| |
快速发展的互联网在给人们带来便利的同时,其日益凸显的信息安全问题也对经济社会发展、人民的正常生活乃至国家的安全体系构成了威胁.在众多不同层次的信 息安全漏洞中,我国信息系统安全风险较为突出.业界专家和全国人大代表建议:尽快确立我国信息系统安全标准,加强我国在信息系统安全领域自主创新的能力, 建立信息系统安全标准体系,完善政府采购相关措施,并强制推广使用自主知识产权安全技术产品,以实现我国信息系统装备安全、可信、可控.
三大因素影响我服务器系统安全
在整体信息安全保障体系中,安全产品按照不同应用情况和网络结构,一般分为系统层、网络层和应用层.目前我国防火墙、防病毒、入侵检测等网络层和应用层的安全技术和解决方案日趋成熟,但由于多种原因,我国在系统层安全特别是服务器安全防范方面还比较薄弱.
据中科院信息安全技术工程研究中心主任卿斯汉介绍,目前,影响我国服务器系统安全的主要原因有三:其一,目前国内大多数的服务器操作系统是由国外公司提供的,系统内核逻辑编程都掌握在他人之手,国内用户缺乏对底层技术的了解,软件中 是否存在有“后门”无从了解,这给国家安全埋下了相当严重的隐患;其二,美国在高级别或操作系统安全技术上对我国实行封锁,美国商务部出口管理局制定的 《出口控制条例》禁止相关系统产品出口;其三,我国在服务器操作系统研发上还相对滞后.也因为如此,我国在服务器安全防范上必须加强自主研发和产业化运 营.
服务器研发有进展产业化仍需加强
2007年12月,由浪潮集团主导完成的中国第一个服务器安全国家标准--信息安全国家标准体系正式实施,其自主研发的国内首款作用于系统层的 信息安全软件产品——服务器操作系统安全加固系统也通过了信息产业部主持的成果鉴定.由中科院院士沈昌祥担任鉴定委员会主任的专家组认为,浪潮服务器操作 系统安全加固系统能够有效提高商用服务器操作系统的安全保护能力,并具有良好的自我保护功能,填补了我国在使用多种主流服务器商用操作系统同时安全加固的 空白.
尽管如此,与发达国家相比我国在信息系统安全领域还存在一定的差距;而且在这一领域“攻防”技术的对弈也在不断变化.从加强国家信息安全的战略角度来看,我国在这一领域的持续创新能力和层次亟须强化提升.
卿斯汉等专家认为,目前我国在信息系统安全领域的许多理论研究,如密码算法等方面已经走在世界前列,但在成果的产业化方面却与发达国家存在较大的差距--突出的一点是企业与科研机构的脱节.今后一段时间里,我国需要大力推动这一领域的产学研融合发展.
建立信息系统安全标准体系完善政府采购相关措施
全国人大代表、信息系统安全专家孙丕恕建议,第一,信息系统安全标准是构建国家信息安全保护体系必须具备的技术、管理规范,国家要尽快建立自主 完善的标准体系,同时要加强标准的普及使用.特别是要在主机等主要设备的操作系统和数据库安全技术、安全服务器技术和产品研发等方面实现迅速突破,为国家 基础信息系统及重要信息系统提供第二级以上信息安全等级保护产品.
第二,利用政府采购政策促进技术创新、产品创新和产业结构升级 是发达国家的普遍做法,特别是在涉及信息系统安全的核心技术产品方面更为突出.发达国家还普遍禁止在重要行业、部门、单位采购使用国外产品,2007年5 月发生的美国国务院限制使用联想PC事件,充分反应了美国在涉及信息安全方面对于自主品牌的倾斜.
当前我国许多重要信息系统建设中仍然继续大量采购外国品牌的关键信息设备和安全产品.在2007年政府信息化建设采购中,国外品牌占据了我国中 低端服务器系统47.9%的份额,金融、电信等重要行业使用中高端国外品牌服务器系统高达80%以上;政府部门采购外国品牌安全产品的比重也很高.
建议尽快制定出台信息安全等级产品采购和安全服务机构目录及相应的管理办法,从法律、政策、管理、技术标准以及监管等层面,在把住市场准入关的 同时,把住重要信息系统和网络安全的入口关,实施重要信息系统的关键设备、安全产品、安全服务准入管控措施,明确在国家基础信息系统、重要信息系统的关键 设备、信息安全产品必须使用自主知识产权的国产化产品. |
|
