強化網安保障 再創競爭優勢

　　作者：浙江省工業和信息化研究院院長、研究員

　　習近平總書記于4月19日在京主持召開了網絡安全和信息化工作座談會併發表重要講話，強調以創新、協調、綠色、開放、共享五大發展理念為統領，從推動我國網信事業發展、建設網絡良好生態、突破核心技術、處理安全和發展關係、增強互聯網企業使命感責任感、提供強有力人才支撐等方面著手，推進網絡強國建設，推動我國網信事業發展，讓互聯網更好造福國家和人民。習總書記的一系列重要講話，表明網絡強國猶如時代之“雄鷹”，網絡安全和信息化便是其“一體之兩翼”。建設網絡強國，既要解決網絡安全問題，也要推動信息化發展，讓這兩支“翅膀”均衡發展，不斷壯大，成為推動國家前進的強大動力源。

　　深刻認識當前網絡安全的緊迫形勢

　　近年來，我國網絡規模、用戶規模、産業規模均居世界前列，已成為互聯網大國。隨著雲計算、大數據、物聯網、移動互聯網等為代表的新一代信息技術的快速發展，虛擬世界對實體世界影響日趨增強，對經濟、社會各領域正在産生革命性影響。與此同時，網絡安全威脅和風險問題也日益突出，並向經濟、社會、文化、生態、國防等領域傳導滲透，網絡安全成為事關國家主權、安全和發展的重大戰略問題。

　　根據國家互聯網應急中心在《中國互聯網站發展狀況及其安全報告（2016）》指出，2015年針對我國境內網站的倣冒頁面（URL連結）191699個，較2014年增長85.7%，涉及IP地址20488個，較2014年增長199.4%，黨政機關、科研機構、重要行業單位網站是駭客組織攻擊特別是APT攻擊的重點目標。

　　研究分析網絡安全領域嚴峻形勢，有三大挑戰值得高度關注：

　　一是廣義政務應用的挑戰。下一代互聯網、物聯網、雲計算、大數據、移動互聯網等新技術正在加快應用到電力、電信、石油、交通、政府服務等重要領域，關係國計民生的“智慧電網”、“智慧能源”、“智慧交通”、“智慧政務”等重要網絡設施、智慧終端和數據庫等基礎性設施極易成為惡意網絡攻擊和破壞的目標。

　　二是移動政務應用的挑戰。現代社會數字化、移動化、集成化等趨勢越來越明顯，給信息與網絡安全提出了全新的要求。以互聯網經濟比較發達的浙江省為例，為了建設服務型政府，浙江政務服務網集中打造了“行政審批一張網”、“便民服務一張網”和“陽光政務一張網”，網站集合全省4000余機構組織，6萬多個政務事項，2.4萬個便民事項，7個應用軟體APP。眾多的功能和服務提供了多項數據介面，而數據介面安全認證和協議的不完善將導致移動應用成為不法分子實施詐騙、盜竊、恐怖，危害老百姓生命財産、危害國家安全的工具。在這方面，近幾年已經有不少的教訓需要汲取。

　　三是重大活動的安全挑戰。當前，針對政府門戶網站攻擊勢力一部分是從經濟利益考慮，但更多的是一些敵對勢力、分裂勢力地惡意破壞性攻擊。尤其在我國召開重大活動期間，一些駭客企圖通過控制政府門戶網站，抹黑、攻擊黨和政府，誤導人民群眾。而我國政府網站傳統的網絡防火牆、IDS/IPS等安全産品對應用系統的攻擊防禦能力比較薄弱，易被不法人士蓄意攻擊利用。

　　面對互聯網技術日新月異的發展趨勢，傳統的安全保障技術、方法與當前活躍的互聯網業態不相適應的問題愈發凸現。在拓展網絡經濟新空間，加快建設網絡強國的時代背景下，強化網絡安全保障，建立新型網絡安全保障體系成為確保新經濟快速發展，再創競爭優勢的必經路徑。

　　切實解決信息與網絡安全的突出問題

　　早在2014年，總書記就指出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”，把信息和網絡安全問題提到了前所未有的高度。因此，切實解決信息和網絡安全問題，是全面貫徹習總書記系列重要講話精神的重要工作。根據公開披露的信息，我國信息和網絡安全方面的突出問題主要表現在三方面：

　　一是網站管理機制不健全。管理機制主要包括制度、機構和人員三個方面，人員技術水準是否達到工作要求，是否把安全作為網站工作的重中之重來抓，制度是否落實到位，是否認真執行等。目前我國政府各部門網站還是處於分散管理狀態，近兩年開始，部分政府網站開始遷移到政務雲平臺，建立網站集群等。大多數網站處於自行維護狀態，但由於技術水準不一、管理制度不到位，就容易導致網站在出現安全問題的時候，不能得到及時地處理和解決。

　　二是網站人員技術水準有限。信息技術飛速發展，駭客攻擊手段越來越高，網站工作人員技術水準與現階段工作要求還有一些差距。表現為安全保護措施不到位，缺少必要的網絡安全防護設備，某些單位甚至缺乏如防火牆、防毒墻等基本設備；網站代碼編寫安全性比較差，存在多種漏洞，包括弱口令、惡意注入、跨站攻擊等。駭客通過這些漏洞就可以獲取數據庫信息、管理員賬號及密碼，隨後進入網站管理後臺，甚至控制 Web 伺服器主機。這樣，就可以輕而易舉地對網站內容進行修改、刪除、篡改等操作。同時，如果在駭客入侵後，並未及時發現，那麼駭客將在獲知網站漏洞且不暴露自己的情況下，利用漏洞獲得網站控制權限，並通過持續利用的網站産生直接利益。

　　三是網站管理人員的安全意識薄弱。根據公開披露信息，在公安機關通報安全隱患和漏洞等問題後，一些部門往往以缺乏資金和專業人員等理由敷衍塞責，只進行簡單地應急處置。但是，安全措施不落實，隱患就會長期存在，進而導致網站反復受到攻擊；很多部門重建設、輕維護，重應用、輕管理的現象比較嚴重，導致安全隱患凸顯。

　　針對當前互聯網發展面臨的突出問題，要科學分析，對症下藥，切實解決信息與網絡安全方面的突出問題，力爭在高水準建成小康社會的宏偉藍圖中，能夠實現網絡安全的有效保障。

　　“一體兩翼”發展要有新舉措

　　國家“十三五”信息化發展規劃明確指出，要繼續大力推進信息化發展。在網絡安全領域，實施這一戰略的重要指導思想就是“一體兩翼”。必須要以創新的思想，探索“五個一”，開拓網信事業的新局面。

　　培育一個産業：信息安全産業。信息安全産業是網絡安全技術的主要提供者，在網絡強國戰略中扮演著十分重要的角色，既肩負著確保國家安全和網絡空間安全的重任，也是信息系統安全運行的主要技術支撐，還是社會和公民信息安全保障事務的服務者。安全産業是否壯大，已經成為衡量國家網絡安全綜合實力的重要標準。

　　培育信息安全産業，要加強重點企業扶持。首先，鼓勵以兼併收購、戰略合作等途徑，加快産業資源整合和技術互補，加快培育一批具有較強盈利能力和産業鏈控制能力，掌握核心關鍵技術，能夠支撐國家戰略的網絡安全領域的龍頭企業；同時，以專、精、特、新為導向，積極培育一些掌握自主可控技術、發展潛力大、成長性強的創新型中小企業，逐步形成“龍頭帶動、中小協同”的網絡安全産業生態。其次，強化平臺載體建設。在國內互聯網産業、軟體産業的領先地區，佈局一批信息安全産業基地、特色小鎮和眾創空間，加快産業集群發展，培育信息安全産業集群。同時，充分發揮安全産業諮詢平臺、行業協會、産業聯盟等機構的作用，推動建立政府主導、多方參與的安全服務平臺，加快網絡安全技術、産品和服務的推廣應用，推動安全産業持續健康發展。再次，大力提升産業創新能力，引導網絡安全技術支撐單位、科研院所、骨幹企業、運營商等創新主體，設立網絡安全相關的R&D機構；鼓勵共同組建集“政産學研用”于一身的專家聯盟、技術聯盟、創新聯盟，開展聯合攻關，圍繞重大技術需求，佈局建設一批國家級創新平臺。

　　突破一批技術：我國網絡安全保障最大的隱患來自於核心技術受制於人。習總書記強調“一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的‘命門’掌握在別人手裏，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊”。因此，掌握網絡強國建設的主動權，保障互聯網安全、國家安全，就必須突破核心技術這個難題，力爭在一系列領域實現“彎道超車”。

　　加強網絡安全的基礎、通用、非對稱、前沿、顛覆等技術研發，加強基礎安全技術能力攻關。加快提升基於基礎網絡架構、應用協議漏洞挖掘、溯源取證、漏洞修復等基礎安全能力。重點建設脆弱性漏洞庫、惡意代碼庫、攻擊規則庫、協議行為特徵庫、軟體補丁庫、標準信息庫等安全資源庫。加快防火牆、入侵檢測/防禦等網絡與邊界安全類産品，病毒查殺、身份管理與訪問控制、內容安全管理等終端安全類産品的創新和應用，加強面向前沿技術的安全技術研發。重點面向雲計算、大數據、智慧製造等新興領域，和虛擬化安全、數據備份與恢復等威脅情報分析與外防內控等關鍵技術的研發應用，提升網絡威脅的感知、預警和防禦能力，實現從跟跑並跑到並跑領跑的轉變。

　　提升一套能力：在當前嚴峻的網絡空間安全態勢下，傳統“被動應對”防護模式的保障效力不斷減弱。關鍵信息基礎設施的安全監測預警能力弱、安全防護體系分散、抵抗攻擊能力不強、手段缺乏等問題突出。因此，需要不斷提升網絡信息安全的主動防禦能力，變被動“挨打”防禦為積極進攻“擒敵”，降低網絡安全風險。

　　按照網絡安全主動防禦思路，重點提升：監測預警能力。在網絡空間各層級部署監測設備，加強網絡安全信息情報共享和大數據分析，形成網絡空間風險的智慧感知、預警預測能力；主動防禦能力。梳理關鍵信息基礎設施的網絡安全需求，分層落實網絡安全保護制度，積極採用自主可控、先進適用的網絡安全技術，大幅提升全省網絡安全的主動防禦能力。指揮保障能力。圍繞“高效、靈活、統一、協調”的目標，建立多層級聯動的網絡安全工作指揮機制，實現網絡安全決策指揮、任務下達、資源調度、信息互動，全面提高網絡安全指揮保障能力。應急響應能力。完善網絡安全應急預案，定期開展應急演練，建立網絡安全應急響應平臺，實時掌握重大網絡安全事件風險及威脅，及時處置突發事件。提升追蹤溯源能力。推進網絡實名制，加強網絡溯源取證能力建設，強化互聯網監控，落實網絡安全責任追溯制度。

　　健全一套體系：網絡空間安全防禦體系的建設有其特殊性，其涉及面廣、技術難度大，但戰略意義突出。首先，建立一套完善的制度，是實現網絡空間防禦體系建設目標的現實保障。尤其要根據當前技術的發展趨勢，針對我國網絡安全保障方面法律法規、規章制度和標準規範等方面的空缺與陳舊之處，不斷完善相關的體系與標準建設，為網絡空間防禦體系建設提供有效地支撐。

　　其次，重點健全完善網絡安全法律法規體系。“互聯網不是法外之地”，以法治方式規範網絡安全管理、建設網絡良好生態、打造天朗氣清的網絡空間勢在必行。需加強統籌規劃，明確我國網絡安全立法的整體構想。在此基礎上，加快網絡立法進程，並適時修訂傳統立法和現有的相關法律法規。優化網絡安全管理體系。加強網絡風險隱患排查和風險評估，強化網絡安全事件應急管理和處置，加強關鍵信息基礎設施保護，建立完善網絡數據全生命週期保護等制度，應對好新技術應用帶來的新風險。鼓勵引導和組織行業協會、科研院所和企業圍繞雲計算、大數據、物聯網、移動互聯網、下一代互聯網等新技術和新風險，開展網絡安全相關的國家標準、行業標準和國際標準的制定；加快信息技術軟、硬體産品及服務中網絡安全標準的研製。

　　打造一支隊伍。人才是創新的源泉，網絡安全的博弈歸根究底是人才之間的博弈。沒有一支優秀的人才隊伍，就難以強健網絡安全保障，建設網絡強國。必須加強網絡信息安全人才隊伍建設，把造就世界水準的科學家、網絡科技領軍人才、卓越工程師、高水準創新團隊，作為國家的戰略任務來抓。切實把人才資源匯聚起來，建設一支政治強、業務精、作風好的強大隊伍。

　　順應網絡安全保障需求，著重加強五方面建設：一是打造由網絡安全職能部門工作人員組成的指揮隊伍，負責加強網絡安全監管，發揮好領導者和指揮者的作用；二是由網警、網評等為代表組成的隊伍，負責在關鍵時刻打擊網絡不法行為，維護天朗氣清的網絡空間；三是由關鍵信息基礎設施運營使用單位工作人員，作為網絡安全的責任主體，負責確保重要信息系統安全、穩定運行；四是由企業、高校、科研院所等組成的顧問隊伍，作為創新主體，在提供創新的安全産品和服務的同時，發揮智囊作用；五是積極開展國際合作，共建網絡空間命運共同體。