国家信息化专家咨询委员会委员 沈昌祥 院士

        国家信息化领导小组第三次会议7月22日下午在北京召开。中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话。会议讨论了《关于加强信息安全保障工作的意见》，听取了国家信息办关于电子政务建设的工作汇报。中共中央政治局常委、国务院副总理、国家信息化领导小组副组长黄菊，中共中央政治局委员、国家信息化领导小组副组长刘云山、曾培炎、周永康出席会议。

        会议在要做好的五个结合中强调：保障信息安全和促进信息化发展相结合。当前要着力抓好四个方面的工作，其中第四个方面是切实加强信息安全保障工作。坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。

一、当前信息安全系统存在的问题

        当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成，这些安全手段是从互联网（Internet）中共享信息服务和电子商务的平等交易等的安全需求中假定而来的，它的前提是用户不确定、没有一个明确的边界。

       常规的安全手段只能是以共享信息资源为中心在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的；对共享源的访问者源端不加控制；操作系统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决；恶意用户的手段越来越高明，防护者只能：防火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大。从而导致误报率增多、安全投入不断增加、维护与管理更加复杂和难以实施以及信息系统的使用效率大大降低。

        对安全问题的反思：采取的方法是堵漏洞、作高墙、防外攻等老三样，但最终的结果是防不胜防。产生这种局面的主要原因：不去控制发生不安全问题的根源，而在外围进行封堵。所有的入侵攻击都是从PC终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏；注入病毒也是从终端发起的，病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播；更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故。

        其实现在的不安全问题都是PC机结构和操作系统不安全引起的 。如果从终端操作平台实施高等级防范，这些不安全因素将从终端源头被控制。这种情况在工作流程相对固定的生产系统显得更为重要而可行。

        以我国电子政务网为例：

        政务内网是涉密网，处理涉及国家秘密事务；政务外网是非涉密网，是政府的业务专网，主要运营政府部门面向社会的专业性服务和不需要在内网运行的业务；政务内网与政务外网物理隔离，政务外网与Internet逻辑隔离。在电子政务的内外网中，要处理的工作流程都是预先设计好的，操作使用的角色是确定的，应用范围和边界都是明确的，这类工作流程相对固定的生产系统与Internet网是有隔离措施的，外部网络的用户很难侵入到内部网络来，防内为主、内外兼防、狠抓终端源头安全。

         据2002年美国FBI统计，83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。因此我们应该以 "防内为主、内外兼防、狠抓终端源头安全"的模式，构筑全面高效的安全防护系统。在安全问题上应该：追源头、练内功、控使用、防内患、积极防御。

二、可信赖计算

        为了解决PC机结构上的不安全，从根本上提高其安全性，在世界范围内推行可信计算技术。1999年由Compaq、HP、IBM、Intel和 Microsoft牵头组织TCPA( Trusted Computing Platform Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上增强其安全性，2001年1月发布了标准规范（v1.1），2003年3月改组为TCG(Trusted Computing Group)，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心（如图1所示）

具有以下功能：

        确保用户唯一身份、权限、工作空间的完整性/可用性；确保存储、处理、传输的机密性/完整性；确保硬件环境配置、操作系统内核、服务及应用程序的完整性；确保密钥操作和存储的安全；确保系统具有免疫能力，从根本上防止病毒和黑客。

        安全操作系统是可信计算终端平台的核心和基础，没有安全的操作系统，就没有安全的应用。操作系统中任何微小的纰漏将会造成整个信息系统的灾难。

三、安全技术保障框架

    对工作流程相对固定的生产系统，信息系统主要由应用操作、共享服务和网络通信三个环节组成。如果信息系统中每一个使用者都是经过认证和授权的，其操作都是符合规定的，网络上也不会被窃听和插入，那么就不会产生攻击性的事故，就能保证整个信息系统的安全。

    可信终端确保用户的合法性和资源的一致性，使用户只能按照规定的权限和访问控制规则进行操作，能做到什么样权限级别的人只能做与其身份规定的访问操作，只要控制规则是合理的，那么整个信息系统资源访问过程是安全的。可信终端奠定了系统安全的基础。

    安全边界设备（如VPN安全网关等）具有身份认证和安全审计功能，将共享服务器（如数据库服务器、WEB服务器、邮件服务器等）与非法访问者隔离，防止意外的非授权用户的访问（如非法接入的非可信终端）。这样共享服务端主要增强其可靠性，如双机备份、容错、灾难恢复等，而不必作繁重的访问控制，从而减轻服务器的压力，以防拒绝服务攻击。

    采用IPSec 实现网络通信全程安全保密。IPSec工作在操作系统内核，速度快，几乎可以达到线速处理，可以实现源到目的端的全程通信安全保护，确保传输连接的真实性和数据的机密性、一致性 ，防止非法的窃听和插入。

    综上所述，可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网络通信，构成了工作流程相对固定的生产系统的信息安全保障框架。（如图2所示）

    要实现上述终端、边界和通信有效的全保障，还需要授权管理的管理中心以及可信配置的密码管理中心的支撑。从技术层面上可以分为以下五个环节：应用环境安全、应用区域边界安全、网络和通信传输安全、安全管理中心、密码管理中心，即：两个中心支持下的三重保障体系结构。

    对于复杂系统构成三纵（公共区域、专用区域、涉密区域）三横（应用环境、应用区域边界、网络通信）和两个中心的安全防御框架。（如图3所示）

应用环境安全：

     包括单机、C/S、B/S模式，采用身份认证、访问控制、密码加密、安全审计等机制，构成可信应用环境

应用区域边界安全：

     通过部署边界保护措施控制对内部局域网的访问，实现局域网与广域网之间的安全。采用安全网关、防火墙等隔离过滤机制，保护共享资源的可信连接

 网络和通信传输安全：

    包括实现局域网互联过程的安全，旨在确保通信的机密性、一致性和可用性。采用密码加密、完整性校验和实体鉴别等机制，实现可信连接和安全通信

安全管理中心：

    提供认证、授权、实施访问控制策略等 服务

密码管理中心：

    提供互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系统提供密码服务

四、结 束 语

    目前我国信息安全建设正处在一个关键时期，我们必须把握住正确的研究方向，制定相应的发展战略，走符合我国国情的发展道路，利用国际先进技术，开发安全高效、简洁廉价，具有自主知识产权的信息安全产品，从而满足我国各行各业的迫切需要，促进我国信息安全事业的发展。