第七章 终端安全重要性.doc

终端安全的重要性 信息安全发展趋势 安全需求由单纯防外向内外兼防转化 近年来，随着信息化建设的不断深入及不断发展，信息安全正面临日益严峻的挑战。外部风险的日益增高，网络攻击事件频发，而相应的防范技术与设备也越来越明细，如防火墙、IDS等等，在这里就不做过多的解释。对比之下，内部风险控制则急待加强。受个人经济利益诱惑，内部人员在系统开发和维护过程中，越权访问，窃取敏感信息或者侵吞公共利益，也包括大家在网上经常可以看到的私家侦探等等，这些各种形式的诱惑，使我们清晰地认识到内部威胁正在逐渐加大。 根据国际安全界的统计，每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等，对于内部用户攻击和威胁事件则往往无能为力。 在第十七次中国计算机安全年会上，专家同样指出大部分网络风险和威胁是来自内部，建立和加强“内部人”网络行为监控与审计并进行责任认定，是网络安全建设重点内容之一。最近，美国《信息周刊》联合《电脑商情报》等全球合作伙伴进行“全球信息安全调研”，全球40多个国家的7000多名IT专业人士参加了本次调研。调研结果表明：信息系统受到攻击的最大总量来自恶意代码和与企业有密切联系的个人的非法使用。中国在电子邮件、资源使用和电话使用中对内部人的监测都不及北美。资料显示：中国只有11%的网络注重对内部网络行为的监控与审计，而且多为制度监管。而在美国这一数值达到23%，并多为技术监管。起到完整的责任认定体系和绝大部分授权功能的审计监控体系对控制“内部人”风险起到有效的防范作用，是未来安全市场发展的主流。 国家对信息安全有明显的政策导向 国家注重信息安全产业的发展等政策的倾斜，对产业的引导促进作用日益显著，一是产业政策与标准先行：国家先认识到信息安全的重要性，制定了等级保护标准和关于促进信息安全产业的办法等政策，问题驱动和政策驱动使得产业获得了良好的政策环境和清晰的产业方向。二是需求与专项推动：各级政府在政府采购、专项支出方面，都就信息安全产业尤其是自有知识产权产品都给予了很多政策倾斜。 国家信息安全政策 党的十六大确定了“以信息化带动工业化，以工业化推动信息化，从而全面实现现代化”的基本战略。进入21世纪，信息化对经济社会发展的影响更加深刻。信息化与经济全球化相互交织，推动着全球产业分工深化和经济结构调整，重塑着全球经济竞争格局。 针对我国信息化的情况，国家在2003年颁布了27号文件，首次明确规定了我国的信息安全的战略目标是建设国家信息安全保障体系，总体战略方针是积极防御和综合防范。文件还同时规定基础性和支撑性的工作一共是八项，其中比较重要的一项是等级保护制度。 2004年，国家提出了66号文件（即《关于信息安全等级保护工作的实施意见》）。66号文件把等级保护确认为国家信息安全的基本制度和根本方法，把等级保护提到一个新的高度。66号文件描述了等级保护的实施方法、原则分工和计划等。 2007年公布了861号文件（《关于开展全国重要信息系统安全等级保护定级工作的通知》），明确了电子政务范围内的等级保护的具体的操作，包括模型、原理方法和流程等工作。 2009年10月，国家提出了《关于开展信息安全等级保护安全建设整改工作的指导意见》，在该文件中进一步提出了对等级保护工作的要求。 国家信息安全专项 除了上述国家政策外，科技部正式公布了关于“核心电子器件、高端通用芯片及基础软件产品”也就是“核高基”的科技重大专项课题申报的通知。这是2006年国务院发布的《国家中长期科学和技术发展规划纲要(2006-2020年)》中与载人航天、探月工程并列的16个重大科技专项之一预计总投入将超过1000亿元。其中，基础软件是操作系统、数据库和中间件的统称。“核高基”的适时出现，犹如助推器，给了基础软件更强劲的发展支持力量无异于给中国软件市场打了一记强心针，增添了信心。2007年6月，公安部、国家保密局等四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》2008年11月中旬，国家发展改革委下发了《国家发展改革委办公厅关于组织实施2009年信息安全专项有关事项的通知》（发改办高技[2008]2494号)，目的是贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和《国家信息安全“十一五”规划》（国信安[2007]2号）的工作部署。在为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化中，明确重点支持服务器与终端安全产品的产业化。 2010年3月，国家发展改革委下发了《国家发展改革委办公厅关于组织实施2010年信息安全专项有关事项的通知》（发改办高技[2010]549号)，旨在贯彻落实2006-2020年国家信息