因特网已遍及世界180多个国家,容纳了60多万个网络,接入了22多万台主机,为1亿多用户提供了多样化的网络与信息服务。在因特网上,除了原来的电子邮件、新闻等通信技术都在不断地发展与完善。在信息化社会中,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。
随着网络的开放性、共享性、互连程度的扩大,特别是因特网的出现,网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如,电子商务、电子现金、数字货币、网络银行等,以及各种专用网的建设,比如金融网等,使得网络与信息系统的安全与保密问题显得越来越重要,成了关键之所在。信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。
然而,伴随着信息产业发展而产生的互联网和网络信息的安全问题,也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前,全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题。
首先,国际标准化机构在信息系统安全全面从事了大量的工作,让我们看看在信息系统领域发生的一些重大事件。1985年,DoD 5200.28-STD,即可信计算机系统评测标准(TCSEC)(美国国防部桔皮书,以下简称DOD85评测标准),为计算机安全产品的评测提供了测试和方法,指导信息安全产品的制造和应用。1987年,美国国家计算机安全中心(NCSC)为TCSEC桔皮书提出可依赖网络解释(TNI),通常被称作红皮书。1991年,美国国家计算机安全中心(NCSC)为TCSEC桔皮书提出可依赖数据库管理系统解释(TDI)。
从90年代开始,由于Internet技术广泛的应用,“黑客”活动日益猖獗,信息系统安全提出了许多新的问题,信息系统安全领域呼吁修改DoD585的桔皮书,美国颁新的联邦评测标准(FC)草案,用以代替80年代颁布的桔皮书。
在上述标准的基础上,美国、加拿大和欧洲联合研制CC(信息技术安全评测公共标准),并于1994年颁布0.9版,于1996年颁布了1.0版。在欧洲,英国、荷兰和法国带头,欧洲开始联合研制欧洲共同的安全评测标准,并于1991年颁布ITSEC(信息技术安全标准)。1993年,加拿大颁布CTCPEC(加拿大可信计算机产品评测标准)。1993年,美国国防部国防信息系统局又提出在C4I系统(Command,Control,Communication,Computer,and Intellignce system)上采用多级安全(MLS)技术与概念。在美国,信息和信息系统是由总统亲自领导的,投入力度相当可观。美国已经颁布了《计算机安全法》,日本也颁布了《反黑客法》。国际间的合作也已开始进行,2000年5月,在法国巴黎举行的《政府机构和私营部门关于网络空间安全和信任对话》会议,就是世界上首次以打击网络犯罪为主要内容的国际性会议。
其次,我们再来看看各大公司,特别是一些大的跨国公司在信息和信息系统安全方面推出的技术和产品。例如:
SUN公司也有高安全级(B1级)的Solaris操作系统,通过了ITSEC的认证。有防火墙技术产品。
MICROSOFT公司的INTERNET软件发现了一些漏洞,最近改进了这些软件。MICROSOFT公司提出了INTERNET网络安全框架(MISF),得到了许多公司的支持,Windows NT4.0提供安全开发API,其提供C2级的安全软件集合。出厂时,已经接受ISS与SATAN的安全测试的一般攻击测试。但是,没有通过TCSEC的评测,正在进行ITSEC的评测。
ORACLE公司的安全数据库是Trusted Oracle,是B2产品,在美国是用于军方的产品。还有B1级的ORACLE产品,通过了TCSEC和ITSEC的评测。
Sybase公司的安全数据库是Secure SQL Server,其安全级别为B1级,也是美国军方使用的产品, 曾在海湾战争中使用过。
RSA公司,以色列在美国注册的安全技术公司,面向多平台,提供各类安全软硬件系统。RSA在安全方面提出了S/WAN标准。
NAI(美国网络联盟)推出防火墙、黑客测试、监控软件和信息加密软件,是在安全领域较大的公司。
在国内,信息系统安全方面的建设可以追溯到“七五”与“八五”期间,我国在信息加密、解密、密钥芯片、密钥管理等方面有所研究,到了90年代,在信息安全的传统思路上,科学院成立了信息安全技术工程研究中心,主要从事上述技术中加密与解密的研究工作。但是,所有这些主要停留在传统的信息安全的概念上,对系统的安全重视不够。从“七五”开始到“九五”期间,信息产业部15所(太有计算机公)在网络安全方面进行了科研工作。在信息产业部15所在“九五”期间正在进行UNIX操作系统的安全研究工作,于1998年验收和鉴定了自主开发的UNIX操作系统B1级安全核开发工作。同时在太极联合实验室, 启动了与国际水平接轨的网络和系统的安全测试、管理和监控软件的自主开发。太极计算机公司研制成功了自主开发系列服务器产品、ATM网络接入交换设备、1000兆以太网络、100兆自适应网络接口设备、安全路由器以及分布式防火墙。这些产品已经应用于政府要害单位的系统中。另外,中国软件与服务总公司在“八五”期间开发了具有自主版权的UNIX操作系统。在北京信息工程学院,东大软件园区,人民大学信息学院等单位开发了自主版权的数据库管理系统。
近年来,国家有关部门逐步重视网络信息安全问题,建立了相应的机构,发布了有关的法规,以加强对网络信息安全的管理。2000年1月,国家保密局发布的《计算机信息系统国际联网保密管理规定》已开始实施;2000年3月,中国国家信息安全测评认证中心计算机测评中心宣告成立;2000年4月,公安部发布了《计算机病毒防治管理办法》;2000年7月,我国第一个国家信息安全产业基地在四川省成都高新技术产业开发区奠基;2000年10月,信息产业部成立了网络安全应急协调小组,国家计算机网络与信息安全管理工作办公室主办了“计算机网络应急工作企业级研讨会”,这一切都反映出我国对计算机网络与信息安全的高度重视,以及努力推动我国信息安全产业发展、提高我国信息安全技术水平的决心。
近两年安全软件的市场一直保持着较大幅度的增长率,1999年国内安全软件的销售额为4.55亿元,于1998年相比市场增长率为33.8%,其增长速度明显高于软件整体市场的增长率。2000年下半年起,安全产品市场快速启动。根据统计,2000年,我国网络安全软件市场保持了良好的增长态势,销售总额达7.1亿元,比1999年增长56%,远远高于软件总体市场30.7%的增长率。从产品结构看,杀病毒软件和防火墙是2000年网络安全软件市场中主要的安全产品,二者占据了网络安全软件市场份额的70.4%,而安全认证、信息加密等产品的市场份额相对较小,但随着今后国家各行业信息化建设对于网络安全整体解决方案需求的增加,将会有较大的增长。据估计,2001年,预计全年网络安全产品市场销售额将达到11亿元。
目前,在网络安全产品的研制和开发方面,我国每三天就有一家安全公司成立,我国一些比较知名的IT公司也纷纷开始开发安全产品,例如东大阿尔派、联想、高阳信安、紫光、中科网威、天网、天融信、实达朗新、海信等都有了自己开发的防火墙。国外网络安全厂商也纷纷涌入我国,并采取各种手段,以扩大国内市场份额。
与国内产品相比,国外防火墙产品优势在于技术成熟、知名度高,因此在国内高端防火墙市场中,国外产品始终占据优势。金融、电信、大型ISP、除特殊部门外的大部分行业用户一般都选用了国外防火墙产品。当然,借助于本地化优势,国内防火墙厂商也有着相当大的发展机会,北京天融信技贸有限责任公司和北京清华得实网络安全技术有限公司在市场上异军突起,迅速形成自己的品牌并站稳脚跟。
在网络入侵检测领域,国外早已开展了早期预警系统及入侵检测技术的研究,在一些重要的政治、军事和经济网络上,对非法入侵实施监控,同时,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的防护体系。这些系统在保障网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方面发挥着重要的作用。我国在这些技术上起步相对较晚,1999年从事入侵检测的厂家还不多,随着2000年网络安全风起云涌,出现了很多开发扫描器和入侵检测软件的公司。目前国外厂商在市场上占据了较大优势。
从网络经济发展对网络安全产品带来的需求看,防火墙、杀病毒、信息加密、入侵检测、安全认证等产品市场将具有巨大的市场前景,其中防火墙和高端的杀毒软件将占据市场的主要份额;同时,现有对网络进行被动防守的做法,将逐渐向网络主动检测和防御的技术方向发展。而入侵监测系统则是适应这种发展趋势的一种主动的网络安全防护措施,因此预计其需求量将成快速增长趋势。
2000年,还出现了一些专门做信息安全服务的厂商,如北京中联绿盟公司提出,要通过提供远程渗透检测、全面安全检测、应用程序安全审计、整体安全顾问、安全外包、培训、紧急响应、远程集中监控、安全产品检测等项目为用户提供全方位的安全服务。目前,我国网络安全产品市场已进入激烈的竞争阶段,各厂商竞争的主要手段已覆盖了产品、技术、价格、渠道、服务等各个方面,他们的目的都是为了将产品从单一扩展到全面,这已经成了网络安全厂商谋求长期发展的一种重要策略。据公安部统计的资料,截至2000年9月底,在我国从事计算机信息系统安全产品研究开发、生产的企业,已达到230家,已经领取销售许可证的安全专用产品达335个。国内网络安全产品线已相对齐全,国内外厂商的产品已能够提供保障网络安全的防病毒、防火墙、入侵检测和安全评估、信息加密、安全认证以及网络安全整体解决方案等全系列产品。全国信息安全产品的产业化已经有了一个良好的开端