2011年，财政部明确了“十二五”期间政府采购工作的重点发展方向，其中“要完善政府采购强化信息安全的政策措施，建立采购信息安全产品的审查机制”被着重指出。政府部门重视信息安全就必须要关注数据安全产品，电子政务系统中有众多的政府公文在流转，其中不乏重要情报，有的甚至涉及国家安全，这些信息在网络或内部传送时绝对不能被窃听、泄密、篡改和伪造。如果电子政务数据信息安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。在此背景下，第六届“内网安全战略与技术论坛——暨政府与行业应用经验交流会”在京召开。

    内网安全标准有望出台

    2011年被业界喻为中国的内网安全建设年，国家针对分级保护、密钥管理和电子认证系统建设也出台了系列政策，要求切实加强推进工作；一些政府部门或行业机构也纷纷出台了一些内网安全相关制度文件和行业标准。至此，呼吁了几年的内网安全标准终于有了展露头角的苗头。2011年内网安全技术与防护措施有哪些新的进展，又面临着哪些机遇和挑战？政府部门和行业机构有哪些内网安全建设经验可供共享和学习？

    随着信息化的飞速发展，内网终端计算机数量越来越多，为内网系统和设备的管理提出了更高的要求。目前，越来越多的政府部门建立了内部办公网，有力提升了政府办公效率。但随着业务职能增加，信息交换与共享，多部门协同办公的需要，政府部门的网络环境从满足当初内部办公的需要逐步上升到满足信息资源公开和共享的需要，而且，网络接入情况也越加多样复杂。与此同时，涉密内网信息数据泄密的事件时有发生，涉密内网面临着安全意识淡薄、违规接入、非法外联、网络病毒、系统漏洞、黑客攻击、涉密载体交叉混用、管理漏洞等方面的威胁以及数据存储和输出方面的问题，而网络身份认证体系建设也尚未成熟，投入市场的内网安全产品也存在着智能化程度较低、误报率较高的问题。

    安全问题区别对待

    目前，政府、企事业和个人对网络的依赖程度越来越高，大到国家秘密，小到个人隐私，对网络安全的要求也会越来越高，不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解，事实上，网络安全和信息安全，在内容、技术和安全保障上都应该分开描述，分别提出要求。

    以前，政务部门都是以纵向到底的网络来开展本部门的业务，如金字工程等。在这种情况下，信息安全包括全国性的专用网络、数据和应用系统、身份认证等，这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务，按我们国家现在的分工负责制，政务网络的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责，包括网络信任体系等基础安全设施，而信息安全大多指本单位局域网络和应用系统的安全，由各单位自行负责。当前我国电子政务内网建设存在的主要问题有：国家在信息安全方面没有明确的主管部门，缺乏总体的信息安全战略研究和统一的规划，各自为战，难以形成国家合力; 技术措施陈旧、以被动响应为主，无法对信息流的全过程实施有效的监控，IT设备的核心技术均来自国外，受制于人，大多数的问题存在于涉密终端，没有有效的技术措施和手段来控制信息不外泄;涉密人员保密意识不强，管理制度执行检查不严，网络信任体系尚未建立。

    云计算时代的内网安全

    “内网的安全技术，我们不能只站在内网来看，还得站在外网看，就是要看到云计算的趋势，看到三网融合的趋势，看到物联网到来的理想，所以我们探讨内网的安全的时候，我们需要研讨国内外安全政策趋势技术的变化，从这样我们才可以更加全面深入地研究内网技术。”中国工程院沈昌祥院士表示。

    传统的内网安全指的是攻击源来自于网内，攻击目标也在网内，而随着近些年网络应用的复杂化和攻击的多样化，很多利用网内设备为跳板，跨域发起攻击的事件也逐步显现，例如：来自网外的某些恶意攻击者直接攻击某些重要目标，在攻击无效的时候，会考虑首先攻陷与目标位于同一网络内部的一些存在漏洞的设备，取得管理员权限后，再利用这些设备发起网内的攻击，其成功率极高。

    另外，云计算应用的不断普及势必会有越来越多的网络加入到云中，当承接云计算任务后，网络上面所运行的应用将呈现出虚拟化、多样化的特点。

    特别是这些业务可能完全没有任何关联，也不属于同一用户，访问这些业务的客户都要对网络发起访问，那么，在同一网络针对多样化任务间的防护，将成为后续所要解决的重要问题之一，这也是云安全中的一个重要方向。