在全国网络安全和信息化工作会议上,习近平总书记系统阐释了网络强国战略思想,为加快推进网络强国建设明确了前进方向、提供了根本遵循。当前,网络安全威胁持续蔓延,网络安全挑战空前。有效应对网络安全威胁和挑战,建设网络强国,必须坚持用习近平网络强国战略思想全面指导我们的网络安全实践。
一、网络安全成为新威胁、大挑战,没有网络安全就没有国家安全
习近平网络强国战略思想高屋建瓴、内涵丰富。习近平总书记特别强调,没有网络安全就没有国家安全,就没有经济社会的稳定运行,老百姓的利益也就无法得到保证。网络安全成为习近平网络强国战略思想的重要组成部分。
当前我国经济、社会的运行,老百姓的衣食住行都建立在互联网之上,网络攻击已经成为国家安全的新威胁。对国家政权来讲,网络攻击可以在网络空间搞破坏。对国防安全来讲,网络攻击已经成为国际冲突的常见形式,网络战时时刻刻都在发生,并成为未来战争的首选。对关键信息基础设施来讲,物联网、工业互联网、车联网把虚拟世界和现实世界打通,所有原来对虚拟世界的攻击都可以传送到现实世界,通过网络攻击就可以破坏水、电、气、交通、能源等关键基础设施。对社会稳定来讲,一旦遭受网络攻击,社会秩序就会陷入混乱。对经济安全来讲,近年来对智能制造、金融系统的网络攻击时有发生,层出不穷。此外,网络攻击也给用户隐私安全、财产安全和人身安全带来严重危害。
新威胁带来了大挑战,网络安全防御越来越困难,世界上没有攻不破的网络。一方面,整个世界都构建在软件之上,是软件就会有漏洞。另一方面,人是最薄弱的环节,成为网络攻击的短板。与此同时,网络战时时刻刻都在发生,不分军民,无所不用其极。
可以看到,网络安全已经从网络空间,扩展到国家安全、国防安全、关键基础设施安全、社会安全、经济安全和个人安全,网络安全从“信息安全”时代进入了“大安全”时代。没有网络安全就没有国家安全,更无法建成网络强国。
二、把握网络安全形势,积极采用新策略
当前,网络安全形势复杂严峻。我们必须采用新策略,积极应对新威胁和大挑战,切实维护网络安全。
从各自为战转向统一防御。网络是一个互联的整体,任何一个脆弱的节点,都可能成为整个国家网络安全的短板。目前,很多部门和行业的网络安全体系建设各自为战,没有形成合力。必须加强网络安全顶层设计,统一规划、统一部署和协同联动,明确各地各部门的权、责、利,提升我国网络安全的整体防护能力。
从边界拦截转向快速响应。大安全时代,网络攻击更加强大、高超。特别是随着IoT技术的发展,网络攻击点不断增多,传统的网络边界正在消失,不能再幻想仅依靠几台防火墙和入侵检测设备就能御敌于门外。我们必须看到,网络一定有着会被攻破的巨大风险,要将防御重点从边界拦截转向快速发现、及时阻断、清除和修复,并对攻击进行追踪溯源。
网络安全没有银弹,安全运营最为关键。网络安全不是靠购买并部署一批网络安全设备、产品就能解决问题。如果没有人进行持续的维护,这些设备基本起不到应有的作用。要对系统软硬件和安全软硬件进行及时版本更新,及时修复已知漏洞。要建立7*24小时的安全运营中心,对安全日志、事件信息和网络流量大数据进行持续的采集、存储,及时监控、处置威胁和异常行为。
三、厘清责任、注重实战,加强信息基础设施网络安全防护
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的中枢。近年来,乌克兰电网攻击、美国东部大面积断网等事件等表明,网络攻击正在向基础设施蔓延,其威力不亚于传统战争,对关键信息基础设施的保护必须尽早提上日程。
习总书记指出,要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。这对关键信息基础设施防护责任进行了厘清,并对分工进行了明确,为做好我国关键信息基础设施保护工作指明了方向。
去年全球爆发的WannaCry勒索病毒事件表明,网络安全防护没有“马奇诺防线”,不能迷信隔离网的能力。对于关键信息基础设施的防护,日常网络安全运营和基础工作至关重要。
为了落实好主体防护责任,关键信息基础设施运营者应建立自己的网络安全技术运维团队,提高网络安全运营能力和网络安全事件应急响应能力。同时,加大对专业网络安全服务的采购力度,弥充网络安保力量的不足。
此外,网络安全讲百遍不如打一遍。以前合规式的安全检查,需要向重实战演练转变。要尽快实现关键信息基础设施网络攻防演习制度化、常态化。就像“朱日和演习”一样,在接近网络攻防的真实环境下,发现问题、补齐短板,确保关健信息基础设施的长治久安。
四、打造“安全大脑”,加速推动网络安全核心技术突破
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。虽然我国在云查杀、人工智能杀毒引擎等核心技术上取得了一些成果,但整体与国外仍存在较大差距。习总书记强调,要加速推动信息领域核心技术突破。
大安全时代,各种新威胁层出不穷,网络安全面临大挑战,亟需综合利用IoT、移动通信、人工智能、区块链、云计算、大数据等新技术,构建强健有力的“安全大脑”,为大安全时代提供完整的安全解决方案。
“安全大脑”是把我们所有的传感器、获取的数据,到大数据的存储、人工智能的算法,再加上人工积累的专家知识,融合在一起,构成一套解决网络安全问题的分布式智能安全系统。
“安全大脑”的各种传感器就像人的眼睛、耳朵、鼻子一样,采集一切与安全有关的数据。在此基础上,“安全大脑”采用人工智能的方法进行分析和计算,实时感知网络运行状况和安全态势,监测和发现正在发生的攻击,预测可能要发生的攻击,并协同分布在网络中的安全设备和软件对攻击进行响应处置,支撑网络安全应急指挥。
五、出台促进性政策,做大做强网络安全产业
维护网络安全,建设网络强国,除了靠国家意志,还需要强大网络安全产业的支撑。
我国网络安全产业与建设网络强国的要求存在较大差距,投入少,产业规模小,创新力不强。据统计,我国政府部门的网络安全投入仅为美国的1/10,企业的网络安全投入仅为美国的1/20。2017年中国网络安全市场规模只有450亿人民币,不足美国的1/7,与我国网络大国的地位极不相称。
积极发展网络安全产业已迫在眉睫。我们要制定和出台网络安全产业综合性促进性政策,引导政企单位加大网络安全投入,加大对网络安全企业的税收、人才、研发等扶持力度,改变网络安全企业收入少、利润薄、创新投入不足、难以吸引优秀人才的局面。
网络安全对抗的关键是人的对抗。未来网络安全将是一个智力密集型的服务业。当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。面对当前的人才短缺问题,除了加强高校学历教育,还应鼓励网络安全企业开展职业教育,提高人才培养的数量和质量。
六、发挥民间企业独特优势,加快网络安全军民融合
民间网络安全公司、互联网公司等民间企业有着独特优势。病毒木马样本、网址域名、网络流量等网络安全大数据,漏洞挖掘、大数据分析、人工智能等技术多在民间企业。网络安全亟需的偏才、怪才主要聚集在民间网络安全企业。网络安全领域的军民融合具有很强的必要性和紧迫性,大有可为。
习总书记指出,网信军民融合是军民融合的重点领域和前沿领域,也是军民融合最具活力和潜力的领域,对网信军民融合寄予厚望。我们要积极建立网络安全军民融合国家智库,发挥民间企业对于军队网络安全规划和战略的促进作用。要在安全产品、网络空间安全态势感知等领域,联合突破网络安全关键技术。要积极开展网络安全联合演练,联合培养军地网络安全人才。要加强网络国防意识和技能培养,共同提高国家网络安全整体实力。
