维护信息安全刻不容缓 [复制链接]

第4版(电脑·网络·通信)
专栏：IT论坛

　　维护信息安全刻不容缓
　　中国工程院院士何德全
　　面向21世纪，信息安全已成为世界性的现实问题，国家安全、民族兴衰和战争胜负，是国家和民族的头等大事，信息安全与它们息息相关。没有信息安全，就没有完全意义上的国家安全，也没有真正的政治安全、军事安全和经济安全。面对日益明显的经济、信息全球化趋势，我们既要看到它带给我们的发展机遇，也要正视它提给我们的严峻挑战。美国作为全球化浪潮的主导者，正在利用信息霸权谋求主宰世界，正在鼓吹和准备信息威慑及战略信息战。因此，要把我国的信息安全问题放在全球战略考虑，也就是放在政治角度来考虑。
　　长期以来，人们把信息安全理解为对信息的机密性、完整性和可获性的保护，这固然是对的，但这个观念是在20多年前主机时代形成的。80年代进入了微机和局域网时代，计算机已从专用机房内解放到分散的办公桌面乃至家庭，由于它的用户／网络结构比较简单，所以既要依靠技术保护措施，还要制定人人必须遵守的规定。因此，这个时代的信息安全是面向网管、面向规约的。90年代进入了互联网时代，每个用户都可以连接、使用乃至控制散布在世界上各个角落的上网计算机，因此Internet的信息安全内容更多，更为强调面向连接、面向用户（“人”）。人、网、环境相结合，形成了一个复杂的巨系统。通过网上的协同和交流，人的智能和计算机快速运行的能力汇集和融合起来，创造了新的社会生产力，丰富着电子商务、网上购物等大量应用；满足着人们的交往、学习、医疗、消费、娱乐、安全感、安全环境等各种社会需要。
　　可以这样说，面向数据的安全概念是前述的保密性、完整性和可获性，而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务，而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制（措施）加以解决。其中密码技术和管理是信息安全的核心，安全标准和系统评估是信息安全的基础。总之，从历史的人网大系统的概念出发，现代的信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。
　　信息安全技术是具有对抗性的敏感技术，面对日益迫切的需要，唯一的出路就是自主创新。在未来5至10年内，可从三个方面开展技术攻关：
　　一是大力开发能逐步改变现有信息安全不足状况的、带有共性和普遍性的关键技术。如防火墙技术、鉴别技术、商用加密技术、病毒防御技术、入侵检测技术和安全管理技术等。这些技术既要能有计划地逐步改进我国信息基础设施的安全保障能力，又能较好地适应未来的安全威胁和环境。
　　二是着眼创新性强、具有重大杠杆作用的突破性技术，并将这些技术有效地应用到提高我国的信息安全管理能力之中，即在863、S—863、国家科技攻关等计划的先期成果的基础上，集中有限资源，集中投入，实现突破后，能带动一批产业，转换成国家信息安全管理的工作手段。网络侦控技术、内容监测技术、风险管理技术、测试评估技术和TEMPEST技术等就属此类。
　　三是努力探求能形成“杀手锏”的战略性技术，以争取在信息安全上具备威慑优势和技术王牌。我国的“两弹一星”就是这种技术王牌的例子。拥有并不断探索这种战略性技术应成为国家的长期策略，国家应集中资源，组织攻关。操作系统、密码专用芯片和安全处理器等应该属于此类。现有的操作系统和信息处理芯片等组件是由西方几家大公司主导的，从战略上看，必须开发我国自己的操作系统，目前的自由软件趋势是个良机。从现实来讲，将各组件作为黑箱，用控制论的方法达到对各组件的动态安全控制是一个可行的途径。