近几十年来,以互联网为核心的信息技术革命在全球引发巨大变革,信息技术系统从单纯的工具系统,逐步向自适应系统和复杂巨系统演化,人工智能、物联网、云计算、大数据、宽带移动等新一代信息技术快速发展,与互联网融合形成日益复杂的信息物理系统,从间接影响现实社会,逐步向全面制导和直接控制现实社会方向发展。人们在享受现代信息技术巨大便利的同时,来自网络空间的现实威胁和潜在风险也急剧放大。如何防范和化解网络安全风险,成为新时期亟待解决的重大课题。

一、必须高度重视防范和化解网络安全风险

(一)防范和化解网络安全风险是维护国家安全的重大责任。习近平在中央网络安全和信息化领导小组第一次会议上的讲话中指出,“没有网络安全就没有国家安全,没有信息化就没有现代化”,对网络安全和信息化在新时期的全局性和战略性作用做出重大判断。网络空间已融入人类社会的方方面面,对全球政治、经济、科技、文化、社会和国防军事领域产生日益深刻的影响,网络空间已成为人类生活的新空间,也是陆海空天等实体空间后全球军事对抗和反恐斗争的新空间,国家间竞争与外交博弈的新领域。保障网络安全已成为维护国家主权、安全和发展利益的战略制高点。

(二)防范和化解网络安全风险是繁荣数字经济的重大需求。数字经济是传统产业转型升级的新驱动,是服务民生普惠大众的新方式,也是全球开放市场体系的新纽带。近年来,围绕电子商务、智慧城市、“互联网+”、中国制造2025、大数据、云计算等新经济领域出台了一系列政策举措,极大地促进了我国数字经济的发展。数字经济总量从2014年的16万亿元,增长到2016年的22.4万亿元,呈持续高增长态势。安全是经济发展的前提,也是经济发展的基础。营造安全可靠的网络环境,维护良好的网络运行秩序,确保网络数据和信息安全,防范和化解网络安全风险,是保障和促进数字经济繁荣发展的重大现实需求。

(三)防范和化解网络安全风险是维护公民权益的重大使命。根据2016年的一项调查显示,前五位网络安全威胁是病毒、垃圾邮件、网络欺诈、网络攻击和勒索软件,其中网络欺诈呈逐年上升态势。徐玉玉、P2P等事件也反映出,信息泄露和网络欺诈已威胁到广大群众的生命财产安全。习近平在2016年4月19日召开的网络安全和信息化工作座谈会上的讲话指出,“网络安全为人民,网络安全靠人民”。营造风清气正的网络环境,有效防范和化解网络安全风险,切实维护公民的合法权益,让信息化造福于民,是新时期特色社会主义建设,实现伟大中国梦的重大使命。

二、新时期重点防范和化解的主要网络安全风险

(一)防范和化解网络安全对国家安全带来的风险。维护国家安全是国家的根本利益所在。2016年12月29日,美国以“俄罗斯通过网络攻击影响美国总统选举”为由,下令驱逐35名俄罗斯外交官,并宣布对俄罗斯有关机构和人员实施制裁。我国发生的拉萨3.14事件、新疆7.5事件、香港“占中”事件等,均运用了网络力量进行串联。近年破获的境外“海莲花”组织、“白象组织”对我持续开展的精确攻击和秘密信息窃取,给我们敲响了警钟。斯诺登事件、希拉里邮件事件,以及“颜色革命”事件等也都表明,来自网络空间的安全威胁,已对国家安全构成现实危害。

网络安全对国家安全的影响,不仅包括敌对国家和组织针对和通过网络对我开展的攻击破坏、远程控制、情报侦察、秘密窃取、渗透策反、煽动分裂、组织策划恐怖主义活动,企图颠覆政权、危害国家主权、统一和社会稳定,还延伸到国家安全体系中的经济安全、文化安全、社会安全、资源安全和生态安全等更多更广泛的领域。新时期我国全面推进网信军民融合,要注意防范网络安全问题对国防军事安全带来的威胁和风险。

(二)防范和化解公共互联网蕴藏的社会安全风险。公共互联网是数字经济繁荣发展的重要载体和创新之源,也是广大群众社会交往和文化精神生活的新空间,要切实防范和化解公共互联网蕴藏的社会安全风险。依法维护网络舆论环境,遏制网络造谣、传谣、恶意诽谤,严厉打击网络信息诈骗、互联网金融诈骗、网络侵权等危害公民合法权益、扰乱数字经济秩序的违法犯罪行为,严厉打击恶意破坏网络环境、实施非法攻击等违法犯罪行为,依法治理网络黑灰产业,严厉打击通过暗网开展非法物品交易等的违法犯罪活动。维护风清气正、安全有序的公共网络环境。

近年来,勒索软件病毒呈蔓延式传播态势。2017年5月12日,名为Wannacry的勒索软件在全球传播,100多个国家和地区遭受攻击,包括政府部门、教育、医院、能源、通信、制造业等多个行业的数十万台电脑受到攻击感染。勒索软件等恶意代码的大范围传播,对网络环境安全和社会公共安全带来极大危害。

(三)防范和化解重要信息基础设施面临的安全风险。关系国计民生重大利益的国家信息基础设施,已成为网络攻击的重要目标,全球范围内针对重要信息基础设施的网络攻击事件持续攀升。世界银行金融电讯协会(SWIFT)称,自2016年2月孟加拉央行失窃8100万美元以来,针对全球银行系统的网络攻击活动持续增强并屡屡得手。2016年10月-11月,美国、德国、利比亚遭受大规模DDOS攻击,造成大面积电信网络瘫痪。2016年12月,俄罗斯十大银行中有五家遭到攻击,严重破坏了俄金融系统稳定。针对关键信息基础设施的网络攻击,已严重影响受攻击的电信、金融、电力、交通和能源等信息系统的正常运转,造成巨大经济损失。当前,我国正在大力推进新型智慧城市建设、国家大数据中心体系建设、政务信息资源整合共享平台建设等,需要同步加强安全体系建设,切实防范和化解面临的重大安全风险。

(四)防范和消解信息技术产品和系统自身的安全隐患。近年来,信息技术产品和系统自身的安全漏洞呈持续高增长,从芯片到组件,从操作系统到应用软件,从数据库到WEB页面,从通用设备到专用装备,安全漏洞都频繁曝光,对网络安全构成巨大威胁。2016年10月21日,美国遭受大规模拒绝服务攻击(DDOS),造成大量网站瘫痪,攻击源大部分来自被Mirai僵尸网络感染的网络摄像头。俄罗斯卡巴斯基实验室称,2017年以来监测到的超过200万次的攻击中,超过63%的攻击来自数字视频录像机和IP摄像机,近20%的攻击来自路由器和其他网络设备。2018年1月4日,Jann Horn等安全研究者披露了“Meltdown”和“Spectre”两组CPU特性漏洞,涉及近20年来Intel, AMD, Qualcomm厂商和其他ARM的处理器,对全球网络安全构成巨大威胁,导致一场全球范围的CPU安全恐慌。消解信息技术产品和系统自身的安全隐患,已成为防范和化解网络安全风险的重中之重。

三、新时期如防范和化解网络安全风险

有效防范和化解网络安全风险,既要搞清楚我们面临的主要安全风险,也要搞清楚导致这些安全风险的问题根源。网络安全是与信息化相伴相长、相生相克的固有问题,归根结底,主要来源于两个方面:一是作为对象系统的信息技术系统本身的复杂性及其固有的脆弱性;二是作为行为主体的社会主体(人和组织,及其利益诉求)的复杂性和多样性。此外,还有自然因素等不可抗力的影响。

网络空间所依托的物质基础是信息技术系统,随着技术的演进不断迭代发展,无论是系统结构、应用功能和交互关系,还是供应链构成、社会分工和系统的建设管理,其复杂性都在快速增加,孕育内部脆弱性的环节和发现安全隐患的难度都不断增加,用“漏洞百出”和“防不胜防”来形容毫不为过。对大型信息系统和网络信息平台,已无人能说清楚究竟有多少功能组件,相互间有什么衔接支撑关系,究竟存在什么缺陷和问题,基于公共互联网形成的复杂网络空间更是如此。从信息化发展路径和演化趋势看,网络安全问题将长期存在,且会变得更为复杂和深沉,无法从根本上避免和得到根治。

信息技术产品和系统的设计者、建造者、维护者、管理者和使用者,都是人和社会组织。不当使用和恶意利用对象系统的技术缺陷,对网络空间和特定信息系统进行攻击、破坏、窃密,以及实施网络欺诈、泄露和贩卖个人隐私信息、恶意造谣和传播非法信息等违法犯罪行为的,也是人和社会组织。

防范和化解网络安全风险,是体系性的复杂工程和长期的复杂过程,必须立足长远和全局,坚持总体国家安全观,从社会行为主体和对象系统两个方面入手,抓住根本,突出重点,综合施策,全面化解网络安全风险,维护国家安全和社会稳定,保障和促进数字经济发展,保障公民的合法权益。重点谈三个方面。

(一)强化安全意识,落实社会主体责任

由于网络安全风险最终都因人而起,因此要防范和化解网络安全风险,也必须从社会主体入手,全面强化网络安全意识,落实主体责任。《网络安全法》明确了国家网络安全的统筹协调部门,网络安全保护和管理的职能部门,建设、运营网络或者通过网络提供服务的企业,网络产品和服务的提供者,网络相关行业组织,以及使用网络的任何个人和组织等各种社会主体的网络安全责任和义务,新时期要以贯彻落实网络安全法为抓手,把主体责任落到实处,严厉打击危害网络安全的违法犯罪行为,严格惩处相应的失职和违规行为,通过强大的法律威慑,防范和化解网络安全风险。

特别是依法负有网络安全监督管理职责的部门及其工作人员,关键信息基础设施的运营者和重要岗位的工作人员,基础软硬件产品和应用系统研发企业,大型互联网平台运营商,研究挖掘系统漏洞、研发具有危害网络安全功能等特殊软件的从业人员,更应依法履行主体责任。各部门、各行业、各领域,要进一步制订贯彻落实网络安全法相关要求的实施细则和管理制度,指导和约束责任主体的网络行为。

(二)践行工匠精神,打造安全的网络环境

长期以来,在“摩尔定律”的驱动下,人们以追求规模和性能为信息技术和信息化发展的价值取向,不断提高硬件集成度,计算、存储和通信等硬件资源都日益富足廉价,诱导信息系统功能和软件代码日益庞杂和低效,在绝大多数情况下远远超过了用户的实际需求,大量软硬件功能和性能闲置,信息系统变得越来越臃肿和复杂,安全机制却变得越来越脆弱。更为严重的是,不管是信息技术产品的研发还是信息系统的建设,为了尽量提高速度和性能,刻意忽视内在安全机制的构建和应有的资源投入。面对不断发生的安全事件,人们往往选择“掩耳盗铃”式的安全修补来解燃眉之急。这一痼疾,是导致整个网络空间安全日益脆弱的深层次问题。

信息技术发展到今天,硬件性能演进已接近“摩尔定律”极限,软硬件性能和功能远远超过绝大多数现实需求的情况下,应换档变速,全面践行“工匠精神”,在信息化领域充分借鉴航空航天领域的科学工程方法,通过科学设计、严格论证、精心研发和充分验证,打造安全可靠的信息系统,确保系统的每一项功能都匹配一项具体需求,每一项功能都有明确的安全边界,每一个安全机制都得到严格验证,逐步塑造内在安全机制强健的网络安全环境,从根本上防范和化解网络安全风险。

(三)完善防控体系,增强风险应对能力

充分发挥现有的安全测评、风险评估、等级保护等体系的整体效能,增强信息技术产品和系统的隐患发现能力。从特定信息系统总体安全检查入手,验证现有安全机制的完整性、安全措施的合理性和有效性,倒逼信息技术和服务的提供商完善软硬件产品和系统的安全机制。有序组织开展漏洞挖掘,并对安全漏洞和漏洞利用工具实施严格的备案管理,严厉打击恶意利用漏洞的违法行为,规范安全漏洞管理,强化风险源控制。大力发展修补漏洞的公益性社会服务,加快建立网络空间安全态势感知体系,强化备份和容错能力,完善应急处置体系,增强全社会处置和应对网络安全风险的整体能力。

(注:本文已发表在《改革》杂志2018年01期,作者崔玉华,国家信息中心信息与网络安全部综合处处长,国信安全研究院秘书长。)

声明:本文来自国信安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。