网络安全周将形成常态化机制,在每年九月的第三周在全国各省区市统一举行,必将对长期可持续提升我国网络信息安全保障能力发挥深远作用。
(作者王晓冬,为国家信息中心政务外网发展规划处处长)
2016年国家网络安全宣传周即将圆满落幕。宣传周以人民群众喜闻乐见的形式对网络安全知识进行了广泛宣传,提高了全社会的网络安全意识,增强了网络安全防护技能,充分体现了“网络安全为人民,网络安全靠人民”的宗旨。更为可喜的是,网络安全周将形成常态化机制,在每年九月的第三周在全国各省区市统一举行,必将对长期可持续提升我国网络信息安全保障能力发挥深远作用。
首先,网络信息安全的形势发展显著变化。
随着新一轮信息革命加速全面影响和重塑国家竞争、经济运行、社会发展、人民生活等各个领域,网络信息安全已由一个专业领域的小众性技术问题,成为事关国家安全、企业竞争和社会公众切身利益的普适性战略问题。网络信息安全形势也发生了深远变化,突出表现为以下几个方面:
一是网络信息安全防护的战略性作用更加突出。当前,世界上主要国家的国防、政务、金融、电力、机场、铁路等关键领域都已经深深植根于网络信息系统。网络信息安全一旦发生系统性风险,将对经济社会正常运转产生巨大影响,甚至直接影响国家安全、主权。近年来发生的震网病毒(Stuxnet)、维基解密、斯诺登事件等一系列事件已经充分说明了这一点。一些国家利用其网络信息化优势监听全球、窃取他国核心信息、引导他国舆论、制造社会混乱甚至直接攻击他国信息基础设施。英国伦敦国际战略研究所在一篇报告中甚至称,“未来的战争将以大规模网络攻击而非传统的发射导弹为开端”。网络信息安全防护成为事关国家稳定、经济发展、军事强弱和文化复兴的战略性工作。
二是网络信息攻击动机更为功利化。网络信息系统已经深度融入到政治、经济、军事、文化等方面,越来越直接涉及巨大的现实利益。无论是对国家层面、部门层面、企业层面、还是个人层面而言,网络信息安全风险可能引发的实际利益的损失正在成倍增长。网络信息安全威胁已经由早期篡改网页、传播病毒、破坏文件之类的蚊蝇之扰,成为破坏经济社会运行、盗取机密文件、商业秘密和个人财产的心腹大患。受巨大利益的驱使,网络信息攻击的组织性、目的性、逐利性越来越强,攻击来源更加难以预测,信息安全威胁不确定性显著增强,形成非对称性对抗的格局。攻击技术的发展使得反制和追踪攻击行为变得越来越难,网络信息安全呈现出易攻难守的局面。
三是网络信息攻击手段层出不穷。互联网、大数据、云计算等新技术、新模式在给人们带来巨大便利的同时也客观上给攻击者提供了便利,信息安全的常规性风险、数据资源的集聚性风险和新技术应用的潜在性风险相交织,为信息安全攻击提供了温床,黑客攻击、虚假信息、数据滥用、隐私泄漏等问题更加难以控制,网络攻击、诈骗的门槛正越来越低。病毒传播、域名劫持、漏洞攻击、拒绝服务、APT攻击等手段层出不穷。同时,攻击者更加注意策略的选择,信息攻击更加难以追溯定位。由于技术水平和人为因素,计算机软硬件的“缺陷”和 “漏洞”仍然难以避免。
四是信息安全攻防对抗性更加激烈。网络信息安全保障工作是典型的博弈行为,是一个魔与道不断角力的动态过程。攻防双方目的的实现(效用的取得)不仅仅取决于自身的策略,也取决于博弈对手。对于防御方而言,信息安全软硬设备的投入,只是形成了信息安全保障的一个基础,防守之盾的有效性更多地取决于攻击之矛的锋利性,有赖于攻击者的检验。因此信息安全保障工作不能唯技术论、唯投资论,其有效性并不一定和信息安全成本成正比。同时,由于新的安全威胁的不断涌现,防御的有效性成为一个动态的概念。矛锐利了,盾当然应得到加强,所以,“防御”将跨越整个网络、信息系统的生命周期,信息安全保障是一个无止境的过程,要在日趋激烈的对抗中不断调整。
其次,应系统性构建网络信息安全保障体系。
二战时期,固若金汤的马奇诺防线在德军的迂回攻击下成为笑柄和摆设。在新的网络信息安全形势下,必须构建泛在、动态、权变的网络信息安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,才能真正建成网络强国,抵御各种风险挑战。
为此,一是要着力在核心技术上取得突破。核心技术是安全的基石,也是我们最大的“命门”,核心技术受制于人就是我们最大的隐患。必须有决心、恒心、重心,坚持创新驱动发展战略,超前部署、集中攻关,在核心技术研发上实现从跟跑并跑到并跑领跑的转变。二是要稳步推进相关立法工作。充分把握新技术、新应用、新模式的运行规律和特点,坚持保护创新和坚守底线相并重的原则,建立健全网络安全与信息化相关法律法规和政策体系,同时积极参与国际互联网规则制定和秩序维护。三是建立协同联动的网络安全防御工作机制。国家网络信息安全管理部门、党政机关、专业厂商、研究机构等各方力量通力配合,建立更加顺畅的管理制度、更加明确的责权匹配、更加有效的激励机制、更加科学的工作流程,形成互利共赢的信息安全防御阵线,张开信息安全的大网真正确保安全。四是要加强网络信息安全人才队伍建设,在关键领域培养高水平领军人才。此外继续强化网络信息安全宣传周等面向社会公众的宣传、教育、培训等工作,发动和依靠人民筑起无处不在的稳固防线。