全球信息安全生态一瞥.docVIP

全球信息安全生态一瞥 　　2013年，“棱镜计划”的曝光使得美国政府及其合作企业假以国家安全为由，在全球范围内展开的网络攻击、信息窃听围猎行为得以败露；叙利亚内战中由双方黑客参与的网络空间攻防再次证明，信息安全已经成为现代化战争的重要组成；CISCO、D-Link、Tenda等多家主流路由器厂商产品后门披露引发网络安全恐慌；“Heartbleed”大型安全漏洞浮出水面，数亿用户面临安全风险…… 　　伴随着这一系列事件和全球信息化进程的推进、新信息技术的应用，以及全球网络犯罪与攻击行为的蔓延，政府、企业和个人都表现出对信息安全的极大关注。各国政府都在加强网络监管，企业在信息安全体系建设上的投资不断增加，加强数据安全和隐私保护并提升IT基础设施防御能力成为全球信息安全产品的主流。 　　目前，全球各个国家将对信息安全建设的重视上升到国家安全军备竞争的高度，促使全球范围内的信息安全产业得以快速发展。信息安全上升到经济安全、社会安全和国家安全层面，美国、欧盟、俄罗斯、日本、中国等持续加强信息安全软硬件和安全服务的投资。全球信息安全产业的竞争已经超越传统产业的范畴，加快信息安全产业发展是国家信息安全保障体系建设工作的一项重要任务，是保证信息化建设健康推进的基本要求。 　　信息安全投入不断增强 　　世界上多数国家都将网络空间视为发展重点，高度重视加强网络战的攻防实力，发展各自的“网络威慑”能力，网络空间已经成为领土、领海、领空和太空之外的第五空间。 　　首先，世界各国都在加快组建网络部队，已经有美国、俄罗斯、以色列、伊朗、韩国等将近46个国家成立了网络部队，并且在逐步扩大网络部队的规模。其次，世界各国不断增加网络武器、网络安全人才等方面的投入。最后，各国不断加强网络演习，以提高网络对抗实战能力。 　　从资金投入上来看，美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元，主要用于新一代网络武器研发方面，北约C3局（NC3A）于2012年3月份签署了合同价值约5800万欧元的网络防御投资计划，韩国于2012年投入19亿韩元启动“白色黑客”计划以培养网络安全人员。 　　各国纷纷建立信息安全生态体系 　　全世界主要国家和地区已经就信息安全着力构建了各自的生态系统，在关键技术、行业标准、评估认证体系方面都有很多切实行动。 　　总体看来，美国已经建立了较为完善的信息安全保障体系：信息安全技术体系、信息安全法律体系、信息安全防御体系、主管机构管理体系。美国有众多政府部门可以获得信息安全建设的相关资助，受资助单位包括美国国防部高级研究计划局、美国国家安全局、NSF、美国海军等。美国在多个领域拥有关键技术，如防火墙、入侵检测系统、容错网络、公钥密码等。此外，美国拥有一大批技术水平领先的IT企业/信息安全厂商，如思科、IBM、MS、McAfee、EMC/RSA、赛门铁克、Juniper等。 　　英国拥有多项国际标准，如英国BS7799标准（国际信息安全管理标准体系）已成为国际标准，并主导ISO/IEC 27000（信息安全管理系统标准族）系列标准。英国建立了完善的信息安全评估与认证体系，如由英国贸工部和通信电子安全局建立的UKITSEC体系。CESC评估机构是拥有独立管理权的信息安全评估中心，它可以帮助网络设备厂商与政府和国家安全机构一起制定相关安全保障措施。此外，英国还拥有健全的信息安全法律保障体系，如《计算机滥用法》《调查权力规范法》《电子通信法案》《电子签名法》等。 　　欧盟也积极建立信息安全战略体系，希望通过重大信息基础设施保护战略，来应对任何网络攻击和入侵。其战略重点是准备和预防、监测和响应、减灾和灾后恢复、推动国际和欧盟范围内的合作，以及树立ICT部门的标准。在信息安全管理机构体系方面，欧盟成立了欧洲信息安全局，用于收集、分析成员国信息和向欧盟委员会提供分析结果，提供相关咨询和帮助，增强合作，并协助欧盟与工业界对话，跟踪信息安全相关产品和服务标准的发展状况等。此外，欧盟还不断推动信息安全法规体系的完善，通过颁布决议、指令、建议、条例等组成法律框架，目前已经出台了《信息安全框架决议》、《关于打击信息系统犯罪的欧盟委员会框架决议》等法规。 　　俄罗斯具备全面的联邦信息安全立法体系：以《俄罗斯联邦宪法》为立法依据，以《信息、信息技术和信息保护法》为立法基础，以系列纲领性文件为立法的政策指导和理论依托，以具体的法律规范为立法支撑，以国际合作作为信息安全立法视角。俄罗斯在信息安全建设方面的特点是，信息安全法制观念强，重视纲领性文件的制定，及时修订现行法律，重视加强国际合作。至于信息安全技术体系，俄罗斯在信息安全技术上坚持自主创新、自成体系，强调数学模型与论证发挥自动控制理论的作用，注重芯片和操作系统的研发。其密