作者:浙江省工業(yè)和信息化研究院院長、研究員
習近平總書記于4月19日在京主持召開了網(wǎng)絡安全和信息化工作座談會并發(fā)表重要講話����,強調以創(chuàng)新����、協(xié)調���、綠色�、開放、共享五大發(fā)展理念為統(tǒng)領,從推動我國網(wǎng)信事業(yè)發(fā)展�����、建設網(wǎng)絡良好生態(tài)�����、突破核心技術、處理安全和發(fā)展關系�、增強互聯(lián)網(wǎng)企業(yè)使命感責任感�����、提供強有力人才支撐等方面著手�,推進網(wǎng)絡強國建設�,推動我國網(wǎng)信事業(yè)發(fā)展�����,讓互聯(lián)網(wǎng)更好造福國家和人民�����。習總書記的一系列重要講話��,表明網(wǎng)絡強國猶如時代之“雄鷹”�,網(wǎng)絡安全和信息化便是其“一體之兩翼”����。建設網(wǎng)絡強國,既要解決網(wǎng)絡安全問題�����,也要推動信息化發(fā)展�,讓這兩支“翅膀”均衡發(fā)展����,不斷壯大��,成為推動國家前進的強大動力源��。
深刻認識當前網(wǎng)絡安全的緊迫形勢
近年來�����,我國網(wǎng)絡規(guī)模�����、用戶規(guī)模、產業(yè)規(guī)模均居世界前列����,已成為互聯(lián)網(wǎng)大國。隨著云計算����、大數(shù)據(jù)��、物聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)等為代表的新一代信息技術的快速發(fā)展����,虛擬世界對實體世界影響日趨增強�����,對經(jīng)濟���、社會各領域正在產生革命性影響��。與此同時,網(wǎng)絡安全威脅和風險問題也日益突出��,并向經(jīng)濟����、社會����、文化���、生態(tài)�、國防等領域傳導滲透����,網(wǎng)絡安全成為事關國家主權����、安全和發(fā)展的重大戰(zhàn)略問題。
根據(jù)國家互聯(lián)網(wǎng)應急中心在《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016)》指出�,2015年針對我國境內網(wǎng)站的仿冒頁面(URL鏈接)191699個,較2014年增長85.7%��,涉及IP地址20488個�,較2014年增長199.4%�����,黨政機關�、科研機構��、重要行業(yè)單位網(wǎng)站是黑客組織攻擊特別是APT攻擊的重點目標��。
研究分析網(wǎng)絡安全領域嚴峻形勢,有三大挑戰(zhàn)值得高度關注:
一是廣義政務應用的挑戰(zhàn)��。下一代互聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)�����、云計算����、大數(shù)據(jù)����、移動互聯(lián)網(wǎng)等新技術正在加快應用到電力��、電信��、石油�、交通��、政府服務等重要領域����,關系國計民生的“智能電網(wǎng)”��、“智慧能源”�、“智慧交通”、“智慧政務”等重要網(wǎng)絡設施����、智能終端和數(shù)據(jù)庫等基礎性設施極易成為惡意網(wǎng)絡攻擊和破壞的目標����。
二是移動政務應用的挑戰(zhàn)。現(xiàn)代社會數(shù)字化�、移動化��、集成化等趨勢越來越明顯�,給信息與網(wǎng)絡安全提出了全新的要求�。以互聯(lián)網(wǎng)經(jīng)濟比較發(fā)達的浙江省為例��,為了建設服務型政府����,浙江政務服務網(wǎng)集中打造了“行政審批一張網(wǎng)”�、“便民服務一張網(wǎng)”和“陽光政務一張網(wǎng)”���,網(wǎng)站集合全省4000余機構組織����,6萬多個政務事項�,2.4萬個便民事項��,7個應用軟件APP�。眾多的功能和服務提供了多項數(shù)據(jù)接口����,而數(shù)據(jù)接口安全認證和協(xié)議的不完善將導致移動應用成為不法分子實施詐騙、盜竊����、恐怖��,危害老百姓生命財產����、危害國家安全的工具���。在這方面��,近幾年已經(jīng)有不少的教訓需要汲取���。
三是重大活動的安全挑戰(zhàn)。當前�����,針對政府門戶網(wǎng)站攻擊勢力一部分是從經(jīng)濟利益考慮���,但更多的是一些敵對勢力����、分裂勢力地惡意破壞性攻擊���。尤其在我國召開重大活動期間,一些黑客企圖通過控制政府門戶網(wǎng)站�����,抹黑、攻擊黨和政府�,誤導人民群眾��。而我國政府網(wǎng)站傳統(tǒng)的網(wǎng)絡防火墻����、IDS/IPS等安全產品對應用系統(tǒng)的攻擊防御能力比較薄弱��,易被不法人士蓄意攻擊利用。
面對互聯(lián)網(wǎng)技術日新月異的發(fā)展趨勢����,傳統(tǒng)的安全保障技術、方法與當前活躍的互聯(lián)網(wǎng)業(yè)態(tài)不相適應的問題愈發(fā)凸現(xiàn)����。在拓展網(wǎng)絡經(jīng)濟新空間��,加快建設網(wǎng)絡強國的時代背景下,強化網(wǎng)絡安全保障���,建立新型網(wǎng)絡安全保障體系成為確保新經(jīng)濟快速發(fā)展�,再創(chuàng)競爭優(yōu)勢的必經(jīng)路徑��。
切實解決信息與網(wǎng)絡安全的突出問題
早在2014年���,總書記就指出“沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”,把信息和網(wǎng)絡安全問題提到了前所未有的高度�����。因此�����,切實解決信息和網(wǎng)絡安全問題���,是全面貫徹習總書記系列重要講話精神的重要工作�����。根據(jù)公開披露的信息�,我國信息和網(wǎng)絡安全方面的突出問題主要表現(xiàn)在三方面:
一是網(wǎng)站管理機制不健全����。管理機制主要包括制度、機構和人員三個方面��,人員技術水平是否達到工作要求�,是否把安全作為網(wǎng)站工作的重中之重來抓����,制度是否落實到位��,是否認真執(zhí)行等���。目前我國政府各部門網(wǎng)站還是處于分散管理狀態(tài),近兩年開始�,部分政府網(wǎng)站開始遷移到政務云平臺��,建立網(wǎng)站集群等�����。大多數(shù)網(wǎng)站處于自行維護狀態(tài)���,但由于技術水平不一���、管理制度不到位�����,就容易導致網(wǎng)站在出現(xiàn)安全問題的時候�,不能得到及時地處理和解決���。
二是網(wǎng)站人員技術水平有限。信息技術飛速發(fā)展��,黑客攻擊手段越來越高�����,網(wǎng)站工作人員技術水平與現(xiàn)階段工作要求還有一些差距�。表現(xiàn)為安全保護措施不到位����,缺少必要的網(wǎng)絡安全防護設備,某些單位甚至缺乏如防火墻�����、防毒墻等基本設備��;網(wǎng)站代碼編寫安全性比較差,存在多種漏洞�����,包括弱口令����、惡意注入、跨站攻擊等�。黑客通過這些漏洞就可以獲取數(shù)據(jù)庫信息���、管理員賬號及密碼���,隨后進入網(wǎng)站管理后臺�,甚至控制 Web 服務器主機����。這樣���,就可以輕而易舉地對網(wǎng)站內容進行修改���、刪除�、篡改等操作��。同時�,如果在黑客入侵后�����,并未及時發(fā)現(xiàn)��,那么黑客將在獲知網(wǎng)站漏洞且不暴露自己的情況下��,利用漏洞獲得網(wǎng)站控制權限�,并通過持續(xù)利用的網(wǎng)站產生直接利益���。
三是網(wǎng)站管理人員的安全意識薄弱���。根據(jù)公開披露信息���,在公安機關通報安全隱患和漏洞等問題后�����,一些部門往往以缺乏資金和專業(yè)人員等理由敷衍塞責,只進行簡單地應急處置���。但是,安全措施不落實��,隱患就會長期存在����,進而導致網(wǎng)站反復受到攻擊�;很多部門重建設、輕維護����,重應用、輕管理的現(xiàn)象比較嚴重����,導致安全隱患凸顯�����。
針對當前互聯(lián)網(wǎng)發(fā)展面臨的突出問題����,要科學分析����,對癥下藥�,切實解決信息與網(wǎng)絡安全方面的突出問題��,力爭在高水平建成小康社會的宏偉藍圖中���,能夠實現(xiàn)網(wǎng)絡安全的有效保障。
“一體兩翼”發(fā)展要有新舉措
國家“十三五”信息化發(fā)展規(guī)劃明確指出,要繼續(xù)大力推進信息化發(fā)展����。在網(wǎng)絡安全領域���,實施這一戰(zhàn)略的重要指導思想就是“一體兩翼”����。必須要以創(chuàng)新的思想����,探索“五個一”���,開拓網(wǎng)信事業(yè)的新局面。
培育一個產業(yè):信息安全產業(yè)�。信息安全產業(yè)是網(wǎng)絡安全技術的主要提供者����,在網(wǎng)絡強國戰(zhàn)略中扮演著十分重要的角色,既肩負著確保國家安全和網(wǎng)絡空間安全的重任�����,也是信息系統(tǒng)安全運行的主要技術支撐����,還是社會和公民信息安全保障事務的服務者。安全產業(yè)是否壯大���,已經(jīng)成為衡量國家網(wǎng)絡安全綜合實力的重要標準。
培育信息安全產業(yè)�,要加強重點企業(yè)扶持���。首先,鼓勵以兼并收購����、戰(zhàn)略合作等途徑��,加快產業(yè)資源整合和技術互補����,加快培育一批具有較強盈利能力和產業(yè)鏈控制能力�,掌握核心關鍵技術����,能夠支撐國家戰(zhàn)略的網(wǎng)絡安全領域的龍頭企業(yè)��;同時�,以專�����、精����、特����、新為導向�,積極培育一些掌握自主可控技術、發(fā)展?jié)摿Υ?、成長性強的創(chuàng)新型中小企業(yè)���,逐步形成“龍頭帶動�、中小協(xié)同”的網(wǎng)絡安全產業(yè)生態(tài)��。其次�����,強化平臺載體建設�����。在國內互聯(lián)網(wǎng)產業(yè)���、軟件產業(yè)的領先地區(qū)�,布局一批信息安全產業(yè)基地�����、特色小鎮(zhèn)和眾創(chuàng)空間����,加快產業(yè)集群發(fā)展,培育信息安全產業(yè)集群�����。同時���,充分發(fā)揮安全產業(yè)咨詢平臺��、行業(yè)協(xié)會��、產業(yè)聯(lián)盟等機構的作用����,推動建立政府主導����、多方參與的安全服務平臺,加快網(wǎng)絡安全技術����、產品和服務的推廣應用,推動安全產業(yè)持續(xù)健康發(fā)展����。再次��,大力提升產業(yè)創(chuàng)新能力���,引導網(wǎng)絡安全技術支撐單位、科研院所����、骨干企業(yè)�����、運營商等創(chuàng)新主體���,設立網(wǎng)絡安全相關的R&D機構�;鼓勵共同組建集“政產學研用”于一身的專家聯(lián)盟、技術聯(lián)盟���、創(chuàng)新聯(lián)盟���,開展聯(lián)合攻關,圍繞重大技術需求�,布局建設一批國家級創(chuàng)新平臺����。
突破一批技術:我國網(wǎng)絡安全保障最大的隱患來自于核心技術受制于人。習總書記強調“一個互聯(lián)網(wǎng)企業(yè)即便規(guī)模再大�����、市值再高�,如果核心元器件嚴重依賴外國��,供應鏈的‘命門’掌握在別人手里�,那就好比在別人的墻基上砌房子�,再大再漂亮也可能經(jīng)不起風雨�����,甚至會不堪一擊”��。因此���,掌握網(wǎng)絡強國建設的主動權,保障互聯(lián)網(wǎng)安全�����、國家安全����,就必須突破核心技術這個難題��,力爭在一系列領域實現(xiàn)“彎道超車”�����。
加強網(wǎng)絡安全的基礎��、通用、非對稱��、前沿�����、顛覆等技術研發(fā)����,加強基礎安全技術能力攻關��。加快提升基于基礎網(wǎng)絡架構���、應用協(xié)議漏洞挖掘、溯源取證��、漏洞修復等基礎安全能力��。重點建設脆弱性漏洞庫、惡意代碼庫�����、攻擊規(guī)則庫���、協(xié)議行為特征庫���、軟件補丁庫、標準信息庫等安全資源庫�。加快防火墻�����、入侵檢測/防御等網(wǎng)絡與邊界安全類產品��,病毒查殺���、身份管理與訪問控制、內容安全管理等終端安全類產品的創(chuàng)新和應用����,加強面向前沿技術的安全技術研發(fā)�。重點面向云計算�、大數(shù)據(jù)、智能制造等新興領域���,和虛擬化安全���、數(shù)據(jù)備份與恢復等威脅情報分析與外防內控等關鍵技術的研發(fā)應用�,提升網(wǎng)絡威脅的感知�����、預警和防御能力��,實現(xiàn)從跟跑并跑到并跑領跑的轉變����。
提升一套能力:在當前嚴峻的網(wǎng)絡空間安全態(tài)勢下��,傳統(tǒng)“被動應對”防護模式的保障效力不斷減弱����。關鍵信息基礎設施的安全監(jiān)測預警能力弱��、安全防護體系分散�����、抵抗攻擊能力不強�、手段缺乏等問題突出�。因此,需要不斷提升網(wǎng)絡信息安全的主動防御能力���,變被動“挨打”防御為積極進攻“擒敵”,降低網(wǎng)絡安全風險����。
按照網(wǎng)絡安全主動防御思路,重點提升:監(jiān)測預警能力�。在網(wǎng)絡空間各層級部署監(jiān)測設備�����,加強網(wǎng)絡安全信息情報共享和大數(shù)據(jù)分析�,形成網(wǎng)絡空間風險的智能感知����、預警預測能力�����;主動防御能力。梳理關鍵信息基礎設施的網(wǎng)絡安全需求�����,分層落實網(wǎng)絡安全保護制度,積極采用自主可控�����、先進適用的網(wǎng)絡安全技術�,大幅提升全省網(wǎng)絡安全的主動防御能力�。指揮保障能力。圍繞“高效����、靈活�、統(tǒng)一、協(xié)調”的目標�����,建立多層級聯(lián)動的網(wǎng)絡安全工作指揮機制��,實現(xiàn)網(wǎng)絡安全決策指揮���、任務下達、資源調度�、信息互動�����,全面提高網(wǎng)絡安全指揮保障能力���。應急響應能力��。完善網(wǎng)絡安全應急預案�,定期開展應急演練��,建立網(wǎng)絡安全應急響應平臺���,實時掌握重大網(wǎng)絡安全事件風險及威脅,及時處置突發(fā)事件�。提升追蹤溯源能力��。推進網(wǎng)絡實名制��,加強網(wǎng)絡溯源取證能力建設����,強化互聯(lián)網(wǎng)監(jiān)控����,落實網(wǎng)絡安全責任追溯制度�。
健全一套體系:網(wǎng)絡空間安全防御體系的建設有其特殊性�����,其涉及面廣���、技術難度大,但戰(zhàn)略意義突出。首先���,建立一套完善的制度,是實現(xiàn)網(wǎng)絡空間防御體系建設目標的現(xiàn)實保障�。尤其要根據(jù)當前技術的發(fā)展趨勢,針對我國網(wǎng)絡安全保障方面法律法規(guī)����、規(guī)章制度和標準規(guī)范等方面的空缺與陳舊之處����,不斷完善相關的體系與標準建設����,為網(wǎng)絡空間防御體系建設提供有效地支撐。
其次�����,重點健全完善網(wǎng)絡安全法律法規(guī)體系�?����!盎ヂ?lián)網(wǎng)不是法外之地”�����,以法治方式規(guī)范網(wǎng)絡安全管理��、建設網(wǎng)絡良好生態(tài)�、打造天朗氣清的網(wǎng)絡空間勢在必行��。需加強統(tǒng)籌規(guī)劃��,明確我國網(wǎng)絡安全立法的整體構想�����。在此基礎上�,加快網(wǎng)絡立法進程,并適時修訂傳統(tǒng)立法和現(xiàn)有的相關法律法規(guī)���。優(yōu)化網(wǎng)絡安全管理體系。加強網(wǎng)絡風險隱患排查和風險評估,強化網(wǎng)絡安全事件應急管理和處置�,加強關鍵信息基礎設施保護,建立完善網(wǎng)絡數(shù)據(jù)全生命周期保護等制度��,應對好新技術應用帶來的新風險����。鼓勵引導和組織行業(yè)協(xié)會����、科研院所和企業(yè)圍繞云計算���、大數(shù)據(jù)、物聯(lián)網(wǎng)�、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術和新風險���,開展網(wǎng)絡安全相關的國家標準、行業(yè)標準和國際標準的制定��;加快信息技術軟�、硬件產品及服務中網(wǎng)絡安全標準的研制。
打造一支隊伍�����。人才是創(chuàng)新的源泉����,網(wǎng)絡安全的博弈歸根究底是人才之間的博弈���。沒有一支優(yōu)秀的人才隊伍,就難以強健網(wǎng)絡安全保障����,建設網(wǎng)絡強國。必須加強網(wǎng)絡信息安全人才隊伍建設�����,把造就世界水平的科學家�、網(wǎng)絡科技領軍人才、卓越工程師�����、高水平創(chuàng)新團隊,作為國家的戰(zhàn)略任務來抓�����。切實把人才資源匯聚起來��,建設一支政治強、業(yè)務精�、作風好的強大隊伍。
順應網(wǎng)絡安全保障需求���,著重加強五方面建設:一是打造由網(wǎng)絡安全職能部門工作人員組成的指揮隊伍,負責加強網(wǎng)絡安全監(jiān)管�����,發(fā)揮好領導者和指揮者的作用���;二是由網(wǎng)警�、網(wǎng)評等為代表組成的隊伍��,負責在關鍵時刻打擊網(wǎng)絡不法行為,維護天朗氣清的網(wǎng)絡空間��;三是由關鍵信息基礎設施運營使用單位工作人員���,作為網(wǎng)絡安全的責任主體,負責確保重要信息系統(tǒng)安全�����、穩(wěn)定運行�����;四是由企業(yè)����、高校��、科研院所等組成的顧問隊伍�,作為創(chuàng)新主體���,在提供創(chuàng)新的安全產品和服務的同時,發(fā)揮智囊作用���;五是積極開展國際合作�����,共建網(wǎng)絡空間命運共同體。
首頁 >> 專題報道 >> 2016專題 >> 2016國家網(wǎng)絡安全宣傳周 >> 最新報道 >> 正文
