攻防失衡，国家信息安全如何保障?

　　事实上，除了“PuTTY后门”事件，还有数据泄密、大型网站被黑、“震网”病毒等等，每一次信息安全事件的爆发，都给国内用户造成了严重的打击。究其原因，就在于国内信息系统在安全防护方面的脆弱性，已经难以适应攻击技术与安全风险迅速提升的国际信息安全形势。在去年举办的一场信息安全论坛上，有资深安全专家指出，一些国外黑客已经从制造病毒、网页挂马等阶段转向攻击CA证书机构，进而利用证书发动中间人攻击、网络钓鱼等攻击，“如果电脑上的证书受到控制，访问假冒网站时就不再报警，整个互联网诚信体系将全部崩溃。”

　　另一方面，在竞争全球化的大趋势下，网络攻防大战中出现的“国家身影”越来越浓厚。以此次“PuTTY后门”事件为例，经过对后门程序代码进行分析，发现攻击者指定接收泄密信息的服务器来自美国，与提供受影响软件下载服务并在百度上做竞价排名的网站IP相同。据安全专家介绍，维基解密网披露的信息显示，一家为美国政府提供反入侵、APT研究等服务的安全机构同时在进行网络信息战的研究，在该机构推出的一项计划里，其开发出来的高级木马“没有进程、没有端口，并能躲过关于API的检查”，具有很强的隐蔽性和危害性。更重要的是，该机构还拥有对整个云安全基础架构平台的打击能力，这无疑给当前正在着力推进云计算和应用的政府机构、厂商、行业用户等拔了一盆冷水。

　　为了加强国内信息安全防御能力，我国推出了一系列政策措施，例如信息安全等级保护工作、信息安全风险评估等，增强政府、军工、能源、金融、电信等行业开展信息安全建设的积极性并为其提供标准依据，加快信息安全防护水平的提升步伐。在用户方面，经过一次次信息安全事件的“洗礼”，用户安全意识不断增强，其信息系统上部署的安全产品如防火墙、IPS、IDS等也越来越多，但是安全事件仍然层出不穷。对此，安全专家表示，信息安全是一项系统工程，需要从多个层面进行安全防护，而传统的安全产品主要面向网络层，操作系统层面的安全解决方案非常缺乏。“越来越多的攻击技术、手段等向系统核心层倾斜，而很多安全厂商仍然专注于外围的网络层防护，国内信息安全状况非常不容乐观。”

　　说到底，正是国内安全防御体系与国际安全威胁的不对称，构成了悬挂在用户心头上的“达摩利斯剑”。那么，在攻防失衡的不利局面下，如何才能为国家信息安全提供可靠保障，进而支撑我国信息化建设高速发展?

　　重筑防线，安全操作系统成重心

　　信息化建设是一把“双刃剑”，在给政府、军工、金融、电信、能源等各领域转型升级带来巨大帮助的同时，也埋下了很多安全隐患。纵观我国信息技术与应用的发展，在信息化建设高速发展、取得显著成就的背后，信息系统在安全防护方面的脆弱性也长期存在，形成了巨大的反差。国信安标委信息安全专家、公安部信息安全顾问、博士生导师吉增瑞教授曾经指出，“信息技术是为信息的使用提供便利的，而信息安全则给信息的使用提供保护。信息安全始于计算机安全，随着计算机网络应用领域的不断拓展，网络成为人们获取信息的重要途径，通过网络进行的攻击和破坏也使信息安全问题日趋严重，网络安全就成了人们谈论信息安全的主要话题。但是信息安全最核心的，还是计算机安全，还是操作系统安全，因为数据就存储在计算机中，在操作系统的管理和控制下进行操作和处理，自然也就成了攻击的主要目标。

　　由于多种原因，目前我国以计算机操作系统为核心的安全防护措施还是‘短板’，需要业界有识之士努力为之奋斗!”

　　据了解，国内普遍使用的商用操作系统如AIX、HP-UX、Solaris、WindowsServer、LinuxServer等均来自海外，而且由于发达国家对核心技术出口的限制，B1级以上操作系统不能对我国出口，无形中给国内信息安全留下了更大的安全隐患。在操作系统的安全防护上，主要通过安全子系统(SSOOS)来实现，因此需通过自主可控的安全技术对操作系统安全子系统(SSOOS)进行重构和扩充，以确保操作系统控制真正掌握在中国人的手里。

　　业内专家指出，早在1999年，我国就推出了《计算机信息系统安全保护GB17859-1999》，对操作系统安全性提出了明确的要求。近几年，我国更是进一步颁布了国家标准《GB/T2027-2006信息安全技术操作系统安全技术要求》，对操作系统的各项安全指标、技术要点等做了详实的规定。可以说，在操作系统安全防护方面，我国已经拥有了充足的政策、标准支撑。当前更需要的是信息安全厂商加强自主创新，研发出拥有自主知识产权的安全技术、产品及解决方案，以满足国家标准对安全操作系统的全部要求，从而使国家、用户能够防御类似“PuTTY后门”事件带来的安全威胁。

(责任编辑：)