信息安全应以硬件防范为重

信息安全应以硬件防范为重 ●信息安全与政治经济安全同等重要 

●未来大多数安全产品将基于硬件而非软件 

●大多数计算机危害安全来自于企业内部 

●主管部门应尽快确立安全电脑的标准 

　　主持人语 

　　目前，全球电脑安全活动日益猖獗，且大多数以政府、国防、科研、银行网站为侵入、袭击对象，以提高自己的安全地位和名声。我们应该如何确保重要信息的安全性？怎样做到防患未然、避免泄密事件的发生呢？为此，本刊特邀请信息产业部电子信息研究所原总工程师鲍绵福、中国长城计算机深圳股份有限公司副总裁卢振宇和网络安全专家徐向阳就此问题进行了讨论。 

信息安全责任重大 

　　主持人：有人曾经做过一个测试，用一台简易的接收装置，在几十米外就可以清晰地接受到另一台电脑显示的信息。在网络时代，信息安全漏洞似乎无处不在。 

　　卢振宇：目前我国在用电脑总数已经超过3000万台，互联网用户达到9400万，信息系统正在成为中国社会正常运转不可缺少的重要组成部分。与此同时，信息安全的重要性也越来越突出，信息安全漏洞带来的隐患和威胁越来越大。 

　　鲍绵福：近年来，党中央对信息安全极为重视。党的十六届四中全会明确提出：“坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动，有效防范和应对来自国际经济领域的各种风险，确保国家的政治安全、经济安全、文化安全和信息安全”。全会第一次把“信息安全”和“政治安全”、“经济安全”、“文化安全”放在同等重要的位置并列提出，这是前所未有的。 

　　主持人：对信息安全缺乏应有的重视，会带来什么后果？ 

　　卢振宇：忽视信息安全，会给企业和普通消费者带来不可弥补的损失。小则影响百姓的日常生活和企业的运行与生产，大则影响政府办公，甚至危及国防等重要领域的安危。 

　　鲍绵福：这些问题从构成平台来分既有物理安全（包含环境安全、设备安全和媒体安全），又有网络安全、系统安全、数据安全、边界安全和用户安全等多方面的内容，涉及到技术、安全行政管理和社会因素等。 

信息安全不能盲目跟风 

　　主持人：目前，国内信息安全领域存在什么样的问题？ 

　　鲍绵福：首先是信息安全的工作重点仍不突出。信息安全涉及面广，技术庞杂，在每一个环节建立完善的信息安全体系，都需要花费大量的人力物力。 

　　卢振宇：近年来，一些国外厂商正在利用技术优势和资金优势，大力开拓国内市场，不断抬高市场门槛，在事实上挤压国内企业的发展空间，国内企业在信息安全领域的产业主导权仍未确立。 

　　鲍绵福：由于CPU、OS、网络等重要领域的底层协议及核心技术基本掌握在少数国外厂商手中，国内厂商短期内难以取得有效突破。因此，为了真正实现数据安全，防止由于各种原因导致的数据泄漏和破坏，我们应从数据存储设备入手，开发具有自主知识产权的信息安全技术，这符合中国信息产业现有的技术水平。 

　　徐向阳：根据调查，大约80%的计算机危害安全来自企业内部，因此，目前的当务之急，是找到有效的、可靠的、低成本的方法，最大限度地防范内部安全。 

　　卢振宇：从技术角度看，引发安全问题的核心还是存在于信息设备的本地加工处理中心（CPU）、信息流指挥管理中枢操作系统（OS）、信息传输过程主要是网络设备和本地端口（包括传输线等介质）以及信息存储设备这几个关键环节。解决这些问题，开发、部署安全电脑是有效的方式。 

安全电脑是信息安全基础 

　　主持人：既然安全电脑是国内产业界在信息安全领域的突破口，那么安全电脑应该具有什么特征呢？ 

　　卢振宇：安全电脑至少应该具备四大功能，首先，安全电脑的硬盘空间应该分成三个可引导区域，使用时只能激活一个主引导区，再配合专用网络隔离卡，形成“三网物理隔离”，大大减少数据丢失的危害；其次，要采用基于硬盘的身份认证，提供普通用户和系统管理员两级身份认证，有效防止来自公司内部的安全；第三，数据保护操作由嵌入式底层纯硬件微处理器系统实现，加上64/128位保护算法，即使出现机器或硬盘丢失等事故，重要机密信息也不会发生泄漏；最后，还要通过采用处于负磁道的镜像硬盘保护技术，一旦系统崩溃，用户只需要重启电脑，数据立刻恢复。 

　　徐向阳：现在正是夏季雷雨季节。从用户单位了解的情况看，雷击对电脑的危害也不能忽视，特别是在平原丘陵等国防单位。安全电脑还应该具备可靠的防雷击性能。 

　　鲍绵福：长城利用自有技术开发的基于“安全硬盘＋安全芯片”的安全电脑，添补了一项国内空白。今后几年，全球在安全和业务连续性的花费，将以两倍于IT产业自身的增长速度，到2007年，80%以上的安全产品将基于硬件，而不是目前以反病毒和防火墙等软件为基础。基于硬件的安全保障技术，已经成为未来信息安全市场发展的主导趋势。 

　　卢振宇：采用安全硬盘技术的安全电脑，可以从加强内部数据存储与访问控制等安全措施入手，对外部信息传输发送过程中可能出现的电磁信息“夹带”现象进行防护，在一定层面满足了企业商业机密数据保护、金融、电信、高等学校和研究院所、政府机构，甚至军工系统和外交部门的数据安全保护需要。 

　　主持人：现在已经有包括长城在内的多家国内企业推出了安全电脑，政府主管部门是否应该对安全电脑尽快确立标准。 

　　卢振宇：长城安全电脑已经通过信息产业部计算机安全技术检测中心的各项测试，并且获得了公安部颁发的公安系统销售许可证。我们希望政府有关部门制定政策，积极鼓励国内企业大力开发具有自主知识产权的信息安全产品，逐步确立国内企业的产业主导地位。 

　　徐向阳：有了安全电脑，还需要在应用中积极推广。对于已经制定安全标准的信息产品，应在政府采购中，根据应用场合的安全等级，明确提出安全指标，在有效杜绝信息安全隐患的同时，防止“过度安全”带来的资源浪费。