我國網(wǎng)絡(luò)空間安全建設(shè)歷程的回顧與思考_1

1、我國網(wǎng)絡(luò)空間安全建設(shè)歷程的回顧與思考1 引言從1995年國內(nèi)市場首次出現(xiàn)專配X86微機(jī)的防病毒卡至今，我國信息安全建設(shè)已走過了二十年歷程。回顧這個(gè)歷程，可以清晰地看出我國信息安全建設(shè)發(fā)展的階段性和不同階段的特點(diǎn)。賽博安全Cyber Security;一詞出現(xiàn)后，國內(nèi)有的翻譯為網(wǎng)絡(luò)安全;或網(wǎng)際安全;，有的翻譯為電腦安全;，還有的翻譯為數(shù)字世界安全;。信息安全領(lǐng)域有關(guān)專家認(rèn)為上述翻譯都欠準(zhǔn)確，都不能表達(dá)Cyber一詞涵蓋的內(nèi)容和范圍，在尚無對應(yīng)詞匯和權(quán)威意譯的情況下，多數(shù)人傾向翻譯成網(wǎng)絡(luò)空間安全;。網(wǎng)絡(luò)空間安全涵蓋了所有信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施和環(huán)境設(shè)施的軟硬件設(shè)備及數(shù)據(jù)安全，包括互聯(lián)網(wǎng)、廣播電視網(wǎng)、電信

2、網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等安全。2003年2月，美國政府正式發(fā)布了保護(hù)網(wǎng)絡(luò)空間安全的國家戰(zhàn)略。2005年4月，美國政府公布了總統(tǒng)信息技術(shù)顧問委員會(huì)題為網(wǎng)絡(luò)空間安全：優(yōu)先考慮的危機(jī)的報(bào)告。2006年4月，美國國家科學(xué)技術(shù)委員會(huì)公布了網(wǎng)絡(luò)空間安全和信息保障跨部門工作組提交的聯(lián)邦政府網(wǎng)絡(luò)空間安全和信息保障研發(fā)計(jì)劃。這三個(gè)文件，在全面分析美國關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)面臨威脅的基礎(chǔ)上，提出了網(wǎng)絡(luò)空間安全的新理念，并從國家層面明確了網(wǎng)絡(luò)空間安全的戰(zhàn)略目標(biāo)、政府職責(zé)以及技術(shù)研發(fā)的重點(diǎn)領(lǐng)域與項(xiàng)目，對我國信息安全規(guī)劃和建設(shè)提供了有益的啟示。我國的信息安全建設(shè)起步晚于歐美等發(fā)達(dá)國家。初始階段，從政策和技術(shù)層面，主要借鑒歐

3、美國家的做法，學(xué)習(xí)、照搬歐美國家已頒布的信息安全標(biāo)準(zhǔn)規(guī)范，使我們能夠在較高起點(diǎn)上開始信息安全建設(shè)，以避免重蹈覆轍，少走彎路。后來，隨著我國信息安全建設(shè)取得的成就和積累的經(jīng)驗(yàn)，我們逐漸摸索出一套有中國特色的網(wǎng)絡(luò)安全治理措施，從制定和推進(jìn)網(wǎng)絡(luò)安全等級保護(hù)管理和技術(shù)標(biāo)準(zhǔn)，在基層全面開展等級保護(hù)安全測評和對重要信息系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施年度安全檢查，到今天國家立法機(jī)構(gòu)推出網(wǎng)絡(luò)安全法，我國的網(wǎng)絡(luò)空間安全戰(zhàn)略輪廓逐漸清晰，發(fā)展的步伐更加扎實(shí)和穩(wěn)健。2 我國網(wǎng)絡(luò)空間安全建設(shè)的歷程2.1 建設(shè)初期和發(fā)展期（1995-2005年）我國信息安全建設(shè)始于20世紀(jì)90年代后期，隨著各行業(yè)信息化和網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)安全的

4、理念也得到了公眾的認(rèn)可。最初，為了抵御一般網(wǎng)絡(luò)黑客的攻擊，許多重要的企事業(yè)單位開始在內(nèi)部網(wǎng)絡(luò)上部署防火墻、網(wǎng)閘、IDS等網(wǎng)絡(luò)安全防護(hù)設(shè)備。一時(shí)間，網(wǎng)絡(luò)安全產(chǎn)品成為熱門商品，為了適應(yīng)國內(nèi)市場的巨大需求，國內(nèi)涌現(xiàn)出一批新興的信息安全設(shè)備研發(fā)、生產(chǎn)公司，并創(chuàng)新性地研發(fā)出內(nèi)網(wǎng)安全管理、桌面管理和信息安全審計(jì)等系統(tǒng)，彌補(bǔ)了信息安全管理的缺項(xiàng)，推動(dòng)了國內(nèi)自主的信息安全產(chǎn)品和系統(tǒng)的研發(fā)及產(chǎn)業(yè)化。經(jīng)過10年發(fā)展，我國的信息安全制造行業(yè)已初具規(guī)模，涌現(xiàn)出啟明星辰、天融信、綠盟科技、南京金稅等行業(yè)龍頭企業(yè)。與此同時(shí)，由公安部牽頭組建了信息安全標(biāo)準(zhǔn)化委員會(huì)，開始了基于等級保護(hù)的信息安全技術(shù)標(biāo)準(zhǔn)的編撰工作。短短三年，

5、編制出近二十個(gè)有關(guān)信息安全設(shè)備的技術(shù)要求和安全服務(wù)要求的行業(yè)標(biāo)準(zhǔn)和規(guī)范，為保障和促進(jìn)我國信息安全的建設(shè)奠定了良好的技術(shù)基礎(chǔ)。這十年間，尤其是2000年至2005年間，我國各大城市每年均舉辦多場規(guī)模不一的信息安全產(chǎn)品展，參展廠商包括國內(nèi)外著名的信息安全產(chǎn)品和系統(tǒng)制造商，這些會(huì)展對我國大力宣貫信息安全理念也起到了積極作用。這個(gè)階段的特點(diǎn)：大干快上，宣貫造勢。2.2 建設(shè)中期和穩(wěn)定期（2005-2013年）進(jìn)入2005年，我國信息安全事業(yè)取得了長足的進(jìn)步，呈現(xiàn)出欣欣向榮的景象。國家信息安全職能部門（工信部信息安全協(xié)調(diào)司）從國家層面提出了信息安全建設(shè)的目標(biāo)（推進(jìn)各行業(yè)等級保護(hù)定級及整改并重點(diǎn)開展工控系

6、統(tǒng)信息安全防護(hù)工作）、政府職責(zé)（強(qiáng)化安全產(chǎn)品市場準(zhǔn)入檢測制度和組織專業(yè)機(jī)構(gòu)對重要信息系統(tǒng)進(jìn)行年度安全檢查）以及技術(shù)研發(fā)的重點(diǎn)領(lǐng)域與項(xiàng)目，對我國信息安全規(guī)劃和建設(shè)提供了有力指導(dǎo)。與之配套，國家發(fā)改委高新司每年均撥出專項(xiàng)資金組織對申報(bào)技術(shù)研發(fā)重點(diǎn)領(lǐng)域與項(xiàng)目的國內(nèi)信息安全企業(yè)進(jìn)行評審、選拔和資助，扶持了一批有創(chuàng)新、有技術(shù)但缺資金的中小民營信息安全企業(yè)，實(shí)質(zhì)性地推動(dòng)了一批技術(shù)含量高、市場緊缺并擁有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品和系統(tǒng)的產(chǎn)業(yè)化。這一措施，既取得了較好的市場效益，也提高了國家重要行業(yè)信息安全設(shè)備國產(chǎn)化比率。這個(gè)發(fā)展階段取得了多項(xiàng)主要成果。成果1：國營和民營的信息安全廠商及機(jī)構(gòu)吸引了眾多大學(xué)本科

7、生、研究生、博士生參與新產(chǎn)品的研發(fā)工作，為信息安全行業(yè)培養(yǎng)出大批高科技人才。成果2：隨著信息安全企業(yè)創(chuàng)新和自主研發(fā)能力的增強(qiáng)，國產(chǎn)的信息安全產(chǎn)品和系統(tǒng)的技術(shù)水平和質(zhì)量也有了顯著的提高，有些產(chǎn)品和系統(tǒng)甚至達(dá)到了國際先進(jìn)水平。成果3：通過工信部組織的年度信息安全檢查和整改，較大地提升了關(guān)系國計(jì)民生的國家重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的信息安全防護(hù)水平。經(jīng)過本階段的建設(shè)，我國的8+2;行業(yè)信息系統(tǒng)，尤其是電力、稅務(wù)、電信和金融行業(yè)的信息安全制度化管理及技術(shù)防護(hù)措施，均處于國內(nèi)領(lǐng)先水平。這個(gè)階段的特點(diǎn)：依據(jù)標(biāo)準(zhǔn)，規(guī)范治理。2.3 建設(shè)深化期（2013-至今）2013年，國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組

8、，表明國家對網(wǎng)絡(luò)空間安全的重視程度上升到一個(gè)新的高度。2015年7月，全國人大審議通過了網(wǎng)絡(luò)安全法（草案）。該法案成為我國網(wǎng)絡(luò)空間治理的指導(dǎo)思想，對我國網(wǎng)絡(luò)空間安全建設(shè)提供了堅(jiān)實(shí)的法律依據(jù)。2016年4月，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組舉辦了工作座談會(huì)，對我國網(wǎng)絡(luò)安全建設(shè)提出了四點(diǎn)要求：第一，樹立正確的網(wǎng)絡(luò)安全觀；第二，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系；第三，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢；第四，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。這四條成為今后相當(dāng)一段時(shí)期我國網(wǎng)絡(luò)空間安全建設(shè)的目標(biāo)和方向，是明確的國家戰(zhàn)略。2013年以來，大數(shù)據(jù)和云計(jì)算成為業(yè)界的熱點(diǎn)，有關(guān)大數(shù)據(jù)和云計(jì)算安全的標(biāo)準(zhǔn)規(guī)范也提到了信安標(biāo)委

9、的議事日程上。在此階段，信息安全領(lǐng)域有幾個(gè)值得注意的亮點(diǎn)。一是國家對工控系統(tǒng)安全的重視程度不斷提高，圍繞工控系統(tǒng)安全的標(biāo)準(zhǔn)規(guī)范制定和專題宣貫會(huì)議明顯增多，在技術(shù)路線上重點(diǎn)強(qiáng)調(diào)監(jiān)視預(yù)警、自主可控和應(yīng)急保障。二是國內(nèi)信息安全產(chǎn)品廠商將信息安全檢測和防護(hù)技術(shù)的研發(fā)重點(diǎn)聚焦在防范隱蔽的APT和AET特種攻擊上，并借此適時(shí)推出了下一代防火墻、IDS/IPS等安全產(chǎn)品，吹響了安全產(chǎn)品更新?lián)Q代的號角。三是業(yè)界欲突破長期困擾網(wǎng)絡(luò)安全管理員的難題：確實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)安全的可視化、一體化智能管理，以提高網(wǎng)絡(luò)信息安全管理的效率和進(jìn)一步減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)。四是出現(xiàn)了一批專門研發(fā)移動(dòng)互聯(lián)網(wǎng)信息安全產(chǎn)品的公司，以滿足市場上越

10、來越龐大的手機(jī)用戶對移動(dòng)信息安全的需求。五是國家在信息安全專項(xiàng)資金資助方式上規(guī)定申報(bào)單位必須是產(chǎn)學(xué)研和行業(yè)聯(lián)合體，以保證產(chǎn)業(yè)化后的市場應(yīng)用，提高國家資助資金的有效性。總之，這一階段的信息安全新理念、新觀點(diǎn)和新技術(shù)不斷涌現(xiàn)，令人應(yīng)接不暇。這個(gè)階段的特點(diǎn)：國家立法，深化治理。3 思考和建議回顧我國信息安全建設(shè)近二十年來的歷程，我國信息安全建設(shè)取得了了不起的成績：總體思路明確，技術(shù)路線基本正確，在國內(nèi)孵化了許多敢于創(chuàng)業(yè)的信息安全企業(yè)，造就了一大批勇于創(chuàng)新的專業(yè)技術(shù)人才，形成了獨(dú)具特色的中國信息安全產(chǎn)業(yè)，奠定了我國開展信息安全建設(shè)，鑄造網(wǎng)絡(luò)強(qiáng)國的物質(zhì)基礎(chǔ)。提出幾點(diǎn)建議，供業(yè)界同行商榷。（1）國家每年應(yīng)

11、繼續(xù)設(shè)立一定數(shù)量的專項(xiàng)資金，資助在信息安全前沿領(lǐng)域攻關(guān)克難的信息安全公司，并適當(dāng)向小微企業(yè)傾斜。（2）從國家層面繼續(xù)鼓勵(lì)軍地結(jié)合、軍民共建聯(lián)合攻關(guān)，有效利用軍隊(duì)的組織和技術(shù)優(yōu)長及民營公司的靈活體制與市場基礎(chǔ)，以軍帶民、以軍促民，不斷攻克信息安全特殊技術(shù)的推廣應(yīng)用難題。（3）建立長效的信息安全人才培養(yǎng)機(jī)制，從院校、科研院所到信息安全企業(yè)，搭建一條從理論到實(shí)踐，再回到理論，不斷提高、不斷實(shí)踐的良性循環(huán)路線的創(chuàng)業(yè)孵化平臺(tái)。（4）高度重視信息安全標(biāo)準(zhǔn)規(guī)范的研究制定工作，從事信息安全的事業(yè)和規(guī)模企業(yè)，應(yīng)設(shè)立專職標(biāo)準(zhǔn)研究制定崗位。業(yè)界信息安全標(biāo)準(zhǔn)化委員會(huì)應(yīng)吸納有信息安全實(shí)踐經(jīng)驗(yàn)的技術(shù)專家參與，加快各項(xiàng)信息安全技術(shù)標(biāo)準(zhǔn)規(guī)范的評審工作，盡快出臺(tái)業(yè)界急需的新技術(shù)應(yīng)用的信息安全標(biāo)準(zhǔn)，如安全防護(hù)要求和檢測要求，使信息安全建設(shè)做到規(guī)范建設(shè)、標(biāo)準(zhǔn)先行;。（5）鼓勵(lì)和支持我國信息安全事業(yè)和企業(yè)單位在信息安全管理及技術(shù)方面積極開展國際交流和合作，尤其加強(qiáng)與以色列、芬蘭、瑞典等信息安全技術(shù)強(qiáng)國的技術(shù)交流和合作，力爭在專項(xiàng)技術(shù)方面達(dá)到世界先進(jìn)水平。參考文獻(xiàn)