信息网络已经渗透到社会的方方面面，近年来,除了传统信息化程度较高的政府管理、金融、电信等部门和行业外，传统工业系统的信息化程度也逐步提高，而移动智能终端的快速普及，更是将信息网络的触角直接深入到社会的每一个角落。

　　随着信息网络的快速发展，新的网络攻击模式也层出不穷。2010年“震网”蠕虫的爆发，显示了工业控制系统面临的巨大网络安全风险，也真实展现了网络战的威力，它被看作开启了网络战的新时代。该蠕虫主要针对伊朗核电站实施攻击破坏，通过渗透、控制伊朗核电站中的工业控制系统，造成其大批离心机损坏，使相关研究被迫推迟。而2013年1月发现的“红色十月”病毒是一专门攻击全球各国政府机构和外交使团、从事网络间谍活动的病毒，它可以从多款智能手机上收集信息，甚至可以从已删除的记录恢复数据。近年来出现的Sony、RSA等公司的机密数据被盗等问题，也让APT（Advanced　Persistent　Threat）攻击受到越来越多的关注，APT攻击具有潜伏性强、持续时间长、攻击目标针对性强等特点，其破坏性强，防范难度大。

　　在新的形势下，各国均在从不同层面构建自身的信息安全保障体系。而我国具有信息网络规模大，网络环境复杂，基础性信息产业支撑能力不足等特点。面向新的技术发展形势，面向国家战略需求，应构建一套适应自身发展需求和特点，科学合理的信息安全保障体系。

　　加强信息安全保障体系建设

　　我国的信息网络规模越来越庞大，网络环境越来越复杂，信息安全保障需求越来越突出。据CNNIC统计，截止到2012年12月，我国网民规模已达5.64亿，手机网民规模已达4.2亿。政府、金融、电信、交通等行业已高度信息化，而传统工业，如化工、制造等行业也逐步实现了信息化。信息网络已经成为社会和谐稳定、高效运转的“经脉”，其重要性、复杂性都对我国信息安全保障能力建设提出了更高的要求。网络空间在社会中的角色越来越重要的同时，也成为了各国对抗的焦点和平台。我国信息网络面临的外部威胁不断增加，信息安全保障难度越来越大。自2007年美国组建第一个网络战司令部以来，日本、韩国、英国、法国等国家也纷纷建立了相应的队伍，加大了网络战力量建设。而近年来爆发的“震网”、“火焰”、“红色十月”等恶意代码在某种程度上也以事实证明了网络战的威力和危害。随着信息技术的发展和各国网络战力量的扩大，未来各种形式的网络战战法将会越来越多，攻击技术和攻击能力也将不断发展，外部形势的现实压力，对我国信息安全保障能力建设提出了新的挑战。

　　针对这一问题，我国政府已有一定的部署。我国在2006年发布的《2006-2020国家信息化发展战略》中明确要求“全面加强国家信息安全保障体系建设，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。”“加强密码技术的开发利用，建设网络信任体系，提高对网络安全事件应对和防范能力”。

　　信息安全保障能力建设也是信息技术发展的一个必然趋势。信息安全保障发展可以分为三个阶段：第一阶段——通信安全阶段，20世纪40年代，重点关注信息的保密性，研究的重点是密码学问题；第二阶段——信息安全阶段，20世纪60年代，重点关注计算机、网络中数据的保密性、完整性和可用性，研究的重点是系统安全、网络安全等；第三阶段——信息安全保障阶段，20世纪90年代，实现对信息及信息系统全系统、全生命周期的保障能力，研究的重点包括复杂系统的安全保障、计算环境的可信可控、信息系统过程的动态监测等问题。因此，加强信息安全保障体系建设既是我国的国家战略需求，也是技术发展的必然趋势，我们应根据我国自身特点和需求，加快信息安全保障能力建设。

　　可信计算是解决现实难题的重要思路

　　在网络安全形势日益严峻的同时，我国的信息安全保障体系构建却面临着众多的现实困难。人们常说我国的信息系统是建在“沙丘上的城堡”，意指我国的信息系统依赖于国外的信息技术基础产品构建，高端芯片、操作系统、数据库系统、高端网络设备等核心信息技术产品均依赖于国外。在这样的背景下，要保障构建的信息系统的安全、可靠，面临众多挑战。

　　我国目前采取了多种措施，多种思路尝试摆脱这一困境。正在实施过程中的“核高基”重大专项主要就是针对这一现实问题而设计，旨在研发高端芯片、操作系统、数据库系统等基础性信息技术产品，以掌握核心技术和关键产品。这方面近年来已取得了一系列的进展，形成了“龙芯”等芯片、红旗Linux等操作系统，这些产品不仅在技术上取得了一系列的突破，在我国各行各业也得到了诸多应用，取得了良好的经济效益和社会效益。但目前，我国自主产品仍难以完全取代国外的技术产品，高端芯片、操作系统等基础性信息技术产品要想完全取代国际品牌仍有很长的路要走。

　　在这样的现实情况下，我们需要在利用国外技术产品的同时，构建一套满足现实需要的信息安全保障技术体系。可信计算技术是解决该问题的一个重要思路，即利用信息系统中有限的可信条件，构建一套相对可信可控的计算环境，以保障信息系统的安全可靠运行。

　　我国在2005年发布的《国家中长期科学和技术发展规划纲要（2006－2020年）》中明确指出：“可信可控的相关理论是支撑信息技术发展的科学基础”，“高可信网络、高可信网络软件、可信计算机均是我国科学和技术发展的重点”。

　　可信计算技术近年来受到国内外学术界、产业界等社会各界的广泛关注。1999年，Compaq、HP、IBM、Intel、Microsoft几大公司牵头成立TCPA（Trusted　Computing　Platform　Alliance）联盟，全球有200多家计算机公司加入其中。2001年，该组织推出了可信平台模块TPM1.1（Trusted　Platform　Module）的相关软硬件技术规范。2003年，TCPA改组为TCG（Trusted　Computing　Group），目标是从产业角度全方位推广可信计算技术，并推出了TPM1.2技术规范。从个人计算机到服务器、平板电脑、移动电话等，以可信平台模块为信任根，将可信计算技术渗透到计算平台各个层面，以建立满足各行各业对可信计算环境构建的技术需求。因此，基于可信计算的安全技术将对未来计算机产业产生较大的影响。

　　与此同时，我国政府、学术界和产业界也在积极推动可信计算的研究和相关产品研发工作。2006年，国家密码管理局发布了《可信密码支撑平台功能与接口规范》（以下简称《规范》），首次为产业和学术界提供了工作依据。2007年，中兴、兆日推出了符合我国《规范》的具有自主知识产权的TCM（Trusted　Cryptography　Module）芯片，联想、中兴、兆日等也形成了基于TCM的可信计算密码支撑平台。从此，我国的可信计算技术以TCM为基础展开深入的系统研究与开发工作。

　　我国近年来在可信计算方面的进展已为大范围推广应用可信计算技术奠定了基础，推动可信计算技术的研发和应用既是解决信息安全保障能力的现实需要，也是提升我国信息技术领域自主、可控能力的需要。我们应进一步加强相关技术的研究，标准体系建设和产业能力的提升。

　　信息安全体系应适合我国的特点和需求

　　上世纪90年代初，美国提出了“信息保障”概念，开始实施“信息保障战略”。1998年5月美国总统克林顿发布了《对关键基础设施保护政策第63号总统令》，美国政府加强了对其国家关键基础设施，特别是信息基础设施保护的研究，美国国家安全局（NSA）也于1998年发布了《信息保障技术框架（IATF）》。

　　我国政府长期以来非常重视信息安全保障工作，2003年发布的《关于加强信息安全保障工作的意见》为我国信息安全保障体系工作制订了总体纲领。近年来发布的《2006－2020年国家信息化战略》等纲领性文件也进一步强调了我国信息安全保障体系建设的重要性，明确了具体建设思路。

　　随着信息技术的发展，信息安全保障技术体系也在不断发展和完善。而我国在信息网络规模、技术产业能力、管理规范体系等方面都具有自身的特点和优势。面向我国当前的战略需求，基于技术发展现状和趋势，针对我国信息安全保障体现建设特提出如下建议：

　　应进一步加强基础设施建设，以满足我国信息网络快速发展的需要。信息安全保障基础设施是提供信息安全保障能力的关键和支撑。我国地域辽阔，人口众多，信息化程度高，信息网络规模庞大，结构复杂，这都对信息安全保障基础设施提出了更大的需求和挑战。我们应根据我国国情，在网络安全监测、安全事件响应、网络信任体系等方面建立一套分散部署、集中管控、资源高效配置的信息保障基础设施，以满足我国信息安全保障能力建设的需要。

　　应进一步加强标准体系建设，以促进我国相关产业的良性发展。我国近年来信息技术领域发展迅速，信息安全保障相关产业能力也得到提升。但信息安全相关技术和产品有其特殊性，我们应在借鉴吸收国外先进技术、经验的基础上，制定自主、符合我国国情的技术标准体系。一方面，规范相关产业的发展，促进产业良性循环；另一方面，也提高我国在信息安全保障领域的自主创新能力。

　　应进一步加强技术体系研究，以适应云计算等各种新型计算模式的安全保障需求。信息安全保障技术是随着信息技术的发展不断发展和完善的，当前云计算、物联网、移动互联网等新模式、新网络、新应用的出现，对信息安全保障技术也提出了新的要求。近两三年来，我国在相关的技术、产品和应用方面发展迅速，但对应的安全保障技术仍较为缺乏。我们应进一步加强相关技术体系的研究，一方面，是适应我国信息技术领域发展的新形势，满足我国自身建设需求；另一方面，也是把握住机遇，缩小相关领域与国际水平的差距，把握技术竞争的主动权。

　　信息安全保障体系建设既是我国的国家战略，也是信息技术发展的必然趋势。我国虽然长期重视信息安全保障体系建设，但由于历史和客观原因，我国的信息安全保障体系建设面临众多的现实难题。而随着信息技术的发展和应用，我国信息安全保障体系建设又面临新的问题和挑战。我们应重视问题，面对挑战，利用我国在可信计算等领域的基础和优势，加强信息安全保障基础设施建设和技术标准体系建设，构建适应我国国情的信息安全保障体系，加强新技术的研究，以适应云计算等新技术应用和发展的需要。

　　作者单位：中国科学院软件研究所