当今世界,互联网深刻改变了人们的生产和生活方式。我国已成为网络大国,但还不是网络强国,在网络安全方面面临着严峻挑战。网络安全是事关国家安全的重大战略问题,没有网络安全就没有国家安全。新形势下,如何在网络安全上努力建久安之势、成长治之业?本期观察关注的正是这一问题。
网络安全是重大战略问题
——访国家互联网信息办公室副主任王秀军
记者:成立中央网络安全和信息化领导小组,有何重大意义?
王秀军:由于历史原因,我国的互联网管理、网络安全管理曾是“九龙治水”,存在多头管理、职能交叉、权责不一、效率不高等弊端,已经到了非解决不可的地步。以前虽然也有协调机制,但根据形势的发展变化,需要进一步提升层级、增强权威,以加强集中统一领导,在重大问题、复杂问题、难点问题上拍板决策、指导督促。
我国的网络安全和信息化领导体制曾几经调整,但以前都没有上升到国家最高层面。随着网络安全和信息化在国家安全与发展中的地位与作用不断提升,客观上也要求把网络安全和信息化作为国家的重大战略,由党和国家最高领导亲自抓。世界上许多国家,也都将网络安全和网络空间发展工作作为国家的“一把手工程”。
中央网络安全和信息化领导小组,规格之高是前所未有的。这充分体现了党中央对网络安全和信息化工作的高度重视。为做好领导小组决定事项的贯彻落实,中央还成立了领导小组办公室,与国家互联网信息办公室一个机构、两块牌子。
记者:网络安全涉及很多方面,当前我们所强调的网络安全主要包含哪些内容?
王秀军:在不同时期,对网络安全有过不同的称谓和解释,其内涵在不断深化,外延在不断扩展。当前,我们关注的网络安全包括意识形态安全、数据安全、技术安全、应用安全、资本安全、渠道安全等方面,其中既涉及网络安全防护的目标对象,也反映维护网络安全的手段途径。
总的来说,政治安全是根本。现在,境外敌对势力将互联网作为对我渗透破坏的主渠道,以“网络自由”为名,不断对我攻击污蔑、造谣生事,试图破坏我国社会稳定和国家安全;一些人出于政治或商业利益炒作热点敏感问题,甚至进行违法犯罪活动;互联网新技术被一些人作为新的传播工具,大肆散布违法有害信息。在互联网上,能否赢得意识形态领域渗透和反渗透斗争的胜利,在很大程度上决定我们党和国家的未来。
网络安全的另一个重要方面是网络与信息系统的安全。几年前的“震网”病毒使伊朗核设施受到大面积破坏,显示出关键基础设施已经成为网络武器的真实攻击目标,有可能引发灾难性后果。斯诺登事件等表明,少数国家利用掌握的互联网基础资源和信息技术优势,大规模实施网络监控,大量窃取政治、经济、军事秘密以及企业、个人敏感数据,有的还远程控制他国重要网络与信息系统。试想,在危机时刻,如果一个国家涉及国计民生的关键基础设施被人攻击后瘫痪,甚至军队的指挥控制系统被人接管,那真是“国将不国”的局面。
记者:习近平同志指出,网络安全和信息化是一体之两翼、驱动之双轮。您如何看待网络安全和信息化发展之间的关系?
王秀军:长期以来,对网络安全与信息化发展的关系,存在一些争论。我们确实看到,一些应用上去了,安全问题随之而来;一些新技术出来了,传统的网络安全技术防线和管理规定就会失效。习近平同志对这个问题作出了非常深刻的阐述,廓清了过去存在的模糊认识。没有网络安全,信息化发展越快,造成的危害就可能越大。而没有信息化发展,经济社会发展将会滞后,网络安全也没有保障,已有的安全甚至会丧失。“以安全保发展、以发展促安全”的要求,充分体现了马克思主义的辩证法,体现了科学的发展观。
网络安全是信息化推进中出现的新问题,只能在发展的过程中用发展的方式加以解决。不能简单地通过不上网、不共享、不互联互通来保安全,或者片面强调建专网。这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加信息化的成本,降低信息化效益,失去发展机遇。这种“懒政”思维必须破除。要努力实现技术创新和体制机制创新,不断形成维护网络安全的新思路、新方法、新举措、新本领。
记者:中央已经对网络安全和信息化工作作了整体布局,下一步需要在哪些方面取得重点突破?
王秀军:中央网络安全和信息化领导小组于2月27日召开第一次会议,审议通过了中央网络安全和信息化领导小组2014年重点工作,对当前和今后一个时期的网络安全和信息化工作进行了部署。当务之急是要认真贯彻落实,把各项工作做细、做实、做到位。要加强顶层设计和战略统筹,加快制定网络安全和信息化发展战略、宏观规划和重大政策;创新改进网上宣传,弘扬主旋律,激发正能量,综合治理网络生态;加快制定急需的网络安全和信息化法律法规与技术标准,加强自主创新,建设网络安全保障体系;大力提升国民经济和社会发展各领域信息化水平,促进信息产业发展,推动文化、出版、广播电影电视数字化发展,推进军民融合;加快人才队伍建设,提升全社会的网络安全意识,坚持分领域、分类型、分层次加快人才培养。
维护网络安全必须有过硬技术(前沿观察)
——对信息化新阶段网络安全的研究报告
中国工程院院士 邬贺铨
信息化新阶段导致网络安全内涵不断扩展
当今世界,信息科技革命日新月异,互联网已经融入经济社会发展的方方面面,信息化进入了一个“大智移云”的新阶段。2014年是我国接入国际互联网20周年。据统计,到2013年底,我国互联网上网人数6.18亿人,普及率已达45.8%,手机网民5亿人。2013年8月我国发布“宽带中国”战略及实施方案,要求到2015年固定宽带家庭普及率和3G/LTE(第三代移动通信及其长期演进技术)用户普及率分别达到50%和32.5%,2020年分别达到70%和85%;2015年城市和农村家庭宽带接入能力分别达到20Mbps(兆比特每秒)和4Mbps,2020年分别达到50Mbps和12Mbps。毫无疑问,拥有6亿多网民的中国已经是网络大国,同时也是信息窃取、网络攻击的主要受害者,面临着巨大的网路安全压力。
信息化新阶段使网络安全问题越来越突出,也使网络安全内涵不断扩展。过去,人们通常把网络基础设施的安全称为网络安全,把数据与内容的安全称为信息安全。但从2011年以来,美国、英国、法国、德国、俄罗斯、澳大利亚、加拿大、韩国、新西兰等国家纷纷制定国家Cyberspace战略或Cyber Security战略(Cyberspace目前尚无普遍认可的中文翻译,有人称为网络空间,但更多的人称为赛博空间),以争取和保持在信息化新阶段国家安全的战略优势地位。Cyberspace(赛博空间)包含网络基础设施、数据与内容以及控制域,即覆盖传输层、认知层和决策层,其范围还将从目前的互联网拓展到各类网络、各类数据链和所能链接及管控的各类设备。Cyber Security(赛博安全)的含义不仅是传统的网络基础设施安全,还包括信息层面即数据或内容的安全以及执行决策层面的安全,即与信息化有关的非传统安全的综合。
信息化新阶段网络安全面临的主要挑战
移动互联网面临严重安全问题。根据思科公司统计,2013年全球移动数据流量增长了81%,预计到2018年还将较2013年增长11倍,其中半数流量卸载到Wifi(无线保真)。2013年底我国4G牌照的发放加快了移动互联网的发展。按照工信部统计,截至2014年1月,我国移动互联网用户数占移动电话用户的67.8%,移动互联网接入流量同比增长46.9%,户均移动互联网接入流量达到165.1MB,其中手机上网流量占比提升至80.8%。大量移动互联网用户的增加导致了移动终端设备越来越多样,这也意味着管理起来将更加困难。移动终端受功耗等限制,无法像个人计算机那样内置功能强大的防火墙。安卓移动操作系统尽管已经使用了针对应用软件的签名系统,但黑客仍然能使用匿名的数字证书来签署他们的病毒并发放。安卓4.0版本中内置的无线通信接入的密码远程备份功能可被用来定位用户,苹果公司的手机云计划能够读取用户在手机云中所存的信息。基于智能终端的移动支付方便了用户,但传统的账号+密码+短信的身份验证方式存在安全风险,手机卡可能被复制,验证短信有可能被劫持,支付指令在传输中也可能被篡改。可见,移动互联网的安全问题是当前网络安全面临的一个重要挑战。
大数据、云计算也是网络安全防御的新重点。伴随移动互联网等的发展,大数据近年受到越来越多关注。据BBC公司统计,2013年全球互联网流量每天为2.7EB,全球新产生的数据年增40%,每两年就可以翻番。大数据的挖掘可应用到经济、政治、国防、文化等各领域。大数据是信息化新阶段的特征,也是网络安全防御的新重点。我国对大数据的存储、保护和利用重视不够,导致信息丢失或不完整,同时存在信息被损坏、篡改、泄露等问题,给国家的信息安全和公众的隐私保护带来了隐患。此外,宽带化以及信息化应用的深入推动了云计算发展。个人的云存储、企业的云制造以及云政务等在近年迅速发展。据统计,到2015年全球数据中心的一半都会基于云计算技术。与全球云计算行业的复合年增长率23.5%相比,我国云计算市场增长更快,年增长率超过40%。云计算能力的分布化、虚拟化、服务化是云计算的技术基础,但云计算平台如果被攻击,出现故障,就会导致大规模的服务器瘫痪。
物联网的安全问题不容忽视。物联网节点数很多,不易于管理,节点的数据可能被篡改或者假冒。这是物联网安全的重大隐患。比如,现在物联网已经应用到了医疗设备上,如果像心脏起搏器这样的设备被黑客攻击,将直接影响到人的生命安全。黑客还能够通过智能电视、冰箱以及无线扬声器等发起攻击。在全球首例物联网攻击事件中,10余万台互联网“智能”家电在黑客的操控下构成了一个恶意网络,并在两周时间内向那些毫无防备的受害者发送了约75万封网络钓鱼邮件。
此外,工业控制系统的安全也需要加强。如黑客入侵美国的智能电表系统并修改了电表数据,给我们敲响了警钟。还有一些国家刻意准备网络战,目的是破坏对方的信息系统,进而摧毁能源、交通等基础设施。著名的案例是2010年伊朗的核设施被“震网”病毒攻击而瘫痪。这些都值得我们警惕。
从技术层面维护网络安全的基本思路
提高技术自主创新能力。当前,我国所用的个人计算机和手机的操作系统几乎都是国外的,核心芯片依赖进口,这是很大的隐患。在网络安全方面,如果自己没有过硬的技术,就很难实现安全可控的管理。斯诺登事件爆出美国大规模入侵华为服务器就是一例。外国的核心技术是买不来的,也是市场换不来的,但我国的市场对培育自主创新的技术和产品具有十分重要的作用。这就要求我们在培育网络核心技术方面也要发挥市场在资源配置中的决定性作用和更好发挥政府的作用。
加快建设网络人才队伍。建设网络强国,维护网络安全,需要建设一支政治强、业务精、作风好的强大人才队伍。要培养造就世界水平的科学家、网络科技人才、卓越工程师、高水平创新团队。
在国际互联网治理中积极发挥作用。建设网络强国,需要我们有与网络大国相适应的国际互联网治理的话语权。当前,尤其要抓住向IPv6(互联网协议第六版)转换的机会极力争取根服务器落户我国,积极宣传我国发展互联网的政策,共同维护国际互联网秩序。
将管理摆在重要位置(观察者说)
国家信息化专家咨询委员会委员 汪玉凯
在信息化快速发展的今天,各国面临的网络安全风险也在快速上升。如何确保网络安全,不仅涉及一系列技术问题,而且涉及诸多管理问题,需要在提升技术水平的同时将管理摆在重要位置,理顺管理体制机制。
当今世界,信息化对经济、政治、社会等领域的渗透越来越明显,成为推动经济社会转型、实现可持续发展、提升国家综合竞争力的强大动力。在政治领域,信息化改变传统的政治生态,促进民主法制的发展;在经济领域,信息化促进传统产业转型,催生全新的经济形态;在社会领域,信息化促进社会结构的变革,改变社会成员的生存方式和生活方式;在文化领域,信息化使文化的内容形式和传播方式发生了巨大变化,极大地促进了文化事业和文化产业的发展;在军事领域,信息化背景下的军事斗争能力成为国家国防力量的关键要素;在科技领域,现代信息技术水平成为衡量一个国家整体科学技术水平的重要标志。信息化与各领域的融合,使信息化的管理问题日益凸显。这种管理不是对信息化的单个要素进行碎片式的管理,而是要注重管理好各个要素之间的关系,找到更加合适的管理手段和方式。不加强管理,信息化受影响,网络安全更没有保障。
实际上,在中央网络安全和信息化领导小组成立之前,从上世纪80年代初国务院就开始设立相关机构,加强对信息化的领导和管理。最早是1982年国务院设立的计算机与大规模集成电路领导小组,期间几经变化,2001年后设立国家信息化领导小组。在此过程中,国家为了加强对网络信息安全的管理,在国家信息化领导小组下面又设立了一个高规格的网络与信息安全协调小组。但从实际情况看,制约我国网络安全和信息化的管理问题仍然不少:一是管理机构缺乏权威,难以统揽全局;二是协调机制不力,统筹推进困难;三是部门各自为政,条块分割,重复建设严重,综合效能低下。比如,原有的管理体制机制难以统筹经济社会、国计民生各领域的网络安全和信息化,难以统揽党委、人大、政府、政协、高检、高法等单位和部门的网络安全和信息化,难以使科技、公安、财政、保密等相关职能部门就具体政策进行协调。可以说,我国网络安全和信息化一定程度上出现了顶层管理职能缺位的局面,网络安全和信息化中一些全局性、战略性问题始终无法取得突破。与中央层面相比,地方层面的管理问题也很突出。一般省级的网络安全和信息化也有10多个不同类型的部门在分头管理。要改变这种局面,就必须从国家战略层面、从增强国家的领导力层面解决好管理问题。成立中央网络安全和信息化领导小组,正是适应了这种加强领导和管理的需要。
中央网络安全和信息化领导小组的成立,必将对维护我国网络安全产生深远影响。这一领导小组不单是信息化领导小组,而是把网络安全放在更突出的位置,将网络安全问题与国家信息化整体战略一并考虑。中央网络安全和信息化领导小组可以发挥集中统一领导作用,统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力;可以将网络安全和信息化进行统一谋划、统一部署、统一推进、统一实施。由此可见,随着中央网络安全和信息化领导小组的成立,我国的网络安全和信息化管理体制机制正在发生深刻变化,有助于克服以往存在的一些弊端。这对于从管理入手维护我国网络安全是至关重要的。
原文选自新华网