發揮國家隊作用,構建可檢測、可防控、可替代的網絡安全和信息化產業體系
(作者系中國電子信息產業集團有限公司總經理)
編者按:網絡安全和信息化產業是國家戰略性產業,事關國家安全和長遠發展,需要舉國家之力,聚力習近平總書記強調的網絡安全和信息化涉及的技術、經濟、文化、人才、國際交流等方面,利用“兩會”的人民代表和政治協商方式,上下聯動,齊心協力,凝聚最大的正能量,發展壯大國家網絡安全和信息化產業國家隊,突破核心關鍵技術,形成可檢測、可防控、可替代的產業綜合實力,在產品和技術供應鏈的各個環節,有效改變家底不清、防護不利、受控於人的不利局面,真正實現心中有數、安全可控和產業自主。
網絡和信息化浪潮對全球經濟社會發展影響越來越大,已經成為推動人類社會進步的重要驅動力,但是“棱鏡門”、“谷歌Wi-Fi門”、“XP停止服務”,以及美國終止對敘利亞、利比亞域名服務等,無不顯示出全球化的互聯網服務和信息正面臨著極大的安全隱患。中國在網絡安全上面臨的挑戰歸根結底是產業不對稱造成的,中國的網絡安全和信息化市場不僅推動了中國的經濟發展,也推動了美國和世界的產業發展,但卻面臨家底不清、防護不利、受控於人的嚴峻局面。2月27日,中央網絡安全和信息化領導小組成立,習近平總書記清晰描述了“一個目標、兩個支撐、五項任務”的國家網絡安全和信息化發展框架,標志著我國網絡安全和信息化產業已經進入一個新的戰略發展階段。網絡強國的目標,網絡安全和信息化作為兩個支撐,需要有自己過硬的技術,需要有蓬勃發展的網絡經濟,需要有繁榮發展的網絡文化,需要有高素質的網絡安全和信息化人才隊伍,需要積極開展雙邊、多邊的互聯網國際交流合作。這成為我們奮起直追,形成對等制衡態勢的重大契機。我們亟待以底線思維,直面威脅,瞄准關鍵,創新發展,加強網絡安全和信息化產業國家隊建設,加速構建自主可控的產業體系,高度重視具有中華民族文明底蘊的企業文化培育,形成一個良好的網絡和信息安全生態環境,實現中國從網絡大國走向網絡強國的跨越式發展,助力中華民族復興的偉大夢想。當前,中國電子等國有大型企業,正在打造網絡安全和信息化產業體系,順應了時代的發展需要和國家的頂層設計,將在網絡強國建設中發揮重要作用。
一、產業能力不對稱已經成為中國迫切的戰略威脅
當前中國在網絡安全問題上面臨的壓力和挑戰,有著政治、經濟、法律、技術等諸方面原因,但歸根結底是中美產業能力不對稱造成的。為什麼美國在全球網絡中,既有監聽全球的常態能力,又具備長驅直入的戰時手段。是因為它具有先進、完整的產業實力,在供應鏈層面把持上游,在信息流動方面位於全球匯聚點。而美國的產業能力和其國家信息安全整體架構不是割裂的,而是渾然一體、層次分明的,這說明美國的信息安全整體架構是經過高質量、系統設計的,並不是一個偶然。
中國也為全球化經濟和全球供應鏈做出了巨大貢獻,不但通過網絡安全和信息化拉動了中國的經濟發展,也實際上推動了美國和世界的產業發展。但中國自身從國家安全上,卻反過來缺少供應鏈話語權受制於人。自主可控產品和信息環節的嚴重不足,導致中國網絡安全和信息化產業存在問題更多,也更深層次、更復雜。
(一)服務體系不完善,導致面臨的威脅“家底不清”
美國經常披露報道中國和其他國家對其進行攻擊的詳盡案例和分析,並通過這些素材獲取外交主動。最主要是因為美國從安全層次上能夠對各種攻擊實現及時發現、威脅評估、溯源分析,這種技術能力是其在統一協調部署下,其安全廠商、技術和標准機構以及其他社會力量統一發力的結果。源於其安全產業,成之於其國家能力,是其戰略優勢。與此相對,我們對於中國信息安全面臨著什麼樣的威脅,從宏觀上能夠高談闊論,但是缺少精准案例和証據來進行說明。首先是數量不清,有沒有安全問題不知道,很多用戶對於有沒有受到攻擊不清楚,國家多大范圍的網絡和信息產業受到威脅不清楚﹔其次問題不清,到底入侵滲透到什麼程度不清楚,對於真正的攻擊源頭也不清楚。這些問題的一個重要原因是高質量的信息安全服務體系還沒有形成,沒有一個統一的國家信息工作運行維護平台。
(二)防御措施不成體系,導致整體“防護不利”
我國網絡安全事件頻發,防護能力特別薄弱。據國家互聯網應急中心報告,僅2012年,就有7.3萬個境外IP地址參與了控制中國境內1400余萬台主機的網絡攻擊事件,有3.2成個境外IP地址通過植入后門參與了對中國境內近3.8萬個網站的遠程控制事件,中國互聯網每個月受到的網絡攻擊達27000起以上。在全球信息化時代,單靠一個部門、一家企業的力量是無法解決黑客、病毒等諸多問題的。更難以有效應對具有高度針對性和強大成本承受能力的APT等高級攻擊形式。從單一層面防護情況來看,我國大多數網絡用戶都有採取一定防御措施,但是從應對多種威脅角度來看,國家信息產業真正做到聯防聯抗、體系防御的非常少,即使有些做了防御,這些防御手段到底有沒有用?也難以評估驗証。這麼多網絡安全事件,說明我國對於各類網絡信息安全威脅還不能有效防護,缺少一個軟硬件相配套、國家和企業多部門合作的綜合可防控信息安全防御體系。
(三)技術和產品缺乏自主,導致產業“受控於人”
如果說美國的網絡和信息安全是末端問題,那麼我國在頂端就有問題,從CPU、操作系統、數據庫,到核心路由網絡節點,基本上都是美國產品。雖然,我們在自主可控方面也做了很多的開發,在操作系統、芯片、數據庫等方面都有一定的投入和嘗試,但是效果都不好。這裡雖然有很多產業、技術的因素,但缺乏統一清晰的國家戰略也是一個問題,都是孤點、各自為戰。單獨的產品和技術拿出來好像都沒問題,但是一個系統需要跟很多其他東西配合使用,比如我們的操作系統跟自己的芯片、自己的數據庫放在一起就不能適配,無法達到自主而且可控可用的要求,導致國家關鍵信息系統信息化程度和安全能力始終不能擺脫對美國的依賴,無法形成自主可控的核心能力,給國家信息安全帶來嚴重的隱患。
二、統籌考慮,系統設計,構建可檢測、可防控、可替代的網絡和信息安全體系
需要清晰的認識到,自主可控一方面面臨著在關鍵環節上逐步趕超美國的所需要的時間過程,另一方面也必須尊重和滿足人民群眾用世界上最先進、最方便、最便宜的技術和產品的權利。這兩點將使我國的自主可控產品發展之路呈現更加長期、復雜、艱巨的趨勢。決定了自主可控不可能是一擁而起,一蹴而就的,需要針對客觀分析制定現實可行、漸進務實的路線,首先立足黨政機關的信息系統,從改善其檢測、防御能力入手,並逐步以此為國產化替代的起點和主攻方向。
我們在構建網絡和信息安全防御體系的時候應該圍繞可檢測、可預防、可替代三個方面進行統籌考慮,在逐步完善信息安全產業鏈的過程中,形成一個可檢測的服務體系,健全一個可防控的防御體系,建立一個國產化替代的產品體系。
(一)圍繞威脅可發現,形成可檢測的網絡和信息安全服務體系
發現威脅是採取措施消除威脅的前提。單一的信息安全公司受能力和規模限制,難以全面發現和掌握所有的安全威脅,這時就應充分發揮互聯網的融合優勢,從國家的層面出發,把各類信息安全防護力量聚合起來,健全完善可檢測的信息服務體系,形成一個服務於國家的統一運營維護平台,實現評估、檢測、認証、培訓等一系列服務保障。通過集中建設,引入中國信息安全測評中心等國家管理和測評機構的綜合能力,匯聚360、安天等優秀安全企業的優質資源,實現對國內信息系統的多引擎檢測,安全事件的聯合檢索,大幅提高對於各類攻擊的發現能力,使得各級用戶對所面臨的病毒、攻擊等能做到心中有數。
(二)瞄准威脅能預防,建立可防控的網絡和信息安全防御體系
要想對安全威脅能夠有效防控,就必須要從系統聯防、體系共防的角度出發,廣泛與社會力量開展技術合作,統合利用國內信息安全防護技術,從組織、監督、防御等多方面對我國信息安全防御體系進行戰略升級和完善,建立一個可防控的信息安全防御體系。要將國內先進的安全防御領域技術單位集中在一起行動,創新防御模式,搭建各單位資源共享、優勢互補的技術攻關平台,著力解決消除網絡攻擊的關鍵技術問題,達到高水平的整體協同運行狀態,實現能夠有效攔截各類網絡攻擊並在其進入系統前將其清除,做到藥到病除。
(三)立足產品國產化,建立國產網絡安全和信息化產品替代體系
國家網絡和信息安全的根本還是要依靠自主可控、安全可靠的產業鏈。因此,當前要有效維護國家網絡和信息安全,最核心的是要能夠實現產業鏈的國產化替代。可以說,網絡安全和信息化產品的國產化是所有安全工作的基礎和根本,不能實現的話,可檢測和可防護也無從談起。國家要集中人力、財力、物力,研發核心、通用、高端的產品,制定出國產產品和系統替代的戰略和計劃,列出達到國產化率的時間表,盡快建設建成國產安全、高效的替代體系,從根本上解決國家網絡和信息安全隱患。
三、抓好關鍵環節和戰略部署,凸顯網絡安全和信息化產業國家隊的重要作用
隨著中央網絡安全和信息化領導小組的成立,網絡和信息安全已經上升到國家戰略層面,網絡安全和信息化產業作為國家戰略性產業,應舉國家之力,加強國家隊建設。通過資金支持、項目支持和政策傾斜等方式,扶持信息技術產業鏈較完整、有較好信息技術基礎的企業做大做強,從而突破信息安全關鍵技術,形成自主可控的網絡安全和信息化產業體系。
(一)加強網絡安全和信息化產業國家隊的建設
信息安全領域的企業應該分為三個層次,以國有大型綜合信息技術企業集團為上層框架,以信息技術相關領域的大量企業為綜合基礎,以網絡信息安全企業為中堅支撐。
居於上層框架的信息安全產業國家隊應能夠承擔國家信息安全體系的總體設計和總體集成,負責對國防、國家基礎網絡和重要信息系統提供安全方案和安全服務。同時積極聯合社會其他信息技術企業、信息安全企業做為關鍵產品、關鍵技術供應方。利用技術和產業優勢,有效組織與協調各種社會力量,推動國家信息安全體系中的必要信息技術裝備和信息安全體系特殊裝備的研制。這樣既發揮了國家隊的綜合優勢,也充分保証了具有技術創新能力的民營信息技術和信息安全企業的積極性,推動了全產業鏈的發展。
(二)抓住網絡安全和信息化產業頂層、中間和末端的關鍵環節
圍繞完善網絡安全和信息化產業鏈,形成良好生態環境,需要抓好國家隊頂層、中間和末端建設的關鍵環節。在產業的頂層,要立足國家,建設網絡和信息安全智庫,抓總體,抓宏觀,為國家信息安全主管部門出謀劃策,成為國家的智囊。在末端,成立網絡安全和信息化產業國家隊的產業聯盟,為國家網絡和信息安全提供各類服務保障。中間是產業鏈的建設,著力推動信息產業鏈的各個節點建設,把芯片、數據庫、整機、操作系統、信息安全集成等各個方面的力量聚合起來,信息安全產業國家隊的重要任務,就是要把這些產業鏈上的“珍珠”用一根線穿起來,整合現有的網絡安全和信息化產業鏈上的企業和產品。
(三)突出可信計算、自主可控適配、工業控制安全和運行維護平台等方面的戰略部署
網絡安全和信息化產業國家隊要發揮自身頂層引領和組織協調作用,必須要強化基礎技術的戰略部署和推動,從而奠定行業的技術基礎,具有和保持突出技術優勢。一是要抓緊可信計算及其他相關自主可控技術的研究與推廣。要有相對比較成熟的技術路線,推廣底層訪問可信平台,使產品的安全性具有模型上的保証。二是要不斷推進自主可控軟硬件的適配。從頂層推動國內基礎軟硬件廠商的聯合研究,加強與其他信息產業的橫向合作,促進可靠軟硬件適配效果。三是要加快工業控制安全技術應用。把信息安全作為工業體系發展進步的關鍵要求,不斷加強工控安全技術創新,並推廣應用。四是建立國家信息工作的運行維護平台。立足於央企,建立一個以央企為核心的多引擎平台,對於國內的一些信息安全事故和事件多引擎進行搜索和檢測,然后進行綜合治理。
我們在網絡安全和信息化產業建設方面有較好的基礎,為產業的發展做了大量工作,未來將在國家政策的指導下進一步整合產業鏈,推動產業快速健康發展,為建設堅固可靠的國家網絡安全體系貢獻力量。
