强化网络安全评测能力为国家安全保驾护航
2020-05-26张立
张立
保障网络安全,成为维护国家安全的重要内容。
保障信息基础设施安全,成为筑牢“新基建”的重要基石。
保障数据要素安全,成为畅通社会经济血液循环的重要保证。
近年来,国内外网络安全事件频发,网络入侵、数据治理与信息泄露问题凸显,网络安全成为国家安全的重要组成。习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进;没有网络安全就没有国家安全。党的十九大作出战略部署,要求建立网络综合治理体系,营造清朗的网络空间。中国电子信息产业发展研究院认真贯彻落实习近平总书记系列讲话精神和党中央决策部署,着力强化网络安全评测能力,为推进网络强国建设、提升国家安全保障能力保驾护航。
网络安全在国家安全中的
重要性不断凸显
保障网络安全,成为维护国家安全的重要内容。当前,国际形势日益错综复杂,各种形式的网络攻击频繁出现,部分攻击事件给国家安全造成重大威胁。例如,2018年,伊朗遭到网络攻击,国内互联网出现短暂中断;2019年,委内瑞拉因网络攻击导致两次大规模停电。我国大量政企机构网站、邮箱系统、物联网和工控设备、域名系统、数据库和应用系统等,近年来多次遭遇勒索病毒、APT、大规模DDoS等攻击,造成网站篡改、系统瘫痪、数据泄露等严重后果。在新冠肺炎疫情防控期间,我国也遭遇到数据安全、个人信息保护方面的攻击。当前,我国正处于产业升级、经济转型的重要时期,网络在社会发展和国家治理中发挥越来越重要的作用,保障网络安全对我国社会经济稳定发展至关重要。
保障信息基础设施安全,成为筑牢“新基建”的重要基石。近年来,国家高度重视新型基础设施建设,并要求加快进度。“新基建”的重点在于新,特点在于通过新一代信息网络、数据中心等,形成数字化、网络化的新型基础设施,并结合运用互联网、大数据、人工智能等信息技术,将各行各业紧密关联,从而发挥乘数效应,催化产业融合发展。在此背景下,网络等信息基础设施成为“新基建”的重要基础。一旦网络安全出现问题,就会影响“新基建”的建设和运营。保障信息基础设施安全,成为了筑牢“新基建”根基的关键所在。
保障数据要素安全,成为畅通社会经济血液循环的重要保证。近日,中共中央、国务院下发《关于构建更加完善的要素市场化配置体制机制的意见》,提出加快培育数据要素市场,表明随着社会弪济不断发展,数据作为重要的新型生产要素,成为社会经济发展的关键组成部分。随着智慧城市、物联网、云计算、智能化设备等的高速发展,海量数据的高效处理和顺畅流动将极大地降低社会交易成本,提高资源优化配置效率,提高产品、企业、产业附加值,推动社会生产力快速发展。数据要素的流动深度依赖网络,数据安全深度依赖网络安全,保证网络安全,防止数据篡改、泄露、损毁、滥用,促进数据高质量处理利用,是数据要素合理畅通有序流动的前提,是社会经济血液循环畅通的重要保证。
发挥综合评测实力
有力支撑网络安全保障
主动担当作为,发挥政府支撑与网络安全治理主观能动性。中国电子信息产业发展研究院以下属中国软件评测中心为主体,支撑多个国家部委,承担了多项国际国内重大活动网络安全保障任务,为活动的圆满举办贡献力量;承担国家重点信息系统的网络安全风险评估、网络产品和服务安全审查等任务,督促相关机构提升安全能力,引导产业向安全可控方向发展。支撑工信部网安局开展通信行业年度网络安全检查和对电信运营商、工控系统及移动APP的远程检测工作,完成对全国各省电信运营商数百个网络单元和数十个重点互联网企业的现场检查任务,并持续开展远程检测,有力促进了行业网络安全防护水平不断提升。
输出专业技术,通过网络安全行业的检测、评估、认证、咨询等服务,助力国家安全产业发展。中国电子信息产业发展研究院指导中国软件评测中心,针对行业网络安全保护、关键信息基础设施保护、“网络关键设备和网络安全专用产品”安全认证与检测评估制度的贯彻落实,积极开展公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的信息系统网络安全测评、信息安全风险评估、网络渗透测试,通过安全技术输出引导企业信息系统建设向规范化方向发展,作为第三方测评机构助力国家安全产业发展。
开展网络安全重大科研课题探索,营造健康向上的网络安全产业生态。中国电子信息产业发展研究院及中国软件评测中心,先后承担国家重点研发计划“网络空间安全”专项、工业互联网创新发展工程等多项重大研究课题,在工业及电信行业安全标准、安全仿真测试平台、网络安全测评服务公共平台、网络安全监测分析、技术应用及产业化推广等方面取得长足进展,实现对新技术的融合与传统技术的迭代。通过重大课题联合产、学、研、用产业链条中的机构,调动各行业资源,充分发挥不同机构技术优势,促进产业协同创新,营造健康向上的网络安全产业生态。
强化评测支撑力量
为国家网络安全保驾护航
网络安全保障是一项复杂的系统性工程。建立完善的国家网络安全综合保障体系包含立法、标准制定、产业发展与培育、数据安全治理、安全人才聚集等多方面内容。中国电子信息产业发展研究院将继续以中国软件评测中心为主要力量,提高政治站位,强化责任担当,充分发挥“国家级平台、全科型团队”的作用,不断提升网络安全技術检测能力,为国家网络安全战略提供有力支撑。
强化新技术新业态下的安全测评和监测能力建设,提升网络安全防护水平。提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的常态化安全检查与保护。着眼于“新基建”战略规划,尤其是5G、工业互联网、大数据中心与云平台等新技术场景下的网络空间安全基础理论和关键技术,不断完善网络空间安全测评技术体系,推动相关领域网络安全防护水平提升。
面向关键信息基础设施领域提供全方位服务,站好两化深度融合的安全岗。针对关键信息基础设施运营者提供安全保护技术咨询服务,进行标准宣贯与条款解读,开展安全制度、安全技术和安全意识培训,协助大型央企、国企等企业建立完善的安全制度和安全运行管理体系。针对工业互联网关键信息基础设施,研究可行的网络安全防护策略与风险评估方案,尤其针对无法进行漏洞扫描和渗透测试、正在运行的系统无法停工以备检查、检查出问题项但不具备整改条件等较难处理的情况寻求可行的解决途径,搭建网络信息安全技术监控平台或网络安全测评公共服务平台,实现信息安全的监控、预警、分析、研判。
强化行业监管,丰富安全服务,推进数据安全保护与软件安全测评工作。积极开展合规性评估、数据安全风险评估、APP违法违规检测等数据安全测评,配合监管部门网络数据安全监督执法。除此之外开展开源软件安全测评,通过源代码安全审查、白盒分析、风险评估及威胁分析、漏洞扫描、渗透测试、基线核查等方式对产业急需、有市场呼声的软件产品开展测试。
强化能力整合和输出,构造网络安全生态圈。依托已有的重点实验室、安全测试和检验平台等,建设渗透测试、众测等新平台,以我为主,整合合作伙伴的各项安全能力,向其他测评机构输出渗透测试、合规性检测等测评能力,通过众测聚集安全公司、白帽子等零散安全能力,形成能力放大器。发挥行业影响力和号召力,吸引一批业界合作机构,构造完善的网络安全测评生态圈,形成良性生态循环和强大造血能力。