【正文】 服務管理信息系統(tǒng)、銀行風險監(jiān)管系統(tǒng)、銀行客戶管理信息系統(tǒng)、銀行電子商務公共渠道管理系統(tǒng)（網絡銀行系統(tǒng)、銀行自助系統(tǒng)等）、銀行電子商務大客戶渠道管理系統(tǒng)、銀行網關與辦公系統(tǒng)、銀行管理中心、銀行運營中心系統(tǒng)（呼叫服務中心、電子票據中心、信息交換中心等）、銀行開發(fā)中心系統(tǒng)以及災備中心系統(tǒng)等。由于我國銀行監(jiān)管局成立不久，其信息化建設的任務剛剛起步，任務十分艱巨。銀行建立在行為與內容上主動模式的監(jiān)管才剛剛開始，其市場概念是屬于領域性的。銀行監(jiān)管現(xiàn)代化的和銀行信息化實行監(jiān)管的建設任務剛剛開始，在今后十年多時間里，是銀行信息化和安全建設的主要任務之一。銀行的風險觀念和安全問題應當進行調整，在新起點和新高度上，進行補充總體規(guī)劃，應當考慮實現(xiàn)可信網絡平臺（TNP）、可信應用平臺（TAP）和可信計算平臺（TCP）的建設。由于目前銀行信息化安全的觀念依然是建立在“數(shù)據與系統(tǒng)（軟硬件、網絡等）安全自主保障”之上，整個信息化安全理念依然是在上世紀90年代中期發(fā)展起來的局域網安全觀念。從規(guī)劃的角度看，銀行的信息與網絡安全建設與銀行整個電子化、信息化和網絡化密切相關，把金融風險監(jiān)管現(xiàn)代化與金融電子化、信息化和網絡化風險的監(jiān)管密切結合起來，是搞好銀行信息與網絡安全建設的根本出路，這也是新巴塞爾資本協(xié)議的監(jiān)管要求。 銀行信息化安全建設情況銀行系統(tǒng)包括人民銀行、銀監(jiān)會以及下屬各部門和各國有商業(yè)銀行、股份制銀行、政策銀行以及銀聯(lián)等銀行機構的信息系統(tǒng)，其安全狀況直接關系到國家的經濟形勢和國計民生。但是電視業(yè)務數(shù)字化和電視節(jié)目的雙向互動系統(tǒng)建設，這種安全問題將會越來越突出。對于進口設備的服務和檢測缺少注意，能夠提供信息化安全服務的人力資源缺乏。廣電網絡系統(tǒng)安全情況廣電網絡系統(tǒng)包括衛(wèi)星網絡、無線網絡、微波網絡、有線電視網絡和業(yè)務信息化網絡系統(tǒng)。廣電企業(yè)業(yè)務運營信息化安全情況這里談到的廣電的企業(yè)是指中央與地方的廣播與電視臺站和相應的企業(yè)，廣電企業(yè)的業(yè)務信息化的程度越來越高，這些業(yè)務系統(tǒng)與電信公共網絡相連接，已經構成了與社會廣泛聯(lián)系的業(yè)務服務網絡，存在著信息化安全威脅。數(shù)字電視系統(tǒng)的規(guī)劃與開展要對數(shù)字電視系統(tǒng)可能引發(fā)的信息內容的安全問題要給予充分的注意，對數(shù)字電視網絡管理系統(tǒng)安全也要給予充分的關注，要防止敵對組織企圖控制有線電視和數(shù)字電視網絡資源的攻擊。國家對廣電行業(yè)的安全問題非常重視，尤其在2002年境外法輪功分子攻擊鑫諾衛(wèi)星后，國家與廣電行業(yè)對其安全建設更加重視。最后，我們還建議：電信系統(tǒng)以安全審核員（CISP）的培訓和系統(tǒng)測試評估工作為龍頭，有的放矢的推進電信系統(tǒng)信息與網絡安全建設工作。同時與國內的專業(yè)安全公司和安全專家建立良好的咨詢渠道。重要系統(tǒng)網絡中使用的進口設備，要采取有效手段進行隱蔽通道的檢測， l 制定安全應急規(guī)范和安全應急培訓。目前電信系統(tǒng)采用的大量引進設備普遍存在遠程控制問題，存在嚴重的安全隱患。有對抗大規(guī)模陌生代理入侵的能力。l 大規(guī)模入侵檢測和防護安全建設。l 安全檢測、監(jiān)控、審計、追蹤與定位系統(tǒng)建設。業(yè)務系統(tǒng)開發(fā)以及維護存在的外包服務，網絡系統(tǒng)設備的提供和維護的外包服務問題都存在安全隱患，尤其是國外產品和廠商的遠程服務。l 提供用戶要求的不同等級和不同成本的公共網絡與專用網絡的可信接入服務。l 建立符合電信業(yè)務運營信息化要求的運營中心。l 完善建立功能強大的國家網絡行為與內容安全管理與監(jiān)管中心。建立功能強大的網絡管理中心，這個中心要對內容檢查、系統(tǒng)管理、網絡管理、網絡安全管理、行為監(jiān)控、代理（Agent）管理、網絡遠程服務監(jiān)控和標準化執(zhí)行實施統(tǒng)一分級監(jiān)管。但是電信行業(yè)對用戶希望提供的這些安全服務要求太缺少，或者說基本上還屬于空白。l 對網絡安全缺少全局的管理、指揮、監(jiān)控、調度與協(xié)調能力。對公網與專網之間的隔離情況缺少檢測能力。l 網絡的管理、信令系統(tǒng)的安全建設有待進一步加強。l 對基礎設施設備破壞或接管控制性質的攻擊，失去網絡基礎設施控制（要特別注意外包服務的網絡遠程服務攻擊）。資源不可利用。插播攻擊、擁塞或干擾攻擊、海量通信攻擊、偷用服務攻擊、拒絕服務攻擊、隱蔽通道攻擊、傳輸分析攻擊等、l 對網絡管理通信和通信的信令系統(tǒng)的攻擊。主要是對電信的傳輸網絡、信令系統(tǒng)和管理網絡施行安全建設。這些信息化建設遇到的安全問題是典型的計算機網絡的安全問題，是當前電信領域信息化安全建設的一個主要方面。電信領域主管部門主要關心的發(fā)展與安全關系問題需要有更加全面的認識。 另外對于電信領域急需制定的安全性、互操作性和服務性標準系列，缺少整體規(guī)劃。總體上講電信領域的安全意識還比較淡漠，需要加強。我國社會公共網絡的安全管理工作取得了顯著的成績，但是還面臨著對網絡行為與內容監(jiān)管的艱巨任務。l 網絡內容攻擊，包括利用傳統(tǒng)媒體（廣播、電視、信件）、電話（包括IP電話）、電子郵件、聊天室（ICQ、）、板報（BBS）、論壇、個人主頁、專用網站、垃圾郵件以及短信息群發(fā)等實施攻擊，當前主要問題是法輪功、黃色、反動網站問題。網絡行為與內容的安全情況電信網絡的行為與內容安全已經顯現(xiàn)出來，而且會越來越突出，尤其在考慮恐怖主義和信息戰(zhàn)的威脅，網絡行為與內容安全將會變得越來越重要。而對于電信系統(tǒng)用戶關注的安全主要是信息安全和公共網絡可信接入用戶專用網絡問題。作為電信運營商的領導重要關注信息化與信息安全建設對運營的技術與業(yè)務組織體系結構的影響，求得企業(yè)價值最大化和風險最小化的平衡，實現(xiàn)風險價值化的有效評估。例如作為政府領導關注電信安全，主要是關注網絡中的行為與內容的安全，其焦點重要在這些行為與內容對國家安全和社會穩(wěn)定的影響。主要包括網絡系統(tǒng)安全建設、電信業(yè)務信息化安全建設、網絡內容與行為的安全建設和用戶關注的電信網絡安全建設等方面。我國電信行業(yè)的信息化與安全建設在全國范圍內是走在前面的，其信息化安全建設得到多方面的重視。每個行業(yè)在發(fā)展綜合業(yè)務時都遇到了當前克服不了的困難，這些困難包括技術體制的，也包括當前用戶接入網絡的現(xiàn)實和用戶的終端設備與其綜合業(yè)務的發(fā)展無法配合的問題。GII、NII目前主要討論通信網絡、電視網絡和計算機網絡的多網融合發(fā)展。 電信網絡與電信業(yè)務信息化安全建設情況經濟全球化、區(qū)域集團化的發(fā)展要求實現(xiàn)全球和區(qū)域實現(xiàn)一體化的應用平臺。在本白皮書中主要對信息化及其安全建設需求強勁的國家基礎設施領域進行討論，主要包括：電信、廣電、銀行、證券、電力、鐵路、交通、民航、政法和國防。信息基礎設施是指信息范圍內的跨領域、支持承載服務的公共環(huán)境，通常包括網絡通信系統(tǒng)、計算機網絡、計算機系統(tǒng)和應用支持服務系統(tǒng)。本白皮書討論的信息化安全市場分類為如下的五個方面：l 國家基礎設施信息化安全領域l 電子政務安全領域l 電子商務安全領域l 產業(yè)信息化安全領域l 城市信息化（包括人民生活信息化）安全領域國家基礎設施是指保證國家政治、經濟、國防和社會各領域有效運行的基礎設施，涉及電信、廣電、金融、電力、能源、民航、交通、政府、國防等國家系統(tǒng)和資產，其中國家信息基礎設施是國家基礎設施的重要組成部分。例如，我國對于政府網絡的安全劃分長時期是依據系統(tǒng)和網絡中傳輸信息的安全級別（絕密、機密、秘密、內部和公開）劃分為核密、普密和商密的。信息化新技術的發(fā)展和信息化安全威脅變化促使信息化安全認識必須與時俱進。TCSEC這個標準對于信息系統(tǒng)、網絡、通信、微電子等信息產品存在著相當程度的不適合性，更談不上將這個標準作為整個信息技術或信息化的安全標準。例如TCSEC是1985年美國國防部提出的標準，這個標準連帶它的許多附加文件，對于單一計算機和操作系統(tǒng)的安全建設起到過很好的指導作用。再例如如何看待信息化安全標準問題。只要把這些問題提出來，一個比較認真對待問題的人士，一定會區(qū)別它們之間的差別。信息化安全認識必須以與時俱進的態(tài)度進行調整，這是信息化安全建設的大問題，不僅企業(yè)需要改進對信息化安全的認識，信息化主管部門也應當適時地調整信息化安全的概念體系，增強責任、危機和全局意識。信息化安全服務的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務的遠程化和代理化的推進方面做出不懈努力，不斷降低服務成本。那麼，企圖只考慮兜售產品與系統(tǒng)而不為用戶提供安全服務的企業(yè)，顯然是一種沒有實力的或對用戶安全不負責的企業(yè)。但是，我們可以看出信息化安全服務大約在信息化安全建設中占有50%的份額，而我們知道一般的信息化服務只占信息化項目建設費用的10%左右，可見信息化安全服務與一般信息化服務的成本之間的較大差別。這個投入如此之大，不能理解為信息化安全僅僅購買信息化安全產品或系統(tǒng)。信息化安全服務的高成本性。信息化安全服務的深入性是指威脅與防護都要對系統(tǒng)與網絡的脆弱性有深刻的了解，對系統(tǒng)和網絡非常熟悉的使用和長時間的接觸。信息化安全的復雜性和綜合性涉及到通信、計算機、外部設備、硬件、BIOS、操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用軟件、系統(tǒng)體系結構、系統(tǒng)與網絡防護體系、系統(tǒng)和網絡的檢測與監(jiān)控體系、系統(tǒng)與網絡備份體系、系統(tǒng)的應用與操作、系統(tǒng)與網絡的管理等。凡是依照傳統(tǒng)的計算機產品和應用軟件供應商的服務模式提供信息化安全服務的，不可能得到用戶的滿意，如果不調整其服務策略，必然會喪失市場。這種危害計算機應用的攻擊還在不斷地翻新，新的威脅幾乎天天發(fā)生。通常的IT產品服務主要是面對產品的可靠性和應用培訓中產生的問題進行服務，這種服務結構總體來說是靜態(tài)的，是完全預期的。不能提供客戶化和可信性服務的安全企業(yè)必將要喪失其客戶群或市場領地。如何做到讓用戶對企業(yè)提供的安全產品與系統(tǒng)具有可信性認可是信息化安全服務極其重要的問題。這種客戶化要求不僅僅是由于不同行業(yè)與領域對信息化安全的要求不同，而且面對的威脅性質也可能不同，更重要的是信息化安全責任與效益也要求有針對性的服務。信息化安全服務的主體性、客戶性和可信性。信息化安全產品與系統(tǒng)不是孤立存在和使用的，產品與系統(tǒng)使用的好壞及其效果與它們所處環(huán)境密切相關。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業(yè)，也是最困難的服務業(yè)。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統(tǒng)，其服務的綜合性和復雜性是顯而易見的。一般應用系統(tǒng)或產品的服務主要是維護和培訓，通常服務是非對策性的、非動態(tài)的和比較固定的。信息化安全的基本特征是服務性的。為了解決用戶關注的安全問題，信息安全企業(yè)應當對公共網絡可信接入專用網絡的服務、信息客體在網絡中傳輸?shù)陌踩Ｕ稀撕灺酚膳c交換通信、信息安全標簽、無第三方認證密鑰管理和活性客體傳輸機制等提供服務和支持。在國家和基礎設施關注的信息化安全得到了普遍的重視，但是在中國還要特別注意關注普通百姓的信息化安全問題，尤其關系到政府、企業(yè)面對社會的服務系統(tǒng)要特別注意安全問題，在一個越來越重視人權、民主的現(xiàn)代社會里，應當?shù)玫教貏e的重視，否則會面對嚴重的社會問題和法律問題。用戶關注的安全主要是：隱私防護、權益維護、信息安全和可信接入等問題。在企業(yè)進行業(yè)務與技術組織體系結構調整時，要區(qū)別技術保障部門和風險監(jiān)管部門的差別。在數(shù)據與系統(tǒng)（軟硬件、網絡等）安全保障上能夠做到具有安全防護，便于安全管理，不僅進行了局域網范圍的安全保障建設，同時也考慮“大范圍的網絡環(huán)境的”安全建設。近10年來開展的信息化安全建設主要是針對技術支持部門關注的網絡與系統(tǒng)的安全問題，也是專家們關注的安全問題，主要包括計算機病毒、黑客入侵、非法訪問、蓄意代碼等網絡攻擊事件引起的安全問題。所以，企業(yè)應當關注業(yè)務運營系統(tǒng)安全建設。當現(xiàn)代企業(yè)領導人在不認識信息化對企業(yè)提高企業(yè)競爭能力幫助，不明確適合信息化的業(yè)務與技術組織體系結構和信息化可能帶來的負面的作用有方案能夠抑制（例如企業(yè)知識產權和企業(yè)員工在上班時間做非預期的工作）之前，有見識的企業(yè)領導人是不會匆忙上信息化的。運營商通過實施領域信息化安全標準（例如互操作性、安全性和服務性的用戶標準體系）和技術法規(guī)，來體現(xiàn)出對國家關注的網絡行為、內容安全、安全生產、業(yè)務連續(xù)性服務、網絡安全問題和用戶關注的安全問題的解決，同時接受國家和領域對安全問題的監(jiān)管。有些企業(yè)提供的信息化產品與技術，不包括信息化安全方面的內容，提出信息化安全要求后，這些企業(yè)認為增加了企業(yè)的成本或者喪失競爭優(yōu)勢，游說領域主管部門，安全建設影響了他們的發(fā)展目標和企業(yè)的利益。為了解決這些問題，有時又必須采取迂回的方法，通過不斷地溝通和創(chuàng)造變化的條件取得認識上進步。一個領域的信息化安全發(fā)展事業(yè)被許多部門與人的利益所污染和損害。信息化安全問題的敏感性與許多部門負責人的工作業(yè)績相關。雖然這些觀點是正確的，但是對于具體指導信息化安全建設是不夠的。有許多領域對其發(fā)展與安全之間的關系認識不清，認為關注信息化安全建設，影響了領域的發(fā)展。當前，領域管理部門要特別關注包括安全標簽在內的技術法規(guī)和領域標準制定工作。領域主管部門還應當十分關注領域范圍內市場秩序的建立。目前在這方面管理尚沒有統(tǒng)一管理條例和制度之前，各政府部門可以考慮制定自己的管理條例。我國政府負責安全工作的部門對于密碼、涉密網絡與公共網絡隔離、對信息化安全技術、產品和服務進行測評認證和市場準入應當理解為代表國家提出的安全要求。國家領導人對信息化安全高度重視，對各領域信息化安全建設起到了巨大的推動作用。國家領導人關注國家主權意義上的受到侵害的網絡行為、網絡犯罪和網絡恐怖主義行為，尤其是那些危害國家安全、社會穩(wěn)定和文化侵蝕等方面的內容安全。需要特別注意的問題是國外在中國信息化安全市場提供安全產品，主要是從用戶角度考慮的，在中國信息化安全市場中通常沒有從國家、領域安全考慮的高水平的安全產品，尤其是平臺化的國外產品。開辟新的市場領域需要做多方面的準備，需要幫助用戶了解這個新的市場的需求，同時，企業(yè)也需要做細致的技術準備，開發(fā)新的產品，提供新的深化服務。這種信息化安全需求不同方面的考慮，一方面是由于關注的威脅和風險不同，另一方面是由于關注的安全價值不相同。第二章 信息安全產業(yè)市場情況概述、系統(tǒng)地認識信息化的