國(guó)家信息化專家咨詢委員會(huì)委員、研究員曲成義致辭

       各位嘉賓下午好，根據(jù)大會(huì)的安排，給我的發(fā)言題目是《抓住應(yīng)用需求，促進(jìn)信息安全產(chǎn)業(yè)發(fā)展》。下面我就這個(gè)課題給大家匯報(bào)一下。大家知道在03年國(guó)信辦曾經(jīng)發(fā)布了一個(gè)27號(hào)文件，就是《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》。在這個(gè)文件里面特別強(qiáng)調(diào)一定要發(fā)動(dòng)各界的積極性，來(lái)共同構(gòu)筑國(guó)家信息安全保障體系。最近我國(guó)通過(guò)了2020年的信息化發(fā)展戰(zhàn)略，里面又再一次提到要構(gòu)建國(guó)家的信息安全保障體系，為我國(guó)信息化的發(fā)展護(hù)航。

那么構(gòu)建一個(gè)國(guó)家的信息安全體系有很多的要點(diǎn)，27號(hào)文件里面就特別提出來(lái)要推進(jìn)信息安全技術(shù)的研發(fā)與產(chǎn)業(yè)的發(fā)展，能夠提供自主創(chuàng)新、強(qiáng)化可控的安全產(chǎn)品，為國(guó)家的信息化發(fā)展提供安全保障。

從網(wǎng)絡(luò)信息安全技術(shù)的機(jī)制發(fā)展階段，大家都知道可能是70年代、80年代開(kāi)始經(jīng)歷過(guò)四個(gè)階段。早期大家都面向互聯(lián)網(wǎng)的信息交換，就是英特網(wǎng)的互聯(lián)防護(hù)。那么從80年代網(wǎng)絡(luò)進(jìn)入企業(yè)和政府，那么就圍繞內(nèi)聯(lián)網(wǎng)進(jìn)行防護(hù)。那么企業(yè)的部門之間，政府的部門之間要進(jìn)行信息的互動(dòng)，所以就要有外聯(lián)網(wǎng)。到今天外聯(lián)網(wǎng)已經(jīng)成為了一個(gè)體系，在這個(gè)體系上已經(jīng)有了很多的應(yīng)用。那么現(xiàn)在的信息安全如何圍繞著這個(gè)的應(yīng)用對(duì)象，這個(gè)今天我們今天討論的主題。

我國(guó)的信息安全技術(shù)的自主研發(fā)與創(chuàng)新經(jīng)過(guò)了這么多年來(lái)，特別是2000年、2001年我國(guó)建立了由總理當(dāng)組長(zhǎng)的信息化小組以來(lái)，國(guó)家的信息化發(fā)展還是很快的。國(guó)家的發(fā)改委、信息產(chǎn)業(yè)部、科技部正在從國(guó)家層面上大力的推動(dòng)我國(guó)的信息安全自主知識(shí)產(chǎn)權(quán)的技術(shù)與產(chǎn)品的研發(fā)和創(chuàng)新。這些方面有很多類，在信息安全技術(shù)為了滿足應(yīng)用需求和產(chǎn)品上，比如說(shuō)像基礎(chǔ)類，這里就提到了關(guān)于風(fēng)險(xiǎn)評(píng)估，國(guó)家去年就開(kāi)展了七個(gè)省市和部委的風(fēng)險(xiǎn)評(píng)估試點(diǎn)。那么風(fēng)險(xiǎn)評(píng)估就需要大量的技術(shù)平臺(tái)來(lái)支撐，所以科技部的十一五規(guī)劃中，把安全風(fēng)險(xiǎn)評(píng)估列為了六大重點(diǎn)項(xiàng)目之一。這些關(guān)鍵性技術(shù)國(guó)家在不同的領(lǐng)域，比如說(shuō)發(fā)改委的企業(yè)創(chuàng)新基金產(chǎn)品上，863里面就支持自主創(chuàng)新的技術(shù)研發(fā)。

像系統(tǒng)類的產(chǎn)品，比如說(shuō)我們的開(kāi)放網(wǎng)絡(luò)環(huán)境下的監(jiān)控和預(yù)警的問(wèn)題。重要信息領(lǐng)域的災(zāi)難恢復(fù)問(wèn)題，以及SOC這種大量的系統(tǒng)技術(shù)，國(guó)家也是對(duì)重點(diǎn)的項(xiàng)目在投入。前幾天發(fā)改委產(chǎn)品化的基金支持中，很多廠商都申報(bào)了，其中比如說(shuō)UTM、SOC，有大量的廠商在投入。

至于說(shuō)應(yīng)用類和物理類。物理類里面就是生物識(shí)別，還有RFID都是目前發(fā)展比較有前景的技術(shù)。RFID已經(jīng)進(jìn)入到國(guó)家2020年的信息化發(fā)展戰(zhàn)略之中。RFID用的應(yīng)用前景非常廣闊，同時(shí)對(duì)安全也會(huì)帶來(lái)比較有利的支撐。生物識(shí)別從原來(lái)的一代，到未來(lái)的所有生物識(shí)別，我國(guó)的技術(shù)進(jìn)展還是很快的。

還有前瞻類的可信計(jì)算、免疫能力、量子密碼等等，總之在信息安全技術(shù)的自主研發(fā)和創(chuàng)新中，國(guó)家給予了大力的支撐和投入。那么這些產(chǎn)品的研發(fā)成功，和產(chǎn)品的出臺(tái)。將會(huì)對(duì)我國(guó)信息化的發(fā)展，信息應(yīng)用會(huì)帶來(lái)巨大的保障。

我國(guó)的信息產(chǎn)業(yè)的現(xiàn)狀與發(fā)展如何，應(yīng)該首先看到我國(guó)這幾年信息安全產(chǎn)品產(chǎn)業(yè)還是發(fā)展很快的。今天上午有很多的廠商都講了防火墻、防病毒等等都發(fā)展很快。現(xiàn)在國(guó)內(nèi)有一千多家安全產(chǎn)業(yè)的公司，但是我們現(xiàn)在的安全產(chǎn)業(yè)離應(yīng)用需求差距還是很大的。首先有幾個(gè)數(shù)據(jù)大家可以看到，我們國(guó)內(nèi)的安全生產(chǎn)總值在全球占1％。我們國(guó)內(nèi)的安全廠商的產(chǎn)值和國(guó)外的安全廠商的產(chǎn)值只占0.5％。另外國(guó)內(nèi)的安全產(chǎn)業(yè)和我們國(guó)內(nèi)的IT產(chǎn)值來(lái)比，只是0.2％。大家從這幾個(gè)數(shù)字就可以看到，這幾年我們的安全產(chǎn)業(yè)雖然發(fā)展很快，但是和發(fā)達(dá)國(guó)家的差距還是很大。所以我們的安全產(chǎn)業(yè)面臨著從小到大，從大到強(qiáng)還需要作出很大的努力。才能真正保證我國(guó)信息化應(yīng)用的安全。所以對(duì)于信息安全產(chǎn)業(yè)來(lái)說(shuō)機(jī)遇還是非常廣闊的。因?yàn)槲覈?guó)信息化的需求還是非常巨大的。按照國(guó)家信息化領(lǐng)導(dǎo)小組通過(guò)的06年11號(hào)文件來(lái)看，我國(guó)在未來(lái)的十五年，在信息化上會(huì)有一個(gè)非常大的發(fā)展前景。在這樣的信息化發(fā)展中沒(méi)有安全的保障，這種發(fā)展是非常脆弱的。所以對(duì)于我國(guó)的信息化產(chǎn)業(yè)來(lái)說(shuō)前景是非無(wú)量的。所以如何造就我國(guó)的信息安全產(chǎn)業(yè)鏈，真正服務(wù)于我國(guó)的信息化安全，這是一個(gè)非常重要的課題。

下面我談一下從應(yīng)用需求的一些新的用戶關(guān)注點(diǎn)有哪些。第一點(diǎn)就是信息安全通過(guò)這幾年的經(jīng)驗(yàn)教訓(xùn)的結(jié)果是什么？就是信息安全一定要從源頭抓起，從源頭開(kāi)始治理。這就是當(dāng)前國(guó)際上和國(guó)內(nèi)上大家正在探索的可信計(jì)算和可信網(wǎng)絡(luò)接入的產(chǎn)品。

第二個(gè)應(yīng)用需求的關(guān)注點(diǎn)就是如何減化用戶安全設(shè)置的配置，使它易操作、易管理。這就是大家現(xiàn)在關(guān)注的UTM，就是統(tǒng)一威脅管理的設(shè)備。

第三個(gè)就是要增強(qiáng)信息安全的內(nèi)控機(jī)制。大家知道這些年來(lái)信息安全在防外這個(gè)領(lǐng)域進(jìn)展非常大，因?yàn)樵诨ヂ?lián)網(wǎng)這樣一個(gè)全球的環(huán)境中，大量的黑客在里面。所以我們的邊界要管好，門要把住。但是隨著信息化的發(fā)展，內(nèi)部的違規(guī)、違操作、違法而造成的信息安全事件在不斷上升。有一些部門統(tǒng)計(jì)在80％左右。所以我們?cè)谶吔绶烙耐瑫r(shí)，內(nèi)部違規(guī)、內(nèi)部違章所帶來(lái)的信息安全問(wèn)題，因此如何增強(qiáng)信息安全的內(nèi)控機(jī)制，現(xiàn)在正在被用戶意識(shí)到，而且有這種強(qiáng)烈的需求。這樣對(duì)信息安全的強(qiáng)審計(jì)工具就引起了大家的關(guān)注。

第四大家知道信息安全產(chǎn)品越來(lái)越多，而且網(wǎng)絡(luò)越來(lái)越大。形成了一個(gè)縱深的大范圍的安全防御。在這樣的防御中如何進(jìn)行有效的管理，是用戶心頭的一塊大病。我看過(guò)一個(gè)部門上下四級(jí)，反病毒一條線，IDS一條線，防火墻一條線，設(shè)了多個(gè)人把關(guān)，之間的信息不能共享和防御。因此構(gòu)建一個(gè)集成的信息安全平臺(tái)，就成為用戶新的關(guān)注點(diǎn)。

第五個(gè)大家知道在信息安全關(guān)注中，大家提出了內(nèi)網(wǎng)、外網(wǎng)、互聯(lián)網(wǎng)。內(nèi)網(wǎng)主要是運(yùn)行涉及國(guó)家機(jī)密的，而且要求外網(wǎng)是物理隔離。很多用戶對(duì)于這種做法是應(yīng)該遵守的，因?yàn)槭菄?guó)家安全需求。但是給用戶的使用帶來(lái)了非常大的問(wèn)題。因?yàn)橐粋€(gè)政府不是所有的業(yè)務(wù)只在內(nèi)部運(yùn)行就可以了，它需要外網(wǎng)、內(nèi)網(wǎng)和互聯(lián)網(wǎng)的交換。這樣怎么樣形成既安全、又可靠的在一個(gè)物理隔離的邊界下進(jìn)行適度的交換。因此物理隔離和適度交換的產(chǎn)品，特別是對(duì)我國(guó)具有涉秘內(nèi)容的政府內(nèi)容就變的非常關(guān)注。

第六個(gè)就是信息安全隱患的及早發(fā)現(xiàn)。大家知道隱患是信息安全的第一部。黑客都是利用你的漏洞給你造成風(fēng)險(xiǎn)。因此如何對(duì)信息安全的早期發(fā)現(xiàn)也是用戶非常關(guān)注的。因此信息安全評(píng)估的方法的早期形成，給用戶的自評(píng)估、委托評(píng)估和檢查評(píng)估提供了一種平臺(tái)。所以去年國(guó)信辦組織了七個(gè)省市和部委的信息安全試點(diǎn)，在這個(gè)試點(diǎn)中我們發(fā)現(xiàn)缺乏有效的工具，缺乏健壯的平臺(tái)。缺少相應(yīng)的方法和模型，所以使評(píng)估結(jié)果的可信度就會(huì)帶來(lái)影響。因此對(duì)這一塊我們發(fā)改委863計(jì)劃中是六大重大支撐項(xiàng)目之一。

第七個(gè)就是對(duì)開(kāi)放網(wǎng)絡(luò)環(huán)境下的檢測(cè)和掌控。大家知道在一種完全開(kāi)放的、自由的網(wǎng)絡(luò)環(huán)境下，興風(fēng)作浪的人是很多的。所以如何對(duì)這樣的環(huán)境進(jìn)行監(jiān)控、預(yù)警、評(píng)估和治理，就變成我國(guó)各個(gè)政府的職能部門，我們的地區(qū)都很關(guān)注這件事。但是如何對(duì)于這種治理提供一種有效的檢測(cè)、預(yù)警、評(píng)估和治理的工具現(xiàn)在差距還很大。

第八個(gè)就是信息安全外包服務(wù)業(yè)需求增長(zhǎng)。我國(guó)產(chǎn)品走的最快，軟件次之，服務(wù)最差。但是最近開(kāi)始好起來(lái)了，因?yàn)檫^(guò)去我們用戶對(duì)于服務(wù)還要交錢不理解，現(xiàn)在大家知道沒(méi)有服務(wù)的安全是沒(méi)有長(zhǎng)效機(jī)制的。目前我們國(guó)內(nèi)的安全服務(wù)業(yè)不少，但是能力還不強(qiáng)。

像可信計(jì)算大家知道，可信計(jì)算是從源頭、從體系、從行為開(kāi)始抓安全。這已經(jīng)被大家廣泛認(rèn)可，因?yàn)樗哪康木褪亲屬Y產(chǎn)擁有者的安全配置后果可以預(yù)期。因此現(xiàn)在國(guó)際上和咱們國(guó)內(nèi)都在從源頭抓起，就是可信的終端，進(jìn)一步走向可信的服務(wù)器，可信的智能移動(dòng)平臺(tái)，可信的網(wǎng)絡(luò)接入和可信的網(wǎng)絡(luò)?，F(xiàn)在可信的網(wǎng)絡(luò)接入國(guó)際上有三大流派，一個(gè)是TNC，一個(gè)是NAC，一個(gè)是NAP。我國(guó)在可信終端，可信接入，我們國(guó)內(nèi)的廠商也都在積極進(jìn)入這樣的領(lǐng)域。

那么可信計(jì)算兩、三年以后會(huì)成為一定的市場(chǎng)規(guī)模。那時(shí)候會(huì)帶來(lái)信息安全產(chǎn)業(yè)的重新布局和洗牌，所以我們要盡早關(guān)注。而且可信計(jì)算產(chǎn)品的投入市場(chǎng)會(huì)形成新一輪的個(gè)人產(chǎn)業(yè)競(jìng)賽，中國(guó)要在這樣的競(jìng)爭(zhēng)中占有一席之地。

第二個(gè)關(guān)注點(diǎn)就是統(tǒng)一威脅管理的問(wèn)題。它是把軟件、硬件和網(wǎng)絡(luò)技術(shù)集成到一個(gè)實(shí)體中。集成以后功能可能是折中的，但是協(xié)同是有效的，安全是適度的。所以這樣的產(chǎn)品是低成本，多功能，易操作。特別是是對(duì)目前中低端和中小企業(yè)的用戶有大量的需求和應(yīng)用的前景。所以前幾天發(fā)改委的產(chǎn)業(yè)化基金支持中，我發(fā)現(xiàn)有一大批企業(yè)都在報(bào)自己的UTM項(xiàng)目，說(shuō)明它有用戶需求和前景。

再一個(gè)就是信息安全的集成管理。SOC的優(yōu)勢(shì)我剛才說(shuō)了，在一個(gè)廣域網(wǎng)、跨部門的系統(tǒng)里，如何對(duì)你的網(wǎng)絡(luò)產(chǎn)品如何從網(wǎng)絡(luò)層到應(yīng)用層形成一個(gè)多層次的，全局的共享和聯(lián)動(dòng)，這是用戶最關(guān)注的。因此這樣的產(chǎn)品很重要的是在統(tǒng)一的安全策略的制訂和管理下協(xié)同動(dòng)作的。所以它從管理、檢測(cè)、監(jiān)控、應(yīng)急處理一體化。中小企業(yè)是非常喜歡這樣的系統(tǒng)的。所以對(duì)于這樣的系統(tǒng)很多廠商都在做，但是能做的很完善的還很少。

再一個(gè)剛才我談到了，這幾年我們的防外這幾年進(jìn)展很快，內(nèi)控這幾年用戶也有強(qiáng)烈的需求。所以強(qiáng)化一個(gè)政府部門的強(qiáng)審計(jì)，現(xiàn)在很多廠商都在積極的推出自己的產(chǎn)品。那么所謂強(qiáng)審計(jì)就是對(duì)一個(gè)信息系統(tǒng)的全局審計(jì)。這個(gè)可以分五個(gè)層次，比如說(shuō)像網(wǎng)絡(luò)層次，數(shù)據(jù)庫(kù)層次，應(yīng)用層次，主機(jī)層次，界定層次。所以對(duì)于政府部門和企業(yè)，因?yàn)槠髽I(yè)有很多的敏感信息，如何保障在移動(dòng)介質(zhì)的流通中的安全。所以對(duì)強(qiáng)化內(nèi)部審計(jì)也包括審計(jì)信息自己的安全架構(gòu)。另外審計(jì)信息證據(jù)的有效性。

再一個(gè)就是物理隔離的技術(shù)和產(chǎn)品。其實(shí)物理隔離也分很多層?，F(xiàn)在大家最關(guān)注的就是網(wǎng)絡(luò)級(jí)，就是如何把一個(gè)涉密的網(wǎng)和一個(gè)非涉密的網(wǎng)聯(lián)合起來(lái)應(yīng)用。所以現(xiàn)在大家對(duì)用戶的辦法一個(gè)就是干脆物理切斷。然后信息交換怎么辦呢？就是通過(guò)介質(zhì)和安全島進(jìn)行很麻煩的交換。那么從長(zhǎng)遠(yuǎn)來(lái)看，網(wǎng)閘和網(wǎng)壩現(xiàn)在很多廠商都在做，給用戶內(nèi)網(wǎng)和外網(wǎng)的交換提供更好的保障。

風(fēng)險(xiǎn)評(píng)估工具和平臺(tái)，我感覺(jué)我們?nèi)鄙龠@樣的模型、算法、共聚合平臺(tái)。大家知道風(fēng)險(xiǎn)評(píng)估是國(guó)家執(zhí)法部門對(duì)企業(yè)進(jìn)行評(píng)估。委托評(píng)估是政府和企業(yè)找廠商來(lái)做，但是大量的安全評(píng)估用戶應(yīng)該有一種能力。這種能力包括人的工作以外，還應(yīng)該有一種工具，但是這種工具我國(guó)還不多，或者是有效性還不夠。因此如何來(lái)支撐委托評(píng)估的能力，我們的廠商應(yīng)該快速發(fā)展這種能力。開(kāi)放網(wǎng)絡(luò)環(huán)境下的安全檢測(cè)和網(wǎng)絡(luò)工具很多，我就不說(shuō)了。比如說(shuō)對(duì)數(shù)據(jù)流量的分析，網(wǎng)絡(luò)活動(dòng)行為的診斷。如何從一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境下，海量的信息中，如何去評(píng)估、挖掘、預(yù)警、跟蹤和阻斷我們做的還是很不夠。

最后一個(gè)就是信息安全的服務(wù)業(yè)。我們現(xiàn)在很多廠商都在做這方面的工作，這是非常不錯(cuò)的。我的發(fā)言就是這些，謝謝大家。