重點選擇政府、金融、財政、稅收、工商、電信、廣電、電力、民航、交通等行業做好客戶化工作.(2)信息安全技術標準化和平臺化.通過標準化和平臺化實現各個廠商的安全產品互連、互通、互操作,從而,易于形成協同的安全防護體系,既增加系統的安全性又增強企業產品的競爭力。

  (3)信息安全產業規模化.當前國內信息安全企業的規模普遍偏小,既缺乏市場競爭力,又難以解決融資困難.必須通過市場機制,實現中小企業的快速成長,通過企業兼并等手段培養出我國自己的信息安全大型企業。

  (4)信息安全產業資本投資多元化.當前,國內信息安全企業的資本結構主要以國家投資、地方政府投資和民營投資為主體.投資單一化,缺少投資機構的支持.實現投資多元化的方法很多:在可控的條件下吸引外國投資家的資本、鼓勵金融中介機構入股信息安全企業、成立投資委員會幫助信息安全企業多方融資,擴展資產規模。

  (5)信息安全產品市場法制化與規范化.信息安全產品與普通的民用產品并不完全相同,國家已經頒布了許多法律和法規來規范信息安全產品的研制、生產和銷售等環節,但是,在法制化和規范化方面仍然還有許多工作要做,比如,政府部門的多頭管理給企業造成過重的經濟負擔,需要盡早建設信息安全產業的統一管理機構;與許多法律和法規相配套的可操作細則也要盡早出臺等。

  參考文獻:

  [ 1] 李彥旭, 馬大志, 成立.網絡信息安全技術綜述[ J] .半導體技術, 2002(10):9-10 .

  [ 2] 楊義先, 方濱興.網絡信息安全成果大閱兵[ J] .通信學報, 2002 , 23(5):2-3 .

  [ 3] 曾志峰, 楊義先.網絡安全的發展與研究[ J] .計算機工程與應用, 2000(10):1-3.

  楊義先

  (北京郵電大學 信息安全中心)

 

 

學術參考網:http://www.qfkih.com.cn/jsj/wl/142257.html

上一篇:9·11 后的美國國家信息安全政策解析

下一篇:具體分析信息安全的內涵與意義

相關標簽:
彩巴巴彩票官网