中国 IT 系统自主可控 与信息安全白皮书
中国IT系统自主可控与信息安全白皮书
(2014)
赛迪顾问股份有限公司
2014年7月
1
目 录
执行概要 (3)
第一章 全球信息安全生态环境发展概览 (5)
一、全球信息安全局势发展特点 (5)
1、全球安全危机事件频发,国家安全军备竞争升级 (5)
2、信息安全成为全球关注焦点,网络攻防实力备受重视 (5)
3、信息安全投入不断加强,欧美国家启动贸易保护安全壁垒 (5)
二、主要国家和地区行动举措 (6)
1、美国:大规模打造网安军团,强调“关键基础设施”安全 (7)
2、欧洲:确保数字经济安全发展,推行“网络安全战略” (8)
3、日本:由信息安全保障防护转向网络安全威胁防御 (9)
第二章 中国IT 系统自主可控与信息安全发展特点 (11)
一、网络安全事件频发给社会经济带来新挑战 (11)
二、政府和企业均重拳出击捍卫信息安全 (11)
1、成立国家安全委员会,昭示捍卫国家信息安全的意志 (11)
2、政府新一轮IT 采购更加重视信息安全 (12)
3、中国一些企业发动“去IOE”,自主可控成为共识 (12)
三、中国建立日益完善的信息安全体系 (12)
1、法律法规体系建设基本健全 (13)
2、信息安全等级保护工作稳步推进 (15)
3、产品认证认可体系基本形成 (15)
4、信息安全标准化工作成绩明显 (16)
四、领域/行业应用信息安全和自主可控发展特点 (17)
1、移动互联网安全防护与监管并重 (17)
2、云计算应用保障趋向于自主可控 (17)
3、数据安全将成为信息安全建设重点 (17)
4、面向云计算的应用安全成为各方热点 (18)
5、工业控制系统信息安全引起广泛关注 (18)
第三章 中国IT 系统自主可控全景图 (20)
1、IT 基础设施自主可控 (20)
2、平台软件自主可控 (20)
3、信息安全自主可控 (20)
4、关键行业应用软件自主可控 (20)
5、专业IT 服务自主可控 (21)
6、体系可控和安全 (21)
第四章 中国本土企业巡礼 (23)
一、IT 基础设施自主可控 (23)
1、服务器 (23)
二、平台软件自主可控 (25)
2 1、操作系统 (25)
2、系统管理软件和开发工具 (26)
3、数据库管理系统 (30)
4、中间件 (31)
三、信息安全自主可控 (32)
四、关键行业应用软件自主可控 (35)
五、专业IT 服务自主可控 (42)
表目录
表 1 世界主要国家和地区构建信息安全生态体系的行动举措 (6)
表 2 中国涉及信息安全的政策和法律法规 (14)
表 3 中国信息安全等级保护体系 (15)
表 4 中国信息安全产品认证认可体系 (15)
表 5 中国信息安全标准/规范 (16)
表 6 浪潮集团有限公司(服务器) (23)
表 7 北京华胜天成科技股份有限公司(服务器) (24)
表 8 中标软件有限公司(操作系统) (25)
表 9 东软集团股份有限公司(系统管理软件、开发工具) (26)
表 10 用友软件股份有限公司(系统管理软件、开发平台) (28)
表 11 北京华胜天成科技股份有限公司(系统管理软件) (29)
表 12 南大通用数据技术股份有限公司(数据库管理系统) (30)
表 13 北京东方通科技股份有限公司(中间件) (31)
表 14 网神信息技术(北京)股份有限公司(信息安全产品) (32)
表 15 北京北信源软件股份有限公司(信息安全产品) (33)
表 16 中电长城网际系统应用有限公司(企业沟通平台、信息安全产品) (34)
表 17 用友软件股份有限公司(大型集团管理软件) (35)
表 18 东软集团股份有限公司(人力资本和档案管理软件) (37)
表 19 浪潮集团有限公司(企业管理系统、协同办公系统等) (38)
表 20 畅捷通信息技术股份有限公司(小微企业管理软件) (39)
表 21 和利时科技集团(工业软件-自动化系统) (40)
表 22 北京数码大方科技股份有限公司(工业软件-CAD/MES/PLM ) (41)
表 23 石化盈科信息技术有限责任公司(ERP 系统实施服务) (42)
表 24 恒拓开源(天津)信息科技有限公司(开源技术服务) (43)
图目录
图 1 中国IT 系统自主可控全景图 (22)
3
执行概要
2013年“棱镜计划”的曝光在全球范围内引发了安全军备竞争;中国对安全保障的重视程度也达到前所未有的高度,2013年11月12日成立了国家安全委员会。与此同时,中国一些企业纷纷投入创新研发,以保证自身的信息安全。赛迪顾问研究认为,传统意义上的信息安全IT 产品已经不能满足今日国家政府、企事业单位对“安全”的理解和渴求,只有从体系上入手,实现整体的IT 系统自主可控,才能真正保障信息安全。此次赛迪顾问发布《中国IT 系统自主可控与信息安全白皮书(2014)》(以下简称《白皮书》)与中国IT 系统自主可控全景图,聚焦实现IT 全流程自主可控与信息系统国产化;《白皮书》得到了IT 业界广泛的支持和认可,显示出企业各界对构筑自主可控的IT 系统、打造信息安全生态环境的强烈意志和信心。
赛迪顾问历时3个月,走访了近30位IT 业界的重要影响者,包括工业和信息化部等中央部委、地方经济和信息化委员会等领导,两院院士、高校教授、著名媒体主编、中国本土IT 企业以及重要行业用户,获得了大量的一手资料和众多真知灼见,对白皮书的研究起到了重要的支撑作用。
赛迪顾问在《白皮书》中首次发布了中国IT 系统自主可控全景图。赛迪顾问研究认为,IT 系统自主可控包含IT 基础设施自主可控、平台软件自主可控、信息安全自主可控、关键行业应用软件自主可控以及专业IT 服务自主可控,除上述自主可控的关键环节,体系可控和安全更是对于实现IT 系统自主可控具有高屋建瓴的纲领作用。
据调研显示,随着2013年棱镜计划的曝光以及一系列国际安全危机事件爆发,国家间的安全军备竞争不断升级;信息安全成为全球关注焦点,网络攻防实力备受重视;各国对信息安全投入不断加强,欧美国家还启动了贸易保护安全壁垒。与此同时,近年中国网络安全事件频发,给社会经济带来各种不安定因素,国家政府和大中企业对信息安全日益重视。中国已建立起信息安全标准化体系、信息安全产品的认证认可体系、信息安全等级保护体系,亦出台了一系列信息安全方面的法律法规。“棱镜事件”后,国家对安全保障的重视程度更是达到前所未有的高度,2013年11月12日成立了国家安全委员会。
《白皮书》研究认为,中国各领域、行业在实现IT 自主可控与信息安全时具有各自不同的特点:
1、移动互联网安全防护与监管并重。如今“强后台”+“薄客户端”的“云 +端”模式成为趋势,如何面对移动互联网时代强大的“云+端”信息获取和处理分析能力,保护国家信息安全是中国移动云服务领域的一大挑战。终端应用的功能日益增强,将会导致对用户的监管难度增加。
4
2、云计算应用保障趋向自主可控。目前,中国信息安全技术研究仍停留在应用程序层面,即处于消极防御的阶段,核心技术严重缺乏,产业发展环境亟待完善。未来,国家将推广应用云计算应用安全先进技术和产品。云计算应用企业资质管理制度也将制定,以确保在云环境搭建和云服务管理方面保证国家自主可控。
3、数据安全将成为信息安全建设重点。目前一些政企用户已在规划或着手建设“数据安全体系”;随着“棱镜门”事件影响、个人隐私意识提升以及国家相关监管政策的出台,预计金融和央企将进入数据安全建设高峰期。
4、面向云计算的应用安全成为各方热点。云计算应用安全涉及保障云计算应用的服务可用性、数据机密性和完整性、隐私权的保护、对物理安全的控制、对恶意攻击及法律法规风险的防范等诸多方面。云计算应用安全是云计算各类应用健康和可持续发展的基础和催化剂,云计算的安全问题尚待解决已经成为影响云计算普及应用的关键障碍。
5、工业控制系统信息安全引起广泛关注。当前,工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用,给工业控制系统信息安全保障工作提出了新任务、新挑战。而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中,其安全事故造成的社会影响和经济损失会更为严重。
最后,《白皮书》还采集了中国IT 业界本土企业代表产品和服务,包括东软、用友、浪潮、华胜天成、中标软件、东方通、南大通用、网神等众多知名企业。赛迪顾问愿携手中国IT 业界各方力量,构筑自主可控IT 系统、打造信息安全生态系统。
5
第一章 全球信息安全生态环境发展概览
一、全球信息安全局势发展特点
1、全球安全危机事件频发,国家安全军备竞争升级
2013年,棱镜计划的曝光使得美国政府及合作企业假以国家安全为由、在全球范围内展开的网络攻击、信息窃听围猎行为得以败露;叙利亚内战中由双方黑客参与的网络空间攻防再次证明信息安全战争全面参与现代化战争;CISCO 、D-Link 、T enda 等多家主流路由器厂商产品后门披露引发网络安全恐慌;“Heartbleed ”大型安全漏洞浮出水面使得数亿用户面临安全风险……
全球各个国家将信息安全建设投入上升为国家安全军备竞争,促使全球范围内的信息安全产业得以快速发展。随着全球信息化进程的推进及全球网络犯罪行为的蔓延,政府、企业和个人都表现出对信息安全的极大关注,信息安全上升到经济安全、社会安全和国家安全层面,美国、欧盟、俄罗斯、日本、中国等主要国家持续加强信息安全软硬件和安全服务的投资。目前,全球信息安全产业的竞争已经超越传统产业的范畴,加快信息安全产业发展是国家信息安全保障体系建设工作的一项重要任务,是保证信息化建设健康发展的基本要求,采用自主可控的信息安全产品和服务是产业发展的关键。
2、信息安全成为全球关注焦点,网络攻防实力备受重视
随着全球信息化进程的推进、IT 新技术的应用及全球网络犯罪及攻击行为的蔓延,政府、企业和个人都表现出对信息安全的极大关注。各国政府都在加强网络监管,企业在信息安全体系建设上的投资不断增加,加强数据安全和隐私保护并提升IT 基础设施防御能力成为全球信息安全产品的主导。世界上多数国家都将网络空间视为发展重点,高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力,网络空间已经成为领土、领海、领空和太空之外的第五空间。
世界各国都高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力。首先,世界各国都在加快组建网络部队,已经有美国、俄罗斯、以色列、伊朗、韩国等近46个国家成立了网络部队,并逐步扩大网络部队的规模。其次,世界各国不断增加网络武器、网络安全人才等方面的投入。最后,各国不断加强网络演习,以提高网络对抗实战能力。
3、信息安全投入不断加强,欧美国家启动贸易保护安全壁垒 美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元,主要用于新一代
6
网络武器研发方面,北约C3局(NC3A)于2012年3月份签署了合同价值约5800万欧元的网络防御投资计划,韩国于2012年投入19亿韩元启动“白色黑客”计划以培养网络安全人员。
西方各国频繁使用各种手段为中国企业设置贸易壁垒,如技术壁垒和绿色壁垒等,近来一些国家又启动了安全壁垒这种新的贸易保护主义工具。2012年,澳大利亚政府、美国国会发起对华为、中兴等中国企业的市场和贸易干预。未来以国家安全为由的贸易保护主义行为将更加盛行,相关企业的国际化步伐将会长期受到影响。
二、主要国家和地区行动举措
全世界主要国家和地区已经就信息安全着力构建了各自的生态系统,在关键技术、行业标准、评估认证体系方面都做出了很多切实行动。
表 1 世界主要国家和地区构建信息安全生态体系的行动举措 信息安全防御体系、信息安全法律体系、主管机构管理体系。
拥有雄厚的产业资助:美国国防部高级研究计划局、美国国家安全局、美国国防部高
级研究计划局、NSF 、美国海军等。
拥有关键技术领域:防火墙、入侵检测系统、容错网络、公钥密码等。
7
数据来源:赛迪顾问2014,06
1、美国:大规模打造网安军团,强调“关键基础设施”安全
近年,随着网络安全形势的日益严峻,美国加快了制定网络空间安全战略的力度和步伐。
奥巴马政府上台后动作不断,白宫相继发布了《信息共享国家战略》、《国家安全战略》、《网
络空间政策评估报告》、《网络空间可信身份国家战略》、《网络空间国际战略》、《2012年信
息共享与安全保障国家战略》。随后,美国国防部、国土安全部、商务部先后推出了本部门
网络安全战略。同时,美国近年不断加强网络部队的建设,已成为全球最主要的网络攻击策
源地,2013年计划新增40支网络小队,其中明确有13支的重点是进攻,另外27支的重点是
培训和监控。2013年6月,美国“棱镜”等互联网监视项目曝光,美国依靠其在信息技术及
产业上的巨大优势,绕过各国的信息安全防护,实现了对整个国际网络空间的监控,网络霸
权意识明显。
按照美国关键基础设施公司报告数据,美国网络安全事件数量从2009年的9起、2010
年41起,急剧增加2011年198起。由此包括美国国防部长等众多政府高级官员呼吁国会通过
相关法律,有效保护关键基础设施网络安全,保障美国经济稳定。2013年2月,美国总统奥
巴马签署了名为《关于提升关键基础设施网络安全的决定》的行政令,旨在保护国家基础设
施免受网络攻击。奥巴马在国情咨文中表示,“黑客们窃取人们的身份信息、入侵私人邮件、
窃取企业秘密,试图破坏电力网、金融机构及空中交通管制系统”。
该行政令的主要内容包括:在国家层面上,美国总统正式认定“信息战”会一直持续下
8
去,是目前显而易见的威胁。政府将与私营部门合作建立“网络安全框架”,实现网络攻击与威胁的信息共享,从而降低针对关键基础设施的网络安全风险。如何降低“关键基础设施的网络安全风险”的基本框架将由美国国家标准与技术研究所(NIST )制定。该基本框架包含一套标准、方法、步骤、流程以及应对网络安全风险的非指定的技术手段。“网络安全框架”的建立有助于将现有的政府项目向私营部门扩展,这样能让更多的私营部门的专家在一段时间内为政府服务。与此同时,该行政令规定了建立“网络安全框架”的具体时间表以及“网络安全框架”对隐私状况的影响的评估报告。行政令呼吁政府和机构加强政策协调,实现更广泛的信息共享,但是该行政令并不具有和法律同等的效力,白宫期望能借此引入立法机制。
《关于提升关键基础设施网络安全的决定》的行政令意在扩大联邦政府与私营企业的合作深度与广度,以加强“关键基础设施”部门的网络安全管理与风险应对能力。该行政命令通过提供法律依据、行政支持的方式从信息共享与加强安全措施两个角度提高“关键基础设施”网络安全。如扩大网络安全强化服务项目范围制定降低“关键基础设施网络安全风险”的基本框架;充分利用网络安全框架规范,评估、修订各管理机构现行的网络安全规范等。值得注意的是,该行政命令对上述措施实施过程的执行时间、执行流程以及责任主体要求明确,使得此行政命令行之有效。
2、欧洲:确保数字经济安全发展,推行“网络安全战略”
2013年2月,欧盟委员会公布了《网络安全战略》,出台这一战略的根本目的在于构建一个“公开、自由和安全”的网络空间,就如何预防和应对网络中断和袭击提出全面规划,以确保数字经济安全发展。“棱镜门”事件也使得这一战略更为实际,欧盟加速对其数据安全法律的制定。
根据该战略,欧盟在网络安全方面有五项优先工作:提升网络的抗打击能力、大幅减少网络犯罪、在欧盟共同防务的框架下制定网络防御政策和发展防御能力、发展网络安全方面的工业和技术、为欧盟制定国际网络空间政策。该战略还提出一项立法建议,要求关键机构在遭受网络袭击时要向欧盟汇报,包括重要基础设施的提供商、关键的网络企业及公共行政部门。欧盟还要求各成员国制定相应战略,成立专门机构以预防和处理网络安全风险和事故,并与欧盟委员会共享早期风险预警信息。战略明确了各利益相关方的权利和责任。从国家、欧盟和国际3个层面,明确了各利益相关方在维护网络安全过程中的角色。在国家层面,要求各成员国制定相关计划,同时促进国家机构与私营企业之间的信息共享;在欧盟层面,鼓励NIS 主管部门、执法部门和国防部门开展合作,并重点推动政府部门间的信息共享;在国际层面,强调要加强与伙伴国及欧洲理事会、欧安组织等国际组织的合作。根据安全事件性质和影响程度的不同,该战略对发生重大网络事件时的快速响应机制也做了相应界定。
9
为有效应对网络安全挑战,该战略确定了五大优先战略任务和行动路径。一是提升网络恢复能力。要求成员国在政策、体制、意识、培训方面步调一致,以共享机制促进各国合作,提高公众网络安全意识和防御技能;二是强力打击网络犯罪。在法律、体制、能力建设方面形成合力,确定制止网络犯罪的最佳实践和可行技术;三是制定网络防御政策。在欧盟网络防御政策框架制定之下,借助北约军民力量,增强欧盟网络防御能力,四是发展行业技术资源。以一个多方共同参与的平台建设,在市场、标准、方案加大投入促进创新;五是推动双边多边合作。强调与美国的双边和做,寻求与欧洲理事会、经合组织、联合国、欧洲安全组织、东盟等之间的多边合作。
3、日本:由信息安全保障防护转向网络安全威胁防御
2013年6月10日,日本国家信息安全中心(National Information Security Center ,NISC )发布了《网络安全战略》,旨在创建“领先、弹性、活力的网络空间”,实现“网络安全立国”。据日本独立行政法人情报通信研究机构相关调查数据:2013年日本遭受海外大规模网络攻击达128亿次,倍增趋势明显,尽管日本全国已经设置了21万个网络监控系统,但是依然难以抵御来自黑客的攻击。基于此背景,日本不得不改变原有信息安全保障防护的策略,着手制定出新的网络安全国家战略,旨在适应新形势变化,通过多项措施加强网络空间安全保障。
《网络安全战略》主要内容指出:首先,明确日本网络安全战略目标和基本原则。战略目标是:通过发展“领先世界”、“弹性”和“有活力”的网络空间,确保国家安全和危机管理、社会经济发展、内外部公共安全,实现一个能有效防范网络攻击、充满创新的社会。基本原则一是确保信息的自由流动;二是提供新的措施应对日益严重的网络安全风险;三是增强基于风险的响应;四是网络安全参与各方基于各方的社会责任采取行动及与他人合作。其次,明确网络安全参与各方及职责。参与各方包括国家、关键基础设施服务提供者、产业界和学术界、用户和中小企业、网络空间相关机构。国家负责网络空间外交、国防和网络犯罪打击,增强处理上述三方面事务的能力;国家将赋予国家信息安全中心更多的权力,以使其可称为网络空间的指挥者,并在2016年底前完成对该中心的重组。信息通信技术、金融、航空、铁路、电力、石油石化等10大关键基础设施部门的服务提供者负责增强各自的网络安全措施。产业界和学术界共同促进先进技术研发和信息安全人才培养。网络空间相关机构负责信息技术产品脆弱性分析、网络安全事件分析等。
日本《网络安全战略》首次采用了“网络安全”的概念,而不是以前战略中的“信息安全”,标志着日本对安全威胁认识的整体转变。其中:一是日本政府将赋予国家信息安全中心更多权力,使其在网络威胁应对中承担“指挥”角色,旨在形成网络空间的国家合力。二是日本将重新界定关键基础设施,不仅仅包括原有10类关键基础设施行业和部门,主要是针对日益变化的网络安全威胁。三是继续加强“官民协作”,实现与企业的信息共享,提高
民众网络安全意识,使得监测、发现威胁并对网络攻击防范能力的有效提高。四是基于现有
的网络空间国际法,加强与美国之间的国际合作。
10
11
第二章 中国IT 系统自主可控与信息安全发展特点
近年中国网络安全事件频发,给社会经济带来各种不安定因素,国家政府和大中企业对信息安全日益重视。中国已建立起信息安全标准化体系、信息安全产品的认证认可体系、信息安全等级保护体系,亦出台了一系列信息安全方面的法律法规。“棱镜事件”后,国家对安全保障的重视程度更是达到前所未有的高度,2013年11月12日成立了国家安全委员会。
一、网络安全事件频发给社会经济带来新挑战
2013年,各类网络攻击、信息泄密、网络谣言等网络安全事件频发,给社会和经济发展带来了前所未有的安全新挑战。.CN 域名受大规模拒绝服务攻击、BTC China 遭遇数百G 级的DDoS 攻击、成龙慈善基金会网站遭受黑客攻击篡改等各类网络攻击层出不穷;中国人寿80万页保单泄露、如家和汉庭等多家商业酒店用户信息泄露、圆通速递快件面单信息倒卖等信息泄露事件已成家常便饭;网络推手“秦火火”和“立二拆四”在“7.23”动车事故之后编造中国政府花2亿元天价赔偿外籍旅客的谣言、陕西天然气涨价谣言、延安暴雨冲毁列车轨道200多人死亡的谣言等网络舆论日益猖獗;“套餐窃贼”窃取70万用户信息、“支付鬼手”木马侵害手机支付安全、三星Galaxy S4出现高危短信欺诈漏洞、新型诈骗短信威胁移动安全、百度云盘手机版高危漏洞等新技术应用安全让人眼花缭乱。同样,挑战与机遇往往并存,化挑战为机遇是保障网络安全的关键。
二、政府和企业均重拳出击捍卫信息安全
1、成立国家安全委员会,昭示捍卫国家信息安全的意志
2013年11月12日,经由中国共产党第十八届中央委员会第三次全体会议后,决定成立中央国家安全委员会。中央国家安全委员会由中共中央总书记习近平任主席,中央政治局常委李克强、张德江任副主席,下设常务委员和委员若干名。中央国家安全委员会作为中共中央关于国家安全工作的决策和议事协调机构,向中央政治局、中央政治局常务委员会负责,统筹协调涉及国家安全的重大事项和重要工作。中央国家安全委员会的设立有利于提高国家在面临各种安全危机和挑战时的应变能力,也代表着我国在捍卫国家安全和国家利益方面的决心和意志。
中央网络安全和信息化领导小组在2014年2月27日宣告成立,当天即在北京召开了第一次会议。网信组由习近平任组长,副组长是李克强和刘云山。在中央网络安全和信息化领导小组第一次会议上,习近平提出,要制定全面的信息技术、网络技术研究发展战略,下大气力解决科研成果转化问题。网信组核心仍在于要加快中国建设网络强国的历史进程。
12
2、政府新一轮IT 采购更加重视信息安全
2014年5月16日的新一轮中央国家机关政府采购招标通知显示,本轮采购“所有计算机类产品不允许安装Windows 8操作系统”。这一新规定的背后,是政府已将信息安全上升到国家安全层面。国产的操作系统也将成为保障信息安全的重要组成部分。棱镜门之后,中国政府对信息安全的重视程度空前,对操作系统的重视,可能只是具体行动的一个开始。
3、中国企业加大自主研发,自主可控成为共识
2013年5月,中国电商巨肇——阿里巴巴开始采用成本更加低廉的软硬件产品来代替曾经使用多年的价格高昂的国外品牌,如采用MYSQL 、PC Server 等。
这一行动可以大量节约企业的信息化成本,而且有助于实现企业内部IT 系统的自主可控。——由于原先的整套系统维护费用非常昂贵,仅仅数据库系统三年的销售价格就达到千万级,而阿里旗下的用户群每年都在增长,在应用云计算的过程中,原有系统并不适合云服务横向扩展,也就是多个数据库系统同时运行,因此云服务一旦扩张,这部分维护成本将非常高。2014年5月17日,最后一台小型机在阿里巴巴支付宝下线,标志着阿里已经实现自主可控。
同时,采用自主可控软硬件产品还对维护信息安全、实现自主可控国产化替代有着非常重要的意义。2013年8月25日,中国互联网络信息中心(CNNIC)官方微博的通告称,.CN 域名遭遇了规模最大的一次攻击事件。采用自主可控软硬件产品对于实现国产化替代、打造自主可控的IT 环境有着非常重要的现实意义。
三、中国建立日益完善的信息安全体系
随着国家对信息安全的重视程度日益提高,中国信息安全工作得到快速发展,在保障国家信息安全中发挥了重要作用。当前国际信息安全形势十分复杂,保障国家信息安全的任务异常艰巨,对信息安全工作提出了新的要求。
近三年,中国在网络安全政策、产业、技术等方面取得较大进展,国家对网络安全的重视程度日益提高,网络安全投入大幅增加,政策环境得到明显改善;等级保护工作全面推进,测评认证工作取得较大进展,涉密信息系统分级保护快速发展,法律法规体系和标准化体系不断完善,网络安全基础保障工作得到显著加强;产业规模快速增长,企业实力进一步壮大,自主产品市场份额逐步增多,网络安全产业支撑能力得到大幅提升;安全操作系统、安全芯片等基础技术取得一定进展,自主密码技术取得较大突破,安全认证技术、可信计算技术取得丰硕成果,网络安全技术体系得到不断完善;政府间网络交流取得积极进展,标准化工作逐步融入国际体系,个别有实力的信息安全企业向国际市场进军,网络安全领域国际合作迈出实质性步伐。
13
1、法律法规体系建设基本健全
信息安全产业一直以来受到国家和地方的重视,并出台多项政策支持该项产业的发展。《国民经济和社会发展第十二个五年规划》提出,要健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。推进信息安全保密基础设施建设,构建信息安全保密防护体系。加强互联网管理,确保国家网络与信息安全。《信息安全产业“十二五”发展规划》指出,信息安全产业是保障国家信息安全的战略性核心产业肩负着为国家信息化基础设施和信息系统安全保障提供信息安全产品及 服务的战略任务。“十二五”时期是我国全面推进经济和社会信息化的关键时期,迫切需要加快发展信息安全产业,提供安全可控的信息安全技术、产品和服务。
14
表 2 中国涉及信息安全的政策和法律法规
数据来源:赛迪顾问 2014,06
截止目前,在信息安全法律法规体系建设方面,国家已经出台多项法律法规,涉及保密及密码管理、计算机信息系统安全防护、计算机病毒与危害性程序防治、信息内容安全、网络犯罪制裁等多个领域。
主要法律法规有:
《全国人民代表大会常务委员会关于维护互联网安全的决定》
《全国人民代表大会常务委员会关于加强网络信息保护的决定》
《中华人民共和国电子签名法》
《中华人民共和国计算机信息系统安全保护条例》
《商用密码管理条例》
《国家安全法》
《互联网信息服务管理办法》
《通信网络安全防护管理办法》
《中华人民共和国保守国家秘密法》
《中央企业商业秘密保护暂行规定》
15
《境外组织和个人在华使用密码产品管理办法》
《电子认证服务密码管理办法》
2、信息安全等级保护工作稳步推进
2010年至今中国政府逐步在完善等级保护制度及等级保护定级工作,根据系统等级和面临风险有针对性加强管理和技术防护。
表 3 中国信息安全等级保护体系
数据来源:赛迪顾问 2014,06
3、产品认证认可体系基本形成
国家信息安全产品认证管理委员会和中国信息安全认证中心成立,已经发布《关于建立国家信息安全产品认证认可体系的通知》。中国信息安全产品认证认可体系已经逐步完善。
表 4 中国信息安全产品认证认可体系
16
数据来源:赛迪顾问 2014,06
4、信息安全标准化工作成绩明显
2002年,全国信息安全标准化技术委员会成立。截至2010年10月,我国已形成87项覆盖信息安全基础、技术、管理、测评等领域一批支撑国家信息安全保障体系建设的国家标准。
这些标准和规范的制定过程中,在政府和行业主管部门的主导下,吸引了部分行业用户和主流企业参与,其中启明星辰、网御神州、东软、北信源等企业分别在不同专业领域的标准和规范的制定、顺利实施与推广起到了重要作用。这些标准和规范的实施,对于信息安全市场的发展和产品创新具有重要意义。其中等级保护管理制度和PBOC3.0更是极大推动了信息安全服务、金融IC 卡行业的发展。
表 5 中国信息安全标准/规范 GB/T 25058-2010 信息系统安全等级保护实施指南GB/T 22240-2008 应用类定级标准 信息系统安全保护等级定级指南GB/T 22239-2008 应用类建设标准 信息系统安全等级保护基本要求GB/T 20271-2006 信息系统通用安全技术要求数据来源:赛迪顾问 2014,06
2013年,借助信息安全国家标准优秀应用征集活动,工信部与国家信息中心在贵阳、兰州等地举办多次信息安全国家标准宣贯会,旨在发挥标准的规范性作用、指导促进地方政府信息安全工作,这标志着我国信息安全标准化工作进入贯彻执行阶段。会议主要内容是针对《信息安全风险评估规范》、《信息系统灾难恢复规范》、《基于互联网电子政务信息安全实施指南》、《政府安全事件分类分级指南》等国家标准进行深入解读,专家强调信息安全标准化工作需要跟上信息安全形势,要进一步提高标准质量,积极应对新的突出问题和共性问题。
17
各级政府应积极研究改进标准化工作,要加强对标准研制过程的管理,加大对重点标准的支持力度,确保标准质量。建立标准评价机制,将公众和同行的参与度作为标准评价依据。
四、领域/行业应用信息安全和自主可控发展特点
1、移动互联网安全防护与监管并重
为了解决终端的计算能力、存储能力、续航能力等问题,“强后台”+“薄客户端”的“云 +端”模式成为趋势,前后台随时同步。强大的云侧处理能力加上海量的移动终端,无数信息汇聚到后台进行综合处理、分析、预判,如是这般,中国的敏感信息和涉密信息等可能将无所遁形。因此,如何面对移动互联网时代强大的“云+端”信息获取和处理分析能力,保护国家信息安全是中国移动云服务领域的一大挑战。
端功能(存储、定位、拍摄等)日益强大,可获取敏感信息的渠道越来越多、能力越来越强。终端能力的增强带来的是获取和共享信息的便捷性,大大降低了获取敏感信息的能力门槛,提高了海量移动用户随手获取敏感信息的能力和手段,管理难度大大增加。终端应用的功能日益增强,将会导致对用户的监管难度增加。如何在保证新型终端和应用在积极有效地传达舆情民意,保持良性官民互动的同时,使得监管不至于失控,这个问题值得深思。
2、云计算应用保障趋向于自主可控
随着网络和信息技术的飞速发展,信息安全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。世界各国纷纷将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起。目前,我国信息安全技术研究仍停留在应用程序层面,即处于消极防御的阶段,核心技术严重缺乏,产业发展环境亟待完善。因此,在云计算产业迅速成长,产业发展逐步壮大的过程中,为维护国家信息安全、培育新的经济增长点,加快发展我国的云计算产业,努力构筑一个技术先进、管理高效、安全可靠、建立在自主研发基础上的国家云计算应用安全生态环境。未来,国家将加大对于自主创新技术、自主创新服务、自主知识产权的考评权重,推广应用云计算应用安全先进技术和产品。此外,鉴于云计算对国家信息化发展的重要作用,且在云计算广泛应用后云数据中心的安全将涉及到国家安全和国家竞争。因此,云计算应用企业资质管理制度也将制定,以确保在云环境搭建和云服务管理方面保证国家自主可控。
3、数据安全将成为信息安全建设重点
数据安全经过多年的发展酝酿,已经逐步得到用户认可和重视。这一方面源于信息化程度提高后,用户认识到数据才是信息网络中的核心资产;另一方面源于用户意识到传统的系
18
统安全及边界安全无法面对目前以数据信息窃取为主要目的的攻击行为。未来基于用户视角的信息安全将呈现三个维度:数据安全、系统安全、体系安全,其中数据安全主要是解决数据级权限管理和数据防泄密问题。目前一些具有创新意识的政企用户已经在规划或着手建设“数据安全体系”,作为信息安全体系中重点来进行建设。在数据安全发展初期阶段,主导者为具有自主知识产权保护需求的研发制造型企业,目前随着“棱镜门”事件影响、个人隐私意识提升以及国家相关监管政策的出台,预计金融和央企将进入数据安全建设高峰期,政府由于便民服务需求的提升紧随其后快速启动,这一理念的形成也将有利于解决云计算和移动互联网带来的系统边界模糊化后导致的安全防护难题。
4、面向云计算的应用安全成为各方热点
2013年是云计算在中国发展重要的一年,一面是“大数据大宽带推动云计算应用与创新”云计算盛会主题,同时微软Azure 云服务进入中国、IBM 与首都在线签署公有云长期战略合作协议、亚马逊公有云服务AWS 推出中国云计算平台形成的抢滩中国云服务三足鼎立之势,另一面是严峻的云计算宕机、停止Web 服务、应用安全故障等信息安全事件。云计算环境下,应用和操作均基于开放的网络,有别于传统网络,整个IT 架构面临更多威胁及更大风险。从云计算应用的服务对象来看,主要涉及公共云应用安全、私有云应用安全及混合云应用安全;从服务层次来看,主要涉及终端用户云应用安全和云端的安全,包括IaaS 安全(基础设施即服务)、PaaS 安全(平台即服务)、SaaS 安全(软件即服务)和虚拟化安全等。云计算应用安全涉及保障云计算应用的服务可用性、数据机密性和完整性、隐私权的保护、对物理安全的控制、对恶意攻击及法律法规风险的防范等诸多方面。云计算应用安全是云计算各类应用健康和可持续发展的基础和催化剂,云计算的安全问题尚待解决已经成为影响云计算普及应用的关键障碍。
5、工业控制系统信息安全引起广泛关注
“棱镜门”事件使得工业控制系统信息安全再次广泛引起关注。当大数据的获取和分析成为棱镜计划的必经之路,智能工业控制领域也无法独善其身。工业是国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。当前,工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用,给工业控制系统信息安全保障工作提出了新任务、新挑战,工业控制系统的安全问题不容忽视。
随着工业信息化进程的快速推进,信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用,极大地提高了企业的综合效益。为实现系统间的协同和信息分享,工业控制系统也逐渐打破了以往的封闭性:采用标准、通用的通信协议及硬软件系统,甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。这
19
使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中,其安全事故造成的社会影响和经济损失会更为严重。出于政治、军事、经济、信仰等诸多目的,敌对的国家、势力以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。工业控制系统脆弱的安全状况以及日益严重的攻击威胁,已经引起了国家的高度重视,甚至提升到“国家安全战略”的高度,并在政策、标准、技术、方案等方面展开了积极应对。在明确重点领域工业控制系统信息安全管理要求的同时,国家主管部门在政策和科研层面上也在积极部署工业控制系统的安全保障工作。