2023年11月12日,中国科学院院士冯登国出席了2023金融街论坛年会—数字技术助力智能金融发展论坛并发表主题为《打造富有弹性的网络空间安全保障体系任重道远》的演讲。

他指出弹性化是网络空间安全的未来发展趋势,打造富有弹性的网络空间安全保障体系势在必行但任重而道远,应当从供应链、技术体系、未来挑战、基础设施、人才储备等五方面着手。一是加强风险管控,塑造富有弹性的供应链安全体系;二是加强原始创新,构建富有弹性的安全技术体系;三是加强风险评估,积极应对未来技术挑战;四是加强战略布局,增强关键基础设施弹性能力;五是加强人才培养,打造强大且多元化网络空间安全人才队伍。

冯登国 中国科学院院士

*发言内容(以下内容根据现场速记整理)

尊敬的各位领导、各位专家、各位嘉宾:

大家上午好!很高兴有这个机会与大家交流我对网络安全的一些认识和思考。

今天我的报告关键词就是“弹性”二字,就“弹性”二字我想做一个简单的解释。弹性的英文词是Resilience,我查了一下《牛津现代高级英汉双解辞典》,把这个词解释为“弹力、回弹、回能”,比喻迅速恢复的力量、复元力、愉快的意思。《新华字典》怎么解释的呢?“弹性”就是指物体因受外力暂变形状,外力一去即恢复原状的性质。这是“弹性”的普通解释。

在网络空间里面主要讲的是网络弹性,我查了一下,这个正式的文件大概是在2013年的时候,美国有一个《关键基础设施安全与弹性》这么一个总统政策令里面讲到这个词,它讲到弹性是指准备好应对并适应不断变化的条件,以及承受破坏并从中快速恢复的能力,是一种能力。弹性还包括经受敌意攻击、事故或者自然发生的威胁或事件并从中恢复的能力。在2021年12月份美国的国家标准技术研究所,有的翻译为“研究院”,它发布了一个文件叫《开发网络弹性系统:系统安全工程方法》,在这个文件里面又给了网络弹性的定义,是指对使用网络资源或由网络资源支持的系统的各种不利条件、压力、攻击或者危害进行预防、抵御、恢复或适应的能力。

如何打造或者构建富有弹性的网络空间安全保障体系呢?

首先,必须塑造富有弹性的供应链安全体系。

大家都知道,安全问题往往都涉及到一个母体问题,也就是“谁的安全问题”,比如说食品有安全问题,比如说交通有交通安全问题,没有母体就没有相关的安全问题。我们网络空间之所以说它有安全问题,就是由于网络空间这个母体的存在,因此,在保证母体存在的条件下,我们讲安全才有实际意义,我们可以推知供应链安全是网络安全的基石,如果供应链都不能保障,这样的网络空间能有安全可言吗?供应链安全主要存在以下这些风险:

1.故意做手脚。

2.技术、设计或实现缺陷或漏洞。

3.断供或者关键产业链条被管控或者垄断,都会产生供应链安全问题,因此,我们构建富有弹性的供应链安全体系非常重要。

我们至少要管控以下这些风险:

1.严格控制不可信、不可靠的技术、产品和服务进入市场。开发者和服务商都要承担这种责任,用户和检测部门也要加强测试和验证。

2.通过国际合作和协作,共同管控,尤其是跨境的供应链安全风险。

3.通过“建立信任+自主研制+可控利用”来塑造富有弹性的供应链安全体系。

这是一个方面,大家想一想,从这个角度来讲,我们的确任重而道远。

其次,必须要构建富有弹性的安全技术体系。

网络空间安全问题的解决离不开配套的战略、法规和政策的支持以及严格的管理手段,但更需要有可信赖的技术手段来支撑。往往在技术领域会遇到“卡脖子”的风险。

因此,积极推动构建富有弹性的安全技术体系是我们必须要做的,比如说要提出实现弹性的新理念、新思想,以适应技术的发展和应用需求。比如说要创新富有弹性的安全架构,来减少基础技术的漏洞或缺陷。发展和完善富有弹性的安全技术,以预防和降低安全风险。

比如我们在数字领域,最重要的一个安全措施就是数字认证,我们就需要构造富有弹性的数字身份生态体系。

我这里举了一个例子,比如大家原来讲弹性PKI,这就是新一代数字认证基础设施,要比原来的那些认证体系更富有弹性,因为它很重要,因为它要保障别的基础设施或者应用系统的安全。

PKI有很多重要的组成部分,如果在这样的一个系统里面,我们能对认证机构做好弹性构建也是不容易的一件事情,比如在国际上有一个单层弹性CA结构,我们国家提出双层式的,我不去讲技术理念。这些技术主要是为了支持CA(发放证书的数字认证基础设施)的弹性。

第三,必须做好应对未来技术挑战的准备。

未来技术的发展和应用必将会对网络空间带来安全威胁,在应用前做好风险评估是很重要的,但是往往人类是无法阻挡科技进步的,需要提前部署和准备应对措施。比如说量子信息技术,量子信息技术正在快速发展,尤其是从安全角度大家关心的量子计算技术正以惊人的速度在发展,而且安全一般与计算能力有关,量子计算技术的发展当然会提升计算能力,因此,要积极地应对量子计算带来的挑战。

我举一个例子,因为量子计算会对我们的安全体制带来很大的风险和挑战,比如说对安全技术的挑战,对原来用的安全技术(如算法、协议、方案)可能会造成威胁,同时会对我们用的底层技术造成威胁,这就需要我们发展高强度的安全技术。

目前尤其在国际上关注的就是我们用的密码技术,大家在金融里面密码技术也非常重要,这种技术随着量子计算技术的发展,它会受到严峻的挑战。当下采用的最主要的应对策略就是采用抗量子计算的密码,也称为后量子密码,我们原来用的那些数学问题是相对比较简单的困难问题,但是如果在量子环境下我们仍然有更复杂的数学问题来构建密码体系,因为这样的体系一个是经济,另一个跟我们现有的网络体系相对比较容易融合,这个就是大家比较关心的方向。

第四,必须增强关键基础设施的弹性能力。

在所有的保护对象里面,关键基础设施应该是最重要的一种保护对象,它关乎到国家安全、经济发展,社会稳定和公民个人利益。国内外都非常关注,美国在关键基础设施安全方面具有先发优势,欧盟也在不断地推进,我国在这方面,尤其是在法律法规建设跟技术创新应用方面进步很快。但是当前关键基础设施普遍缺乏弹性能力,我们必须要提升关键基础设施,包括能源、电力、金融、运输等,我不是说今天这些基础设施就不安全,但是从发展角度,可能今天安全,明天就不一定安全,所以我们要关心它的弹性能力。同时我们要对新构建的基础设施进行弹性能力的提升,比如现在电动汽车充电器网络的弹性也是需要考虑的。

第五,必须加强人才培养的深度和维度。

人才是网络空间安全第一资源,世界各个国家都非常重视,都希望打造一支强大而且多元化的网络空间安全人才队伍。在这方面的工作因为我们已经做了很多,但是我想有这么几点建议:

1.要建设高水平人才工作智库,为培养一流人才提供智力支撑。

2.要建立综合的培养机制,培养适度规模的综合型人才。我这里讲的是“适度规模”,因为这类人才我们要强调高质量,而不是强调数量。

3.要加强创新型、应用型、技能型人才培养,提升科研人员高水平原始创新能力,壮大我们的高水平工程师和高技能的人才队伍。

4.要增加网络空间安全教育和培训机会,来不断地扩大人才队伍。因为技术的发展,所以我们好多人已经工作了,但是希望能有这样的机会来得到这方面的培训。

5.要重视教材体系建设,创新人才的培养模式。

最后做一个简要的总结,我把弹性化列为网络空间安全技术发展的5大新特征之一,认为“弹性安全技术已经成为新潮流”。美国《国家网络安空间安全战略》2023版以“通向具有弹性的网络空间之路”为目标,旨在建立一个“可防御、富有弹性”的数字生态体系。弹性化是网络空间安全未来的发展趋势,打造富有弹性的网络空间安全保障体系势在必行,但任重而道远,应该从以下几方面着手,就是我刚才讲的:供应链、技术体系、未来挑战、基础设施、人才储备。

我的报告就到这里,谢谢大家!

声明:本文来自中关村互联网金融研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。