【正文】 里，是銀行信息化和安全建設的主要任務之一。由于目前銀行信息化安全的觀念依然是建立在“數(shù)據與系統(tǒng)（軟硬件、網絡等）安全自主保障”之上，整個信息化安全理念依然是在上世紀90年代中期發(fā)展起來的局域網安全觀念。 銀行信息化安全建設情況銀行系統(tǒng)包括人民銀行、銀監(jiān)會以及下屬各部門和各國有商業(yè)銀行、股份制銀行、政策銀行以及銀聯(lián)等銀行機構的信息系統(tǒng)，其安全狀況直接關系到國家的經濟形勢和國計民生。對于進口設備的服務和檢測缺少注意，能夠提供信息化安全服務的人力資源缺乏。廣電企業(yè)業(yè)務運營信息化安全情況這里談到的廣電的企業(yè)是指中央與地方的廣播與電視臺站和相應的企業(yè)，廣電企業(yè)的業(yè)務信息化的程度越來越高，這些業(yè)務系統(tǒng)與電信公共網絡相連接，已經構成了與社會廣泛聯(lián)系的業(yè)務服務網絡，存在著信息化安全威脅。國家對廣電行業(yè)的安全問題非常重視，尤其在2002年境外法輪功分子攻擊鑫諾衛(wèi)星后，國家與廣電行業(yè)對其安全建設更加重視。同時與國內的專業(yè)安全公司和安全專家建立良好的咨詢渠道。目前電信系統(tǒng)采用的大量引進設備普遍存在遠程控制問題，存在嚴重的安全隱患。l 大規(guī)模入侵檢測和防護安全建設。業(yè)務系統(tǒng)開發(fā)以及維護存在的外包服務，網絡系統(tǒng)設備的提供和維護的外包服務問題都存在安全隱患，尤其是國外產品和廠商的遠程服務。l 建立符合電信業(yè)務運營信息化要求的運營中心。建立功能強大的網絡管理中心，這個中心要對內容檢查、系統(tǒng)管理、網絡管理、網絡安全管理、行為監(jiān)控、代理（Agent）管理、網絡遠程服務監(jiān)控和標準化執(zhí)行實施統(tǒng)一分級監(jiān)管。l 對網絡安全缺少全局的管理、指揮、監(jiān)控、調度與協(xié)調能力。l 網絡的管理、信令系統(tǒng)的安全建設有待進一步加強。資源不可利用。主要是對電信的傳輸網絡、信令系統(tǒng)和管理網絡施行安全建設。電信領域主管部門主要關心的發(fā)展與安全關系問題需要有更加全面的認識。總體上講電信領域的安全意識還比較淡漠，需要加強。l 網絡內容攻擊，包括利用傳統(tǒng)媒體（廣播、電視、信件）、電話（包括IP電話）、電子郵件、聊天室（ICQ、）、板報（BBS）、論壇、個人主頁、專用網站、垃圾郵件以及短信息群發(fā)等實施攻擊，當前主要問題是法輪功、黃色、反動網站問題。而對于電信系統(tǒng)用戶關注的安全主要是信息安全和公共網絡可信接入用戶專用網絡問題。例如作為政府領導關注電信安全，主要是關注網絡中的行為與內容的安全，其焦點重要在這些行為與內容對國家安全和社會穩(wěn)定的影響。我國電信行業(yè)的信息化與安全建設在全國范圍內是走在前面的，其信息化安全建設得到多方面的重視。GII、NII目前主要討論通信網絡、電視網絡和計算機網絡的多網融合發(fā)展。在本白皮書中主要對信息化及其安全建設需求強勁的國家基礎設施領域進行討論，主要包括：電信、廣電、銀行、證券、電力、鐵路、交通、民航、政法和國防。本白皮書討論的信息化安全市場分類為如下的五個方面：l 國家基礎設施信息化安全領域l 電子政務安全領域l 電子商務安全領域l 產業(yè)信息化安全領域l 城市信息化（包括人民生活信息化）安全領域國家基礎設施是指保證國家政治、經濟、國防和社會各領域有效運行的基礎設施，涉及電信、廣電、金融、電力、能源、民航、交通、政府、國防等國家系統(tǒng)和資產，其中國家信息基礎設施是國家基礎設施的重要組成部分。信息化新技術的發(fā)展和信息化安全威脅變化促使信息化安全認識必須與時俱進。例如TCSEC是1985年美國國防部提出的標準，這個標準連帶它的許多附加文件，對于單一計算機和操作系統(tǒng)的安全建設起到過很好的指導作用。只要把這些問題提出來，一個比較認真對待問題的人士，一定會區(qū)別它們之間的差別。信息化安全服務的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務的遠程化和代理化的推進方面做出不懈努力，不斷降低服務成本。但是，我們可以看出信息化安全服務大約在信息化安全建設中占有50%的份額，而我們知道一般的信息化服務只占信息化項目建設費用的10%左右，可見信息化安全服務與一般信息化服務的成本之間的較大差別。信息化安全服務的高成本性。信息化安全的復雜性和綜合性涉及到通信、計算機、外部設備、硬件、BIOS、操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用軟件、系統(tǒng)體系結構、系統(tǒng)與網絡防護體系、系統(tǒng)和網絡的檢測與監(jiān)控體系、系統(tǒng)與網絡備份體系、系統(tǒng)的應用與操作、系統(tǒng)與網絡的管理等。這種危害計算機應用的攻擊還在不斷地翻新，新的威脅幾乎天天發(fā)生。不能提供客戶化和可信性服務的安全企業(yè)必將要喪失其客戶群或市場領地。這種客戶化要求不僅僅是由于不同行業(yè)與領域對信息化安全的要求不同，而且面對的威脅性質也可能不同，更重要的是信息化安全責任與效益也要求有針對性的服務。信息化安全產品與系統(tǒng)不是孤立存在和使用的，產品與系統(tǒng)使用的好壞及其效果與它們所處環(huán)境密切相關。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統(tǒng)，其服務的綜合性和復雜性是顯而易見的。信息化安全的基本特征是服務性的。在國家和基礎設施關注的信息化安全得到了普遍的重視，但是在中國還要特別注意關注普通百姓的信息化安全問題，尤其關系到政府、企業(yè)面對社會的服務系統(tǒng)要特別注意安全問題，在一個越來越重視人權、民主的現(xiàn)代社會里，應當?shù)玫教貏e的重視，否則會面對嚴重的社會問題和法律問題。在企業(yè)進行業(yè)務與技術組織體系結構調整時，要區(qū)別技術保障部門和風險監(jiān)管部門的差別。近10年來開展的信息化安全建設主要是針對技術支持部門關注的網絡與系統(tǒng)的安全問題，也是專家們關注的安全問題，主要包括計算機病毒、黑客入侵、非法訪問、蓄意代碼等網絡攻擊事件引起的安全問題。當現(xiàn)代企業(yè)領導人在不認識信息化對企業(yè)提高企業(yè)競爭能力幫助，不明確適合信息化的業(yè)務與技術組織體系結構和信息化可能帶來的負面的作用有方案能夠抑制（例如企業(yè)知識產權和企業(yè)員工在上班時間做非預期的工作）之前，有見識的企業(yè)領導人是不會匆忙上信息化的。有些企業(yè)提供的信息化產品與技術，不包括信息化安全方面的內容，提出信息化安全要求后，這些企業(yè)認為增加了企業(yè)的成本或者喪失競爭優(yōu)勢，游說領域主管部門，安全建設影響了他們的發(fā)展目標和企業(yè)的利益。一個領域的信息化安全發(fā)展事業(yè)被許多部門與人的利益所污染和損害。雖然這些觀點是正確的，但是對于具體指導信息化安全建設是不夠的。當前，領域管理部門要特別關注包括安全標簽在內的技術法規(guī)和領域標準制定工作。目前在這方面管理尚沒有統(tǒng)一管理條例和制度之前，各政府部門可以考慮制定自己的管理條例。國家領導人對信息化安全高度重視，對各領域信息化安全建設起到了巨大的推動作用。需要特別注意的問題是國外在中國信息化安全市場提供安全產品，主要是從用戶角度考慮的，在中國信息化安全市場中通常沒有從國家、領域安全考慮的高水平的安全產品，尤其是平臺化的國外產品。這種信息化安全需求不同方面的考慮，一方面是由于關注的威脅和風險不同，另一方面是由于關注的安全價值不相同。所謂信息安全產業(yè)的企業(yè)情況主要討論信息安全企業(yè)資產、資本市場、技術情況、服務情況。這種新的發(fā)展理念還反映在商會推出的安全管理平臺企業(yè)聯(lián)盟、可信計算平臺（C_TCP）企業(yè)聯(lián)盟、可信網絡平臺（TNP）企業(yè)聯(lián)盟、CPK企業(yè)聯(lián)盟等標準化機構和信息安全服務等級標準企業(yè)聯(lián)盟機構的創(chuàng)立和技術標準的制定上。在十屆三次人大會期間，銀監(jiān)會領導在答記者會上說，提升金融風險監(jiān)管信息科技水平是加強銀行風險監(jiān)管的重要措施之一。目前，信息安全產業(yè)正在進入新的發(fā)展時期。與此同時，一些國內重要的IT企業(yè)或許多上市公司開始積極介入信息安全產業(yè)，推動了信息安全產業(yè)規(guī)模擴大。這個階段不僅從事互聯(lián)網的信息與網絡安全，而且開始對國家基礎設施信息化安全開展工作，產生了許多自有知識產權的信息與網絡安全產品。2000年我國第一個行業(yè)性質的《銀行計算機系統(tǒng)安全技術規(guī)范》出臺，為我國信息化安全建設奠定了基礎和樹立了示范。2005年3月11日目錄前言 2第一部分：信息安全產業(yè)情況 6第一章 我國信息安全產業(yè)概述 7第二章 信息安全產業(yè)市場情況概述 系統(tǒng)地認識信息化的安全問題 8 8 9 9 10 高技術性和對策性特點 10 12 13 13 電信網絡與電信業(yè)務信息化安全建設情況 13 廣電信息化安全建設情況 15 銀行信息化安全建設情況 16 證券信息化安全建設情況 18 電力信息化安全建設情況 19 鐵路信息化安全建設情況 21 交通信息化安全建設情況 23 民航信息化安全建設情況 23 政法信息化安全建設情況 24 國防信息化安全建設情況 26 27 電子政務信息化安全概述 27 監(jiān)管現(xiàn)代化和信息化情況 28 政府網絡服務信息化安全情況 32 政府辦公業(yè)務信息化安全情況 32 33 電子商務信息安全建設情況 33 電子商務信息化安全概述 33 企業(yè)電子商務信息化安全情況 34 銀行電子商務信息化安全情況 35 政府電子商務信息化安全情況 36 產業(yè)信息化安全建設情況 37 產業(yè)信息化安全概述 37 產業(yè)信息化安全情況 37 產業(yè)信息化安全應急體系建設情況 38 城市信息化安全建設情況 39 城市信息化安全概述 39 城市基礎設施信息化安全情況 39 城市電子政務安全情況 40 城市電子商務安全情況 40 人民生活信息化安全情況 40 智能化社區(qū)信息化安全建設情況 41 家電設施網絡化安全建設情況 41 城市呼救服務信息化安全建設情況 42 城市應急信息化體系建設情況 42第三章 信息安全產業(yè)企業(yè)情況 44 44 44 45 45 47第四章 信息安全產業(yè)環(huán)境 49 49 49 49 50 51 51 52 53第二部分：信息化安全技術發(fā)展展望 54第一章 信息化安全技術發(fā)展概述 55第二章 信息化安全傳統(tǒng)技術發(fā)展展望 56 56 56 57 5監(jiān)控技術 58 5蓄意代碼檢測與消除技術 59 59 60第三章 信息化安全新技術發(fā)展展望 61 61（TCP）技術 61（TNP）和可信應用平臺（TAP）技術 62 62 64 66 66 683. 9多代理計算網格技術 693. 10信息系統(tǒng)體系結構技術與方法 71第四章 信息化安全理論研究展望 73 73 73 75：多代理網格操作系統(tǒng) 76 77 78 78第三部分：我國信息安全產業(yè)發(fā)展建議 80第一章 我國信息安全產業(yè)發(fā)展概述 81第二章 誰能抓住產生又一個“微軟公司”的發(fā)展機遇？ 82第三章 關于建立信息化安全新型產業(yè)基地與集團 82第四章 關于建立分類產品標準化企業(yè)聯(lián)盟 84第五章 關于建立現(xiàn)代化的信息安全產品測評認證體系 84第六章 關于建立我國信息安全產業(yè)發(fā)展和維權基金 85第七章 關于建立和完善企業(yè)技術與業(yè)務體系架構 86第八章 信息化安全建設的關鍵課題建議 86 86 87 87 89結束語 90參考文獻 90第一部分：信息安全產業(yè)情況第一章 我國信息安全產業(yè)概述我國信息化安全產業(yè)大致可以劃分三個發(fā)展階段：第一階段：1995年以前，以通信保密和依照TCSEC的計算機安全標準開展計算機的安全工作，其主要的服務對象是政府保密機構和軍事機構。本白皮書由商會常務副理事長屈延文教授執(zhí)筆起草，經商會理事長會議討論和進一步修改，于2005年3月11日通過。我們需要特別說明的是，在談到信息化安全時不可能不談到存在的問題，在編寫本白皮書時我們征求一些部門及其負責人意見，同時面向事業(yè)發(fā)展的要求盡可能客觀的分析和提出建議。還應當看到，我國信息化安全領域有一批敢為天下先的高水平的專家隊伍和信息安全產業(yè)的商會在推動產業(yè)發(fā)展和凝聚企業(yè)發(fā)揮了較大的作用。本白皮書分成三部分：第一部分：信息安全產業(yè)情況第二部分：信息安全技術發(fā)展展望第三部分：我國信息安全產業(yè)發(fā)展建議中國信息化安全事業(yè)在近幾年來得到快速的發(fā)展，這種發(fā)展首先是由于從中央到地方政府的廣泛重視。三年來，信息安全產業(yè)自身發(fā)展與環(huán)境發(fā)生了許多重要的變化，出現(xiàn)了一些新的情況與要求，有必要編寫一本《中國信息安全產業(yè)發(fā)展白皮書（2005—2010）》（以下簡稱白皮書），為我國信息安全產業(yè)制定發(fā)展戰(zhàn)略提供咨詢意見，同時為信息安全產品、技術與服務的用戶提供咨詢服務，也為國家政府主管信息化安全部門提供參考意見。其次，這種發(fā)展還由于我國有一批積極進取的信息安全的創(chuàng)新企業(yè)，促進了信息安全產業(yè)的發(fā)展。信息化安全建設必須從出于對“安全責任”關注推進到對“安全責任”和“安全效益”的雙重關注，只有堅持這種效益性安全建設方針，才能維持信息化安全產業(yè)的可持續(xù)發(fā)展。如果本白皮書的某些討論和意見與讀者意見不一致或存在遺漏，請讀者包涵和理解，可以與我們聯(lián)系與商榷。本白皮書還下發(fā)商會所有成員單位領導。從1999年起，將信息安全的工作重點逐步轉移到銀行與電信信息化安全建設上。第三階段：以2002年成立中國信息產業(yè)商會信息安全產業(yè)分會為標志的有序發(fā)展階段。在這個階段，有大批的信息安全企業(yè)創(chuàng)立，同時也有大批的信息安全企業(yè)倒閉或者改做其他，一些優(yōu)秀企業(yè)更加強大，企業(yè)資產得到了較大增加。在企業(yè)的呼吁下，商會推動下，我國信息安全產業(yè)出臺了《中國信息安全產業(yè)反不正當公約》，為建立“遵紀守法、誠信自律、公平競爭和共同監(jiān)督”的市場秩序，奠定了基礎。國信辦領導在銀監(jiān)會回復的報告中說，六院士的建議引起了人民銀行與銀監(jiān)會領導的重視，銀監(jiān)會領導認為要啟動銀行監(jiān)管信息化工作，希望得到國家與社會的廣泛支持與幫助。這種可信平臺的市場理念得到國家電子政務規(guī)劃部門、國家金融風險監(jiān)管部門、國家稅務管理部門和國家涉密網管理部門等單位的高度重視。為了使討論分類清晰，