維護國家網絡空間安全急需解決的問題探討

編者按：攻防對抗、螺旋上升是網絡空間安全領域的典型特征，被動防御的網絡安全保障難以適應復雜的網絡安全態勢發展進程。面對當前中國存在的諸多網絡安全問題，形成基於行為、主動探測、主動發現並及時消除威脅隱患的能力，應成為國家網絡安全戰略重點關注的信息化工程。需要以清晰的戰略目標、明確的實現途徑、具體的措施方法來扎實推動，為實現網絡強國目標提供安全支撐。

自2010年美國發布《網絡安全綜合計劃（CNCI）》計劃以來，各國均在制定各自的網絡安全戰略及行動計劃，以應對日趨復雜的網絡環境。網絡安全是一個復雜問題，需要運用系統工程的方法論來思考和解決問題，降低網絡空間風險也需要有一個全面的國家網絡空間的安全戰略來有效應對。面對來自全球黑客、組織、敵對勢力及國家間的網絡攻擊，我們國家既是“重災區”，又是被無端指控攻擊別國較多的國家之一，從一個側面也反映出我們國家在網絡安全防御、技術水平等方面存在差距和問題，也反映出從國家網絡安全戰略、觀念上的缺失。在連續兩屆的RSA大會上，大會主席阿米特·約倫（Amit Yoran）發出安全行業需要“根本性變革”的同樣呼吁。

一、國家網絡安全現狀與緊迫問題

保障網絡安全是攻與防不斷演進的一個動態過程，不受時間、空間、地域的限制，網絡安全與業務應用系統共生存，貫穿於整個信息系統生命周期內，並時刻處於網絡空間攻與防對抗演進的狀態，隻要你的服務器和終端還連在網絡上，你的信息系統和數據就處在風險之中。網絡安全就其本質是一種對抗，是個人、組織和國家之間在網絡空間上的對抗。我們國家目前的安全保障基本是基於防御，以特征為主，輔以定期檢查、風險評估。而不是實時的檢測、預警、控制、事件共享、及時處置和事件評估。今年RSA大會主席阿米特發表“睡者醒來”的主題演講，認為“安全防御是個失敗的戰略，未來業界應該增加在安全檢測技術上的投資。在這方面我們國家應該從主管領導、行業協會、研究機構、用戶及企業開始轉變觀念，從基於特征為主的安全防御轉變為基於行為的實時檢測、預警和控制，區分與國家安全相關的網絡和重要信息系統並給予重點保護。

目前我們國家在網絡空間上的問題很多，有來自全球的各類網絡攻擊，各類的病毒木馬、數據泄露、系統漏洞等，更為嚴重的是安全意識淡薄、思想觀念落后、廠商急功近利給系統和數據帶來的風險，在一定程度上危及國家安全。安全產品基本是市場驅動和問題驅動的產物，市場需要什麼就能生產什麼，少有基於行為、主動檢測、主動發現隱患、關聯分析並真正解決問題的公司，有的只是目光短淺，看重當前利益，以跟蹤項目、賣出產品為目的公司，這也是目前我們國家應對網絡攻擊能力弱，發現取証及溯源定位難，苦於應付的原因。另外，與國家缺乏網絡安全總體戰略目標、主要任務，缺少政策引導也有一定關系。

網絡攻擊很少是孤立事件，尋找漏洞的作惡者通常要搶在開發者和安全人員做出響應前，盡最大可能地利用漏洞獲利。因此，共享關於威脅、漏洞和其他實時事件的知識和經驗，會給整個行業都帶來益處。而安全事件的共享在我國更是困難，發生網絡攻擊並產生后果的事件，很少有主動上報，共享知識和經驗，並評估損失，尤其缺少國家層面和行業層面的多部門參加的調查、評估、協調和總結。

二、國家網絡空間安全戰略實現路徑

我國是一個網絡大國，成為網絡強國應該是我們國家網絡安全的戰略。那麼，如何才能成為網絡強國？需要多少時間？具備哪些條件才能說我們國家距離網絡強國不遠了？下面從以下幾個方面來描述。

（一）戰略目標：國家的關鍵信息基礎設施應具備實時檢測發現來自全球的網絡攻擊行為和主動發現系統漏洞的監控能力﹔具備溯源、定位、處置及評估的能力﹔具備持續學習、人才發現和攻擊的能力﹔具備跨行業、跨部門的信息共享和對信息安全事件預測預警、態勢感知的能力。

（二）實現這一戰略目標的路徑分為三個層面：其一是構建安全防御體系﹔其二是確保網絡空間安全，奠定長治久安的基礎﹔其三是塑造未來環境，強化網絡優勢，應對新的威脅。這三者之間相互關聯，相互促進，共同構建一個網絡強國。

1. 構建安全防御體系：區別對待互聯網安全與國家關鍵信息基礎設施的安全要求，明確責任和邊界，從互聯網安全、基礎網絡安全和網際安全入手，重點關注國家關鍵信息基礎設施的安全，在這方面我們國家所欠缺的是網際安全和基於行為的實時分析檢測溯源的能力。

2. 網絡空間安全：建議從底層數據獲取開始，加強分析和態勢感知及信息共享的能力﹔提升涉密網絡的安全保障，制定網絡攻擊和反間諜計劃﹔制定各級管理人員、專業人員及公眾培訓計劃，建立發現專業人才的國家機制，充實到研究機構、廠商及國家關鍵信息基礎設施的單位。

3. 塑造未來環境，應對新的威脅：應依據戰略目標制訂前瞻技術、研發策略和計劃，建立持久威懾力的策略和計劃，管控供應鏈的安全風險及加強安全審查制度。

為實現國家網絡安全的戰略目標，需要改變現有陳舊觀念和意識，加強組織監督，從政策框架、計劃預算到組織落實抓起，通過“十三五”和“十四五”的努力，逐步落實戰略目標，我們國家才能真正地從網絡大國邁向網絡強國。

三、抓住國家網絡空間安全戰略重點

網絡安全是實現網絡強國的重要組成部分，一個在網絡安全無所作為的國家不可能成為一個網絡強國。我們國家的《網絡安全法》已進入立法程序，即將實施。安全和方便是一雙矛盾的統一體，需要找到一個平衡點，既沒有絕對的安全，也不存在沒有安全的方便。因此首先必須能夠保護自己的網絡免遭攻擊，如果安全措施失敗也要能夠迅速恢復業務，保証業務的可持續性。實時在其網絡中檢測到惡意活動征兆，有快速反應能力消除或緩解弱點，保護網絡和系統安全是我們需要做的第一步。

從國家安全的角度來看，國家主管部門組織制定網絡安全的發展戰略是保証實施、引導和保証國家網絡安全的根本，必須給予高度重視。今年是“十三五”的開局之年，制定我們國家網絡安全發展戰略，逐步落實各項與國家安全相關的網絡安全事項，首先應落實黨政機關網絡、國家關鍵信息基礎設施，如金融、水電氣熱、民航、鐵路、交通及關系國計民生工業控制信息系統等的安全。

2015年以來，以美國為代表的西方各國相繼發布各自的網絡安全發展戰略。美國繼CNCI計劃，又推出了《國防部網絡戰略》、《網絡空間安全信息共享法》（CISA）、《網絡安全國家行動計劃》(CNAP)和《網絡威懾戰略》等文件。俄羅斯發布的《俄聯邦信息安全學說》將於2016年出版，並取代2000年發布的舊版本等。各國均進一步把網絡安全作為國家安全的重要組成部分給予明確細化，並指出重點研究發展和目標，捍衛國家主權。建議我們國家盡快組織制定國家網絡安全發展戰略，通過各種渠道沿著戰略目標逐步落實，相信在不遠將來，一定能實現網絡強國的夢想。

（作者單位：國家信息中心，來源：中國信息安全）