等级保护 可信计算是焦点

　　第20次全国计算机安全学术会议召开

　　我国的基础电信网的网络规模和用户数量居全球首位，互联网用户超过1亿人，而随着国家信息化建设的发展，我国面临的各种信息安全威胁也日益突出。如何从国家的战略高度看待信息安全，如何从国家的全局角度思考信息安全的部署与长远发展不仅是安全业界的主流企业所期待的发展方向，也是信息安全领域的科研专家所关注的话题。在近期西宁举行的第20次全国计算机安全学术会议上，来自政府部门、研究单位、军队行业、信息安全企业的代表近200人以“深化国家信息安全保障体系建设”为主题对目前我国信息安全建设的发展方向和主流技术进行了探讨。

　　据中国计算机学会计算机安全专业委员会主任顾建国介绍，目前，计算机病毒、蠕虫、木马等网上传播情况非常突出，去年就发现病毒2万余种，计算机用户病毒感染率高达87%。今年以来，利用僵尸网络(BotNet)攻击、网络钓鱼式诈骗活动的新型安全威胁不断增加，传统犯罪正向信息网络发展渗透。面对当前的信息安全形式，从战略角度看，国家建立和深化国家信息安全保障体系是关键问题，而需要适应我国信息化发展的需求，不断探索和创新适合我国的等级保护和可信计算无疑成为本次会议中深化信息安全保障体系的焦点。国务院信息化工作办公室网络与信息安全组副组长吕诚昭指出，国家信息安全保障战略目标是全面提高信息安全防护能力，今年是实现信息安全保障工作3年目标的关键一年，要完成国家信息安全保障战略目标，就必须立足国情，坚持以我为主。开发自主知识产权和自主可控的先进技术，要发动全社会的力量，共同构筑国家信息安全保障体系。

　　目前，国家信息安全保障工作正在全面推进，信息安全保障体系基础建设全面展开，各项重要措施进一步深化。去年，公安部、国家保密局、国家密码管理办公室和国务院信息办就联合下发了关于信息安全等级保护工作的实施意见，以密码技术为基础的信息保护和网络信任体系建设、信息安全通报和应急处理机制几社、重要信息系统灾难备份等工作都在推进和深化过程中。公安部信息安全等级保护评估中心朱建平表示，与系统等级相关的国外资料中仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求，确定系统等级也与业务无关，不满足等级保护的监管需要，定级范围往往只在局部范围内。我国的等级保护就要从全局性出发，信息系统安全保护等级的划分也必须从国家层面考虑，业务上为核心原则，信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。此外还要满足监管要求原则，信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。同时，保证合理性原则才能做到突出重点，适度保护。

　　在可信计算方面，全国信息安全技术标准化委员会在今年初已经成立了我国可信计算工作小组，沈昌祥院士强调，我国可信计算工作小组的成立是我国信息安全领域中的一件政治上的大事。可信计算首先建立一个信任根，从硬件平台、操作系统、应用到一级认证一级，一级信任一级，从而把这种信任扩展到整个计算机系统。这需要从进入可信计算环境开始，直到退出，提供一个完整的解决方案，它应当是以标准的形式，提供一个可伸缩的、模块化的体系架构。中国科学院软件所安全专家卿斯汉表示，可信计算将成为全球计算机安全技术发展趋势，也将拉大与中国厂商之间的差距。值得关注的是，中科院操作系统、联想、兆日、瑞达芯片的出台以及一些企业联盟形式都为我国可信计算的发展做出了贡献。其中，今年中国科学院软件研究所研制的“结构化保护级安全操作系统”被鉴定为技术先进，拥有自主版权的安全内核，突破了国外在高安全等级操作系统上的技术封锁，达到了国内领先、国际先进水平，首创的隐蔽通道“回溯搜索方法”、三个新型的形式化安全策略模型、安全体系结构等关键技术达到了国际领先水平。据悉，我国可信计算发展的近期目标是，继续建立我国可信计算领域不同的工作组，提出我国可信计算标准立项建议，并定期与国际可信计算组织交流。