卿斯汉

　　信息和网络安全是国家安全的一个重要组成部分，同时也与个人隐私安全息息相关。近年来，特别是斯诺登事件之后，各国都加强了网络安全的基础设施建设和全民信息安全意识教育。我国作为一个负责任的大国，一定要坚持不懈地加强信息与网络安全的基础建设，一方面更好地保护我国的国家与公民安全，另一方面积极与其他国家积极合作，建立因特网的安全新秩序，对打击国际恐怖活动与网络犯罪有章可循、有法可依。

　　为此，我们必须认真总结经验教训。同时，在此基础上着眼未来，加强顶层设计，制定我国网络安全建设的路线图，使我国网络安全的基础建设与强国和强军的步伐一致。斯诺登事件虽然已经逐渐平息，但它对世界的长久影响不容低估。这一事件好比一剂催化剂，促使世界各国的决策者和广大因特网用户更加重视国家信息安全与个人隐私保护的问题；重新思考网络空间的安全问题、因特网的管理问题，以及跨国应用的数据安全等问题。斯诺登事件的后续效应涉及外交、军事、经济、情报等诸多领域，对各国今后政策的制定和应对措施的决策将会产生久远的影响。

　　为加强我国网络安全的基础建设，我们需要做的工作很多，需要迎头赶上、赶超世界先进水平的工作还有很多。限于篇幅，我们只能挑选几个重点而不能做全面的阐述。

　　1.     

　　加强基础研究与建设

　　近年来，我国在网络安全的基础研究与建设方面取得了重大进展，但整体上说与世界先进水平还有较大的差距。我们的短板表现在因特网的根域名服务器都在国外，以及基础软件与硬件受制于人、原始创新稀缺等。这是我们急需解决的问题，要下决心做长期不懈的努力，以两弹一星的精神和方式下大力气加以解决。

　　2.     

　　加强云安全的研究与建设

　　近年来，云计算的发展十分迅速，采用云计算可以灵活配置和最大限度地利用资源、节省成本和方便用户。美国制订了“云优先”的国家战略，要求在2015年前将现有的1100个联邦数据中心减至800个。美国政府出台了FedRAMP

　　(Federal?Risk?and?Authorization?Management?Program—联邦风险与授权管理计划)。其目标是提供标准化的方法对云计算进行安全评估、授权和连续监控。2011年12月8日，FedRAMP正式生效，并在美国政府部门内强制执行。2012年7月12日，美国国防部也推出了“云计算战略”。其目标是：用最创新、最有效和最安全的方法实现云计算，进行信息和IT服务。在任何地方、任何时间和任何授权的设备上完成国防部的各种任务。

　　但是，云计算是否可以迅速被广大用户接受的关键问题是云安全能否得到保证，因此各国都十分重视云安全。在云安全的标准化方面，2012年2月，JTC?SC38与ITU-T?SG13成立了联合团队。目前，《云计算参考架构》(ISO/IEC17789)已经形成FCD稿，这是云计算标准化工作的方向标。该标准的目标是：(a)

　　从概念层面说明各类云服务；(b)?为理解、分类和比较各类云服务提供技术参考；(c)?分析安全、互操作、可移植等领域的标准需求。美国的国家标准化研究院NIST在云安全的标准研究与制定方面做了大量的工作，为美国的云计算发展奠定了扎实的基础。相对而言，我国的云安全标准化工作还相对滞后。目前，我国已经有两个云安全国家标准即将公布，即(1)?《信息安全技术?政府部门云计算服务安全指南》和(2)?《信息安全技术?云计算服务安全能力要求》。

　　我们建议加大我国云安全标准的研究和制定力度，包括以下几个方面的内容：(1)?制定云安全标准路线图；(2)

　　加强顶层设计；(3)?加强与云计算标准组的协调；以及(4)?加强政府主导下研究机构和企业的合作。

　　3.     

　　加强可信计算的研究与建设

　　近年来，TCG的可信计算技术受到了广泛关注，我国也推出了使用自主密码算法的TCM芯片。作为一种需要各个层次软硬件相互配合推动的技术，我国的可信计算技术急需标准化对各参与方的行为进行规范和协调。

　　下图是我们提出的可信计算标准路线图建议。路线图分为几个部分，在路线图的中间，是由可信硬件、可信平台、支撑软件、服务软件、可信平台服务接口5个层次组成的可信计算规范核心部分；下面是用于可信计算软硬件产品的基础技术规范；左边是参照CC标准制定的可信计算各软硬件产品类的保护轮廓规范；右面是可信计算与其他应用基础设施的接口规范。

　　4.     

　　加强政务终端的统一安全配置

　　终端配置与信息安全息息相关，我们应当借鉴美国政府的经验(联邦桌面核心配置FDCC等)，尽快制定符合我国政府终端安全目标和安全需求的政务终端安全配置标准，并支持标准配套实施工具的开发，以实现对全国政务终端的统一化和标准化的安全配置管理。具体建议如下：

　　l ?制定安全配置标准指南

　　根据我国政府对终端安全的政策要求和实际需求，制定中国政务终端安全配置标准。重点从权限、密码、端口、服务等方面给出安全策略配置指南，加强对操作系统及应用软件的安全管理，并提供详细的安全配置策略目录。

　　l ?研发标准配套工具

　　配套工具包括：安全配置策略自动部署工具、验证测试工具、以及标准符合性测试工具。

　　l ?标准的验证、试点、部署与实施

　　在标准发布前要进行充分的测试和验证，包括有效性测试、一致性测试和试点应用验证。制定并实施部署计划和应用推广计划。利用配套工具，进行全国政务终端的安全配置策略统一部署(允许例外)，并进行监测和符合性测试评估。

　　最后我们认为，在加强我国网络安全基础建设的过程中，我们要承认差距，充分借鉴国外的先进经验，为我所用。吸取国外的教训，不走弯路。以我为主，不断创新，开创我国网络安全基础建设产学研的新局面。