我国网络空间安全建设历程的回顾与思考
2016-07-09徐金伟
【 摘 要 】 结合个人多年参与我国信息安全实践的经历,简要回顾了我国开展信息安全建设二十年的历程,并结合当前形势,提出了个人的思考和建议,供从事信息安全建设的单位和同行参考。
【 关键词 】 信息安全;信息安全建设; 网络空间安全;网络空间安全建设
【 Abstract 】 The author combined with his years of participating in China's information security practice, briefly reviewed twenty years history of our countrys construction of information security, and considering the current situation, put forward personal thoughts and suggestions about information security construction for unit and peer reference.
【 Keywords 】 information security; information security construction; cyber security;cyber security construction
1 引言
从1995年国内市场首次出现专配X86微机的防病毒卡至今,我国信息安全建设已走过了二十年历程。回顾这个历程,可以清晰地看出我国信息安全建设发展的阶段性和不同阶段的特点。
赛博安全“Cyber Security”一词出现后,国内有的翻译为“网络安全”或“网际安全”,有的翻译为“电脑安全”,还有的翻译为“数字世界安全”。信息安全领域有关专家认为上述翻译都欠准确,都不能表达Cyber一词涵盖的内容和范围,在尚无对应词汇和权威意译的情况下,多数人倾向翻译成“网络空间安全”。网络空间安全涵盖了所有信息网络基础设施和环境设施的软硬件设备及数据安全,包括互联网、广播电视网、电信网、物联网、工控系统等安全。
2003年2月,美国政府正式发布了《保护网络空间安全的国家战略》。2005年4月,美国政府公布了总统信息技术顾问委员会题为《网络空间安全:优先考虑的危机》的报告。2006年4月,美国国家科学技术委员会公布了网络空间安全和信息保障跨部门工作组提交的《联邦政府网络空间安全和信息保障研发计划》。
这三个文件,在全面分析美国关键基础设施信息系统面临威胁的基础上,提出了网络空间安全的新理念,并从国家层面明确了网络空间安全的战略目标、政府职责以及技术研发的重点领域与项目,对我国信息安全规划和建设提供了有益的启示。
我国的信息安全建设起步晚于欧美等发达国家。初始阶段,从政策和技术层面,主要借鉴欧美国家的做法,学习、照搬欧美国家已颁布的信息安全标准规范,使我们能够在较高起点上开始信息安全建设,以避免重蹈覆辙,少走弯路。后来,随着我国信息安全建设取得的成就和积累的经验,我们逐渐摸索出一套有中国特色的网络安全治理措施,从制定和推进网络安全等级保护管理和技术标准,在基层全面开展等级保护安全测评和对重要信息系统及关键基础设施年度安全检查,到今天国家立法机构推出《网络安全法》,我国的网络空间安全战略轮廓逐渐清晰,发展的步伐更加扎实和稳健。
2 我国网络空间安全建设的历程
2.1 建设初期和发展期(1995-2005年)
我国信息安全建设始于20世纪90年代后期,随着各行业信息化和网络建设的发展,网络安全的理念也得到了公众的认可。最初,为了抵御一般网络黑客的攻击,许多重要的企事业单位开始在内部网络上部署防火墙、网闸、IDS等网络安全防护设备。一时间,网络安全产品成为热门商品,为了适应国内市场的巨大需求,国内涌现出一批新兴的信息安全设备研发、生产公司,并创新性地研发出内网安全管理、桌面管理和信息安全审计等系统,弥补了信息安全管理的缺项,推动了国内自主的信息安全产品和系统的研发及产业化。经过10年发展,我国的信息安全制造行业已初具规模,涌现出启明星辰、天融信、绿盟科技、南京金税等行业龙头企业。
与此同时,由公安部牵头组建了信息安全标准化委员会,开始了基于等级保护的信息安全技术标准的编撰工作。短短三年,编制出近二十个有关信息安全设备的技术要求和安全服务要求的行业标准和规范,为保障和促进我国信息安全的建设奠定了良好的技术基础。这十年间,尤其是2000年至2005年间,我国各大城市每年均举办多场规模不一的信息安全产品展,参展厂商包括国内外著名的信息安全产品和系统制造商,这些会展对我国大力宣贯信息安全理念也起到了积极作用。
这个阶段的特点:大干快上,宣贯造势。
2.2 建设中期和稳定期(2005-2013年)
进入2005年,我国信息安全事业取得了长足的进步,呈现出欣欣向荣的景象。国家信息安全职能部门(工信部信息安全协调司)从国家层面提出了信息安全建设的目标(推进各行业等级保护定级及整改并重点开展工控系统信息安全防护工作)、政府职责(强化安全产品市场准入检测制度和组织专业机构对重要信息系统进行年度安全检查)以及技术研发的重点领域与项目,对我国信息安全规划和建设提供了有力指导。与之配套,国家发改委高新司每年均拨出专项资金组织对申报技术研发重点领域与项目的国内信息安全企业进行评审、选拔和资助,扶持了一批有创新、有技术但缺资金的中小民营信息安全企业,实质性地推动了一批技术含量高、市场紧缺并拥有自主知识产权的信息安全产品和系统的产业化。这一措施,既取得了较好的市场效益,也提高了国家重要行业信息安全设备国产化比率。
这个发展阶段取得了多项主要成果。
成果1:国营和民营的信息安全厂商及机构吸引了众多大学本科生、研究生、博士生参与新产品的研发工作,为信息安全行业培养出大批高科技人才。
成果2:随着信息安全企业创新和自主研发能力的增强,国产的信息安全产品和系统的技术水平和质量也有了显著的提高,有些产品和系统甚至达到了国际先进水平。
成果3:通过工信部组织的年度信息安全检查和整改,较大地提升了关系国计民生的国家重要信息系统和关键基础设施的信息安全防护水平。
经过本阶段的建设,我国的“8+2”行业信息系统,尤其是电力、税务、电信和金融行业的信息安全制度化管理及技术防护措施,均处于国内领先水平。
这个阶段的特点:依据标准,规范治理。
2.3 建设深化期(2013-至今)
2013年,国家成立中央网络安全和信息化领导小组,表明国家对网络空间安全的重视程度上升到一个新的高度。
2015年7月,全国人大审议通过了《网络安全法(草案)》。该法案成为我国网络空间治理的指导思想,对我国网络空间安全建设提供了坚实的法律依据。
2016年4月,网络安全和信息化领导小组举办了工作座谈会,对我国网络安全建设提出了四点要求:第一,树立正确的网络安全观;第二,加快构建关键信息基础设施安全保障体系;第三,全天候全方位感知网络安全态势;第四,增强网络安全防御能力和威慑能力。这四条成为今后相当一段时期我国网络空间安全建设的目标和方向,是明确的国家战略。
2013年以来,大数据和云计算成为业界的热点,有关大数据和云计算安全的标准规范也提到了信安标委的议事日程上。在此阶段,信息安全领域有几个值得注意的亮点。
一是国家对工控系统安全的重视程度不断提高,围绕工控系统安全的标准规范制定和专题宣贯会议明显增多,在技术路线上重点强调监视预警、自主可控和应急保障。
二是国内信息安全产品厂商将信息安全检测和防护技术的研发重点聚焦在防范隐蔽的APT和AET特种攻击上,并借此适时推出了下一代防火墙、IDS/IPS等安全产品,吹响了安全产品更新换代的号角。
三是业界欲突破长期困扰网络安全管理员的难题:确实实现网络安全的可视化、一体化智能管理,以提高网络信息安全管理的效率和进一步减轻网络管理员的负担。
四是出现了一批专门研发移动互联网信息安全产品的公司,以满足市场上越来越庞大的手机用户对移动信息安全的需求。
五是国家在信息安全专项资金资助方式上规定申报单位必须是产学研和行业联合体,以保证产业化后的市场应用,提高国家资助资金的有效性。总之,这一阶段的信息安全新理念、新观点和新技术不断涌现,令人应接不暇。
这个阶段的特点:国家立法,深化治理。
3 思考和建议
回顾我国信息安全建设近二十年来的历程,我国信息安全建设取得了了不起的成绩:总体思路明确,技术路线基本正确,在国内孵化了许多敢于创业的信息安全企业,造就了一大批勇于创新的专业技术人才,形成了独具特色的中国信息安全产业,奠定了我国开展信息安全建设,铸造网络强国的物质基础。
提出几点建议,供业界同行商榷。
(1)国家每年应继续设立一定数量的专项资金,资助在信息安全前沿领域攻关克难的信息安全公司,并适当向小微企业倾斜。
(2)从国家层面继续鼓励军地结合、军民共建联合攻关,有效利用军队的组织和技术优长及民营公司的灵活体制与市场基础,以军带民、以军促民,不断攻克信息安全特殊技术的推广应用难题。
(3)建立长效的信息安全人才培养机制,从院校、科研院所到信息安全企业,搭建一条从理论到实践,再回到理论,不断提高、不断实践的良性循环路线的创业孵化平台。
(4)高度重视信息安全标准规范的研究制定工作,从事信息安全的事业和规模企业,应设立专职标准研究制定岗位。业界信息安全标准化委员会应吸纳有信息安全实践经验的技术专家参与,加快各项信息安全技术标准规范的评审工作,尽快出台业界急需的新技术应用的信息安全标准,如安全防护要求和检测要求,使信息安全建设做到“规范建设、标准先行”。
(5)鼓励和支持我国信息安全事业和企业单位在信息安全管理及技术方面积极开展国际交流和合作,尤其加强与以色列、芬兰、瑞典等信息安全技术强国的技术交流和合作,力争在专项技术方面达到世界先进水平。
参考文献
[1] 美国《联邦政府赛博安全和信息保障研发计划》2008年5月翻译文.
[2] 《美国赛博安全战略及对我们的启示》国家信息安全技术安全研究中心2008年5月.
[3] 《RSA会议主题报告》绿盟科技2012~2015年.
[4] 《我国信息安全市场调研报告》2012-2015年,徐金伟.
[5] 《中国信息安全技术展望学术论文集》2013-2014年中国信息安全技术大会.
作者简介:
徐金伟(1951-),男,中国人民解放军总参某研究所,研究员,长期从事信息安全研究和架构设计工作。