习近平总书记在今年全国网络安全和信息化工作会议上指出,要围绕建设现代化经济体系、实现高质量发展,加快信息化发展;要利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造,提高全要素生产率,释放数字对经济发展的放大、叠加、倍增作用;要推动互联网、大数据、人工智能和实体经济深度融合,加快制造业、农业、服务业数字化、网络化、智能化。
以互联网、大数据、人工智能为代表的新一代信息技术将为高质量发展发挥重要作用,与此同时,也带来网络安全威胁向经济社会持续蔓延,给高质量发展带来重大挑战。习近平总书记强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。结合在网络安全一线的多年实践,我们对习近平总书记的高质量发展、总体安全观等系列讲话精神不断进行学习和领会,认为应对未来的网络安全威胁和挑战,必须树立大安全理念,做好“一大”、“四强”、“三融合”,即,做到战略强、战术强、技术强和产业强,实现军民融合、网信融合、国际国内融合,以加速推进网络强国建设,为经济社会高质量发展保驾护航。
一、在网络安全产业发展中落实网络强国战略思想,以“大安全”理念服务高质量发展
科技越先进,系统越复杂,漏洞就会越多,安全威胁就越大。从希拉里的邮件门事件,到新加坡总理李显龙个人信息被窃取;从乌克兰电网瘫痪、东海岸大规模断网事件到最近发生的台积电生产线“中招”等这一系列事件说明,当前全球网络安全形势非常严峻。网络安全已经不再限于信息安全、电脑安全这样狭义的安全,已经开始影响国家安全、国防安全,对高质量发展带来巨大挑战。
随着中国特色社会主义进入新时代,我们认为当前的网络安全也进入了新时代,这个新时代就是从“信息安全”时代,进入了“大安全”时代。大安全主要体现在两个层面:一是随着信息化和物联网渗透到方方面面,网络安全风险无处不在。二是工业互联网、物联网、车联网让物理世界和虚拟世界打通,线上线下的边界消失,网络攻击的危害已经从网络空间,扩展到了现实世界,危害国家安全、国防安全、基础设施安全、社会安全、经济安全和个人安全。没有网络安全就没有国家安全,更无法建成网络强国,高质量发展也无从谈起。
二、做好网络安全产业发展的“四强”,实现网络强国建设由大到强的高质量转变
根据多年网络安全实践,并结合对国际网络强国,特别是美国网络安全产业的深入研究,我们认为,要建设网络强国,必须在网络安全的战略、战术、技术、产业等四方面取得突破,实现战略强、战术强、技术强、产业强。
(一)战略强:以新战略引领网络安全发展
习近平总书记指出,网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。这些网络安全的基本特点,要求我们必须做出与大安全时代相适应的战略部署。
网络是一个整体,每个环节的脆弱性都可能成为国家网络安全的短板。因此,我们不能再像以前那样各自为战,只管自己“一亩三分地”,“自扫门前雪”,而需要加强顶层设计,实施整体防御和统一防护,实现共同安全。
美国一直都在用整体防御思维来统筹网络安全建设。国土安全部是美国除军队以外的国家网络安全牵头单位,除了统筹协调外,还负责对全国网络防御进行统一规划设计和建设。在网络防御方面,美国就采取了不少整体性措施。比如,美国从2003 年就开始建设“爱因斯坦”计划。希拉里“邮件门”事件发生后,美国马上建设了统一的钓鱼邮件过滤系统,要求所有政府部门和重要单位都要接入。
对于整体防御的重要性,我们国家也十分重视。这些年来,从机构设置到技术力量的配备,我们的网络整体防御也取得了很大进展。但从我们在一线的实践看,还有一些地方亟需加强。比如:网络防御整体性不足,各地、各部门、各单位的安全体系条块分割,安全数据和威胁情报不能相互共享,不能有效协同等。
因此,我们认为,我国应实行从中央到地方网络安全体系的统一规划,实现网络安全的统一部署和协同联动。同时,在国家层面建立网络安全态势感知、威胁情报、应急响应等网络安全平台,通过实施一系列重大工程,提升我国网络安全整体防御能力。
(二)战术强:用新战术助推网络安全发展
有了科学合理的新战略,我们还要在战术层面转变原有的一些做法,才能更好地应对大安全时代新威胁和大挑战。
1、共享信息
当前,不管是政府部门、科研机构,还是民营企业,都感到要加强网络安全信息共享,共同提升国家网络安全实力。但是在现实工作中,信息共享还存在很多障碍。我们认为要做好以下工作:一是鼓励政企单位上报网络攻击事件。应出台鼓励网络攻击事件上报的相关政策,规范网络攻击事件上报流程,并加大对知情不报企业查处惩戒力度。二是建立公平合理的利益保障机制,促进双方数据实现良性共享和有效利用,提升国家网络安全整体水平。
2、动态运维
我们需要认识到,网络安全无法做到一劳永逸。网络安全是攻防两端的持续博弈,没有银弹和一招鲜的解决方案。那种仅仅靠买几台防火墙、装一些安全软件就能解决问题的想法,已经不合时宜。美国对此就有深刻认识,美国国防部2015 年就把及时打补丁缓解已知漏洞作为十分重要的网络安全战略。美国国家安全局发布的应对APT 攻击的十大战略措施,其中第一项就是立即更新和升级软件。因此,我们应该放弃银弹思维,脚踏实地做好日常安全运维工作。从“一买了之”转向动态运维。
3、讲百遍不如打一遍
通过网络攻防实战演习可以发现深层次网络安全问题。美国从2008 年开始兴建国家网络靶场(NCR),连续十多年开展“网络风暴”、“网络卫士”等攻防演练,模拟金融、通信、交通、电力、工业等关键基础设施遭受大规模网络攻击的场景,提升跨部门协同应对能力。我国也在公安部的指挥下,连续举办了“护网2016”、“护网2017”、“护网2018”演习。通过演习发现了许多重要信息系统的漏洞和问题,有效提升了相应单位的安全保障整体能力。
但当前这些演习还局限于单一部门,无法提升国家层面的信息共享和协同处置能力。我们应该进一步开展跨领域、跨部门、跨军民的网络安全演习,并尽快建设能够真实模拟典型网络环境的国家级网络靶场。
4、加强应急指挥
世界上没有攻不破的网络,所以可以有效应对突发事件的应急指挥体系格外重要。习近平总书记强调,要加强网络安全事件应急指挥能力建设。我们认为,为加强应急指挥,必须要明确组织架构和流程,制定详细预案,要有技术手段,要加强日常演练。
(三)技术强:打造网络安全“杀手锏”技术
习近平总书记强调,要加速推动信息领域核心技术突破。在网络安全领域,虽然我国在云查杀、基于人工智能的杀毒引擎等方面取得了一些成果,但整体与国外仍存在较大差距,应该加大研发攻关力度。
1、网络安全迫切需要“杀手锏”技术
目前,我国在信息技术领域与美国还存在较大差距,短期内很难赶超。比如,我们的核心芯片、操作系统、数据库、网络协议等还受制于人,美国利用这些技术优势建立了先天的网络空间优势,使得我国对美国单向透明。在短期核心技术受制于人,无法很快赶超的情况下,必须要发展“杀手锏”技术和不对称技术,利用自己的独特优势,另辟蹊径,在单点上形成优势能力,通过局部突破,达到战略平衡。
2、加强漏洞挖掘能力建设,获取非对称优势
漏洞是网络安全的“命门”,也是网络战的重要战略资源,没有漏洞就无法建立网络进攻和防御体系。拥有一定数量的高价值漏洞,就可能在未来的网络战中以弱胜强。漏洞挖掘技术就是一类“杀手锏”技术,一方面网络安全对抗核心是人的对抗,要利用好我国的人口红利。另一方面,要研究自动漏洞挖掘和自动攻防技术,抓住机遇,加大投入,夺取未来网络安全主动权。
3、把“安全大脑”打造成国之重器和杀手锏
面对大安全时代的新威胁和大挑战,传统的单一技术手段已经无法有效应对,必须融合大数据、云计算、人工智能等技术,建立具有全局视角的“ 安全大脑”。依靠这种分布式智能安全系统,实现跨行业、跨地区、跨单位的数据共享、联合监测、协同防御和应急处置,实时感知网络态势,智能预测预警网络攻击,快速对攻击进行响应和追踪溯源,提升我国网络安全整体防御能力。
国家应该进一步集中力量,把“安全大脑”打造成科技创新的国之重器和“杀手锏”,为捍卫国家网络安全发挥重要作用。
(四)产业强:做大做强网络安全产业
习近平总书记强调,要积极发展网络安全产业。网络安全产业是支撑国家网络安全的基石。没有网络安全产业,就没有网络安全,也就没有国家安全,就无法建成网络强国。
1、发达国家经验表明,产业强才能网络安全强
美国网络安全实力之所以强大,除了在核心技术方面的优势,最重要的就是拥有强大的网络安全产业。美国网络安全市场研究机构Cybersecurity Ventures 发布的2017 年第二季度全球最具知名度和创新力的网络安全500 强企业排行榜,有近400 家都是美国公司。这些企业成为美国国家网络安全技术创新、防御体系建设、网络武器研发等的主要力量。以色列网络安全实力国际领先,同样缘于强大的网络安全产业。
2、我国网络安全产业亟待加强
虽然近年来我国网络安全产业有了长足的进步,但是仍然与维护国家网络安全、建设网络强国的要求存在很大差距。2017 年我国从事网络安全的企业共有2600 多家,但市场规模只有439 亿元,不足美国的1/7。
由于我国网络安全企业普遍规模小、收入少、利润薄,导致网络安全企业创新投入不足,积极性不高,也难以吸引到最优秀的人才,许多优秀人才流失海外,整个网络安全产业创新力不足。网络安全创新500 强中,中国公司仅占6 席,没有一家进前100。
国家应尽快制定和出台网络安全产业综合性促进政策,引导政企单位加大网络安全投入,加大对网络安全企业的税收、人才、研发等扶持力度。
3、大力推进网络安全人才培养
习近平总书记指出,网络安全的本质在对抗,对抗的本质在攻防两端能力较量。未来网络安全将是一个智力密集型的服务业。据分析,当前我国网络安全人才缺口达70 万,到2020 年将急剧增加到140 万。面对当前的人才短缺问题,除了加强高校学历教育,还需鼓翔技校”,支持高校与网络安全企业联合开展学科建设,提高人才培养的数量和质量。
4、加强政、产、学、研、用协同联动
大安全时代,没有一个政府部门、行业或者企业可以独自应对网络安全问题,必须进行跨部门、跨行业、跨企业的大合作,共建网络安全的大生态。
我国急需建设政府、企业、科研院所、大学和用户共同组成的良好生态,吸引资金、人才、技术的自然流动,在网络安全领域打造一批在世界上名列前茅的企业,推动我国从网络大国迈向网络强国,实现高质量发展。
三、实现网络安全产业发展的“三融合”,勇做网络空间命运共同体的中流砥柱
网络安全产业繁荣发展要走军民融合、网信融合、国内国际融合的“三融合”之路。网信军民融合是网络强国战略和军民融合战略的共振点,网信融合是网络安全产业长久发展的推进器,国内国际融合是构建网络空间命运共同体的奠基石。
(一)加快军民融合,推动国防建设跨越式发展
习近平总书记指出,网信军民融合是军民融合的重点领域和前沿领域,也是军民融合最具活力和潜力的领域,对于网信军民融合寄予厚望。我们认为,民营网络安全公司、互联网公司等民间企业可以在军民融合中发挥重要作用。网络安全技术、人才、大数据主要在这些民间公司。因此,网络安全军民融合具有很强的必要性和紧迫性,大有可为。
应建立网络安全军民融合国家智库,发挥民营企业对于军队网络安全规划和战略的支撑作用。军民联合开展网络安全关键技术和产品研发,尽快突破网络安全核心技术。发挥民营网络安全企业在业务一线的经验,开展军民联合网络安全演练。联合开展军地网络安全人才的培养,比如对尖端人才的招募,可以直接授予一定军衔。同时,加快推进网络安全预备役建设,提高国家网络安全整体实力。
(二)深化网信融合,壮大网络安全产业
习近平总书记强调,网络安全和信息化是一体之两翼、驱动之双轮,网络安全和信息化是相辅相成的,要同步推进。因此,网络安全不能靠事后弥补和“打补丁”的方式推进,而是要和信息化同等重视、同步规划、同励网络安全企业开展职业教育,大力兴办网络安全的“蓝步建设、同步使用。要在信息化建设之初就要把网络安全作为核心要求考虑进去,进行必要的功能设计和安全数据采集,满足网络安全的需要。在系统设计和代码开发过程中,就要注重安全,并进行安全测试,不能让系统带病上线或上市销售,才能真正做到“关口前移,防患于未然”。
同时,由于我国网络安全产业规模小,导致网络安全企业普遍收入少、利润低、人才吸引力弱,不利于我国网络强国战略目标的实现。我们通过自身的实践,摸索出了一条依靠互联网增值业务盈利,反哺网络安全业务,同时安全业务为互联网增值业务引流的新模式。基于自身实践经验,我们建议网络安全企业,一方面练好安全的“内功”,另一方面,加强信息化领域相关产品和服务的研发和投入,实施多元化发展战略,来支撑网络安全业务发展。建议国家支持和促进企业信息化和网络安全的深度融合,以全新发展理念从网络大国走向网络强国。
(三)加强国际国内融合,打造网络空间安全命运共同体
2015 年世界互联网大会上,习近平总书记提出构建网络空间命运共同体,号召国际社会共同维护网络空间安全,这一号召日益成为国际社会广泛共识。
在“一带一路”倡议背景下,保障“一带一路”网络空间安全,建立国际网络安全领域技术交流和产业合作机制,持续推动“一带一路”网络空间国际合作,是我国建设“网络强国”的时代要求,也是“一带一路”国家战略支撑保障的需求。打造“走出去”企业网络安全保障能力,积极与“走出去”企业开展合作,帮助企业提升网络安全监测、预警和应急处置能力,为“走出去”企业的海外发展保驾护航。开展网络安全技术创新和人才等方面合作交流,与一带一路沿线国家网络安全企业开展合作研发和应用推广,依托网络安全国际会议和国际赛事,开展技术交流和人才培养,促进国际合作和科技成果交流。探索“一带一路”网络安全“走出去”布局模式,参与“一带一路”沿线国家网络安全领域项目,根据各国相关要求开展创新技术成果转化,联合推广相关技术成果,打造与相关国家的协同防御体系,探索“走出去”新模式。(来源:《网信军民融合》)