大家知道在03年國信辦曾經發布了一個27號文件，就是《關于加強信息安全保障工作的意見》。在這個文件里面特別強調一定要發動各界的積極性，來共同構筑國家信息安全保障體系。最近我國通過了2020年的信息化發展戰略，里面又再一次提到要構建國家的信息安全保障體系，為我國信息化的發展護航。 

    那么構建一個國家的信息安全體系有很多的要點，27號文件里面就特別提出來要推進信息安全技術的研發與產業的發展，能夠提供自主創新、強化可控的安全產品，為國家的信息化發展提供安全保障。 

    從網絡信息安全技術的機制發展階段，大家都知道可能是70年代、80年代開始經歷過四個階段。早期大家都面向互聯網的信息交換，就是英特網的互聯防護。那么從80年代網絡進入企業和政府，那么就圍繞內聯網進行防護。那么企業的部門之間，政府的部門之間要進行信息的互動，所以就要有外聯網。到今天外聯網已經成為了一個體系，在這個體系上已經有了很多的應用。那么現在的信息安全如何圍繞著這個的應用對象，這個今天我們今天討論的主題。 

    我國的信息安全技術的自主研發與創新經過了這么多年來，特別是2000年、2001年我國建立了由總理當組長的信息化小組以來，國家的信息化發展還是很快的。國家的發改委、信息產業部、科技部正在從國家層面上大力的推動我國的信息安全自主知識產權的技術與產品的研發和創新。這些方面有很多類，在信息安全技術為了滿足應用需求和產品上，比如說像基礎類，這里就提到了關于風險評估，國家去年就開展了七個省市和部委的風險評估試點。那么風險評估就需要大量的技術平臺來支撐，所以科技部的十一五規劃中，把安全風險評估列為了六大重點項目之一。這些關鍵性技術國家在不同的領域，比如說發改委的企業創新基金產品上，863里面就支持自主創新的技術研發。 

    像系統類的產品，比如說我們的開放網絡環境下的監控和預警的問題。重要信息領域的災難恢復問題，以及SOC這種大量的系統技術，國家也是對重點的項目在投入。前幾天發改委產品化的基金支持中，很多廠商都申報了，其中比如說UTM、SOC，有大量的廠商在投入。 

    至于說應用類和物理類。物理類里面就是生物識別，還有RFID都是目前發展比較有前景的技術。RFID已經進入到國家2020年的信息化發展戰略之中。RFI用的應用前景非常廣闊，同時對安全也會帶來比較有利的支撐。生物識別從原來的一代，到未來的所有生物識別，我國的技術進展還是很快的。 

    還有前瞻類的可信計算、免疫能力、量子密碼等等，總之在信息安全技術的自主研發和創新中，國家給予了大力的支撐和投入。那么這些產品的研發成功，和產品的出臺。將會對我國信息化的發展，信息應用會帶來巨大的保障。 

    我國的信息產業的現狀與發展如何，應該首先看到我國這幾年信息安全產品產業還是發展很快的。今天上午有很多的廠商都講了防火墻、防病毒等等都發展很快。現在國內有一千多家安全產業的公司，但是我們現在的安全產業離應用需求差距還是很大的。首先有幾個數據大家可以看到，我們國內的安全生產總值在全球占1％。我們國內的安全廠商的產值和國外的安全廠商的產值只占0.5％。另外國內的安全產業和我們國內的IT產值來比，只是0.2％。大家從這幾個數字就可以看到，這幾年我們的安全產業雖然發展很快，但是和發達國家的差距還是很大。所以我們的安全產業面臨著從小到大，從大到強還需要作出很大的努力。才能真正保證我國信息化應用的安全。所以對于信息安全產業來說機遇還是非常廣闊的。因為我國信息化的需求還是非常巨大的。按照國家信息化領導小組通過的06年11號文件來看，我國在未來的十五年，在信息化上會有一個非常大的發展前景。在這樣的信息化發展中沒有安全的保障，這種發展是非常脆弱的。所以對于我國的信息化產業來說前景是非無量的。所以如何造就我國的信息安全產業鏈，真正服務于我國的信息化安全，這是一個非常重要的課題。 

    下面我談一下從應用需求的一些新的用戶關注點有哪些。第一點就是信息安全通過這幾年的經驗教訓的結果是什么？就是信息安全一定要從源頭抓起，從源頭開始治理。這就是當前國際上和國內上大家正在探索的可信計算和可信網絡接入的產品。 

    第二個應用需求的關注點就是如何減化用戶安全設置的配置，使它易操作、易管理。這就是大家現在關注的UTM，就是統一威脅管理的設備。 

    第三個就是要增強信息安全的內控機制。大家知道這些年來信息安全在防外這個領域進展非常大，因為在互聯網這樣一個全球的環境中，大量的黑客在里面。所以我們的邊界要管好，門要把住。但是隨著信息化的發展，內部的違規、違操作、違法而造成的信息安全事件在不斷上升。有一些部門統計在80％左右。所以我們在邊界防御的同時，內部違規、內部違章所帶來的信息安全問題，因此如何增強信息安全的內控機制，現在正在被用戶意識到，而且有這種強烈的需求。這樣對信息安全的強審計工具就引起了大家的關注。 

    第四大家知道信息安全產品越來越多，而且網絡越來越大。形成了一個縱深的大范圍的安全防御。在這樣的防御中如何進行有效的管理，是用戶心頭的一塊大病。我看過一個部門上下四級，反病毒一條線，IDS一條線，防火墻一條線，設了多個人把關，之間的信息不能共享和防御。因此構建一個集成的信息安全平臺，就成為用戶新的關注點。 

    第五個大家知道在信息安全關注中，大家提出了內網、外網、互聯網。內網主要是運行涉及國家機密的，而且要求外網是物理隔離。很多用戶對于這種做法是應該遵守的，因為是國家安全需求。但是給用戶的使用帶來了非常大的問題。因為一個政府不是所有的業務只在內部運行就可以了，它需要外網、內網和互聯網的交換。這樣怎么樣形成既安全、又可靠的在一個物理隔離的邊界下進行適度的交換。因此物理隔離和適度交換的產品，特別是對我國具有涉秘內容的政府內容就變的非常關注。 

    第六個就是信息安全隱患的及早發現。大家知道隱患是信息安全的第一部。黑客都是利用你的漏洞給你造成風險。因此如何對信息安全的早期發現也是用戶非常關注的。因此信息安全評估的方法的早期形成，給用戶的自評估、委托評估和檢查評估提供了一種平臺。所以去年國信辦組織了七個省市和部委的信息安全試點，在這個試點中我們發現缺乏有效的工具，缺乏健壯的平臺。缺少相應的方法和模型，所以使評估結果的可信度就會帶來影響。因此對這一塊我們發改委863計劃中是六大重大支撐項目之一。 

    第七個就是對開放網絡環境下的檢測和掌控。大家知道在一種完全開放的、自由的網絡環境下，興風作浪的人是很多的。所以如何對這樣的環境進行監控、預警、評估和治理，就變成我國各個政府的職能部門，我們的地區都很關注這件事。但是如何對于這種治理提供一種有效的檢測、預警、評估和治理的工具現在差距還很大。 

    第八個就是信息安全外包服務業需求增長。我國產品走的最快，軟件次之，服務最差。但是最近開始好起來了，因為過去我們用戶對于服務還要交錢不理解，現在大家知道沒有服務的安全是沒有長效機制的。目前我們國內的安全服務業不少，但是能力還不強。 

    像可信計算大家知道，可信計算是從源頭、從體系、從行為開始抓安全。這已經被大家廣泛認可，因為它的目的就是讓資產擁有者的安全配置后果可以預期。因此現在國際上和咱們國內都在從源頭抓起，就是可信的終端，進一步走向可信的服務器，可信的智能移動平臺，可信的網絡接入和可信的網絡。現在可信的網絡接入國際上有三大流派，一個是TNC，一個是NAC，一個是NAP。我國在可信終端，可信接入，我們國內的廠商也都在積極進入這樣的領域。 

    那么可信計算兩、三年以后會成為一定的市場規模。那時候會帶來信息安全產業的重新布局和洗牌，所以我們要盡早關注。而且可信計算產品的投入市場會形成新一輪的個人產業競賽，中國要在這樣的競爭中占有一席之地。 

    第二個關注點就是統一威脅管理的問題。它是把軟件、硬件和網絡技術集成到一個實體中。集成以后功能可能是折中的，但是協同是有效的，安全是適度的。所以這樣的產品是低成本，多功能，易操作。特別是是對目前中低端和中小企業的用戶有大量的需求和應用的前景。所以前幾天發改委的產業化基金支持中，我發現有一大批企業都在報自己的UTM項目，說明它有用戶需求和前景。 

    再一個就是信息安全的集成管理。SOC的優勢我剛才說了，在一個廣域網、跨部門的系統里，如何對你的網絡產品如何從網絡層到應用層形成一個多層次的，全局的共享和聯動，這是用戶最關注的。因此這樣的產品很重要的是在統一的安全策略的制訂和管理下協同動作的。所以它從管理、檢測、監控、應急處理一體化。中小企業是非常喜歡這樣的系統的。所以對于這樣的系統很多廠商都在做，但是能做的很完善的還很少。 

    再一個剛才我談到了，這幾年我們的防外這幾年進展很快，內控這幾年用戶也有強烈的需求。所以強化一個政府部門的強審計，現在很多廠商都在積極的推出自己的產品。那么所謂強審計就是對一個信息系統的全局審計。這個可以分五個層次，比如說像網絡層次，數據庫層次，應用層次，主機層次，界定層次。所以對于政府部門和企業，因為企業有很多的敏感信息，如何保障在移動介質的流通中的安全。所以對強化內部審計也包括審計信息自己的安全架構。另外審計信息證據的有效性。 

    再一個就是物理隔離的技術和產品。其實物理隔離也分很多層。現在大家最關注的就是網絡級，就是如何把一個涉密的網和一個非涉密的網聯合起來應用。所以現在大家對用戶的辦法一個就是干脆物理切斷。然后信息交換怎么辦呢？就是通過介質和安全島進行很麻煩的交換。那么從長遠來看，網閘和網壩現在很多廠商都在做，給用戶內網和外網的交換提供更好的保障。 

    風險評估工具和平臺，我感覺我們缺少這樣的模型、算法、共聚合平臺。大家知道風險評估是國家執法部門對企業進行評估。委托評估是政府和企業找廠商來做，但是大量的安全評估用戶應該有一種能力。這種能力包括人的工作以外，還應該有一種工具，但是這種工具我國還不多，或者是有效性還不夠。因此如何來支撐委托評估的能力，我們的廠商應該快速發展這種能力。開放網絡環境下的安全檢測和網絡工具很多，我就不說了。比如說對數據流量的分析，網絡活動行為的診斷。如何從一個開放的網絡環境下，海量的信息中，如何去評估、挖掘、預警、跟蹤和阻斷我們做的還是很不夠。 

    最后一個就是信息安全的服務業。我們現在很多廠商都在做這方面的工作，這是非常不錯的。