产学研用管,同心合力保安全

标签:网络安全信息安全信息化首届国家网络安全宣传周

访客:33395  发表于:2014-11-19 18:46:49

引言

总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。” 并指出“网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。”

产业发达才能提供能力

“产”是信息产业,信息安全产业。他是生成规范化、规模化信息安全保障技术产品能力的实力集团。信息安全产业产生产品和服务,他们都是信息安全保障不可或缺的基础能力。原始创新的信息安全技术,在产业的集成下,转化为具有使用价值的产品和服务。奠定安全保障的基石。拥有发达领先的信息安全产业才能拥有先进坚实的信息安全保障。

学以致用,人才为本

NSA的领导曾经对信息安全人才培养的失误做了深刻的反思,认为他们在信息安全方面损失了两个十年。理由是,如果从上世纪八十年代,小莫里斯蠕虫事件和福瑞德.科恩提出计算机病毒概念及其可能产生的危害时起,就重视信息安全人才的培养,到上世纪末,这些人已经成为心中拥有信息安全这根“弦”的政府部门和企业身居高位的主管了,可惜这没有成为现实。自那以后,NSA发起了信息安全优秀人才培养院校的计划。他们选择在信息安全研究方面有积累,有特色的高等院校给予支持,选学这个学科的研究生给予资助,吸引他们参加NSA的相关课题任务,择其优者录用到NSA的队伍中。支持的院校从最初的7所,逐步发展到70余所。其后,美国又制定了信息安全人才培养的国家战略,细粒度的分析了保障信息安全需要的岗位和专业知识需求,以更大的力度推动着信息安全专业人才的培养。

研发奠定基础,创新攀登高峰

DES标准加密算法提升到AES分组密码算法,又以同样方式遴选出SHA-3杂凑函数。这些算法和RSA、ECC数字签名算法一起成为他们确立的社会应用的配套密码。近年来我国逐步认识到商用密码势在必行,相继研发出SM系列算法。我国学者自主设计的用于加密和完整性检验的,包括祖冲之算法、加密算法128-EEA3和完整性算法128-EIA3的祖冲之算法集(ZUC算法),也经国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的侯选算法。我国的商用密码工作从无到有,逐步走上科学、开放、规范的道路。但密码的保密和安全保障能力受到计算能力、破译能力快速提高的威胁,必须与时俱进,不断深化研究。同时,由于密码的敏感性,必须自主可控的推动研究开发和应用。

CIP)和作为关键基础设施核心的关键信息基础设施的保护(CIIP)受到高度重视。克林顿任总统的时期就将此作为重点任务。“9.11”后,小布什2003年制定的《保护网络空间的国家战略》中,提出了防止对美国关键基础设施的网络攻击;减少国家对网络攻击的脆弱性;在出现网络攻击时,尽量减少损失并缩短恢复时间等三项信息安全保障的战略目标。在这些战略目标的推动下,分析关键基础设施间的互影响,互依赖;评估检测国家的重要基础设施在恐怖袭击中的脆弱性,并为之排定优先级;保护关键基础设施和重要资产免受恐怖威胁利用脆弱性的缓解的管理战略和技术手段成为研究的重点。工业控制系统(DCS,SCADA)的安全保障成为研究的重点对象,风险管理(风险分析,风险评估,风险处置,事件处理,灾备恢复)成为信息安全保障的核心指导思想。相关需求的理论和技术手段成为研究的热点。

2005年2月,总统的信息技术顾问委员会(PITAC)关于赛博安全R&D 的报告《赛博安全:一个优先级的危机》中提出,无穷无尽的打补丁并不是保障信息安全的好办法,需要新的基础性的安全模型和方法来提升安全保障水平。提出了认证技术,安全基础协议,安全软件工程和软件保证,系统整体安全,网络监控与监测,减少损失和进行恢复的方法,捕获犯罪分子和阻止犯罪行为的网络法庭,新技术开发所需的模型和测试平台,评价标准、测试方法和实施方案,损害网络安全的非技术因素等十个领域为网络空间安全研究的优先领域。 为了回应PITAC报告,美国国家科学技术委员会与总统行政办公室公布了一份由网际安全与信息保障基础设施小组委员会、网络和信息技术研究与开发小组委员会联合工作组提交的《赛博安全与信息保障研究开发的联邦计划》。报告分析了网际安全功能、安全基础设施、特别领域的安全、网际安全描述和评估、网际安全的基础、网际安全和信息保障的研究开发的支撑性技术、网际安全的先进的下一代的系统和体系结构、网际安全的社会因素等八类技术领域,49项技术主题的定义、重要性、技术现状和能力差距。确定了技术重点14项,投资重点13项。认证、授权和可信管理,访问控制和权限管理,攻击保护、预防和先发制人,无线安全,软件测试和评估工具等五项成为技术和投资的双重点。

NSPD-54)的基础上把美国的信息安全保障提升到攻防兼备的高度,并确立了先发制人的策略。他通过PPD-21《总统政策指令-关键基础设施的安全性和灵活性》和行政命令13636《改进关键基础设施的网际安全》推动了NIST网际安全框架标准的研究制定;又通过PPD-20《美国网络作战政策》,PPD-28《信号情报活动》明晰了网络战的定义授权和情报活动的原则立场和策略。围绕着攻防必将产生诸如网络工具武器、ATP的攻防和信息情报手段的攻防,我们对此必须高度警惕与关注。

演练对抗,必将影响系统的实际应用。因此模拟、仿真、分析系统构成的实验床是一种演练对抗的好环境。美国把实验床作为信息安全保障的能力建设。我们也应建立其这种实验环境,为人才成长提供条件,为攻防兼备的研究开发提供靶场。

XX等新技术,新应用为我们的信息安全保障提出了新问题,其安全理论和保障技术正在成为新热点。

用为先,需求牵全局,有效才落地

“9.11”之后,美国在制定其国家信息安全战略的过程中,为了提炼需求,明确要求,就提出来涉及家庭用户和小型商业机构、大型机构、国家信息基础设施部门、国家机构和政策、全球的53个问题,在研究半年之后,制定了其保护网络空间的国家战略(草案)并在此基础上修订,于2003年2月颁布了至今依然执行的保护网络空间的国家战略。在美国制定网络空间国家战略的过程中,要求作为国家关键基础设施的行业及其主管部门一一制定自己的信息安全战略,其后公共部门、银行与金融部门、信息与通信部门、高教部门、化工部门、电力部门、保险部门、供水部门、铁路部门、石油部门等,纷纷回应了要求,制定并颁布了自己的信息安全保障的战略。这些都是从克林顿到小布什担任总统的时期,美国在推动信息安全保障工作进行的基础性工作。

管托底,战略产生推动力

2002年9月18日《保护网络空间的国家战略(草案)》中,针对家庭用户和小型商业机构;大型机构;国家信息基础设施部门(联邦政府、私营部门、州和地方政府、高等教育);国家机构和政策;全球等五个级别作为保护对象,展开其信息安全保障战略部门和任务的设计。并以网络空间安全所依赖的关键基石的保护共享系统的安全;培育一个强有力的经济和社会框架;制定国家计划和政策作为三大战略目的。为奠定这些基石所需的工作的保护Internet机制;监督控制和数据采集(SCADA)系统;研究;高度安全和可信的计算;保护新兴系统的安全;脆弱性矫正;意识培养;培训和教育;认证;信息共享;网络空间犯罪;市场推动力;隐私分析和预警;运营连续性;重建和恢复;国家安全;互依赖性和物理安全等十七个方面作为基础性战略任务。他们对这些基础战略任务一一提出更细粒度的战略目标和举措。继而,他们在2003年2月颁布的《保护网络空间的国家战略》中将战略表述修改为首先清晰地描述国家必须优先考虑的五项重要事务:国家网络空间安全响应系统;国家网络空间威胁和脆弱性消减计划;国家网络空间安全意识和培训计划;保护政府部门的网络空间安全;国家安全和国际网络空间安全合作。然后,将五项优先事务映射在草案叙述的五个级一一落位。

9月9日,俄罗斯颁发了体现其战略思想的《俄罗斯联邦的信息安全学说》。该学说明确了在信息和信息保障领域的俄罗斯联邦的国家利益。在分析俄罗斯联邦信息安全的威胁种类和威胁的来源以及信息安全的状况的基础上,提出了维护安全的基本任务,保障方法,首要措施。并确定了俄罗斯联邦信息安全保障体系的组织基础。该学说以准备关于完善俄罗斯联邦信息安全的法律,方法论,科学技术和组织保障的建议;制定有针对性的方案,以确保信息的俄罗斯联邦安全作为制定俄罗斯联邦信息安全保障领域的国家政策的基础。

4个基本部分组成。第一,获得和使用信息领域遵守个人与公民的宪法权利和自由,保障俄罗斯的精神复兴,维护和加强社会的道德价值观,爱国主义和人道主义传统,国家的文化和科学潜力;第二,俄罗斯联邦国家政策的信息保障,该信息保障必须保证向俄罗斯及国际公众知会关于俄罗斯联邦国家政策的确实信息,俄罗斯联邦对具有重要意义的俄罗斯和国际生活事件的官方立场,保障公民访问开放状态的信息资源;第三,现代信息技术的发展,国有信息产业的发展,包括信息化手段工业,电视通信,保障国内市场的产品需求和产品进入国际市场,以及保障积蓄,储存和有效利用国家信息资源。只有在此基础上,在现代条件下,我们可以解决创造高端技术的问题,产业技术升级的问题,增强国内科学和技术成果产出。俄罗斯应该跻身微电子技术和计算机行业的世界领先国家之列;第四,对未经授权的访问信息资源的保护,确保信息和电信系统的安全。同心合力才能得胜利

文章来自:全国信息安全标准化委员会委员 赵战生




评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");