1.2 国内外网络信息安全发展简述

1.2.1 国际网络信息安全工程技术发展历程

第一个时期是通信安全时期，以1949年香农发表的《保密通信的信息理论》为里程碑，主要研究对称密码算法和分析。在这个时期通信技术还不发达，计算机只是零散地位于不同的地点，信息系统的安全仅限于保证计算机的物理安全以及通过密码（主要是序列密码）解决通信安全的保密问题。把计算机安置在相对安全的地点，不容许非授权用户接近，就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性，对安全理论和技术的研究也仅限于密码学。这一阶段的信息安全可以简称为通信安全，它侧重于保证数据在从一地传送到另一地时的安全性。

第二个时期为计算机安全时期，在20世纪60年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，数据的传输已经可以通过计算机网络来完成。这时候的信息已经分成静态信息和动态信息。1969年，美国兰德公司给美国国防部的报告中指出“计算机太脆弱了，有安全问题”——这是首次公开提到计算机安全。在当时和其后的相当一段时间，“计算机安全”的内涵主要是指实体安全，即物理安全。

1976年，现代密码学时代，以提出非对称（公钥）密码思想为标志，非对称密码体制及相关技术迅速发展。1977年美国国家标准局（NBS）公布的国家数据加密标准（DES）和1983年美国国防部公布的可信计算机系统评价准则（TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书，1985年再版）标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。到了20世纪80年代后期，“网络安全”和“信息安全”才开始逐步被广泛采用。

第三个时期是在20世纪90年代兴起的网络时代。从20世纪90年代开始，由于互联网技术的飞速发展，信息无论是企业内部还是外部都得到了极大的开放，而由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、抗抵赖性、真实性等其他的原则和目标。

第四个时期是进入21世纪的信息安全保障时代，其主要标志是《信息保障技术框架》（IATF）。如果说对信息的保护，主要还是处于从传统安全理念到信息化安全理念的转变过程中，那么面向业务的安全保障，就完全是从信息化的角度来考虑信息的安全了。体系性的安全保障理念，不仅是关注系统的漏洞，而且是从业务的生命周期着手，对业务流程进行分析，找出流程中的关键控制点，从安全事件出现的前、中、后三个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障，而是建立一个“深度防御体系”，通过更多的技术手段把安全管理与技术防护联系起来，不再是被动地保护自己，而是主动地防御攻击。也就是说，面向业务的安全防护已经从被动走向主动，安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。

1.2.2 我国网络信息安全发展历程及趋势

我国网络信息安全工程技术发展经历了以下5个阶段。

第一阶段：20世纪80年代末之前。1986年，中国计算机学会计算机安全专业委员会正式开始活动，以及1987年国家信息中心成立第一个专门安全机构，从一个侧面反映了中国计算机安全事业的起步。这个阶段的典型特征是国家尚没有相关的法律法规，没有较完整意义的专门针对计算机系统安全方面的规章，安全标准也少，谈不上国家的统一管理，只是在物理安全及保密通信等个别环节上有些规定，广大应用部门也基本上没有意识到计算机安全的重要性，只有个别部门和少数有计算机安全意识的人们开始在实际工作中进行摸索。在此阶段，计算机安全的主要内容就是实体安全，20世纪80年代后期开始了防计算机病毒及计算机犯罪的工作，但都没有形成规模。

第二阶段：20世纪80年代末至20世纪90年代末。20世纪80年代末，随着我国计算机应用的迅速拓展，各个行业、企业的安全需求也开始显现。除了此前已经出现的病毒问题，内部信息泄漏和系统宕机等成为企业不可忽视的问题。此外，20世纪90年代初，世界信息技术革命使许多国家把信息化作为国策，美国“信息高速公路”等政策也让中国意识到了信息化的重要性，在此背景下我国信息化开始进入较快发展期，中国的计算机安全事业也开始起步。

在这个阶段，一个典型的标志就是关于计算机安全的法律法规开始出现——1994年，公安部颁布了“中华人民共和国计算机信息系统安全保护条例”，这是我国第一个计算机安全方面的法律，较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。

在这个时期中，许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待，加大了投入，开始建立专门的安全部门来开展信息安全工作；一大批基于计算机及网络的信息系统建立起来并开始运行，在本部门业务中起到重要作用，成为不可分的部分，一些学校和研究机构开始将信息安全作为大学课程和研究课题，安全人才的培养开始起步，这也是中国安全产业发展的重要标志。

第三阶段：20世纪90年代末至2005年。从1999年前后到2005年，中国安全产业进入快速发展阶段，标志其走向正轨的最重要特征，就是国家高层领导重视信息安全工作，国家出台了一系列重要政策、措施。1999年国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划，都是国家信息安全走向正轨的重要标志。在2003年组建的国家信息化领导小组下面，曾经单设了一个国家网络和信息安全协调小组，与此同时，国家在信息安全的法律、规章、原则、方针上都有对应措施，发布了一系列文件。

第四阶段：2005—2010年。这个阶段的特点是，国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。企业客户已基本了解了信息安全的建设内容与重要意义，很多行业部门开始对内部信息安全建设展开规划与部署，企业领导高度重视，投资力度不断加大。由此，信息安全成为这一阶段企业IT建设的重中之重。积极主动、综合防范的网络安全保障体系加快构建，网络空间态势感知能力将得到进一步提升。逐步明确网络空间新一代防御设计思路，以网络对抗性防御技术研发为依托，构建“协同预警、有效应急、强化灾备”全网动态感知能力体系，逐步实现网络安全防护从静态、基于威胁的保护向动态、基于风险的防护转变。

第五阶段：2010年到现在。随着网络互联网技术飞快发展，空间冲突不断、矛盾增多，网络中的恶性竞赛愈演愈烈，世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等时有发生，网络监听、网络攻击、网络恐怖主义活动等成为全球公害。世界各国都将网络空间安全上升为国家战略。2014年2月，中央网络安全和信息化领导小组成立，设立中央网络安全和信息化领导小组办公室为国家网络空间安全和信息化的统筹协调及办事机构，并与各相关部门共同构成国家网络治理体系的主体。颁布实施47部互联网相关法律法规，占“十二五”期间立法总量的62%。“没有网络安全就没有国家安全，没有信息化就没有现代化”已经成为共识。

1.2.3 国际网络信息安全工程技术发展新趋势

近几年来，国际信息安全领域动作频繁，各国政府、军队、相关企业成为该领域的主角。云计算、云安全、物联网、智慧地球、智能化安全产品、网络战等新概念、新技术和新产品纷纷登场，国际信息安全领域的发展呈现出一些新特点和新趋势。

1．技术发展关联性主动性显著加强

信息安全技术向完整、联动、快速响应的防护系统方向发展，采用系统化的思想和方法构建信息系统安全保障体系成为一种趋势，具有复杂性、动态性、可控性等特点。其中，复杂性体现在网络和系统的生存能力方面；动态性体现在主动实时防护能力方面，包括应急响应与数据恢复、病毒与垃圾信息防范、网络监控与安全管理；可控性则体现在网络和系统的自主可控能力方面，包括高安全等级系统、密码与认证授权、逆向分析与可控性等。

2010年，美国政府实施了一项代号为“完美公民”的信息安全防护项目，旨在保护政府重要基础设施或企业免遭黑客侵袭，国家安全局打算从电网、核电站、空中交通管理系统入手，大力部署网络安全的多层防御体系，最终全面介入基础设施；北约紧随其后拟建立三重安全防御体系“数字盾牌”。种种迹象预示着一种全新的信息安全战略即将实施。基础“有效保护”和“大规模报复”的主动防御技术的建立，使信息安全发展正在向主动防御进行根本性转变。

2．产品呈现高效系统集成化趋势

一方面，随着网络和信息技术的迅猛发展，各种信息安全产品必须不断提高其性能，方能满足高速海量数据环境下的信息安全需求；另一方面，随着网络和信息系统日趋复杂化，将信息安全技术依据一定的安全体系进行设计、整合和集成，从而达到综合防范的目的已成为一种必然趋势。因此，信息安全技术作为关键环节已融入信息系统和产品的设计和生产中，成为不可替代的一个独立模块，信息安全产品的集成化趋势日益显著。

3．产业形态向服务化方向发展

信息安全产业的发展逐步从当前的技术主导型转化到技术与服务并重型，并将成为产业发展新的增长点。随着产业整体发展的不断成熟和市场竞争的加剧，以及信息安全产品功能的趋同性和产品成本的不断下降，使得信息安全厂商的核心竞争力逐渐向服务领域集中，并带动信息安全市场向服务化方向发展。此外，信息系统复杂程度的不断提高和防护难度的不断加大，迫使信息系统用户不得不将信息安全服务外包，由此催生出一批专业化的信息安全服务公司。

4．技术和产品应用领域不断拓展

随着信息安全技术与产品的不断成熟和创新，在保证信息安全产业独立性的同时，其技术和产品的应用正迅速向经济社会的各个领域拓展，如基本虚拟化的云安全技术受到重视、云安全服务业务细分化、防火墙高速多功能化、入侵检测向趋势预测行为分析发展、网关安全和终端安全融合发展，以及下一代安全网关成为新热点等现象充分说明，信息安全技术和产品的应用早已不再局限于本领域范畴。

5．互联网空间成为信息安全主战场

近年来，信息安全的主战场已经逐步转移到互联网空间。网络应用的迅速普及，使得网络成为当今世界信息传输和产生的主要载体，计算机网络和移动互联网的安全问题已成为信息安全领域的核心问题。当前，全球正处于网络空间战略的调整变革期，多个国家调整信息安全战略，明确网络空间战略地位，美、俄、英、法、德等国均公开表示将网络攻击列为国家安全的主要威胁之一，将采取包括外交、军事和经济在内的多种手段保障网络空间安全。

1.2.4 我国电力信息安全工程技术发展的主要特点

电力系统是关系国计民生的国家基础设施，其信息安全是国家网络安全工作的重要组成部分。全国电网监控系统安全防护体系的建立始于21世纪伊始，发展至今经历了以下4大阶段。

1．电力信息安全发展第一阶段（1997年前）

电力工业信息技术主要应用在电网调度、电力实验数字计算、工程设计科技计算、发电厂自动监测/监控、变电站所自动监测/监控等方面。20世纪80年代初到20世纪90年初期，专项业务系统开始应用在电力的广大业务领域，电力行业广泛使用计算机系统，如电网调度自动化、发电厂生产自动化控制系统、电力负荷控制预测、计算机辅助设计、计算机电力仿真系统等。计算机及网络安全重点是保证计算机及专项业务系统应用的安全问题，主要采用被动的防御措施，计算机及网络的安全在很大程度上依赖于网络终端和客户工作站的安全。系统安全级别特别低，几乎没有主动有力的防范措施。

2．电力信息安全发展第二阶段（1997—2005年）

1997年3月，电力工业部召开全国电力系统第一次信息化工作会议，制定了“电力工业信息化“九五”规划暨1997—2010年信息化建设发展纲要”，提出了加速建设全国电力系统通信网络、加快电力信息化资源开发利用、建设覆盖全国电力企业的国家电力信息网络的任务。随着电力信息网络不断扩大，系统信息安全存在大量风险：一是系统中有一些网络安全产品，没有形成一个完整的信息安全体系，缺少足够的安全防范和保护；二是网络结构不合理，缺乏信息安全意识，没有制定完整的安全策略；三是在信息安全方面缺少系统的网络安全体系，缺少有关信息安全的管理手段和防范措施，缺少发生故障时的恢复方法和策略，缺少网络实时安全监视手段；四是同外部网络的接入缺少足够的身份认证和授权，对城域网和广域网没有相应的安全防范；五是应用系统在访问控制和安全通信方面缺少相应的安全措施。

2000年年初，国家启动了“十五”重大科技攻关项目“国家信息安全应用示范工程”，由国家科技部、国家密码管理委员会国家商用密码管理办公室统一组织，中南海办公厅、上海219二期工程、国家电力公司承担国家信息安全应用示范工程项目。辽宁、江苏省电力公司成为电力系统信息安全示范工程试点单位。从2000年开始起步，一方面按照项目统一部署，进行培训、调研制定方案等前期准备工作，另一方面基于保证信息安全重在基础管理的认识，开始组织网络结构优化工作。完成了公司信息安全策略整体框架的开发，完善了安全管理组织机构与制度体系建设；完成了信息安全风险评估实施工作，重点完成辽宁电力PKI/PMI系统建设。在国家科技部等有关部门及国家电力公司的领导和帮助下，经过两年前期准备打基础，四年多实施，一千五百余天努力奋斗，全面完成辽宁电力系统信息安全应用示范工程。“全国电力二次系统安全防护体系的研究与实践”于2005年获得国务院颁发国家科学技术进步二等奖；“辽宁电力系统信息安全应用示范工程”于2004年获得国家电网公司科技进步一等奖。

2002年启动了国家“863”项目“国家电网调度中心安全防护体系研究及示范”，经过三年的研究论证，首次提出了我国电力系统信息安全防护总体策略：“安全分区、网络专用、横向隔离、纵向认证”。其中，“安全分区”即将各项电力各类信息系统按照其业务功能与调度控制的相关性，分为生产控制类业务及管理信息类业务，分别置于生产控制大区与管理信息大区中；“网络专用”即利用网络产品组建电力调度数据网，为调度控制业务提供专用网络支持；“横向隔离”即通过自主研发的电力专用单向隔离装置实现生产控制大区与管理信息大区的安全隔离；“纵向认证”即通过自主研发的电力专用纵向加密认证装置为上下级之间的调度业务数据提供加密和认证保护，保证数据传输和远方控制的安全。由此形成了以边界防护为要点、多道防线构成的纵深防护体系。

中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》于2002年5月8日发布。该规定以“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行”为目标，规定了电力调度数据网络只允许传输与电力调度生产直接相关的数据业务，并与公用信息网络实现物理层面上的安全隔离，奠定了我国电力监控系统“结构性安全”的重要技术基础，成为我国电力监控系统信息安全防护体系建设启动的标志。

2004年12月，该体系以国家电力监管委员会5号令《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关配套技术文件形式发布，成为我国电力监控系统第一阶段安全防护体系全面形成的标志。该体系的实施范围包括省级及以上调度中心、地县级调度中心、变电站、发电厂、配电及负荷管理环节相关电力监控系统。

3．电力信息安全发展第三阶段（2006—2010年）

这一阶段我国电力信息化进入了系统性全面应用。2006年，国家电网公司启动信息化SG186工程建设。2007年，完成紧密耦合业务应用ERP典型设计和试点。2008年，建成总部、省（市）公司两级的一体化信息集成平台，全面推广业务应用。2009年，提前一年完成SG186工程，建成覆盖公司各级单位的一体化企业级信息系统，满足各专业管理需求。2010年，全面推进SG186工程信息系统深化应用，并在SG186工程成果基础上，完成国家电网资源计划系统（SG-ERP）工程总体设计，根本扭转了信息化滞后电网发展和企业管理的被动局面，完成了信息系统从条块分割的部门级向横向集成、纵向贯通的一体化企业级的信息系统转变。

2007年，国家电网公司按照国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》等系列文件，启动电力行业信息安全等级保护定级工作。2012年印发了《电力行业信息系统安全等级保护基本要求》，全面推进电力行业等级保护建设工作。电力生产控制系统中，省级及以上调度中心的调度控制系统安全保护等级为4级，220kV及以上的变电站自动化系统、单机容量300MW及以上的火电机组控制系统DCS、总装机1000MW及以上的水电厂监控系统等系统安全保护等级为三级，其余为二级。依据《电力行业信息系统安全等级保护基本要求》，在上阶段纵深防护基础上完善形成了电网监控系统的等级保护体系，由以下5个层面组成：物理安全、网络安全、主机安全、应用安全、数据安全防护，共包括220个安全要求项，其中168项强于或高于对应级别的国家等级保护基本要求。对于保护等级为四级的电网调度监控系统，综合运用调度数字证书和安全标签技术实现了操作系统与业务应用的强制执行控制（MEC）、强制访问控制（MAC）等安全防护策略，保障了主体与客体间的全过程安全保护，全面实现了等级保护四级的技术要求。

4．电力信息安全发展第四阶段（2011年至今）

这一阶段我国电力信息化进入世界一流水平，在SG186工程成果基础上，完成国家电网资源计划系统（SG-ERP）工程总体设计。全面启动了“覆盖面更广、集成度更深、智能化更高、安全性更强、互动性更好、可视化更优”的信息化SG-ERP工程建设，建成异地集中式信息系统灾备中心，投运信息系统调度运行监控中心，开展信息系统实用化评价，进一步提高信息系统应用率。2012年，公司全面推进SG-ERP工程建设，并结合电力专用通信网络建设，推进信息通信融合发展，综合应用水平全面提升，为电网发展和管理变革提供强有力的支撑和保障。这一阶段我国电力信息化全面进入世界一流水平。

2014年7月2日，国家能源局下发[2014]317、318号文件，《电力行业网络与信息安全管理办法》、《电力行业信息安全等级保护管理办法》明确要求选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务，开展信息系统安全建设或改建工作。

2014年9月1日起开始施行国家发展和改革委员会令第14号《电力监控系统安全防护规定》，并且同步修订了《电力监控系统安全防护总体方案》等配套技术文件。定义了电力监控系统，是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。电力监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定存在漏洞和风险的系统及设备。新版本的总体方案要求生产控制大区具备控制功能的系统应用可信计算技术实现计算环境和网络环境安全可信，建立对恶意代码的免疫能力，应对高级别的复杂网络攻击。这标志着我国智能电网调度控制系统信息安全主动防御体系的正式确立。