贯彻国家网络空间安全战略要求 加强关键信息基础设施安全防护
中国信息通信研究院院长 刘多
当今世界,网络信息技术日新月异,全面融入政治、经济、文化、社会、生态、国防等领域,网络安全形势复杂严峻,安全风险和威胁日益突出。近日,国家网信办发布了《国家网络空间安全战略》,引发社会各界广泛关注。《战略》贯彻落实习近平总书记关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”,阐明中国关于网络空间发展和安全的重大立场,这是新形势下我国网络空间安全工作的总体指南和根本遵循。《战略》指出,保护关键信息基础设施作为维护国家网络空间安全的基本要求和重要任务,要坚持技术和管理并重、保护和震慑并举,切实加强关键信息基础设施安全防护。
一、加强关键信息基础设施保护意义重大
国家关键信息基础设施是指关系国家安全、国计民生、公共利益的信息设施,包括公共通信、广播电视传输等基础信息网络,能源、金融、交通、教育、科研、水利、工业、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,也包括重要互联网应用系统等。关键信息基础设施是经济社会运行的大动脉,加强安全防护是网络安全工作的重中之重。
信息网络加速向高速、移动、安全、泛在方向发展,在经济社会发展中的地位和作用日益凸显。近些年来,我国网络基础设施能力显著提升,新一代高速网络加快普及,光纤网传输速率已达到每秒400Gb,4G无线网达到每秒100Mb以上,覆盖所有城市和主要乡镇。5G和超宽带技术研究深入推进;云数据中心和大数据产业蓬勃兴起;物联网广泛应用,越来越多的设备、终端等接入信息网络;网络信息技术与电网、公路网、铁路网深度融合,万物互联、泛在感知、空天一体的智能化综合信息基础设施加速形成,极大提升经济活动的网络化、数字化、智能化水平,有力推动了经济社会发展。
网络信息技术与经济社会深度融合,网络安全威胁正从线上向线下蔓延,经济社会发展安全风险增大。我国关键信息基础设施面临较大风险隐患,网络安全防控能力弱,难以有效应对国家级、有组织的高强度网络攻击。一旦受到攻击,可能产生重大网络安全事件,甚至引发交通中断、金融紊乱、电力瘫痪,严重威胁经济社会安全乃至国家安全,这不仅是我国面临的问题,也是世界信息化水平比较高的国家普遍面临的难题。
加强关键信息基础设施防护已成为各国保障经济社会安全的共同选择。目前,已有60多个国家发布了网络空间战略,并将关键信息基础设施视为网络安全保障的重要对象。美国近期相继发布《网络空间战略》、《网络安全国家行动计划》,强调关键信息基础设施安全防护的重要意义,提倡攻防兼备的战略理念。欧盟发布《网络与信息安全指令》,要求能源、交通等关键信息基础设施运营企业采取必要的安全措施。
二、我国关键信息基础设施安全防护工作稳步推进
党中央、国务院高度重视关键信息基础设施安全防护工作,在中央网信领导小组的统一领导下,各相关部门加快推进法律制度建设、加强安全监督管理、完善安全技术标准,我国关键信息基础设施安全防护工作已初见成效。
(一)法律法规逐步完善。一是 《国家安全法》的出台,率先对关键信息基础设施自主可控提出明确要求,为关键信息基础设施管理、保护和检查等工作的开展提供了法律保障。 二是 《网络安全法》的出台,将关键信息基础设施安全保护上升至国家战略高度。《网络安全法》进一步明确国家关键信息基础设施范畴,为关键信息基础设施安全保护规定了责任划分和追责方式,对关键信息基础设施的建设要求、运营者义务、安全审查、数据存储、风险检测评估等重点作出了制度安排。 三是 启动《通信网络安全防护管理办法》修订工作,针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力。
(二)管理制度不断健全。一是 开展全国范围内关键信息基础设施网络安全检查,不断强化关键信息基础设施的风险评估和安全防范,特别加强对金融、电力、交通等命脉行业重要信息系统安全隐患排查,取得了显著成效。 二是 完善各行业网络安全审查制度,对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,确保产品安全性和可控性,防范非法控制、漏洞后门等安全威胁。 三是 大力开展电信与互联网行业网络安全试点示范,发挥典型带动作用,引导基础电信企业、互联网企业、安全企业加大网络安全投入,增强企业应对网络安全威胁的能力。
(三)技术能力有效提升。一是 制定行业安全标准,电信和互联网行业已制订完成《固定通信网安全防护要求》等60余项通信网络安全防护标准。金融、能源等行业也发布了信息系统安全等级保护标准,有效提升了行业信息系统的安全保护能力和水平。 二是 提升漏洞挖掘、入侵检测、病毒防范等关键信息基础设施安全防护技术水平,重点突破网络测绘、攻击溯源等新型安全技术,关键信息基础设施抗侦听、抗攻击及恢复能力进一步增强。 三是 针对移动互联网、大数据、云计算、工业互联网等新技术新业务,制定专门的安全防护策略,出台系列标准提升防护技术水平。
同时,我国关键信息基础设施安全防护仍面临的挑战不容小视,主要表现在:核心技术受制于人,潜在安全风险巨大;关键信息基础设施保护体系尚不健全,政企联动、监测、预警、响应和恢复能力体系有待完善;信息基础设施相关防御技术手段的研发处于初级阶段;网络安全人才还不能更好满足发展需求等。
三、进一步提升关键信息基础设施安全防护能力
保护关键信息基础设施是《国家网络空间安全战略》确立的九项战略任务之一。要围绕建设网络强国总目标,以总体国家安全观为指导,增强风险意识和危机意识,统筹安全与发展、开放与自主的关系,突出动态化、综合化的防护理念,着力提升关键信息基础设施安全防护水平。
(一)固本强基,以产业发展促进安全。 发展是最大的安全,切实增强网络设施服务供给能力和技术产业创新发展能力。 一是 加快基础设施演进升级,深入实施“宽带中国”战略,加快全光网络和新一代移动通信网络建设,构建天地一体、高速泛在的网络空间。 二是 加强核心技术自主创新。抓紧突破核心器件、高端芯片、操作系统等关键核心技术,超前布局5G、工业互联网、高性能计算、人工智能等新技术研发和产业化。 三是 提高关键软硬件产品自主可控水平。加强政策资金引导,充分发挥市场机制作用,推动国产软硬件产品的示范应用,培育一批具有产业整合能力的龙头企业,壮大自主品牌。
(二)多措并举,以防护体系保障安全。 安全是发展的前提,综合运用法律制度、行政监督等手段,形成长效防护机制。 一是 结合《网络安全法》出台,修订已有的法律规章,加快出台各行业关键基础设施保护、数据安全管理、网络安全审查等配套制度,健全基础设施安全标准体系。 二是 深入推进关键信息基础设施保护,明确关键信息基础设施保护的原则、目标和制度措施,健全分级保护、动态调整的网络安全防护体系,制定关键信息基础设施资产登记、备案、更新等配套制度。 三是 推进网络安全审查工作,加强产业供应链安全管理,对党政机关、国家命脉行业使用的重要信息技术产品和服务开展安全审查,排除安全隐患。
(三)攻防兼备,以技术手段支撑安全。 针对互联网新技术新业务引发的新问题、新风险,加强网络安全技术手段的研究和运用。 一是 加强网络威胁监测处置,健全全局性动态感知、预警防护、应急处置能力,强化联攻联防和威胁信息共享,推动跨行业、跨部门的基础设施安全威胁信息共享平台建设。 二是 运用大数据、云计算等先进技术手段,加强关联比对分析,提升应急响应能力。 三是 提升入侵检测、防病毒、漏洞挖掘等关键防护技术能力,特别注重杀手锏、非对称技术研发攻关。
(四)服务全局,以人才队伍强化安全。 人才是第一资源。网络空间的竞争,归根结底是人才竞争。 一是 优化网络安全人才梯队,制定网络与信息安全人才培养规划,形成高等教育和社会培训相结合的人才培养机制,打造一支人员充足、素质优良、专业配套、结构合理人才梯队。 二是 建立灵活的人才激励机制,推动科技成果产权制度、收益分配制度和转化机制改革,破除对人才的不合理束缚,构建具有全球竞争力的人才制度体系。 三是 推进国际人才交流合作,加强高精尖人才引智力度,吸引更多海外的领军人才、紧缺人才。支持网络信息安全领域高端人才赴海外开展前沿技术、标准等学术交流。