习近平总书记于4月19日在京主持召开了网络安全和信息化工作座谈会并发表重要讲话,强调以创新、协调、绿色、开放、共享五大发展理念为统领,从推动我国网信事业发展、建设网络良好生态、突破核心技术、处理安全和发展关系、增强互联网企业使命感责任感、提供强有力人才支撑等方面着手,推进网络强国建设,推动我国网信事业发展,让互联网更好造福国家和人民。习总书记的一系列重要讲话,表明网络强国犹如时代之“雄鹰”,网络安全和信息化便是其“一体之两翼”。建设网络强国,既要解决网络安全问题,也要推动信息化发展,让这两支“翅膀”均衡发展,不断壮大,成为推动国家前进的强大动力源。
深刻认识当前网络安全的紧迫形势
近年来,我国网络规模、用户规模、产业规模均居世界前列,已成为互联网大国。随着云计算、大数据、物联网、移动互联网等为代表的新一代信息技术的快速发展,虚拟世界对实体世界影响日趋增强,对经济、社会各领域正在产生革命性影响。与此同时,网络安全威胁和风险问题也日益突出,并向经济、社会、文化、生态、国防等领域传导渗透,网络安全成为事关国家主权、安全和发展的重大战略问题。
根据国家互联网应急中心在《中国互联网站发展状况及其安全报告(2016)》指出,2015年针对我国境内网站的仿冒页面(URL链接)191699个,较2014年增长85.7%,涉及IP地址20488个,较2014年增长199.4%,党政机关、科研机构、重要行业单位网站是黑客组织攻击特别是APT攻击的重点目标。
研究分析网络安全领域严峻形势,有三大挑战值得高度关注:
一是广义政务应用的挑战。下一代互联网、物联网、云计算、大数据、移动互联网等新技术正在加快应用到电力、电信、石油、交通、政府服务等重要领域,关系国计民生的“智能电网”、“智慧能源”、“智慧交通”、“智慧政务”等重要网络设施、智能终端和数据库等基础性设施极易成为恶意网络攻击和破坏的目标。
二是移动政务应用的挑战。现代社会数字化、移动化、集成化等趋势越来越明显,给信息与网络安全提出了全新的要求。以互联网经济比较发达的浙江省为例,为了建设服务型政府,浙江政务服务网集中打造了“行政审批一张网”、“便民服务一张网”和“阳光政务一张网”,网站集合全省4000余机构组织,6万多个政务事项,2.4万个便民事项,7个应用软件APP。众多的功能和服务提供了多项数据接口,而数据接口安全认证和协议的不完善将导致移动应用成为不法分子实施诈骗、盗窃、恐怖,危害老百姓生命财产、危害国家安全的工具。在这方面,近几年已经有不少的教训需要汲取。
三是重大活动的安全挑战。当前,针对政府门户网站攻击势力一部分是从经济利益考虑,但更多的是一些敌对势力、分裂势力地恶意破坏性攻击。尤其在我国召开重大活动期间,一些黑客企图通过控制政府门户网站,抹黑、攻击党和政府,误导人民群众。而我国政府网站传统的网络防火墙、IDS/IPS等安全产品对应用系统的攻击防御能力比较薄弱,易被不法人士蓄意攻击利用。
面对互联网技术日新月异的发展趋势,传统的安全保障技术、方法与当前活跃的互联网业态不相适应的问题愈发凸现。在拓展网络经济新空间,加快建设网络强国的时代背景下,强化网络安全保障,建立新型网络安全保障体系成为确保新经济快速发展,再创竞争优势的必经路径。
切实解决信息与网络安全的突出问题
早在2014年,总书记就指出“没有网络安全就没有国家安全,没有信息化就没有现代化”,把信息和网络安全问题提到了前所未有的高度。因此,切实解决信息和网络安全问题,是全面贯彻习总书记系列重要讲话精神的重要工作。根据公开披露的信息,我国信息和网络安全方面的突出问题主要表现在三方面:
一是网站管理机制不健全。管理机制主要包括制度、机构和人员三个方面,人员技术水平是否达到工作要求,是否把安全作为网站工作的重中之重来抓,制度是否落实到位,是否认真执行等。目前我国政府各部门网站还是处于分散管理状态,近两年开始,部分政府网站开始迁移到政务云平台,建立网站集群等。大多数网站处于自行维护状态,但由于技术水平不一、管理制度不到位,就容易导致网站在出现安全问题的时候,不能得到及时地处理和解决。
二是网站人员技术水平有限。信息技术飞速发展,黑客攻击手段越来越高,网站工作人员技术水平与现阶段工作要求还有一些差距。表现为安全保护措施不到位,缺少必要的网络安全防护设备,某些单位甚至缺乏如防火墙、防毒墙等基本设备;网站代码编写安全性比较差,存在多种漏洞,包括弱口令、恶意注入、跨站攻击等。黑客通过这些漏洞就可以获取数据库信息、管理员账号及密码,随后进入网站管理后台,甚至控制 Web 服务器主机。这样,就可以轻而易举地对网站内容进行修改、删除、篡改等操作。同时,如果在黑客入侵后,并未及时发现,那么黑客将在获知网站漏洞且不暴露自己的情况下,利用漏洞获得网站控制权限,并通过持续利用的网站产生直接利益。
三是网站管理人员的安全意识薄弱。根据公开披露信息,在公安机关通报安全隐患和漏洞等问题后,一些部门往往以缺乏资金和专业人员等理由敷衍塞责,只进行简单地应急处置。但是,安全措施不落实,隐患就会长期存在,进而导致网站反复受到攻击;很多部门重建设、轻维护,重应用、轻管理的现象比较严重,导致安全隐患凸显。
针对当前互联网发展面临的突出问题,要科学分析,对症下药,切实解决信息与网络安全方面的突出问题,力争在高水平建成小康社会的宏伟蓝图中,能够实现网络安全的有效保障。
“一体两翼”发展要有新举措
国家“十三五”信息化发展规划明确指出,要继续大力推进信息化发展。在网络安全领域,实施这一战略的重要指导思想就是“一体两翼”。必须要以创新的思想,探索“五个一”,开拓网信事业的新局面。
培育一个产业:信息安全产业。信息安全产业是网络安全技术的主要提供者,在网络强国战略中扮演着十分重要的角色,既肩负着确保国家安全和网络空间安全的重任,也是信息系统安全运行的主要技术支撑,还是社会和公民信息安全保障事务的服务者。安全产业是否壮大,已经成为衡量国家网络安全综合实力的重要标准。
培育信息安全产业,要加强重点企业扶持。首先,鼓励以兼并收购、战略合作等途径,加快产业资源整合和技术互补,加快培育一批具有较强盈利能力和产业链控制能力,掌握核心关键技术,能够支撑国家战略的网络安全领域的龙头企业;同时,以专、精、特、新为导向,积极培育一些掌握自主可控技术、发展潜力大、成长性强的创新型中小企业,逐步形成“龙头带动、中小协同”的网络安全产业生态。其次,强化平台载体建设。在国内互联网产业、软件产业的领先地区,布局一批信息安全产业基地、特色小镇和众创空间,加快产业集群发展,培育信息安全产业集群。同时,充分发挥安全产业咨询平台、行业协会、产业联盟等机构的作用,推动建立政府主导、多方参与的安全服务平台,加快网络安全技术、产品和服务的推广应用,推动安全产业持续健康发展。再次,大力提升产业创新能力,引导网络安全技术支撑单位、科研院所、骨干企业、运营商等创新主体,设立网络安全相关的R&D机构;鼓励共同组建集“政产学研用”于一身的专家联盟、技术联盟、创新联盟,开展联合攻关,围绕重大技术需求,布局建设一批国家级创新平台。
突破一批技术:我国网络安全保障最大的隐患来自于核心技术受制于人。习总书记强调“一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击”。因此,掌握网络强国建设的主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,力争在一系列领域实现“弯道超车”。
加强网络安全的基础、通用、非对称、前沿、颠覆等技术研发,加强基础安全技术能力攻关。加快提升基于基础网络架构、应用协议漏洞挖掘、溯源取证、漏洞修复等基础安全能力。重点建设脆弱性漏洞库、恶意代码库、攻击规则库、协议行为特征库、软件补丁库、标准信息库等安全资源库。加快防火墙、入侵检测/防御等网络与边界安全类产品,病毒查杀、身份管理与访问控制、内容安全管理等终端安全类产品的创新和应用,加强面向前沿技术的安全技术研发。重点面向云计算、大数据、智能制造等新兴领域,和虚拟化安全、数据备份与恢复等威胁情报分析与外防内控等关键技术的研发应用,提升网络威胁的感知、预警和防御能力,实现从跟跑并跑到并跑领跑的转变。
提升一套能力:在当前严峻的网络空间安全态势下,传统“被动应对”防护模式的保障效力不断减弱。关键信息基础设施的安全监测预警能力弱、安全防护体系分散、抵抗攻击能力不强、手段缺乏等问题突出。因此,需要不断提升网络信息安全的主动防御能力,变被动“挨打”防御为积极进攻“擒敌”,降低网络安全风险。
按照网络安全主动防御思路,重点提升:监测预警能力。在网络空间各层级部署监测设备,加强网络安全信息情报共享和大数据分析,形成网络空间风险的智能感知、预警预测能力;主动防御能力。梳理关键信息基础设施的网络安全需求,分层落实网络安全保护制度,积极采用自主可控、先进适用的网络安全技术,大幅提升全省网络安全的主动防御能力。指挥保障能力。围绕“高效、灵活、统一、协调”的目标,建立多层级联动的网络安全工作指挥机制,实现网络安全决策指挥、任务下达、资源调度、信息互动,全面提高网络安全指挥保障能力。应急响应能力。完善网络安全应急预案,定期开展应急演练,建立网络安全应急响应平台,实时掌握重大网络安全事件风险及威胁,及时处置突发事件。提升追踪溯源能力。推进网络实名制,加强网络溯源取证能力建设,强化互联网监控,落实网络安全责任追溯制度。
健全一套体系:网络空间安全防御体系的建设有其特殊性,其涉及面广、技术难度大,但战略意义突出。首先,建立一套完善的制度,是实现网络空间防御体系建设目标的现实保障。尤其要根据当前技术的发展趋势,针对我国网络安全保障方面法律法规、规章制度和标准规范等方面的空缺与陈旧之处,不断完善相关的体系与标准建设,为网络空间防御体系建设提供有效地支撑。
其次,重点健全完善网络安全法律法规体系。“互联网不是法外之地”,以法治方式规范网络安全管理、建设网络良好生态、打造天朗气清的网络空间势在必行。需加强统筹规划,明确我国网络安全立法的整体构想。在此基础上,加快网络立法进程,并适时修订传统立法和现有的相关法律法规。优化网络安全管理体系。加强网络风险隐患排查和风险评估,强化网络安全事件应急管理和处置,加强关键信息基础设施保护,建立完善网络数据全生命周期保护等制度,应对好新技术应用带来的新风险。鼓励引导和组织行业协会、科研院所和企业围绕云计算、大数据、物联网、移动互联网、下一代互联网等新技术和新风险,开展网络安全相关的国家标准、行业标准和国际标准的制定;加快信息技术软、硬件产品及服务中网络安全标准的研制。
打造一支队伍。人才是创新的源泉,网络安全的博弈归根究底是人才之间的博弈。没有一支优秀的人才队伍,就难以强健网络安全保障,建设网络强国。必须加强网络信息安全人才队伍建设,把造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队,作为国家的战略任务来抓。切实把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。
顺应网络安全保障需求,着重加强五方面建设:一是打造由网络安全职能部门工作人员组成的指挥队伍,负责加强网络安全监管,发挥好领导者和指挥者的作用;二是由网警、网评等为代表组成的队伍,负责在关键时刻打击网络不法行为,维护天朗气清的网络空间;三是由关键信息基础设施运营使用单位工作人员,作为网络安全的责任主体,负责确保重要信息系统安全、稳定运行;四是由企业、高校、科研院所等组成的顾问队伍,作为创新主体,在提供创新的安全产品和服务的同时,发挥智囊作用;五是积极开展国际合作,共建网络空间命运共同体。
本文转自d1net(转载)