沈昌祥：重要信息系统等级保护建设整改技术框架

　　以“电子政务的深化应用”为主题的第三届中国电子政务高峰论坛于2009年6月28日在北京大学举办，中国工程院院士沈昌祥应邀发表演讲，本文稿根据现场录音整理而成。

　　今天的主题是电子政务深化应用，但如果安全问题搞不好，就深化不了。我今天讲一讲我们国家信息安全，当前的主要任务是要贯彻落实等级保护。等级保护对于我们国家所用的信息系统，按照它的重要性、等级的要求进行保护。这是非常重要的信息安全保障的基本制度。

　　电子政务我们最最关心的是处理一些核心业务，因为电子政务真正起到作用是一些核心领域。我们国家在信息安全保障建设过程中主要是重点保护，或者是要确保信息基础设施以及重要信息系统中的重要信息系统都要按照等级来，目前是三级以上。我主要讲一下三级以上的怎么办。

中国工程院院士沈昌祥

　　今天是CIO班的学员，你们都是信息官。信息安全出了问题是一票否决的，轻的官帽掉了，重的进监狱。有这么一句话，信息安全保官帽、保位置。领导干部是只听技术人员摆布，可是出了问题技术人员没事，领导要负责，所以说我们是坐在火山顶上，不知道哪天火山爆发。我们的信息安全，等级保护要解决这些问题。尤其要领导干部有主动的决策权，也有管理权。我讲讲领导干部怎么样才能有领导权、决策权、追查权。

　　最近对信息安全问题，又掀起了新的高潮，尤其是美国奥巴马上台以后采取了一系列的决策。美国对于信息安全问题非常重视，98年以后，就成立了国家的安全政策；911以后上升为国家的战略；2005年信息领域的顾问委员会提出了反面意见，认为美国那么多年来花那么多钱在信息安全保障上是失败的，不成功的，原因是修修补补打补丁，没有什么整体上的，根本上的解决问题。这个问题引起了很大的振动，因此布什总统采取了一系列的措施。布什下台以前感觉这届政府是解决不了问题的，07年成立了网络空间安全委员会，专门研究美国怎么搞好网络空间的安全。经过一年多时间的工作以后，奥巴马总统上台，马上公布了《第44届总统的保护网络空间安全的报告》。美国是怎么认识安全的呢？我们看过二次世界大战的电影，二战时期德国很厉害的，但最后密码被破译了。应该说密码破了是二战时期战略性的转变，这个事件被称作“阿尔发和英格玛”。破了以后诺曼底登陆的时候德国所有的兵力部署战略计划都被破解了，盟军以少数兵力战胜德国，使二战发生了战略性的变化。

　　美国的报告序言就以二战做标题来讲这个事，他们把美国目前比喻为德国的英格玛，所以提出网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一。

　　这条报告第一条原则是网络空间是国家一项关键资产，美国将动用国家力量的所有工具对其施以保护。他们认为信息安全不能靠自发的实施保护，以前他们强调自发，自觉行动，政府应该按照空间的大小，按照等级来进行保护。这样看我们国家的等级保护又具有创造性和前瞻性。

　　5月29日，奥巴马公布了《网络空间政策评估--保障可信和强健的信息和通信基础设施》。他将网络安全威胁定位为“我们举国面临得罪严重的国家经济和国家安全问题之一”。他们认为目前美国所处的境地是十字路口。

　　英国最近又成立了信息安全办公室，任命了信息安全官。

　　大家觉得信息系统安全保护的等级很多，很乱。其实我们只有三大类，一个是GB17859，这是标准的基础。这个标准应该说是有它很好的思想，目前看来是对的。美国就不是从体系结构考虑问题，GB17859主要是以访问控制为核心，构建基本保护环境和相关安全服务。访问控制就是人的行为，行为要受限制，也就是说什么样的人能发送什么样的信息，控制住。刚才举了很多的例子，不能修改、不能公布、不能篡改。如果不按照访问控制委员去搞，实施网络分组不能保证问题。我们的网络系统已经领会到了，就是以访问控制为核心。低等级的你们自己办，高等级的处长、局长，你有权限，文件也要分等级。因此能保证什么样权限的人能干什么样的事。这样做是不是很烦？我们要构建环境，身为一个人在环境上，环境安全才能社会安全，人的自身安全，自身有免疫能力，才不容易得病，所以构建一个保护环境，

　　但准则很粗犷，很抽象，我们必须要解释这个标准，也是物理环境，网络环境，应用环境，几个方面去解释、细化GB17859，这是很必要的。光提要求不行。 我们应该怎么做？怎么设计？这个问题一直没解决了。我们要整改了，整改以后怎么落实技术的保护？搞了一个工程，也就是说二级怎么样，三级怎么样，简化了， 这个标准马上就要发布。

　　三级要求是重要信息系统，国家有25000多个三级系统。我曾经定义定为四级，后来是三级以上，不仅要抵御外部的攻击，攻击这个系统的话不仅可以取得利 益，把我们搞垮了以后，直接会影响税收的制度，财政的手段。国家的装备已经投资了200多亿，瘫痪了以后这个装备还用不用？还要保证内部人员的风险，所以 是一件棘手的事。如果要内部人员作案的话走后门照样不行。

　　四级是一个更重要的系统，美国对他的电力系统特别关注。这样的系统，比如说民航的飞机调度系统都是要控制的，电网的调动都是信息系统。像这样的信息系统是国计民生重要的组成部分，也可能是内外人员勾结进行控制，情况就非常严重了。

　　这样重要的信息系统怎么来构架保护环境？我们任何一个管理中心，一个单位，平时的安全和网络安全对应的。一个单位要达到安全必须要有保密室，保安室等等。 第一，要保护办公室的环境，每一个人要管理好，各部门是非常对应的。第二，要有边界，单位有单位的门卫，不能随意进出。第三，要联网，信息共享。以前我们 不用网络作为信息处理的时候也要送文件，收文件。所以我们提出了安全管理中心和安全机构当中计算环境、区域边界、通信网络三种体系结构。

　　有了三种体系结构以后，应该说就可以做到了像平时一样，每一个人办公的东西是安全的，办公室环境是安全的，要进到里面必须要经过门卫，边界的保护。送出去 的东西，收来的东西要解决三个问题，首先不能送错对象，要认证；第二不要被篡改了；第三，不要被人窃听了，要加密。我们这里讲了计算环境主要是要搞好操作 系统为主的基础的自我保密。我们以前的方式太复杂，其实很简单，如果我们要像保卫部那样解决了一个单位的系统资源，东西怎么放，该有什么东西有什么东西， 不能随便增加，不能随便搬走。木马可以是执行的程序放在里面。如果有不认识的人进来，他要搞破坏，马上把他查出来。这不是主要的，主要是要管内部人员要有 保密室，文档编号，人要发文件必须要通过保密室的审查。一提到访问控制，很多人很害怕，其实很多地方都是有访问控制的。

　　边界安全也是这样的，门卫干吗的？就是访问控制，说明你能进来，你能出去，就是访问控制。我们以前给边界做了很多工作，防病毒网关等等，但是这样做过头了 也不行。如果警卫权力太大了，所有的文件他都打开看，并且可以拷贝，你说行不行？乱套了。现在我们作为边界防病毒网关、IDS都是把IP包都打开了。如果 说一个小后门返回去放到网上去这是需要的。边界安全也是要实行访问控制，什么等级可以出去，什么等级可以进来，什么样的人可以出去，什么样人可以进来，主 要是解决这个问题。

　　系统管理是相当于保卫部一样，安全管理相当于保密室一样，审计管理相当于监控室一样。审计就是把每一个访问动作记录下来发到审计的平台去，相当于用摄像头拍下来放到监控室。

　　这套东西领导干部可以理解了，决策了。有下面几个方面是值得说一说的。

　　目前我们所用的计算机芯片，操作系统并不是完全自己可控的。我们应该整体防护。中华人民共和国是社会主义国家，香港、澳门资本主义制度，整体上三重能做到整体防护，这样做了以后使病毒染不了，木马注不上，黑客进不来。

　　再有就是重点做好操作人员使用的终端防护，把攻击源头把住。要以防内为主，内外兼防，提高计算机自身防护能力。我们计算机有操作的控制，系统的管理，有审 计，这样做可以做到非授权的人，也就是说没资格的人进不来，进来以后没有资格拿不走，拿走了以后重要信息是加密的，你也看不懂，想破坏的话也改不了，做了 破坏活动还赖不了，因为我们有审计。

　　我们这套东西是安全管理中心三重防御，讲的是技术平台支持下的安全管理，与日常安全管理制度相适应。以前IDS配置策略很复杂，现在我们讲什么样的人有什么权限，领导干部能有发言权应该由领导干部来决定具体到这个策略是领导干部派来的，领导干部要批准的。

　　我们的技术人员通过平台把访问控制策略做成表格放到计算机里自动进行控制。这样领导干部不仅有决策权，而且有检查权。我们的管理平台有界面，你可以查你这 个策略是不是批准的策略。对哪里不放心，这人情绪不太好了，会不会搞名堂？看这个人有没有什么行为，出了什么事没有，也可以控制。信息安全管理领导负责， 大家一起把这个事情搞好，这样就不冤枉了，这样才能真正把安全管理落实到人头上。

　　这套东西是不是很复杂？我说不是，主要是重点落在了基础平台上，以操作系统为主的。对应用程序提出来不能改，因为整改大的系统不能运行，甚至不能停下来， 数据不能浪费，要保留所有的数据有效性。因此我们构建保护环境。我们把重点落到了可信平台上，而不是限制原来的流程。我们控制了不正确行为的发生，减少了 网络的风险。这样成本也不会很高，我估算一下很可能比以前的还要低。现在有的防火墙据说要五、六十万一台，我们不需要那样。我们做了技术整改实施了这些方 面，核心里要强，具有可操作性。这就是我们目前所研究的，马上要公布的。我们应该重新考虑保护的做法，应该有新的思路来做好等级保护建设工作。谢谢大家！