构建积极防御、综合防范的信息安全保障体系

――访中国工程院院士、国家信息化专家咨询委员会委员沈昌祥

信息安全保障能力是21世纪综合国力、经济竞争力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的制高点。近年来,在国家的高度重视和大力推进下,我国的信息安全保障能力大幅提升。随着工业控制信息化、三网融合、物联网、云计算等新型信息技术的发展应用,我国的信息安全保障工作面临新挑战和新任务。如何应对新形势,不断提高信息安全保障能力,确保国家网络信息安全,本刊记者对中国工程院院士、国家信息化专家咨询委员会委员沈昌祥进行了专访。

记者:当前,随着工业控制信息化、三网融合、物联网、云计算等新型信息技术的发展应用,我国信息化发展正进入全面深化的新阶段。请您谈谈这些新型信息技术给我国网络与信息安全保障工作带来了哪些新挑战。

沈昌祥:新型信息技术的挑战在工业控制信息化方面表现较为明显。2010年“震网”病毒事件破坏了伊朗核设施,震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。目前,应对高强度连续攻击(APT)已成为确保国家关键基础设施安全,保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。

电信网、广电网和互联网三网融合后,信息安全风险将主要来自于网络开放性、终端复杂性、信息可信性等方面。信息量的急剧增加,使得信息内容控制对信息保密防范技术提出更高要求。终端智能化和移动等多接入方式,使三网面临更复杂的攻击。另外,大规模的用户数量将给监管带来重大挑战,存在着原有法律与三网融合新要求相冲突的问题。

物联网将传感、通信和信息处理整合成网路系统,把物品与互联网连接起来,实现智能化识别、定位、跟踪监控和管理,这必然会成为影响社会稳定、国家安全的重要因素之一。同时,物联网运用大量感知节点(智能设备和传感器),将成为窃取情报、盗窃隐私的攻击对象,而且庞大节点以集群方式连接,将对网络通信的依赖更加敏感,对分布式物联网核心网络的管理平台安全性、可信性要求更高。另外,对数据传输安全性和身份认证的可信性也提出了更高要求。

云计算是一种能够动态伸缩的虚拟化资源,通过网络以服务的方式提供给用户的计算模式,用户不需要知道如何管理那些支持云计算的基础设施,其安全风险在于:(1)由不可控、不可信的云经营商统管IT资源和计算基础设施;(2)更大规模异构共享和虚拟动态的运营环境难以控制。如何确保云中IT资源安全、用户隐私安全以及云计算环境的可信可靠,已成为阻碍云计算进一步发展的主要因素。同时,制定相应的云计算法律法规,明确用户和运营商法律责任也是发展云计算必不可缺少的。

记者:随着信息技术的快速发展,世界各国尤其是美国高度重视网络空间安全问题,使其成为国家安全战略中“不可分割的重要组成部分”,美国的意图是什么?

沈昌祥:2007年8月,美国成立第44届总统网络空间安全委员会,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。报告提出了12项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。

2008年12月,为了加深对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。演习结果显示,美国对网络攻击的抵抗能力很差,这为奥巴马政府敲响了警钟。

2009年5月,奥巴马公布网络空间政策评估报告,并发表重要讲话。奥巴马强调,美国21世纪的经济繁荣将依赖于网络空间安全,他将网络空间安全威胁定位为最严重的国家经济和国家安全挑战之一,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项”。报告提出了10条近期行动计划和14条中期行动计划,全面规划了保护网络空间的战略措施。

2009年6月,美国建立美国“网络空间司令部”,编制近千人,很快投入全面运作。随后,美国国防部与国土安全局签署了网络安全合作备忘录,明确了两个部门在网络安全事务中的职责,建立了常设合作机构,确定了长效合作机制,并构建国家网络靶场,升级网络战规模;美国国防信息局宣布“网电计划”,创建“非军事区”,严格控制敏感IP路由接入,军民联防,保证美国网络安全。

2011年5月,美国白宫网络安全协调员施密特发布美国首份《网络空间国际战略》,阐述美国“在日益以网络相连的世界如何建立繁荣、增进安全和保护开放”。施密特将这份战略文件称为美国在21世纪的“历史性政策文件”。该战略文件称,美国希望打造“开放、可共同使用、安全、可信赖”的国际网络空间,并将综合利用外交、防务等手段来实现此目标。对于任何攻击网络空间的敌对行动,美国将其视同于威胁美国国家安全行为,运用军事力量予以回击,并保留使用包括外交、情报、军事以及经济上一切必要手段的合理权利。”

从上述战略举措可以看出,美国政府在网络空间安全方面的总意图就是:确立霸主地位,制定规则,谋求优势,控制世界。

记者:为了有效防范和应对信息化带来的各种风险与挑战,早在2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(以下简称27号文件)就明确提出了加强信息安全保障工作的总体要求,请您介绍一下我国信息安全保障体系建设的基本架构。

沈昌祥:27号文件中关于加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。落实这一总体要求的核心关键是建立健全“积极防御、综合防范”的信息安全保障体系。这是一个复杂的系统工程,其基本架构可概括为“四个层面、两个支撑、一个确保”。

“四个层面”包括,一是加强信息安全平台及基础设施建设。要建立安全事件应急响应中心、数据备份和灾难恢复设施,发挥密码在保障体系中的基础和核心作用,加强密码基础设施(KMI/PKI)建设。二是强化国家信息安全技术防护体系。要采用先进技术手段,确保网络和电信传输、应用区域边界、应用环境等环节的安全,既能防外部攻击,又能防内部作案。三是完善国家信息安全组织管理体系。要强化管理机构的职能,建立高效能的、职责分工明确的行政管理和业务组织体系,加强国家信息安全保障的综合协调工作。四是建立信息安全法制体系。要确立信息化领域法规框架,做到有法可依,有法必依。“两个支撑”包括,一是确定国家信息安全经费支持规划,明确信息安全保障体系建设经费占信息化经费的比例。二是确立信息安全人才教育和培训体系,把信息安全列为一级学科,进行学历教育,除培养大批高质量的专门人才外,还须进行社会化的培训和普及教育,以提高全民的信息安全素质。“一个确保”是指确保国家关键信息基础设施的安全运行。

记者:您对构建我国信息安全保障体系,加强网络空间安全有何建议?

沈昌祥:一是完善我国网络空间安全战略,强化我国网络空间主权。要加快研究制定新时期我国全面的网络空间安全国家战略,明确我国网络空间安全战略的国际地位,旗帜鲜明地提出网络空间的主权特性,将重要信息系统、基础信息网络、重要工业控制系统作为我国网络安全的重点领域。

二是加强网络空间能力建设,提高我国网络空间国际竞争能力。要加大技术创新投入,加强高端核心路由器、服务器、操作系统、数据库等核心技术与产品的研发支持能力,采用具有自主知识产权的产品与设备,在基础技术与关键产品上做到安全可控。要加强网络安全人才培养与队伍建设,针对国家整体上缺乏信息安全人才以及信息安全教学和学科建设不够健全的情况下,应采取特殊措施,加大培养力度,不拘一格选人才和挖人才,同时要采取有力的措施留住人才。

三是加快网络空间安全立法进程,保护国家网络信息资源。要加快完善与我国国情相适应的网络安全法律法规;加紧制定关于网络空间资源权属和知识产权保护、国家基础设施保护、政府信息系统安全保护相关的法律法规。

四是坚持纵深防御战略,建立牢固的网络防护体系。要克服常规的网络封堵、打补丁的被动局面,实施人、技术、管理一体化的纵深防御,控制源头,内外兼防,提高自身防护能力。



你可能感兴趣的:(信息安全)