【正文】 里，是銀行信息化和安全建設(shè)的主要任務(wù)之一。由于目前銀行信息化安全的觀念依然是建立在“數(shù)據(jù)與系統(tǒng)（軟硬件、網(wǎng)絡(luò)等）安全自主保障”之上，整個信息化安全理念依然是在上世紀90年代中期發(fā)展起來的局域網(wǎng)安全觀念。 銀行信息化安全建設(shè)情況銀行系統(tǒng)包括人民銀行、銀監(jiān)會以及下屬各部門和各國有商業(yè)銀行、股份制銀行、政策銀行以及銀聯(lián)等銀行機構(gòu)的信息系統(tǒng)，其安全狀況直接關(guān)系到國家的經(jīng)濟形勢和國計民生。對于進口設(shè)備的服務(wù)和檢測缺少注意，能夠提供信息化安全服務(wù)的人力資源缺乏。廣電企業(yè)業(yè)務(wù)運營信息化安全情況這里談到的廣電的企業(yè)是指中央與地方的廣播與電視臺站和相應的企業(yè)，廣電企業(yè)的業(yè)務(wù)信息化的程度越來越高，這些業(yè)務(wù)系統(tǒng)與電信公共網(wǎng)絡(luò)相連接，已經(jīng)構(gòu)成了與社會廣泛聯(lián)系的業(yè)務(wù)服務(wù)網(wǎng)絡(luò)，存在著信息化安全威脅。國家對廣電行業(yè)的安全問題非常重視，尤其在2002年境外法輪功分子攻擊鑫諾衛(wèi)星后，國家與廣電行業(yè)對其安全建設(shè)更加重視。同時與國內(nèi)的專業(yè)安全公司和安全專家建立良好的咨詢渠道。目前電信系統(tǒng)采用的大量引進設(shè)備普遍存在遠程控制問題，存在嚴重的安全隱患。l 大規(guī)模入侵檢測和防護安全建設(shè)。業(yè)務(wù)系統(tǒng)開發(fā)以及維護存在的外包服務(wù)，網(wǎng)絡(luò)系統(tǒng)設(shè)備的提供和維護的外包服務(wù)問題都存在安全隱患，尤其是國外產(chǎn)品和廠商的遠程服務(wù)。l 建立符合電信業(yè)務(wù)運營信息化要求的運營中心。建立功能強大的網(wǎng)絡(luò)管理中心，這個中心要對內(nèi)容檢查、系統(tǒng)管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全管理、行為監(jiān)控、代理（Agent）管理、網(wǎng)絡(luò)遠程服務(wù)監(jiān)控和標準化執(zhí)行實施統(tǒng)一分級監(jiān)管。l 對網(wǎng)絡(luò)安全缺少全局的管理、指揮、監(jiān)控、調(diào)度與協(xié)調(diào)能力。l 網(wǎng)絡(luò)的管理、信令系統(tǒng)的安全建設(shè)有待進一步加強。資源不可利用。主要是對電信的傳輸網(wǎng)絡(luò)、信令系統(tǒng)和管理網(wǎng)絡(luò)施行安全建設(shè)。電信領(lǐng)域主管部門主要關(guān)心的發(fā)展與安全關(guān)系問題需要有更加全面的認識。總體上講電信領(lǐng)域的安全意識還比較淡漠，需要加強。l 網(wǎng)絡(luò)內(nèi)容攻擊，包括利用傳統(tǒng)媒體（廣播、電視、信件）、電話（包括IP電話）、電子郵件、聊天室（ICQ、）、板報（BBS）、論壇、個人主頁、專用網(wǎng)站、垃圾郵件以及短信息群發(fā)等實施攻擊，當前主要問題是法輪功、黃色、反動網(wǎng)站問題。而對于電信系統(tǒng)用戶關(guān)注的安全主要是信息安全和公共網(wǎng)絡(luò)可信接入用戶專用網(wǎng)絡(luò)問題。例如作為政府領(lǐng)導關(guān)注電信安全，主要是關(guān)注網(wǎng)絡(luò)中的行為與內(nèi)容的安全，其焦點重要在這些行為與內(nèi)容對國家安全和社會穩(wěn)定的影響。我國電信行業(yè)的信息化與安全建設(shè)在全國范圍內(nèi)是走在前面的，其信息化安全建設(shè)得到多方面的重視。GII、NII目前主要討論通信網(wǎng)絡(luò)、電視網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)的多網(wǎng)融合發(fā)展。在本白皮書中主要對信息化及其安全建設(shè)需求強勁的國家基礎(chǔ)設(shè)施領(lǐng)域進行討論，主要包括：電信、廣電、銀行、證券、電力、鐵路、交通、民航、政法和國防。本白皮書討論的信息化安全市場分類為如下的五個方面：l 國家基礎(chǔ)設(shè)施信息化安全領(lǐng)域l 電子政務(wù)安全領(lǐng)域l 電子商務(wù)安全領(lǐng)域l 產(chǎn)業(yè)信息化安全領(lǐng)域l 城市信息化（包括人民生活信息化）安全領(lǐng)域國家基礎(chǔ)設(shè)施是指保證國家政治、經(jīng)濟、國防和社會各領(lǐng)域有效運行的基礎(chǔ)設(shè)施，涉及電信、廣電、金融、電力、能源、民航、交通、政府、國防等國家系統(tǒng)和資產(chǎn)，其中國家信息基礎(chǔ)設(shè)施是國家基礎(chǔ)設(shè)施的重要組成部分。信息化新技術(shù)的發(fā)展和信息化安全威脅變化促使信息化安全認識必須與時俱進。例如TCSEC是1985年美國國防部提出的標準，這個標準連帶它的許多附加文件，對于單一計算機和操作系統(tǒng)的安全建設(shè)起到過很好的指導作用。只要把這些問題提出來，一個比較認真對待問題的人士，一定會區(qū)別它們之間的差別。信息化安全服務(wù)的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠程化和代理化的推進方面做出不懈努力，不斷降低服務(wù)成本。但是，我們可以看出信息化安全服務(wù)大約在信息化安全建設(shè)中占有50%的份額，而我們知道一般的信息化服務(wù)只占信息化項目建設(shè)費用的10%左右，可見信息化安全服務(wù)與一般信息化服務(wù)的成本之間的較大差別。信息化安全服務(wù)的高成本性。信息化安全的復雜性和綜合性涉及到通信、計算機、外部設(shè)備、硬件、BIOS、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用軟件、系統(tǒng)體系結(jié)構(gòu)、系統(tǒng)與網(wǎng)絡(luò)防護體系、系統(tǒng)和網(wǎng)絡(luò)的檢測與監(jiān)控體系、系統(tǒng)與網(wǎng)絡(luò)備份體系、系統(tǒng)的應用與操作、系統(tǒng)與網(wǎng)絡(luò)的管理等。這種危害計算機應用的攻擊還在不斷地翻新，新的威脅幾乎天天發(fā)生。不能提供客戶化和可信性服務(wù)的安全企業(yè)必將要喪失其客戶群或市場領(lǐng)地。這種客戶化要求不僅僅是由于不同行業(yè)與領(lǐng)域?qū)π畔⒒踩囊蟛煌?，而且面對的威脅性質(zhì)也可能不同，更重要的是信息化安全責任與效益也要求有針對性的服務(wù)。信息化安全產(chǎn)品與系統(tǒng)不是孤立存在和使用的，產(chǎn)品與系統(tǒng)使用的好壞及其效果與它們所處環(huán)境密切相關(guān)。信息化安全服務(wù)范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復雜性是顯而易見的。信息化安全的基本特征是服務(wù)性的。在國家和基礎(chǔ)設(shè)施關(guān)注的信息化安全得到了普遍的重視，但是在中國還要特別注意關(guān)注普通百姓的信息化安全問題，尤其關(guān)系到政府、企業(yè)面對社會的服務(wù)系統(tǒng)要特別注意安全問題，在一個越來越重視人權(quán)、民主的現(xiàn)代社會里，應當?shù)玫教貏e的重視，否則會面對嚴重的社會問題和法律問題。在企業(yè)進行業(yè)務(wù)與技術(shù)組織體系結(jié)構(gòu)調(diào)整時，要區(qū)別技術(shù)保障部門和風險監(jiān)管部門的差別。近10年來開展的信息化安全建設(shè)主要是針對技術(shù)支持部門關(guān)注的網(wǎng)絡(luò)與系統(tǒng)的安全問題，也是專家們關(guān)注的安全問題，主要包括計算機病毒、黑客入侵、非法訪問、蓄意代碼等網(wǎng)絡(luò)攻擊事件引起的安全問題。當現(xiàn)代企業(yè)領(lǐng)導人在不認識信息化對企業(yè)提高企業(yè)競爭能力幫助，不明確適合信息化的業(yè)務(wù)與技術(shù)組織體系結(jié)構(gòu)和信息化可能帶來的負面的作用有方案能夠抑制（例如企業(yè)知識產(chǎn)權(quán)和企業(yè)員工在上班時間做非預期的工作）之前，有見識的企業(yè)領(lǐng)導人是不會匆忙上信息化的。有些企業(yè)提供的信息化產(chǎn)品與技術(shù)，不包括信息化安全方面的內(nèi)容，提出信息化安全要求后，這些企業(yè)認為增加了企業(yè)的成本或者喪失競爭優(yōu)勢，游說領(lǐng)域主管部門，安全建設(shè)影響了他們的發(fā)展目標和企業(yè)的利益。一個領(lǐng)域的信息化安全發(fā)展事業(yè)被許多部門與人的利益所污染和損害。雖然這些觀點是正確的，但是對于具體指導信息化安全建設(shè)是不夠的。當前，領(lǐng)域管理部門要特別關(guān)注包括安全標簽在內(nèi)的技術(shù)法規(guī)和領(lǐng)域標準制定工作。目前在這方面管理尚沒有統(tǒng)一管理條例和制度之前，各政府部門可以考慮制定自己的管理條例。國家領(lǐng)導人對信息化安全高度重視，對各領(lǐng)域信息化安全建設(shè)起到了巨大的推動作用。需要特別注意的問題是國外在中國信息化安全市場提供安全產(chǎn)品，主要是從用戶角度考慮的，在中國信息化安全市場中通常沒有從國家、領(lǐng)域安全考慮的高水平的安全產(chǎn)品，尤其是平臺化的國外產(chǎn)品。這種信息化安全需求不同方面的考慮，一方面是由于關(guān)注的威脅和風險不同，另一方面是由于關(guān)注的安全價值不相同。所謂信息安全產(chǎn)業(yè)的企業(yè)情況主要討論信息安全企業(yè)資產(chǎn)、資本市場、技術(shù)情況、服務(wù)情況。這種新的發(fā)展理念還反映在商會推出的安全管理平臺企業(yè)聯(lián)盟、可信計算平臺（C_TCP）企業(yè)聯(lián)盟、可信網(wǎng)絡(luò)平臺（TNP）企業(yè)聯(lián)盟、CPK企業(yè)聯(lián)盟等標準化機構(gòu)和信息安全服務(wù)等級標準企業(yè)聯(lián)盟機構(gòu)的創(chuàng)立和技術(shù)標準的制定上。在十屆三次人大會期間，銀監(jiān)會領(lǐng)導在答記者會上說，提升金融風險監(jiān)管信息科技水平是加強銀行風險監(jiān)管的重要措施之一。目前，信息安全產(chǎn)業(yè)正在進入新的發(fā)展時期。與此同時，一些國內(nèi)重要的IT企業(yè)或許多上市公司開始積極介入信息安全產(chǎn)業(yè)，推動了信息安全產(chǎn)業(yè)規(guī)模擴大。這個階段不僅從事互聯(lián)網(wǎng)的信息與網(wǎng)絡(luò)安全，而且開始對國家基礎(chǔ)設(shè)施信息化安全開展工作，產(chǎn)生了許多自有知識產(chǎn)權(quán)的信息與網(wǎng)絡(luò)安全產(chǎn)品。2000年我國第一個行業(yè)性質(zhì)的《銀行計算機系統(tǒng)安全技術(shù)規(guī)范》出臺，為我國信息化安全建設(shè)奠定了基礎(chǔ)和樹立了示范。2005年3月11日目錄前言 2第一部分：信息安全產(chǎn)業(yè)情況 6第一章 我國信息安全產(chǎn)業(yè)概述 7第二章 信息安全產(chǎn)業(yè)市場情況概述 系統(tǒng)地認識信息化的安全問題 8 8 9 9 10 高技術(shù)性和對策性特點 10 12 13 13 電信網(wǎng)絡(luò)與電信業(yè)務(wù)信息化安全建設(shè)情況 13 廣電信息化安全建設(shè)情況 15 銀行信息化安全建設(shè)情況 16 證券信息化安全建設(shè)情況 18 電力信息化安全建設(shè)情況 19 鐵路信息化安全建設(shè)情況 21 交通信息化安全建設(shè)情況 23 民航信息化安全建設(shè)情況 23 政法信息化安全建設(shè)情況 24 國防信息化安全建設(shè)情況 26 27 電子政務(wù)信息化安全概述 27 監(jiān)管現(xiàn)代化和信息化情況 28 政府網(wǎng)絡(luò)服務(wù)信息化安全情況 32 政府辦公業(yè)務(wù)信息化安全情況 32 33 電子商務(wù)信息安全建設(shè)情況 33 電子商務(wù)信息化安全概述 33 企業(yè)電子商務(wù)信息化安全情況 34 銀行電子商務(wù)信息化安全情況 35 政府電子商務(wù)信息化安全情況 36 產(chǎn)業(yè)信息化安全建設(shè)情況 37 產(chǎn)業(yè)信息化安全概述 37 產(chǎn)業(yè)信息化安全情況 37 產(chǎn)業(yè)信息化安全應急體系建設(shè)情況 38 城市信息化安全建設(shè)情況 39 城市信息化安全概述 39 城市基礎(chǔ)設(shè)施信息化安全情況 39 城市電子政務(wù)安全情況 40 城市電子商務(wù)安全情況 40 人民生活信息化安全情況 40 智能化社區(qū)信息化安全建設(shè)情況 41 家電設(shè)施網(wǎng)絡(luò)化安全建設(shè)情況 41 城市呼救服務(wù)信息化安全建設(shè)情況 42 城市應急信息化體系建設(shè)情況 42第三章 信息安全產(chǎn)業(yè)企業(yè)情況 44 44 44 45 45 47第四章 信息安全產(chǎn)業(yè)環(huán)境 49 49 49 49 50 51 51 52 53第二部分：信息化安全技術(shù)發(fā)展展望 54第一章 信息化安全技術(shù)發(fā)展概述 55第二章 信息化安全傳統(tǒng)技術(shù)發(fā)展展望 56 56 56 57 5監(jiān)控技術(shù) 58 5蓄意代碼檢測與消除技術(shù) 59 59 60第三章 信息化安全新技術(shù)發(fā)展展望 61 61（TCP）技術(shù) 61（TNP）和可信應用平臺（TAP）技術(shù) 62 62 64 66 66 683. 9多代理計算網(wǎng)格技術(shù) 693. 10信息系統(tǒng)體系結(jié)構(gòu)技術(shù)與方法 71第四章 信息化安全理論研究展望 73 73 73 75：多代理網(wǎng)格操作系統(tǒng) 76 77 78 78第三部分：我國信息安全產(chǎn)業(yè)發(fā)展建議 80第一章 我國信息安全產(chǎn)業(yè)發(fā)展概述 81第二章 誰能抓住產(chǎn)生又一個“微軟公司”的發(fā)展機遇？ 82第三章 關(guān)于建立信息化安全新型產(chǎn)業(yè)基地與集團 82第四章 關(guān)于建立分類產(chǎn)品標準化企業(yè)聯(lián)盟 84第五章 關(guān)于建立現(xiàn)代化的信息安全產(chǎn)品測評認證體系 84第六章 關(guān)于建立我國信息安全產(chǎn)業(yè)發(fā)展和維權(quán)基金 85第七章 關(guān)于建立和完善企業(yè)技術(shù)與業(yè)務(wù)體系架構(gòu) 86第八章 信息化安全建設(shè)的關(guān)鍵課題建議 86 86 87 87 89結(jié)束語 90參考文獻 90第一部分：信息安全產(chǎn)業(yè)情況第一章 我國信息安全產(chǎn)業(yè)概述我國信息化安全產(chǎn)業(yè)大致可以劃分三個發(fā)展階段：第一階段：1995年以前，以通信保密和依照TCSEC的計算機安全標準開展計算機的安全工作，其主要的服務(wù)對象是政府保密機構(gòu)和軍事機構(gòu)。本白皮書由商會常務(wù)副理事長屈延文教授執(zhí)筆起草，經(jīng)商會理事長會議討論和進一步修改，于2005年3月11日通過。我們需要特別說明的是，在談到信息化安全時不可能不談到存在的問題，在編寫本白皮書時我們征求一些部門及其負責人意見，同時面向事業(yè)發(fā)展的要求盡可能客觀的分析和提出建議。還應當看到，我國信息化安全領(lǐng)域有一批敢為天下先的高水平的專家隊伍和信息安全產(chǎn)業(yè)的商會在推動產(chǎn)業(yè)發(fā)展和凝聚企業(yè)發(fā)揮了較大的作用。本白皮書分成三部分：第一部分：信息安全產(chǎn)業(yè)情況第二部分：信息安全技術(shù)發(fā)展展望第三部分：我國信息安全產(chǎn)業(yè)發(fā)展建議中國信息化安全事業(yè)在近幾年來得到快速的發(fā)展，這種發(fā)展首先是由于從中央到地方政府的廣泛重視。三年來，信息安全產(chǎn)業(yè)自身發(fā)展與環(huán)境發(fā)生了許多重要的變化，出現(xiàn)了一些新的情況與要求，有必要編寫一本《中國信息安全產(chǎn)業(yè)發(fā)展白皮書（2005—2010）》（以下簡稱白皮書），為我國信息安全產(chǎn)業(yè)制定發(fā)展戰(zhàn)略提供咨詢意見，同時為信息安全產(chǎn)品、技術(shù)與服務(wù)的用戶提供咨詢服務(wù)，也為國家政府主管信息化安全部門提供參考意見。其次，這種發(fā)展還由于我國有一批積極進取的信息安全的創(chuàng)新企業(yè)，促進了信息安全產(chǎn)業(yè)的發(fā)展。信息化安全建設(shè)必須從出于對“安全責任”關(guān)注推進到對“安全責任”和“安全效益”的雙重關(guān)注，只有堅持這種效益性安全建設(shè)方針，才能維持信息化安全產(chǎn)業(yè)的可持續(xù)發(fā)展。如果本白皮書的某些討論和意見與讀者意見不一致或存在遺漏，請讀者包涵和理解，可以與我們聯(lián)系與商榷。本白皮書還下發(fā)商會所有成員單位領(lǐng)導。從1999年起，將信息安全的工作重點逐步轉(zhuǎn)移到銀行與電信信息化安全建設(shè)上。第三階段：以2002年成立中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會為標志的有序發(fā)展階段。在這個階段，有大批的信息安全企業(yè)創(chuàng)立，同時也有大批的信息安全企業(yè)倒閉或者改做其他，一些優(yōu)秀企業(yè)更加強大，企業(yè)資產(chǎn)得到了較大增加。在企業(yè)的呼吁下，商會推動下，我國信息安全產(chǎn)業(yè)出臺了《中國信息安全產(chǎn)業(yè)反不正當公約》，為建立“遵紀守法、誠信自律、公平競爭和共同監(jiān)督”的市場秩序，奠定了基礎(chǔ)。國信辦領(lǐng)導在銀監(jiān)會回復的報告中說，六院士的建議引起了人民銀行與銀監(jiān)會領(lǐng)導的重視，銀監(jiān)會領(lǐng)導認為要啟動銀行監(jiān)管信息化工作，希望得到國家與社會的廣泛支持與幫助。這種可信平臺的市場理念得到國家電子政務(wù)規(guī)劃部門、國家金融風險監(jiān)管部門、國家稅務(wù)管理部門和國家涉密網(wǎng)管理部門等單位的高度重視。為了使討論分類清晰，