信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的象征,是未来国际竞争的“杀手锏”。信息安全产品是技术安全防护的物质基础和主要手段,是建立安全信息系统的必不可少的环节,没有信息系统安全产品,就不可能建立安全信息系统。信息安全产业落后,不能自主生产所需的安全产品,将直接威胁国家、民族的安危。当前,我国正在加快国民经济和社会信息化进程,急需要有足够的国家自主的信息安全产品,为发展信息安全提供了大好的机遇。抓住机遇,加快我国信息安全产业的发展是当务之急。
1、 信息安全产业是战略性核心产业
信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,世界各国都给以极大的关注和投入,优先发展信息安全产业。
我国大量建设的各种信息化系统已逐步成为国家关键基础设施,其中电信、电子商务、金融业务等许多网络要与国际接轨,如果没有良好的信息安全屏障,将全方位地危机我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。因此,用我国信息安全产业的产品构筑牢固的信息安全屏障,是刻不容缓的战略任务。
2、 独立自主发展信息安全产业将有力推进国家信息化进程
我国信息化建设需要的大量基础设备依靠国外引进,引进的设备中的核心的芯片和系统内核逻辑编程都掌握在他人之手,无法保证我们的安全利用和有效监控。更为严重的是有些信息安全设备也直接引进国外一些低级别的安全产品,研究中揭示存在着许多缺陷,存在情报机构有意埋伏安全缺陷的可能。我国所建的信息系统防护能力很差,许多应用系统处于不设防状态,完全受制于人。由于我国的信息安全技术落后,目前还不能解决网络系统国家机密信息的安全保密问题。进口安全设备不仅不安全,而且高等级的安全产品国外禁止我们进口,因此建设的网络信息系统只能以行政手段,对使用做了种种限制,以防泄密,使信息系统不能充分发挥作用,严重制约着国家信息化的进程。走独立自主的发展道路,大力发展自主技术的信息安全产业,用自己的安全设备加强信息与网络的安全性,使信息系统建得安全、用得放心,这将有利推进国家信息化建设的进程。
3、 发展信息安全产业将促进其他信息产业发展
信息安全产业包括硬件、软件和相关技术,与其他信息产业产品密切相连,它将与通信、计算机、网络等产品更新换代融为一体,构成信息系统,同时安全的信息产品以集成电路为基础,组合成各种各样的安全电子元器件,应用于信息处理各个环节。另外,高安全等级的系统软件,如安全操作系统、安全数据库等,是重要的信息安全产品。信息安全产业发展势必带动一批信息产业突破性的发展,促进整个信息产业的发展。
全球信息化浪潮为信息安全产业提供了巨大的市场。世界有名的公司想方设法企图打入中国市场,由于信息安全产品的特殊性,国家有关法规保护国内市场,发展信息安全产业正面临一次难得的历史发展机遇。只要我们对策恰当,措施有力,充分利用已有的人才优势和巨大的国内市场,加强政府的主导和政策的扶持,完全有可能抓住当前有利时机,把我国的信息安全产业振兴起来。
二、 信息安全产业国外概况与我国存在的问题
1、 国外信息安全技术及产品发展情况
国际上信息安全研究起步早、力度大、积累多、应用广。80年代美国国防部基于军事计算机系统的保密需要,在70年代的基础理论研究成果计算机保密模型(Bell&LaPadula模型)的基础上,制定了“可信计算机系统安全评价准则”(TCSEC),其后又制定了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则,将计算机安全产品按从低到高的顺序分为四等八级:D、C1、C2、B1、B2、B3、A1、超A1。90年代初,美、法、德、荷四国联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)。今年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC),并于1999年5月正式颁布为ISO的国际标准。
随着国际互联网的广泛应用,电子商务的兴起,安全问题的日益突出,美国政府和国防部明确规定:必须将信息系统开发和建设总费用的百分之十以上,用于信息系统安全的建设,重要信息系统安全性等级要达到B1级以上。1997年和1999年克林顿两次亲自指令有关部门增加信息网络的安全保密技术开发费用,今后几年将再拨17亿至30亿美元用于信息系统安全产品开发。相应的信息安全产品迅速发展,如网络安全认证、防火墙、安全路由器、网络检测、系统风险分析、网络病毒防范和安全电子邮件等产品层出不穷,形成新兴的规模产业。据统计,美国具有一定规模的信息安全产品厂家约有450家,生产十大类2000余种安全产品,达到B1级至A1级的信息安全产品已有126种,美国信息安全产品年产值已达500亿美元。
欧洲各国尽管在信息技术上不如美国,但在信息安全技术和产业上却并不唯美国是从。瑞士一直将加密机产业作为其重要的产业支柱予以扶持。法国针对美国的网络上公开PGP加密软件的压力,更改了密码政策,鼓励法国公司开发高强度加密算法,并在IC卡、GSM等领域在欧共体框架内进行合作,共同抵制美国的密码政策。芬兰则利用其国内电信产业的市场优势,针对市场需求,将信息安全技术作为电信技术的增值服务加以支持,形成自成一体的安全产业。日本作为亚洲信息化程度最高的国家,十分重视自己信息安全产业的发展,早在90年代初就开发了自主操作系统内核和通用网络时代的加密算法。日本政府正对不久前多个政府网站被黑客攻击的事实,专门召开了与信息安全有关的省厅长会议,在推动自主信息安全产业方面提出了具体的措施,要求政府各部门使用高安全级的产品和技术,并逐步按照国际标准ISO15408的安全认证。
国外专家预计,21世纪前10年互联网络发展的主流是信息系统安全。国际市场非常活跃,国外商家千方百计想把低安全等级的产品打入中国市场。但高安全等级的产品,尤其是高保密度的密码产品严格限制流入中国。1998年12月3日,以美国为首的33个发达国家为了达到监控别国的目的,联合签署了《瓦瑟纳尔协议》。该协议以控制军备为理由,对较为先进的密码技术和设备严格控制外流,中国被列入最严格限制的国家和地区名单内。
2、 我国信息安全产业的现状
我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段,正在进入网络信息安全的研究阶段。通过学习、吸收、消化TCSEC的准则,进行了安全操作系统、多级安全数据库的研制,但由于系统安全内核受控于人,以及国外产品的不断更新升级,基于具体产品的增强安全功能的成果,难以保证没有漏洞,难以得到推广应用。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。国家还成立了有关信息安全评测认证机构,已有100多个产品进行了评测检验。但是,这些产品安全的完善性、规范性、实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在较大距离,产业化程度更不够。
随着国家信息化的推进,对信息安全产品和系统的需求越来越大。最近,中国人民银行做出决定,要求银行信息系统建设用于信息安全的投资不得小于总投资的15%。据统计,我国信息化建设投资达5000亿元人民币,按用于信息安全投资占总投资的5%计算,则需要有200亿元以上产值的产业规模,才能满足安全防护的需求。但是,我国目前信息安全产品总的来说,我国的信息安全研究起步晚,产业化投入少,力量分散,与技术先进国家有差距,自主的信息安全设备不能满足国家信息化的需求,国外高安全等级的安全产品对我国进行封锁禁售。然而我国的网络信息安全研究毕竟已具备了一定的基础和条件,尤其是作为信息安全的核心技术密码学研究方面积累较多,基础较好。随着国家对信息安全的重视程度提高,加大投入,恰当组织,可以取得实质性进展。目前已有不少研究单位和企业纷纷涉足信息安全技术研究和产品开发,形势喜人。尤其是1999年10月朱镕基总理签发了国务院273号令(《商用密码管理条例》),由国家密码管理机构负责对全国商用密码的管理工作,支持并引导商用密码产品的发展。目前在国家密码管理机构立项的以密码技术为主体的信息安全项目已达140项,承担单位近80个、通过技术鉴定的有38项,为信息产业发展奠定了一定的基础。
3、 影响我国信息安全产业发展的因素
我国信息安全产业的发展受多种因素的影响,主要表现为:
1) 全民信息安全意识欠缺,有些领导重视不够。
不少的信息系统建设时,只考虑如何发挥处理效能,没有安全防范意识,不愿把钱用在安全措施上,对信息安全产品需求不旺,主管部门检查不力。
2) 管理不规范,标准不统一。
信息安全产品是一种特殊的商品,应实行统一有效的控管。但是出现了多头管理的现象,没有形成有力支持服务于有关企业的体制,没有建立按统一的国家标准评测的体系,更没有相应的扶植政策。
3)缺乏有效的产业投入
信息安全产业发展需要资金投入,在进入市场初期,风险很大,国家缺少直接投入,切尚无利用风险投资支持其发展的机制,企业缺乏正当的投融资渠道,成果未能转化为产品,有的即使成为产品也难以形成市场规模。
4) 信息安全企业税负重
信息安全企业的投入主要是智力和人才资源,主要费用是研发开支,而这些费用在现行税制中没有合理计算智力投入的量化抵扣,税负重于其他工商企业,不利于国产信息安全产品的开发,销售和应用推广。
三、 信息安全产业化的发展思路、目标、重点和对策建议
产业主管部门要组织协调有关单位,根据我国实际情况,尽快制定出台信息安全产业发展政策,创造适合信息安全产业发展的环境;采用国际先进技术和创新机制,发展关键领域中的自主产品;调动各方面积极性,加强信息系统安全性,独立自主建立符合国情的信息安全产业体系。
1. 发展思路
1) 充分发挥政府的主导、先导作用,加强宏观调控。
制定适合信息化建设需要及符合信息安全产业特点的发展战略和政策,在投融资、税收、人才等方面提供良好的发展环境,在国家主导下,发挥研发单位和企业的积极性,促进信息安全产业发展。
2) 以法规形式明确信息安全设施适用范围和采购政策,以需求带动产业发展。
抓住全球数字化、网络化以及国家信息化的新机遇,大力拓宽安全产品应用范围。推动信息安全技术向其他信息产业的渗透于结合,狠抓发展网络通信和电子商务的安全产品、激励开发各行业信息系统安全产品,以安全需求驱动信息系统安全产品发展,以采购政策保护国家信息安全产品发展。
3) 抓住重点,自主渐进发展。
政府统筹规划,重点支持直接涉及国家安全的、急需的、以密码技术为基础的信息安全产品;安全软件和芯片设计融和,开发嵌入式安全部件,逐步改造和替换引进的国外安全系统和设备;加强研究开发,发展面向支持各种应用的信息安全产品和信息安全系统,形成自主的信息安全产品系列和产业体系。
4) 培育若干信息安全骨干企业和国产品牌产品。
在国家有关法律法规条例指导下,引导企业建立技术创新、市场创新和管理创新体制,抓住标准制定和质量保证两个环节,加速科研生产一体化进程,增强企业的产品开发、经营运行、资本运作与市场开拓能力,形成一批信息安全骨干企业和高安全等级的品牌信息安全系统及产品。
5) 坚持独立自主,创立新的安全体系。
坚持自主创新,建立确保国家经济与国防安全的安全体系,严格控制直接引进使用国外信息安全产品,努力引进具有国际最高水平的技术和产品。经分析、消化后吸取其精华,为我创新所用,逐步形成既能与国际主流相沟通,又能独立自成系统的安全体系结构。
2. 发展目标
1) 近期目标:到2005年,在涉及国家安全、政府办公自动化以及金融、财税,通讯、教育等关键领域采用自主版权的安全设备和系统,基本满足不同等级的安全保密要求,在重要的信息系统中,安全建设投资达到总建设投资的10-15%;在商用系统中,采用国家的安全产品和经过安全性增强的通用系统平台。形成10个以上安全产品销售收入过亿元的信息安全企业,力争达到超150亿元的信息安全产业规模。
2) 远期目标:经过十年左右时间,实现信息安全产业规模化生产、形成解决各种复杂系统安全问题的能力,为保障国家信息化安全提供全部设备和系统,形成一批具有国际一流水平的产品,使信息安全产业在信息产业中处于核心主导地位。
3. 发展重点
根据我国目前信息网络系统安全的薄弱环节,近几年应重点发展安全保护、安全检测与监控类产品,相应发展应急反应和灾难恢复类产品。
信息保密产品:
密码加密产品
密钥管理产品
高性能加密芯片产品
数字签名产品
安全认证授权产品:
数字证书管理系统(电子商务、数字视频)
用户安全认证产品(PCMCIA卡)
智能IC卡产品
鉴别授权服务器
安全平台/系统
安全操作系统产品
安全数据库管理系统产品
web安全平台
安全路由器及虚拟专用网络产品
网络病毒检查、预防和清除产品
网络安全检测监控设备:
网络安全隐患扫描监测和风险评估工具
网络安全监控系统
安全审计和追踪工具
网络信息智能检索产品
4. 对策建议
1) 统一领导,宏观调控,促进发展。
积极吸收发达国家对信息安全集中管理的经验(如美国国家安全局NSA统筹管理信息安全的全部事项,重要的法令、法规等,以美国总统令的方式发布),建议在中央建立一个具有高度权威的信息安全领导组织,进行重大决策,制定发展政策,协调各方关系,实施宏观调控,振兴信息安全产业。
2) 抓法制,立标准,创造良好的产业发展环境。
抓紧安全立法,建立信息安全法规体系,依法加强信息安全保障,扩展信息安全设备应用领域,确保采购国内产品。建立我国的信息技术安全检测评估中心,确保信息安全产品研究、发展的规范标准,提高产品的可靠性、可用性和适用性。
3) 国家增加对信息安全产业发展资金的投入,鼓励风险投资,创造良好的融资环境。
信息安全产业是直接关系到国家安全的产业,国家应加强直接投入,以此带动社会资本对信息安全产业的投资。增加财政拨款,建立信息安全产业发展基金。采用项目贴息贷款、补助、奖励等方式滚动使用,用于信息安全关键技术、重点产品开发和产业化生产。
为加速重点信息安全产品的产业化,在国家计划中设立专项,对如安全操作系统等重点项目统筹安排,采取更为优惠的投资政策。允许通过多张渠道筹集资金,并对其风险投资实行减免所得税等优惠政策。
支持信息安全产业在国内上市融资,采取比一般高科技企业更为优惠的政策。
4) 实行信息安全产品与军工产品等同的税收优惠政策。
信息安全产业与国家安全直接相关,为增强信息安全企业的发展能力,对信息安全企业增值税实行零增值税,并享受等同于军工产品企业所得税的优惠政策。对用于信息安全产品研究、开发和生产的重大引进项目免征进口税。
5) 建立信息安全技术创新体系,制订“新世纪目标的专项发展计划”,推动产业化发展。
为推动信息安全产业发展,奠定发展基础,体现国家意志和行为,应抓紧制定并实施“新世纪目标的专项发展计划”。该计划内容包括:信息安全产业发展战略、目标、重点领域、关键技术、主要产业化项目、政策措施和组织管理等部分。该计划作为国家专项计划。在主管部门统一领导下,由相应部门共同实施。为在新世纪复杂多变的国际环境中确保国家安全,在信息对抗中取得主动,必须以创新为目标,发展“杀手锏”产品。
6) 稳定和吸引信息安全人才,发挥为财的积极性和创造性。
高新技术竞争实质是人才竞争,振兴信息安全产业关键靠人才。为调动人才积极性和创造性,要实行知识技术股份化制度,使管理、技术能够作为资本参与分配。无形资产占信息安全企业净资产的比例可扩大到50%,鼓励信息安全企业实行员工股份期权制,形成吸引和激励企业管理人才与技术骨干的有效机制。
增设安全保密津贴,对信息安全产品的研发、生产人员给予安全保密津贴,津贴部分免征个人所得税。
(责任编辑:adminadmin2008)
