魏正耀 信息化網(wǎng)絡化時代與信息系統(tǒng)安全
第一個是保護系統(tǒng)環(huán)境,既保護局域網(wǎng)的客戶機、服務器、數(shù)據(jù)庫、應用程序和數(shù)據(jù)的安全,環(huán)境安全應該包含什么內容呢?應該包括計算終端、包括服務器,包括路由器、數(shù)據(jù)庫、軟硬件設施,為了計算環(huán)境的安全,這個概念我們國內沒有,我特別要講講,美軍設計了TPM平臺,2007年美國國防部首席執(zhí)行官提出了一個要求,國防部新計算機要包括可信平臺模塊,據(jù)IT行業(yè)統(tǒng)計,已經(jīng)出了5000塊可信模塊,這個可信平臺模塊是什么概念呢?實際上把計算機技術和通信技術、和密碼技術軟硬件相融合的一個設施,我國院士已經(jīng)研發(fā)了我國自主知識產(chǎn)權的可信計算平臺,具有對病毒和木馬的免疫能力,我們應該大力推廣使用,計算安全環(huán)境,包括計算機和路由器上,都要安這個可信模塊,這個推廣還有一定的難度,把身份認證和加密技術都用了,從根上解決問題。
第二個要保護飛地邊界安全,就是保護局域網(wǎng)和廣域網(wǎng)的連接邊界,美國大力發(fā)展高保障IP加密機,并建立互聯(lián)協(xié)議規(guī)范。
第三個是保護網(wǎng)絡和基礎設施,即保護骨干傳輸設備和數(shù)據(jù)傳輸?shù)陌踩?,美國的交換設備用的是ITM的設備,是IP包交換和線路交換結合的模式,專門為這種設備設計了一個密碼機,這種密碼機可以給4096個連接,以不同的密鑰進行加密,使得它的骨干傳輸實施得到了保護。
第四保護支撐性設施安全,就是保護密鑰管理中心和網(wǎng)絡安全管理中心的安全。
這四個關鍵點都要用密碼技術來支撐,達到層層防護的目的,美軍信息發(fā)展戰(zhàn)略和采取的措施值得我們學習和借鑒,我們學的他這些措施,特別是第一條對防止病毒感染是比較有效的。我們陜西國家信息安全產(chǎn)業(yè)園能不能跟院士探討一下這個問題,至少在我們重要的網(wǎng)絡里面,能夠推廣這個,一個是軍隊的網(wǎng)絡,還有一個是政府核心部門的內網(wǎng),看能不能廣泛的推廣使用。
下面提幾點具體意見,新形勢下影響信息安全的因素多種多樣,既有來自外部的威脅,也有源自內部的隱患,我國信息安全保障工作起步晚、底子薄,總體水平落后,不適應信息化發(fā)展的需要。與美國等發(fā)達國家相比,我國信息技術相對落后,我國信息基礎設施建設不僅落后于發(fā)達國家,而且在用的操作系統(tǒng)、大規(guī)模集成電路芯片和高速路由器等高端產(chǎn)品主要依賴于進口,關鍵技術都掌握在他人手中。
我知道我們某銀行應用了IBM的信息系統(tǒng),覺得外國人的東西穩(wěn)定可靠,有一次發(fā)生了故障,請求IBM進行維修,一周以后還沒有人來,打電話催,人家說已經(jīng)修好了,人家都可以遠程給你維修機器,你的金融信息不是人家都可以掌握嗎?這是一種“芯病”,由于我們IT行業(yè)發(fā)展滯后,在美國的后面,你很難占領市場,我們這個產(chǎn)業(yè)基地建立起來以后,必須通過市場化的運作才可以占領市場,才可以讓我們具有自主知識產(chǎn)權的產(chǎn)品。
我想陜西國家信息安全產(chǎn)業(yè)園的建立,怎么打開局面呢?去占領我們國家IT行業(yè)的各領域呢?這是一個問題。
最近一個會議我了解到一個情況,銀行智能卡要用國外的,院士去做工作還解決不了問題,最后院士在會議上,在電子學會的會上,準備上書胡主席解決問題,一個銀行卡的問題非要用國外的,為什么呢?這些不是都掌握在人家手里嗎?那么難,還要工程院院士聯(lián)合簽名上書胡主席解決問題,將來基地成立了以后,怎么樣占領IT行業(yè)的市場,是我們具有自主知識產(chǎn)權的IT行業(yè),能夠廣泛應用,這是很大的問題。
我還了解了一個信息,英特爾公司一個搞信息技術的一個人員,他講英特爾的高層人員,要審查五代,要是五代美國公民,比我們的階級成分審查還嚴格,就是上層的世界不讓外面的人進入,我知道英特爾芯片里有一個安全管理模塊,可以啟動你的操作系統(tǒng),是有后門的,而且我知道英特爾的產(chǎn)品,在出口前要經(jīng)過NSI的檢查,檢查可能是幾個月,里面安的是什么東西可能你都不知道。
要改變這種落后的局面,必須加強自主創(chuàng)新,安全數(shù)據(jù)庫、路由器等關鍵產(chǎn)品,從源頭上杜絕技術隱患,確保重要網(wǎng)絡和核心技術安全。
第二點加強信息安全機制建設,我國信息安全子系統(tǒng)建設與信息基礎設施建設相比較,相對滯后。
第三點采取技術措施,實現(xiàn)“三專”,就是專網(wǎng)、專機和專用的存儲介質,,將專網(wǎng)、專機和專業(yè)的存儲介質捆綁在一起。
第四個,美國已經(jīng)有軍隊人員使用CAC卡,政府部門使用PRV卡,口令認證是不安全的,我們能不能建立這個基礎設施,實行智能卡的認證。
第五、加密算法硬件化是防止網(wǎng)絡竊取密碼資源的有效措施,密碼算法硬件化可采取專用芯片技術技術。
第六,涉密設備包括涉密計算機、涉密存儲介質,涉密路由器和服務器等,要對設備的分發(fā)使用、管理和銷毀進行全過程、全壽命的保密監(jiān)督管理。
第七要加強網(wǎng)絡管理,建立實名網(wǎng)絡的管理系統(tǒng),這里還有一個防止內部泄密的問題,這方面我們國家也出了很多事件,這個我就不開展說了。
另外安全的理論、安全的方案、安全的算法并不以為這使用上的絕對安全可靠,任何有意無意的疏漏都可能帶來知名的安全隱患,人是非常關鍵的,美軍對信息系統(tǒng)密碼投入使用之前,要進行嚴格的審查,這方面要建立制度,就是現(xiàn)在的編密和破密沒有很好的合作,這方面要加強,監(jiān)測要加強。
加強安全意識的教育,杜絕安全違規(guī)事件的發(fā)生,這方面國家保密局遇到了很多問題,現(xiàn)在處理也非常嚴格,但是,我們安全意識、國民的安全意識距離信息化保密要求距離很大,人的問題要解決。今天我的演講就到這里,謝謝大家!

責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡