我國(guó)當(dāng)前在網(wǎng)絡(luò)空間的防御力量仍然不足,大規(guī)模網(wǎng)絡(luò)對(duì)抗能力仍比較缺乏,建設(shè)信息安全技術(shù)保障體系,有助于改變我國(guó)在網(wǎng)絡(luò)空間方面的技術(shù)劣勢(shì),提升我國(guó)網(wǎng)絡(luò)空間防御能力。
當(dāng)前,網(wǎng)絡(luò)攻擊、信息泄露等網(wǎng)絡(luò)安全事件頻發(fā),國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗也不斷出現(xiàn),我國(guó)面臨嚴(yán)峻的信息安全形勢(shì)。據(jù)統(tǒng)計(jì),僅2013年,我國(guó)因網(wǎng)絡(luò)釣魚受騙的網(wǎng)民達(dá)6000多萬,經(jīng)濟(jì)損失超過300億元。當(dāng)年受各類網(wǎng)絡(luò)犯罪侵害的人數(shù)超過2.57億人次,經(jīng)濟(jì)損失達(dá)人民幣2890億元。
新世紀(jì)以來,我國(guó)在信息安全技術(shù)方面取得了較大的進(jìn)展,特別是密碼技術(shù)、基礎(chǔ)網(wǎng)絡(luò)安全技術(shù)等方面取得了一定的突破,但仍有大量技術(shù)存在空缺。信息安全技術(shù)是維護(hù)國(guó)家信息安全、保障網(wǎng)絡(luò)空間健康發(fā)展的基礎(chǔ),無論是國(guó)家間的網(wǎng)絡(luò)戰(zhàn)對(duì)抗還是與網(wǎng)絡(luò)犯罪分子做斗爭(zhēng),都需要強(qiáng)大的技術(shù)能力做支撐。
面臨五大短板
第一大短板:核心技術(shù)受制于人。
從“棱鏡門”事件可以看出,信息安全問題的根源其實(shí)在于網(wǎng)絡(luò)和信息技術(shù)的底層,而我國(guó)在相關(guān)核心技術(shù)方面仍受制于西方發(fā)達(dá)國(guó)家。
一是網(wǎng)絡(luò)和通信協(xié)議。協(xié)議和標(biāo)準(zhǔn)是互聯(lián)網(wǎng)的骨架,是最核心的技術(shù),而只有掌握核心的協(xié)議和標(biāo)準(zhǔn),才能了解互聯(lián)網(wǎng)運(yùn)作的原理,認(rèn)清網(wǎng)絡(luò)空間可能存在的信息安全隱患,而我國(guó)當(dāng)前在網(wǎng)絡(luò)和通信協(xié)議方面參與較少,研究也往往流于表面,成果較少。
二是基礎(chǔ)信息技術(shù)產(chǎn)品。依托相關(guān)協(xié)議和標(biāo)準(zhǔn)開發(fā)的基礎(chǔ)信息技術(shù)產(chǎn)品,如操作系統(tǒng)、芯片和基礎(chǔ)網(wǎng)絡(luò)設(shè)施等,是互聯(lián)網(wǎng)運(yùn)作的基礎(chǔ),我國(guó)已經(jīng)研發(fā)了一系列自主操作系統(tǒng)、數(shù)據(jù)庫(kù)和芯片,以及建設(shè)根域名鏡像服務(wù)器等,但由于產(chǎn)業(yè)生態(tài)被控制,在技術(shù)先進(jìn)性和可用性方面與西方發(fā)達(dá)國(guó)家還有較大差距,部分核心元器件、專用芯片、操作系統(tǒng)和大型應(yīng)用軟件等自主可控能力較低。
特別是關(guān)鍵芯片、核心軟件和部件嚴(yán)重依賴進(jìn)口,銀行、民航、電力、鐵路、工業(yè)控制、裝備制造等國(guó)民經(jīng)濟(jì)重要部門70%以上信息設(shè)備來自國(guó)外,給國(guó)家信息安全帶來嚴(yán)重隱患。
三是密碼技術(shù)。密碼理論和技術(shù)是互聯(lián)網(wǎng)安全機(jī)制的核心,是保障網(wǎng)絡(luò)與信息安全的重要技術(shù),我國(guó)當(dāng)前已經(jīng)取得一定的突破,如我國(guó)自主公鑰密碼算法SM2的廣泛推廣應(yīng)用,但總體還是在西方密碼體系基礎(chǔ)上發(fā)展而來。
第二大短板:關(guān)鍵技術(shù)不成體系。
當(dāng)前網(wǎng)絡(luò)空間沖突不斷,這種直接交鋒則主要依靠態(tài)勢(shì)感知、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御等關(guān)鍵技術(shù),目前我國(guó)在部分技術(shù)上還存在缺項(xiàng),尚未形成技術(shù)體系。
在網(wǎng)絡(luò)攻擊方面,我國(guó)尚未形成具威懾力的網(wǎng)絡(luò)武器,而美、俄、印、英、日等國(guó)家都將病毒武器列入作戰(zhàn)武器名單,美研究人員已經(jīng)提出“網(wǎng)絡(luò)數(shù)字大炮”概念,在網(wǎng)絡(luò)空間具備類似核武器的威懾力。
在網(wǎng)絡(luò)防御方面,我國(guó)整體實(shí)力仍較薄弱,雖然國(guó)內(nèi)信息安全企業(yè)在部分領(lǐng)域取得了突破,在低端網(wǎng)絡(luò)安全產(chǎn)品方面占據(jù)了一定優(yōu)勢(shì),但在高端網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)方面仍無法打破國(guó)外企業(yè)的壟斷。
在態(tài)勢(shì)感知方面,國(guó)家層面的威勢(shì)感知平臺(tái)等仍未建立,技術(shù)能力與國(guó)外有較大差距,“棱鏡門”等事件中對(duì)我國(guó)的網(wǎng)絡(luò)攻擊事件,均不是由我國(guó)自主發(fā)現(xiàn)。
第三大短板:產(chǎn)業(yè)支撐能力不足。
我國(guó)信息安全產(chǎn)業(yè)規(guī)模和企業(yè)實(shí)力仍遠(yuǎn)遠(yuǎn)落后于西方發(fā)達(dá)國(guó)家,難以有效支撐國(guó)家信息安全需求。
一是缺少信息安全龍頭企業(yè),同質(zhì)化競(jìng)爭(zhēng)嚴(yán)重。我國(guó)信息安全企業(yè)數(shù)量較多,保持在1000家左右,但規(guī)模超過10億元的屈指可數(shù),雖然百度、騰訊、阿里等大型互聯(lián)網(wǎng)公司開始介入安全產(chǎn)業(yè),但其仍集中于保障自身安全,且企業(yè)間的爭(zhēng)斗不斷,能與國(guó)外賽門鐵克、IBM等企業(yè)競(jìng)爭(zhēng)的基本沒有,國(guó)外動(dòng)輒幾億到十幾億美元的并購(gòu)也很少在國(guó)內(nèi)看到。
二是信息安全企業(yè)創(chuàng)新不足。國(guó)內(nèi)信息安全產(chǎn)業(yè)經(jīng)過十多年的發(fā)展,排名在前的企業(yè)仍是啟明星辰、綠盟等幾家,產(chǎn)品和服務(wù)也缺少創(chuàng)新,新興的信息企業(yè)很少能發(fā)展起來,而國(guó)外新興的“火眼”等企業(yè)則能夠迅速發(fā)展起來。
三是信息安全業(yè)務(wù)水平差距大。當(dāng)前信息安全需求已逐漸從單一信息安全技術(shù)產(chǎn)品轉(zhuǎn)向能夠面向行業(yè)的解決個(gè)性化需求的信息安全整體解決方案,我國(guó)信息安全企業(yè)仍集中在防火墻、入侵檢測(cè)、入侵防御等單點(diǎn)技術(shù)產(chǎn)品上,綜合性信息安全技術(shù)發(fā)展仍處于較低水平。相比而言,國(guó)外則有雷神、BAE等國(guó)防提供商提供信息安全服務(wù)。
第四大短板:技術(shù)管理制度不完善。
我國(guó)雖然已經(jīng)推出了信息安全技術(shù)產(chǎn)品強(qiáng)制認(rèn)證制度,并出臺(tái)了相應(yīng)的標(biāo)準(zhǔn),但是在制度完備性和操作規(guī)范性方面仍存在較大問題。
一是相關(guān)制度不完備。我們當(dāng)前的強(qiáng)制性認(rèn)證主要針對(duì)防火墻、入侵檢測(cè)等信息安全產(chǎn)品,但信息安全是一個(gè)綜合性問題,信息系統(tǒng)自身的基礎(chǔ)軟硬件等技術(shù)產(chǎn)品的安全性、整體信息安全防護(hù)體系的可靠性等都會(huì)影響到信息安全,我國(guó)目前缺少針對(duì)關(guān)鍵信息技術(shù)產(chǎn)品和信息安全綜合解決方案的審查制度。
二是國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)制度實(shí)施不嚴(yán)格。由于核心技術(shù)受制于人,經(jīng)常出現(xiàn)采購(gòu)的產(chǎn)品只能選國(guó)外廠商,而國(guó)外廠商不接受審查的情況,這不僅影響了相關(guān)標(biāo)準(zhǔn)制度的權(quán)威性,而且側(cè)面打壓了國(guó)內(nèi)廠商。本文來源:瞭望觀察網(wǎng)
三是缺少管理手段。當(dāng)前我國(guó)在信息安全檢測(cè)技術(shù)方面仍存在較大空白,如缺少針對(duì)處理器安全性檢測(cè)的技術(shù)等,執(zhí)行信息安全檢測(cè)的機(jī)構(gòu)需要從國(guó)外采購(gòu)相關(guān)設(shè)備,甚至缺少相應(yīng)的檢測(cè)能力,這都導(dǎo)致標(biāo)準(zhǔn)制度無法落實(shí)。
第五大短板:技術(shù)發(fā)展環(huán)境有待改善。
我國(guó)當(dāng)前在技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展等方面仍存在諸多弊端,限制了信息安全技術(shù)產(chǎn)業(yè)的快速發(fā)展。
一是信息技術(shù)產(chǎn)品發(fā)展受制于西方發(fā)達(dá)國(guó)家。西方國(guó)家在技術(shù)思路、標(biāo)準(zhǔn)協(xié)議、核心技術(shù)、產(chǎn)品服務(wù)方面都處于主導(dǎo)地位,我國(guó)在技術(shù)產(chǎn)業(yè)發(fā)展過程中一直處于“跟隨者”角色,只能采取以資源和環(huán)境換技術(shù)的策略,廣泛引進(jìn)西方技術(shù)和資金。這給我國(guó)經(jīng)濟(jì)發(fā)展產(chǎn)生較大推動(dòng),但卻犧牲了民族企業(yè)的自主創(chuàng)新能力,形成“體系性依賴”。
二是西方國(guó)家大肆制造技術(shù)壁壘。由于我國(guó)信息安全技術(shù)發(fā)展較晚,與西方國(guó)家存在較大差距,特別是操作系統(tǒng)、芯片等基礎(chǔ)技術(shù),與國(guó)際先進(jìn)水平存在代差,同時(shí)西方國(guó)家對(duì)我國(guó)實(shí)施技術(shù)禁運(yùn)政策,從而導(dǎo)致我國(guó)相關(guān)技術(shù)產(chǎn)品難以在市場(chǎng)上與國(guó)外產(chǎn)品競(jìng)爭(zhēng),這也導(dǎo)致我國(guó)大量信息安全技術(shù)研發(fā)與市場(chǎng)嚴(yán)重脫節(jié)。
以芯片為例,我國(guó)自主研發(fā)的龍芯產(chǎn)品,一直沒有形成與之相適應(yīng)的產(chǎn)品體系,沒有對(duì)應(yīng)的企業(yè)來開發(fā)相應(yīng)的驅(qū)動(dòng)程序、開發(fā)工具等,整體應(yīng)用環(huán)境不具備,市場(chǎng)前景也較差,很難形成以市場(chǎng)促進(jìn)研發(fā)的良性循環(huán)。
三是我國(guó)政科不分、政企不分的體制機(jī)制嚴(yán)重制約了科技創(chuàng)新和產(chǎn)業(yè)發(fā)展。我國(guó)科技創(chuàng)新體制存在主體定位不清、科研經(jīng)費(fèi)分配不合理等問題,導(dǎo)致科研人才大量流失,同時(shí)我國(guó)“泛行政化”的體制嚴(yán)重阻礙了科技創(chuàng)新和產(chǎn)業(yè)發(fā)展。我國(guó)科研院所、大型央企等均采取行政化管理,這使得大量科學(xué)家、企業(yè)家行政化。科研創(chuàng)新應(yīng)該完全市場(chǎng)化,企業(yè)發(fā)展也應(yīng)市場(chǎng)化。
信息安全技術(shù)對(duì)策建議
其一,健全信息安全技術(shù)管理體系。
一是健全國(guó)家網(wǎng)絡(luò)安全組織架構(gòu),強(qiáng)化中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的統(tǒng)一協(xié)調(diào)指揮,提高總攬全局的整體規(guī)劃能力和高層協(xié)調(diào)能力,同時(shí)明確公安部、保密局、密碼辦、工信部等信息安全各部門的職責(zé);二是強(qiáng)化國(guó)家網(wǎng)絡(luò)安全管理手段,制定關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)條例、政府信息安全保護(hù)條例等法規(guī);三是提升網(wǎng)絡(luò)安全管理能力,不斷提升相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)安全檢測(cè)能力。
其二,改善信息安全技術(shù)自主創(chuàng)新環(huán)境。
一是大力支持自主可控信息安全產(chǎn)業(yè)的發(fā)展,通過資金和其他優(yōu)惠政策鼓勵(lì)有實(shí)力的企業(yè)介入開發(fā)周期長(zhǎng)、資金回收慢的信息安全基礎(chǔ)產(chǎn)品,比如安全操作系統(tǒng)和安全芯片等;二是依托高校、研究機(jī)構(gòu)和企業(yè)自主創(chuàng)新平臺(tái),加大核心信息技術(shù)的投入,嚴(yán)格管理研究資金,推動(dòng)研究成果轉(zhuǎn)化;三是加強(qiáng)信息安全市場(chǎng)的政策引導(dǎo),合理利用國(guó)際規(guī)則,約束國(guó)外企業(yè)在國(guó)內(nèi)市場(chǎng)的發(fā)展,為自主信息安全產(chǎn)品提供更好的生存空間。
其三,加強(qiáng)信息安全技術(shù)產(chǎn)品市場(chǎng)規(guī)范。
一是啟動(dòng)核心信息技術(shù)產(chǎn)品的信息安全檢查和強(qiáng)制性認(rèn)證工作,對(duì)關(guān)鍵領(lǐng)域應(yīng)用的產(chǎn)品進(jìn)行源代碼級(jí)檢測(cè),將安全產(chǎn)品的強(qiáng)制市場(chǎng)準(zhǔn)入制度引入到核心信息技術(shù)產(chǎn)品領(lǐng)域;二是加強(qiáng)對(duì)國(guó)外進(jìn)口技術(shù)、產(chǎn)品和服務(wù)的漏洞分析工作,對(duì)從事關(guān)鍵行業(yè)數(shù)據(jù)搜集和數(shù)據(jù)分析業(yè)務(wù)的企業(yè)采取備案和黑名單制度;三是建立新興技術(shù)的信息安全預(yù)警機(jī)制,對(duì)掌握關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控。
其四,建設(shè)自主可控的信息安全生態(tài)體系。
一是發(fā)揮舉國(guó)體制優(yōu)勢(shì),實(shí)現(xiàn)核心技術(shù)突破;二是積極推動(dòng)關(guān)鍵信息技術(shù)產(chǎn)品的國(guó)產(chǎn)化替代,在關(guān)系國(guó)家安全的重點(diǎn)領(lǐng)域,有序開展國(guó)產(chǎn)產(chǎn)品和設(shè)備的替代工作;三是推動(dòng)全產(chǎn)業(yè)鏈協(xié)同發(fā)展。以資本為紐帶實(shí)現(xiàn)資源整合及產(chǎn)業(yè)融合,加快發(fā)展和形成一批掌握關(guān)鍵核心技術(shù)、創(chuàng)新能力突出、國(guó)際競(jìng)爭(zhēng)力強(qiáng)的跨國(guó)企業(yè)。
其五,發(fā)展結(jié)構(gòu)完整層次分明的信息安全產(chǎn)業(yè)。
一是重點(diǎn)培育幾家具有較強(qiáng)信息安全實(shí)力的企業(yè),專門為政府、軍隊(duì)等提供整體架構(gòu)設(shè)計(jì)和集成解決方案,形成解決國(guó)家級(jí)信息安全問題的承包商,類似于美國(guó)的洛克希德·馬丁、波音和雷神公司等企業(yè);二是重點(diǎn)發(fā)展一批類似于IBM、微軟、思科等能提供行業(yè)解決方案和完整產(chǎn)品線的專業(yè)信息安全企業(yè);三是鼓勵(lì)發(fā)展提供專用、新型技術(shù)和產(chǎn)品的獨(dú)立信息安全企業(yè),類似于賽門鐵克、RSA(美國(guó)加密技術(shù)實(shí)驗(yàn)室)等。
來源:瞭望觀察網(wǎng)? 作者:劉權(quán)(工信部賽迪智庫(kù)網(wǎng)絡(luò)安全研究所所長(zhǎng))
400-603-8000
