抓住应用需求,促进信息安全产业发展
国家信息化专家咨询委员会委员、研究员曲成义致辞
各位嘉宾下午好,根据大会的安排,给我的发言题目是《抓住应用需求,促进信息安全产业发展》。下面我就这个课题给大家汇报一下。大家知道在03年国信办曾经发布了一个27号文件,就是《关于加强信息安全保障工作的意见》。在这个文件里面特别强调一定要发动各界的积极性,来共同构筑国家信息安全保障体系。最近我国通过了2020年的信息化发展战略,里面又再一次提到要构建国家的信息安全保障体系,为我国信息化的发展护航。
那么构建一个国家的信息安全体系有很多的要点,27号文件里面就特别提出来要推进信息安全技术的研发与产业的发展,能够提供自主创新、强化可控的安全产品,为国家的信息化发展提供安全保障。
从网络信息安全技术的机制发展阶段,大家都知道可能是70年代、80年代开始经历过四个阶段。早期大家都面向互联网的信息交换,就是英特网的互联防护。那么从80年代网络进入企业和政府,那么就围绕内联网进行防护。那么企业的部门之间,政府的部门之间要进行信息的互动,所以就要有外联网。到今天外联网已经成为了一个体系,在这个体系上已经有了很多的应用。那么现在的信息安全如何围绕着这个的应用对象,这个今天我们今天讨论的主题。
我国的信息安全技术的自主研发与创新经过了这么多年来,特别是2000年、2001年我国建立了由总理当组长的信息化小组以来,国家的信息化发展还是很快的。国家的发改委、信息产业部、科技部正在从国家层面上大力的推动我国的信息安全自主知识产权的技术与产品的研发和创新。这些方面有很多类,在信息安全技术为了满足应用需求和产品上,比如说像基础类,这里就提到了关于风险评估,国家去年就开展了七个省市和部委的风险评估试点。那么风险评估就需要大量的技术平台来支撑,所以科技部的十一五规划中,把安全风险评估列为了六大重点项目之一。这些关键性技术国家在不同的领域,比如说发改委的企业创新基金产品上,863里面就支持自主创新的技术研发。
像系统类的产品,比如说我们的开放网络环境下的监控和预警的问题。重要信息领域的灾难恢复问题,以及SOC这种大量的系统技术,国家也是对重点的项目在投入。前几天发改委产品化的基金支持中,很多厂商都申报了,其中比如说UTM、SOC,有大量的厂商在投入。
至于说应用类和物理类。物理类里面就是生物识别,还有RFID都是目前发展比较有前景的技术。RFID已经进入到国家2020年的信息化发展战略之中。RFID用的应用前景非常广阔,同时对安全也会带来比较有利的支撑。生物识别从原来的一代,到未来的所有生物识别,我国的技术进展还是很快的。
还有前瞻类的可信计算、免疫能力、量子密码等等,总之在信息安全技术的自主研发和创新中,国家给予了大力的支撑和投入。那么这些产品的研发成功,和产品的出台。将会对我国信息化的发展,信息应用会带来巨大的保障。
我国的信息产业的现状与发展如何,应该首先看到我国这几年信息安全产品产业还是发展很快的。今天上午有很多的厂商都讲了防火墙、防病毒等等都发展很快。现在国内有一千多家安全产业的公司,但是我们现在的安全产业离应用需求差距还是很大的。首先有几个数据大家可以看到,我们国内的安全生产总值在全球占1%。我们国内的安全厂商的产值和国外的安全厂商的产值只占0.5%。另外国内的安全产业和我们国内的IT产值来比,只是0.2%。大家从这几个数字就可以看到,这几年我们的安全产业虽然发展很快,但是和发达国家的差距还是很大。所以我们的安全产业面临着从小到大,从大到强还需要作出很大的努力。才能真正保证我国信息化应用的安全。所以对于信息安全产业来说机遇还是非常广阔的。因为我国信息化的需求还是非常巨大的。按照国家信息化领导小组通过的06年11号文件来看,我国在未来的十五年,在信息化上会有一个非常大的发展前景。在这样的信息化发展中没有安全的保障,这种发展是非常脆弱的。所以对于我国的信息化产业来说前景是非无量的。所以如何造就我国的信息安全产业链,真正服务于我国的信息化安全,这是一个非常重要的课题。
下面我谈一下从应用需求的一些新的用户关注点有哪些。第一点就是信息安全通过这几年的经验教训的结果是什么?就是信息安全一定要从源头抓起,从源头开始治理。这就是当前国际上和国内上大家正在探索的可信计算和可信网络接入的产品。
第二个应用需求的关注点就是如何减化用户安全设置的配置,使它易操作、易管理。这就是大家现在关注的UTM,就是统一威胁管理的设备。
第三个就是要增强信息安全的内控机制。大家知道这些年来信息安全在防外这个领域进展非常大,因为在互联网这样一个全球的环境中,大量的黑客在里面。所以我们的边界要管好,门要把住。但是随着信息化的发展,内部的违规、违操作、违法而造成的信息安全事件在不断上升。有一些部门统计在80%左右。所以我们在边界防御的同时,内部违规、内部违章所带来的信息安全问题,因此如何增强信息安全的内控机制,现在正在被用户意识到,而且有这种强烈的需求。这样对信息安全的强审计工具就引起了大家的关注。
第四大家知道信息安全产品越来越多,而且网络越来越大。形成了一个纵深的大范围的安全防御。在这样的防御中如何进行有效的管理,是用户心头的一块大病。我看过一个部门上下四级,反病毒一条线,IDS一条线,防火墙一条线,设了多个人把关,之间的信息不能共享和防御。因此构建一个集成的信息安全平台,就成为用户新的关注点。
第五个大家知道在信息安全关注中,大家提出了内网、外网、互联网。内网主要是运行涉及国家机密的,而且要求外网是物理隔离。很多用户对于这种做法是应该遵守的,因为是国家安全需求。但是给用户的使用带来了非常大的问题。因为一个政府不是所有的业务只在内部运行就可以了,它需要外网、内网和互联网的交换。这样怎么样形成既安全、又可靠的在一个物理隔离的边界下进行适度的交换。因此物理隔离和适度交换的产品,特别是对我国具有涉秘内容的政府内容就变的非常关注。
第六个就是信息安全隐患的及早发现。大家知道隐患是信息安全的第一部。黑客都是利用你的漏洞给你造成风险。因此如何对信息安全的早期发现也是用户非常关注的。因此信息安全评估的方法的早期形成,给用户的自评估、委托评估和检查评估提供了一种平台。所以去年国信办组织了七个省市和部委的信息安全试点,在这个试点中我们发现缺乏有效的工具,缺乏健壮的平台。缺少相应的方法和模型,所以使评估结果的可信度就会带来影响。因此对这一块我们发改委863计划中是六大重大支撑项目之一。
第七个就是对开放网络环境下的检测和掌控。大家知道在一种完全开放的、自由的网络环境下,兴风作浪的人是很多的。所以如何对这样的环境进行监控、预警、评估和治理,就变成我国各个政府的职能部门,我们的地区都很关注这件事。但是如何对于这种治理提供一种有效的检测、预警、评估和治理的工具现在差距还很大。
第八个就是信息安全外包服务业需求增长。我国产品走的最快,软件次之,服务最差。但是最近开始好起来了,因为过去我们用户对于服务还要交钱不理解,现在大家知道没有服务的安全是没有长效机制的。目前我们国内的安全服务业不少,但是能力还不强。
像可信计算大家知道,可信计算是从源头、从体系、从行为开始抓安全。这已经被大家广泛认可,因为它的目的就是让资产拥有者的安全配置后果可以预期。因此现在国际上和咱们国内都在从源头抓起,就是可信的终端,进一步走向可信的服务器,可信的智能移动平台,可信的网络接入和可信的网络。现在可信的网络接入国际上有三大流派,一个是TNC,一个是NAC,一个是NAP。我国在可信终端,可信接入,我们国内的厂商也都在积极进入这样的领域。
那么可信计算两、三年以后会成为一定的市场规模。那时候会带来信息安全产业的重新布局和洗牌,所以我们要尽早关注。而且可信计算产品的投入市场会形成新一轮的个人产业竞赛,中国要在这样的竞争中占有一席之地。
第二个关注点就是统一威胁管理的问题。它是把软件、硬件和网络技术集成到一个实体中。集成以后功能可能是折中的,但是协同是有效的,安全是适度的。所以这样的产品是低成本,多功能,易操作。特别是是对目前中低端和中小企业的用户有大量的需求和应用的前景。所以前几天发改委的产业化基金支持中,我发现有一大批企业都在报自己的UTM项目,说明它有用户需求和前景。
再一个就是信息安全的集成管理。SOC的优势我刚才说了,在一个广域网、跨部门的系统里,如何对你的网络产品如何从网络层到应用层形成一个多层次的,全局的共享和联动,这是用户最关注的。因此这样的产品很重要的是在统一的安全策略的制订和管理下协同动作的。所以它从管理、检测、监控、应急处理一体化。中小企业是非常喜欢这样的系统的。所以对于这样的系统很多厂商都在做,但是能做的很完善的还很少。
再一个刚才我谈到了,这几年我们的防外这几年进展很快,内控这几年用户也有强烈的需求。所以强化一个政府部门的强审计,现在很多厂商都在积极的推出自己的产品。那么所谓强审计就是对一个信息系统的全局审计。这个可以分五个层次,比如说像网络层次,数据库层次,应用层次,主机层次,界定层次。所以对于政府部门和企业,因为企业有很多的敏感信息,如何保障在移动介质的流通中的安全。所以对强化内部审计也包括审计信息自己的安全架构。另外审计信息证据的有效性。
再一个就是物理隔离的技术和产品。其实物理隔离也分很多层。现在大家最关注的就是网络级,就是如何把一个涉密的网和一个非涉密的网联合起来应用。所以现在大家对用户的办法一个就是干脆物理切断。然后信息交换怎么办呢?就是通过介质和安全岛进行很麻烦的交换。那么从长远来看,网闸和网坝现在很多厂商都在做,给用户内网和外网的交换提供更好的保障。
风险评估工具和平台,我感觉我们缺少这样的模型、算法、共聚合平台。大家知道风险评估是国家执法部门对企业进行评估。委托评估是政府和企业找厂商来做,但是大量的安全评估用户应该有一种能力。这种能力包括人的工作以外,还应该有一种工具,但是这种工具我国还不多,或者是有效性还不够。因此如何来支撑委托评估的能力,我们的厂商应该快速发展这种能力。开放网络环境下的安全检测和网络工具很多,我就不说了。比如说对数据流量的分析,网络活动行为的诊断。如何从一个开放的网络环境下,海量的信息中,如何去评估、挖掘、预警、跟踪和阻断我们做的还是很不够。
最后一个就是信息安全的服务业。我们现在很多厂商都在做这方面的工作,这是非常不错的。我的发言就是这些,谢谢大家。