中国信息安全产业热烈祝贺 《信息安全产品政府采购

中国信息安全产业热烈祝贺《信息安全产品政府采购指南》出版屈延文中国信息产业商会信息安全产业分会国家金卡工程办公室安全组一、我国信息安全产业飞速发展《信息安全产品政府采购指南》发布的产品全是我国信息安全产业企业通过信息安全测评认证的产品，到目前为止已经测评认证了11类145种产品。《信息安全产品政府采购指南》发布说明了：–我国的信息安全产业有了长足的进步。–我国信息安全产品测评认证体系已经从创业走入了业务发展的新阶段。《信息安全产品政府采购指南》发布是信息安全产业的大事，我作为中国信息产业商会信息安全产业分会的常务副理事长，代表中国信息产业商会会长张琪司长和中国信息产业商会信息安全产业分会理事长吴世忠主任和其他领导对《信息安全产品政府采购指南》的发布表示热烈祝贺！一、我国信息安全产业飞速发展----信息安全产业是朝阳产业，飞速发展•我国信息系统安全工作起步晚，信息安全产品的研发和推广也比较缓慢。但是近几年，在中央和国务院领导同志及主管部门推动下，正在进入一个较快发展的阶段。•到2000年9月为止，我国信息安全产业有1300多家，具有研发能力390家，有自主产品的190家，具有成熟产品为80家。已领取了安全产品销售许可证的产品有近500种。通过信息安全测评认证的有140多个产品。•1999年国民经济产值为9亿，2000年为20亿，2001年为40亿。估计2002年信息安全产品达到80到100亿人民币产值。•为迎接我国信息安全产业的快速发展中国信息产业商会信息安全产业分会于2002年3月29日正式成立•中国信息产业商会信息安全产业分会第一项工作是决定对信息安全产业进行一次较全面的调研。一、我国信息安全产业飞速发展-----提升我国信息安全产业整体竞争力的技术发展战略。1、产品客户化。2、技术平台化。3、服务高技术化。4、市场规范化。5、企业规模化。6、资本多元化。7、加强信息安全测评认证工作。8、加强信息安全产业的总体规划与基础研究二、我国信息安全测评认证工作对信息安全产业发展起到了巨大促进作用通过信息安全测评认证–对防火墙技术提高起到促进作用–对系统和网络入侵检测产品技术提高起到促进作用–对系统和网络漏洞扫描产品技术提高起到促进作用–开展了对IC卡测评认证的工作，促进IC卡安全工作。–开展了对计算机、网络设备、操作系统等系统的安全测评认证工作，促进了企业的技术进步。–对金融等行业应用产品的安全进行了测评认证，促进了企业的技术进步。–对信息安全产业企业技术骨干进行信息安全测评认证的培训工作。提高了信息安全产业企业技术人员水平。三、建立我国信息安全的用户标准化体系是政府信息安全产品采购指南的依据我们要在提倡科技创新的同时，还要提倡应用成熟发展策略。科技创新和应用成熟是对立的统一，相辅相成。应用成熟要求科技创新更具有持续性，对科技创新提出了更高的要求，是科技创新应用发展策略。同样很难设想，IT产品得不到长期应用支持，产品会得到成熟发展。因此，IT产品只能在持续应用和长期服务才能得以发展，用户的对信息技术的成熟应用是带动我国信息产业发展最有力的支持。“科技创新和应用成熟”可持续发展的辨证思路，是掌握对立统一规律，促进产业发展的重要的指导思想。三、建立我国信息安全的用户标准化体系是政府信息安全产品采购指南的依据在用户信息标准体系发展时代，是又一次出现我国自己制定IT发展战略的机遇，我们应当抓住。我们有如下的网络经济技术基础标准体系必须自己制定：1、信息安全标准体系标准系列2、网络服务的技术标准体系3、信息应用平台标准体系（公共操作环境系统集成平台COE）三、建立我国信息安全的用户标准化体系是政府信息安全产品采购指南的依据1、信息安全标准体系标准系列测评准则发展：–TCSEC–ITSEC–CC–ISO/IEC15406–GB/T18336（1-3）-2001三、建立我国信息安全的用户标准化体系是政府信息安全产品采购指南的依据2、网络服务的技术标准体系现代IT技术服务,大致可以划分成如下三种类型:–人员的直接服务。–人员网络远程访问式的服务。–Agent软件实现的网络远程服务。有如下重要标准采用了Agent技术。–Agent技术应用在通信网络管理和互联网管理，其标准是SNMP或CMIP。–Agent技术已经用在CallCenter的系统中，其标准为COPC。–Agent技术已经用在分布试计算的标准CORBA中。–Agent技术还可以用在其它标准中，例如美国ECHELON公司LONWORKS弱电系统服务平台是上世界末的标准化平台建设的精彩之作。在推动平台化战略时，建立主动安全防护体系是安全产业共同追求的技术进步目标。网络远程服务实施平台化，并逐步纳入政府类产品（GOTs）管理体系。服务代理软件是指定功能的（不多做事情，也不少做事情），是可以测评认证的，便于管理、控制和记费。三、建立我国信息安全的用户标准化体系是政府信息安全产品采购指南的依据3、信息应用平台标准体系（公共操作环境系统集成平台COE）•COE计划宗旨：–成熟发展–长期服务–不符合标准不采购•COE计划举例：–EDSDIICOE计划:“公共操纵环境”–EDS电子商务COE计划：“相容性操纵环境”–EDS电子政务COE计划:“公共办公环境”–SUN，ORACLE，HP，COMPAQ等COE计划–微软公司（COE计划）.NET计划–Echelon公司Lonworks弱点系统的平台四、我国信息安全测评认证是信息安全的用户标准化体系实施的凭证–银行通过信息安全测评顺利完成防火墙产品招标入围工作。–银行通过信息安全测评贯彻信息安全产品招标入围工作。–一些政府部门开始贯彻测评认证信息安全产品招标入围工作。–2001年年底前，我国实现了第一个银行系统的现场测评认证工作–2002年，已经全面部署信息安全服务的测评认证工作五、政府信息安全产品采购指南为政府、行业和企业信息安全方案提供了建设基础信息保障技术框架概念（IATF）其目的为了给政府、工业和领域信息基础设施提供安全防护框架和解决方案指南。同时为这些部门的信息系统提供国际标准的CC准则的PP(保护框架)提供测评认证标准。行业与企业的信息安全保障体系建设是以信息安全标准和信息安全测评认证为基础的。五、政府信息安全产品采购指南为政府、行业和企业信息安全方案提供了建设基础EALSML信息与系统威胁定义信息与系统价值定义信息与系统安全需求信息安全服务信息安全机制信息安全技术信息安全技术功能强度规定信息安全产品选择设计信息安全测评认证信息安全健壮性表六、政府信息安全产品采购指南引导政府采购市场走向规范化•技术壁垒体系•保护用户权益•促进产业发展•反腐败工程•健康市场秩序谢谢