国内外信息安全现状研究分析

【 摘 要 】 通过课题对国内外信息安全现状的研究分析，为我国信息安全体系的规划和建立提供借鉴和帮助，为我国建立科学、完善、规范的信息安全体系提供一些参考意见。

【 关键词 】 信息安全；规划；规范；完善；信息系统

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在当今全球一体化的环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势，世界各国高度重视信息安全保障。2015年已然过半，在安全行业，不同规模的攻击者，无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善，信息保障已成为美军组织实施信息化作战的指导思想。

国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有几个：ISO（国际标准化组织）、IEC（国际电工委员会）、ITU（国际电信联盟）、IETF（Internet工程任务组）等。除了上述标准组织，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。

2 国外IT新技术信息安全

随着全球信息化浪潮的不断推进，信息技术正在经历一场新的革命，使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现，对信息安全提出了新的要求，拓展了信息安全产业的发展空间。同时，新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度，催生云安全等新的信息安全应用领域，为国外企业与国际同步发展提供了契机。

2.1 云计算

“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险：（1）数据丢失/泄漏；（2）共享技术漏洞；（3）内部控制；（4）账户、服务和通信劫持；（5）不安全的应用程序接口；（6）没有正确运用云计算；（7）透明度问题。

2.2 虚拟化

咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位，而在2014年初预测中，更是大胆断言到2015年20%的企业将不再拥有IT资产，因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产，这些趋势主要是虚拟化、云计算服务等。而虚拟化技术，作为云计算的一个支撑技术，必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少，但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类：逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。

2.3 物联网

物联网和互联网一样，都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相关特点造成的，这些特殊的安全问题主要有几个方面：（l）物联网机器/感知节点的本地安全问题；（2）感知网络的传输与信息安全问题；（3）核心网络的传输与信息安全问题；（4）物联网应用的安全问题。

2.4 IPv6

为适应Intemet的迅速发展及对网络安全性的需要，由IETF（The Internet Engineer Task Force）建议制定的下一代网际协议（IPNextGeneration Protocol，IPng），又被称为IP版本6（1Pv6），除了扩展到128位地址来解决地址匮乏外，在网络安全上也做了多项改进，可以有效地提高网络的安全性。

由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。

3 国外信息安全发展趋势

据Gartner分析，当前国际大型企业在信息安全领域主要有几个发展趋势：（1） 信息安全投资从基础架构向应用系统转移；（2）信息安全的重心从技术向管理转移；（3）信息安全管理与企业风险管理、内控体系建设的结合日益紧密；（4）信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势，国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型，着力建立全面的企业信息安全体系架构，使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。

4 国外信息安全总结

信息安全在国外已经上升到了国家战略层次，国外的信息安全总体发展领先于国内，特别是欧美，研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多，都有其适用范围和缺点，并不完全符合我国现状，可选取框架的先进理念和组成部分为我国所用，如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。

5 国内信息安全综述

目前，国家开始高度重视信息安全问题，以等级保护和分级保护工作为主要手段，加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态，信息与网络安全，目前处于忙于封堵现有信息系统的安全漏洞，要解决这 些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。

6 国内信息安全标准

国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）、中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。

在信息安全标准方面，我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准，初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。

7 国内IT新技术信息安全

7.1 云计算

目前我国的云计算应用还处于初始阶段，关注的重点是数据中心建设、虚拟化技术方面，因此，我国的云安全技术多数集中在虚拟化安全方面，对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案，但云安全仍处于起步阶段，除了可能发生的大规模计算资源的系统故障外，云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。

7.2 虚拟化

由于虚拟化技术能够通过服务器整合而显著降低投资成本，并通过构建内部云和外部云节省大量的运营成本，因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实：存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面，企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步，发展势头比之前预想的还要迅猛。

7.3 IPv6

我国IPv6标准整体上仍处于跟随国际标准的地位，IPv6标准进展与国际标准基本一致，在过渡类标准方面有所创新（如软线技术标准和 IVI技术标准等），已进入国际标准。中国运营企业在IPv6网络的发展，奠定了中国在世界范围内IPv6领域的地位，积累了一定的运营经验。但总体来看，我国IPv6运营业发展缓慢，主要体现在IPv6网络集中在骨干网层面，向边缘网络延伸不足，难以为IPv6特色业务的开发和规模商用提供有效平台。此外，由于运营企业积极申请IPv4地址，或采用私有地址，对于发展IPv6用户并不积极，直接影响了其他产业环节的IPv6投入力度。

8 国内信息安全发展趋势

随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增，应用安全日益受到关注，主动防御技术成为信息安全技术发展的重点。

第一，向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御，产品功能集成化、系统化趋势明显，功能越来越丰富，性能不断提高；产品问自适应联动防护、综合防御水平不断提高。

第二，向网络化、智能化方向发展。计算技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和服务的平台，对高效防范和综合治理的要求日益提高，信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。

第三，向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为发展重点。

9 国内信息安全总结

国内的信息安全较国外有一定距离，不过也正在快速赶上，国内现在以等级保护体系和分级保护体系为主要手段，以保护重点为特点，强制实施以提高对重点系统和设施的信息安全保障水平，国内的信息安全标准通过引进和消化也已经初步成了体系，我国在规划时，需考虑合规因素，如等级保护和分级保护。国内的信息安全体系框架较少，主要是等级保护和分级保护，也有国内专家个人推崇的框架，总体来讲，以合规为主要目的。

参考资料

[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.

[2] 公安部，国家保密局，国家密码管理局，国务院信息化工作办公室.信息安全等级保护管理办法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

作者简介：

林琳（1975-），男，吉林人，北京大学，研究生，硕士学位，专利局自动化部信息安全处，副调研员，多年从事信息化工作，参与论证实施了局内多个信息化系统；主要研究方向和关注领域：信息化系统。