政策进入落实期

2003年9月，中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》（27号文件），提出要在5年内建设中国信息安全保障体系。2007年，是这一目标实现的倒数第二个年份。在国务院信息化办公室的大力推进下，27号文件提出的十项基本任务目前已经正在或基本落实。由于信息安全是这样一个复杂和关系重大的领域，国家采取了谨慎前行的方式，2006年之前，各种政策制度均处于试点阶段，2007年，将进入普及推广阶段。

信息安全的等级保护制度是国家大力倡导的信息安全基本政策。经过两年多的探索，2005年，公安部出台了等级保护规范， 2006年对等级保护制度进行了重点试点，并总结出了很好的经验和汲取的教训。2007年，毫无疑问，等级保护工作将在中国的各个重要的基础行业广泛推广。

灾难备份标准已经在2005年出台，2006年在中国的基础性行业，比如金融、电信、民航等，积极探索灾备和业务连续性模式已经有了明确的结果，2007年有望在更广泛的领域推广。

2006年，信息安全风险评估工作在试点的过程中，也取得了良好的成绩，有望在2007年全面展开。这不仅为用户带来了高等级的安全保护，也为产业带来了新的商业机会。

2006年，信息安全管理规范的试点工作也基本完成。从结果来看，基本取得了预期的效果，2007年，这一成果同样将在更广泛的领域采用。

经过多年的筹备，2006年6月，中国信息安全认证中心获中编办正式批准。至此，我国信息安全认证认可体系的建设构架基本形成，工作机制基本确定，对信息安全产品实施统一认证的条件基本准备就绪，标志着我国信息安全认证认可体系建设迈出了重要步伐。

毫无疑问，在2007年，一方面一些重要的政策、标准还将继续采用试点的方式摸索成功的方法，并不断进行经验总结；另一方面，一些证明成功的经验将在更加广泛的领域推广，中国的信息安全政策将全面进入落地时期。

用户进入投入期

经过3年来国家对重点行业的重要用户进行信息安全理论和实际运营经验的培训和教育，目前，中国IT系统用户的信息安全意识已经普遍得到提高，尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业，已经开始广泛部署各种信息安全技术和产品，并按照国家的号召，在等级保护、风险评估、灾难备份和业务连续性等领域，逐步掌握科学规范的方法。2007年，这些重点行业将进入全面的投入期。

以金融业为例，过去人们一直认为金融行业对信息安全的建设非常重视，但实际上，金融业并不如想像的那样安全，一般的银行只部署了简单的信息安全技术和产品，并没有从体系上解决信息安全问题。但自2006年以来，金融业普遍开始进行认识上的转型，尤其是外资银行在国内业务的扩张，国内银行竞争压力加大，再加上网上银行业务模式比重的加大，势必使得金融信息安全建设在2007年将备受关注。

此外，用户从实践中已经认识到，信息安全的“系统”建设比单独购买信息安全产品更重要，只有整体IT系统的安全才能构成真正意义上的安全。因此，从系统角度考虑安全建设将成为主流理念。

在这种情况下，用户安全建设四层结构渐已成型。一是安全规划，确定系统的安全框架与建设步骤，包括为系统定级等；二是进行重点资源的保护以及安全产品购买；三是安全管理平台的建设，以便及时把握系统的安全状况；第四是日常运营管理，以保障安全体系正常发挥作用。

与往年一样，2007年全球的安全形势依然不容乐观，病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、流氓软件、针对漏洞的攻击等依然会以各种不同的面貌出现，也不排除会出现新的攻击形式。用户不得不保持高度的警惕，并在信息安全领域持续进行重大的投入，以保护自己的数字资产。

产业进入转型期

专家预测，2007年信息安全产业将进入一个全面的转型期。从全球看，2006年信息安全领域几个大手笔的收购事件，已经为2007的信息安全产业转型埋下了伏笔。

EMC公司以21亿美元收购著名的身份认证公司RSA公司，IBM以13亿美元收购著名的入侵检测与防御公司ISS公司，微软同样以巨资收购Web应用防火墙专业厂商Whale等，这意味着全球IT大公司开始全面关注信息安全技术和产品，并开始将这些信息安全技术应用在基础IT产品技术中，以便为用户提供更基础的信息安全服务。信息安全也许不再以一个单独的产业形式存在，但它已经融入到全球信息化的整体浪潮中，成为信息化不可分割的部分。

从中国来看，专业的信息安全公司也开始进行调整，以适应政策和用户需求的变化。在目前中国资本市场及政策并不完善的情况下，中国的企业还不能通过资本市场的收购来扩大信息安全技术产品线，但一些企业已经开始了国际化之路，比如天融信公司通过国际化的资本运作和引进职业经理人，已经开始了国际化的尝试。

从信息安全产品来看，网域神州预测， 2007年同样将进行重大的创新和变革。2007年流行的信息安全技术将分成3类：第一类是被广泛接受、广泛运用的产品，比如老三样的防火墙、反病毒和入侵检测；第二类是已经热了两年，开始在局部运用的产品，比如UTM、入侵防御等；第三类是开始被关注、并将成为前沿热点的产品，比如IPv6下的信息安全技术和产品。

为了响应国家对信息安全“自主可控”的目标，信息安全专家沈昌祥院士多年来一直倡导可信计算技术和产品的开发。他预测2007年，中国有望通过加强可信计算研究，打破信息安全领域被国外企业占据主导地位的局面。

大力发展我国可信计算技术及产业

中国工程院院士 沈昌祥

从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全（安全操作系统、安全数据库等）、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果。

发展可信计算是国家安全的需要。国家“十一五”有关规划和863计划已将“可信安全计算平台研究”列入重点支持方向，并有较大规模的投入与扶植。具体来说，可信计算的发展重点将集中在以下几个方面。

第一，基于可信计算技术的可信终端是发展产业的基础。可信终端手机以及其他移动智能终端等）是以可信平台模块（TPM）为核心，它并不仅仅是一块芯片和一台机器，而是把CPU、操作系统、应用可信软件以及网络设备融为一体的基础设备，是构成可信体系的装备平台，应加大力度研制开发。

第二，高性能可信计算芯片是提高竞争能力的核心。可信计算核心是TPM芯片，TPM的性能决定了可信平台的性能。不仅要设计特殊的CPU和安全保护电路，而且还要内嵌高性能的加密算法、数字签名，散列函数、随机发生器等。

第三，可信计算理论和体系结构是持续发展的源泉。可信计算概念来自于工程技术发展，到目前为止还未有一个统一的科学严谨的定义，基础理论模型还未建立。因此现有的体系结构还是从工程实施上来构建，缺乏科学严密性。必须加强可信计算理论和体系结构研究，对安全协议的形式化描述和证明，逐步建立可信计算学科体系。

第四，可信计算应用关键技术是产业化的突破口。可信计算平台的主要技术手段是使用密码技术进行身份认证，实施保密存储和完整性度量，因此在TPM的基础上，如何开发可信软件栈（TSS）是提高应用安全保障的关键。

第五，可信计算相关标准规范是自主创新的保护神。我国可信计算平台研究起步不晚，技术上也有一定优势，但至今还没有相应的标准规范，处于盲目的跟踪和效仿TCG的建议。我国应加大力度制定相关标准规范，强制执行。