卿斯?jié)h

總結(jié)過去，著眼未來，加強我國網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)

卿斯?jié)h

卿斯?jié)h

中科院信息工程研究所信息安全國家重點實驗室首席研究員,中科院軟件研究所首席研究員，中科院“十二五”信息安全工程監(jiān)理組組長，中科院創(chuàng)新工程項目首席科學(xué)家，國家保密局技術(shù)顧問，中共中央辦公廳保密技術(shù)攻防重點實驗室學(xué)術(shù)委員會委員，中國電子學(xué)會理事，中國信息協(xié)會信息安全專委會常務(wù)副主任，中國計算機學(xué)會計算機安全委員會常委，中國計算機學(xué)會信息保密專委會常委，全國信息安全標準化技術(shù)委員會委員，可信計算工作組組長；博士生導(dǎo)師，享受政府特殊津貼。

多年來，他獲國家科技進步獎2次，中科院科技進步獎3次，排名均為第一；中共中央辦公廳科學(xué)技術(shù)獎1次，排名第二。

信息和網(wǎng)絡(luò)安全是國家安全的一個重要組成部分，同時也與個人隱私安全息息相關(guān)。近年來，特別是斯諾登事件之后，各國都加強了網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè)和全民信息安全意識教育。我國作為一個負責任的大國，一定要堅持不懈地加強信息與網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)，一方面更好地保護我國的國家與公民安全，另一方面與其他國家積極合作，建立因特網(wǎng)的安全新秩序，對打擊國際恐怖活動與網(wǎng)絡(luò)犯罪有章可循、有法可依。

為此，我們必須認真總結(jié)經(jīng)驗教訓(xùn)。同時，在此基礎(chǔ)上著眼未來，加強頂層設(shè)計，制定我國網(wǎng)絡(luò)安全建設(shè)的路線圖，使我國網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)與強國和強軍的步伐一致。斯諾登事件雖然已經(jīng)逐漸平息，但它對世界的長久影響不容低估。這一事件好比一劑催化劑，促使世界各國的決策者和廣大因特網(wǎng)用戶更加重視國家信息安全與個人隱私保護的問題；重新思考網(wǎng)絡(luò)空間的安全問題、因特網(wǎng)的管理問題，以及跨國應(yīng)用的數(shù)據(jù)安全等問題。斯諾登事件的后續(xù)效應(yīng)涉及外交、軍事、經(jīng)濟、情報等諸多領(lǐng)域，對各國今后政策的制定和應(yīng)對措施的決策將會產(chǎn)生久遠的影響。

為加強我國網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)，我們需要做的工作很多，需要迎頭趕上、趕超世界先進水平的領(lǐng)域還有很多。限于篇幅，在此挑選幾個重點進行闡述。

一、加強基礎(chǔ)研究與建設(shè)

近年來，我國在網(wǎng)絡(luò)安全的基礎(chǔ)研究與建設(shè)方面取得了重大進展，但整體上說與世界先進水平還有較大的差距。我們的短板表現(xiàn)在因特網(wǎng)的根域名服務(wù)器都在國外以及基礎(chǔ)軟件與硬件受制于人、原始創(chuàng)新稀缺等。這是我們急需解決的問題，要下決心做長期不懈的努力，以“兩彈一星”的精神和方式下大力氣加以解決。

二、加強云安全的研究與建設(shè)

近年來，云計算的發(fā)展十分迅速，采用云計算可以靈活配置和最大限度地利用資源、節(jié)省成本、方便用戶。美國制訂了“云優(yōu)先”的國家戰(zhàn)略，要求在2015年前將現(xiàn)有的1100個聯(lián)邦數(shù)據(jù)中心減至800個。美國政府出臺了FedRAMP （Federal Risk and Authorization Management Program聯(lián)邦風(fēng)險與授權(quán)管理計劃），其目標是提供標準化的方法對云計算進行安全評估、授權(quán)和連續(xù)監(jiān)控。2011年12月8日，F(xiàn)edRAMP正式生效，并在美國政府部門內(nèi)強制執(zhí)行。2012年7月12日，美國國防部也推出了“云計算戰(zhàn)略”，其目標是：用最創(chuàng)新、最有效和最安全的方法實現(xiàn)云計算，進行信息和IT服務(wù)，在任何地方、任何時間和任何授權(quán)的設(shè)備上完成國防部的各種任務(wù)。

云計算是否可以迅速被廣大用戶接受的關(guān)鍵問題是云安全能否得到保證，因此各國都十分重視云安全。在云安全的標準化方面，2012年2月，JTC SC38與ITU-T SG13成立了聯(lián)合團隊。目前，《云計算參考架構(gòu)》（ISO/IEC 17789）已經(jīng)形成FCD稿，這是云計算標準化工作的方向標。該標準的目標是：① 從概念層面說明各類云服務(wù)；② 為理解、分類和比較各類云服務(wù)提供技術(shù)參考；③ 分析安全、互操作、可移植等領(lǐng)域的標準需求。美國的國家標準化研究院NIST在云安全的標準研究與制定方面做了大量的工作，為美國的云計算發(fā)展奠定了扎實的基礎(chǔ)。相對而言，我國的云安全標準化工作還相對滯后。目前，我國已經(jīng)有兩個云安全國家標準即將公布，即《信息安全技術(shù)政府部門云計算服務(wù)安全指南》和《信息安全技術(shù) 云計算服務(wù)安全能力要求》。

我們建議加大我國云安全標準的研究和制定力度，包括以下幾個方面的內(nèi)容：制定云安全標準路線圖；加強頂層設(shè)計；加強與云計算標準組的協(xié)調(diào)；以及加強政府主導(dǎo)下研究機構(gòu)和企業(yè)的合作。

三、加強可信計算的研究與建設(shè)

近年來，TCG的可信計算技術(shù)受到了廣泛關(guān)注，我國也推出了使用自主密碼算法的TCM芯片。作為一種需要各個層次軟硬件相互配合推動的技術(shù)，我國的可信計算技術(shù)急需標準化對各參與方的行為進行規(guī)范和協(xié)調(diào)。

圖1是我們提出的可信計算標準路線圖建議。路線圖分為幾個部分：在路線圖的中間，是由可信硬件、可信平臺、支撐軟件、服務(wù)軟件、可信平臺服務(wù)接口5個層次組成的可信計算規(guī)范核心部分；下面是用于可信計算軟硬件產(chǎn)品的基礎(chǔ)技術(shù)規(guī)范；左邊是參照CC標準制定的可信計算各軟硬件產(chǎn)品類的保護輪廓規(guī)范；右面是可信計算與其他應(yīng)用基礎(chǔ)設(shè)施的接口規(guī)范。

四、加強政務(wù)終端的統(tǒng)一安全配置

終端配置與信息安全息息相關(guān)，我們應(yīng)當借鑒美國政府的經(jīng)驗（聯(lián)邦桌面核心配置FDCC等），盡快制定符合我國政府終端安全目標和安全需求的政務(wù)終端安全配置標準，并支持標準配套實施工具的開發(fā)，以實現(xiàn)對全國政務(wù)終端的統(tǒng)一化和標準化的安全配置管理。具體建議如下：

（一）制定安全配置標準指南

根據(jù)我國政府對終端安全的政策要求和實際需求，制定中國政務(wù)終端安全配置標準。重點從權(quán)限、密碼、端口、服務(wù)等方面給出安全策略配置指南，加強對操作系統(tǒng)及應(yīng)用軟件的安全管理，并提供詳細的安全配置策略目錄。

（二）研發(fā)標準配套工具

配套工具包括：安全配置策略自動部署工具、驗證測試工具以及標準符合性測試工具。

（三）標準的驗證、試點、部署與實施

在標準發(fā)布前要進行充分的測試和驗證，包括有效性測試、一致性測試和試點應(yīng)用驗證。制定并實施部署計劃和應(yīng)用推廣計劃。利用配套工具，進行全國政務(wù)終端的安全配置策略統(tǒng)一部署（允許例外），并進行監(jiān)測和符合性測試評估。

在加強我國網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的過程中，我們要承認差距，充分借鑒國外的先進經(jīng)驗，為我所用。吸取國外的教訓(xùn)，不走彎路。以我為主，不斷創(chuàng)新，開創(chuàng)我國網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)產(chǎn)學(xué)研的新局面。