整體保障關鍵信息基礎設施網絡安全

一、從信息系統安全風險評估的三個維度剖析網絡空間安全面臨的新變化、新形勢和新挑戰

習近平總書記在“4.19講話”中明確指出：“沒有網絡安全就沒有國家安全”，“要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系。” “金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟運行的神經中樞，是網絡安全的重中之重”，“我們必須深入研究，採取有效措施，切實做好國家關鍵信息基礎設施安全防護。”深入落實國家最高領導人接地氣的重要指示，需要選擇科學的路徑，形成具有執行力的有效方法。透過紛繁復雜的網絡安全現象，我們從資產、脆弱性和威脅三個核心要素分析網絡安全面臨的新變化、新形勢和新挑戰。

（一）信息資產和數據資產巨量增長，並呈現泛在化趨勢，使防護難度急劇增加

我國已經成為網絡大國，信息系統已經成為國計民生和大多數行業賴以生存的生產工具，“刀耕火種”的時代一去不復返了。信息化建設形成了數以萬億計的信息資產軟硬件，信息系統運行又產生了不可計數的數據資產，網絡空間的資產成為了個人、社會和企業的核心資產。同時，隨著雲計算、大數據、移動互聯網、人工智能等新技術的快速發展和普及應用，數據資產快速泛在化，傳統安全防御邊界被打破，信息資產安全面臨前所未有的威脅。

（二）信息系統的復雜度和關聯度前所未有，脆弱性也隨之以指數上升

脆弱性與信息系統與生俱來，共生共存，所有信息設備和系統都存在難以避免的脆弱性。隨著信息化進入新時代，信息系統的復雜度和關聯度遠超過往，不僅系統自身的技術脆弱性不斷提升，人為失誤等社會工程因素也在不斷疊加、相互作用。當今社會，信息系統無處不在，受攻擊面也同步擴張。信息系統的脆弱性最終都轉化為網絡安全的綜合風險，使得傳統的單點防護模式難以適應甚至失去作用。

（三）網絡攻擊的目標和手段都發生了本質變化，混合型高級別威脅來臨

網絡空間軍事化加劇，美國133支網絡戰部隊在去年部署到位，美國海軍、陸軍最近紛紛宣布具備綜合性網絡戰能力，網絡攻擊能力正在全方位融入傳統戰場。與此同時，網絡空間恐怖分子、犯罪集團乃至國家層面的全球網絡攻擊勢力不斷成長，以高級持續性威脅（APT）、勒索病毒等、數據黑產等以新一代攻擊技術為支撐的網絡安全事件頻繁發作說明，網絡攻擊從過去單純的炫耀技術，快速向有組織、長期持續且極具針對性的謀取商業利益和經濟利益，甚至軍事利益和政治利益轉變。

從以上三個維度分析來看，網絡安全面臨前所未有的新挑戰，任何關鍵信息基礎設施運營單位自身力量，都已經難以獨自應對這種全方位的綜合風險。創新模式、突破瓶頸、軍民融合、共同應對，軍地攜手維護網絡空間安全和發展已經成為必由之路。

二、看清網絡空間安全的新力量、新機理、新目標，聚焦關鍵信息基礎設施安全主要問題，形成軍民合力

我國關鍵信息基礎設施的網絡信息安全關乎黨的執政之基、國家的經濟發展，是國家安全的命門所在，是潛在網絡戰的主戰場，是國家必須要重點保護的對象。關鍵信息基礎設施建設之初，並未高度重視網絡安全，形成信息化和網絡安全分離的態勢。習近平總書記強調“沒有網絡安全就沒有國家安全”，提出網絡強國號召之后，在中央的有力推動下，這種局面在一定程度上有了很大轉變。但由於歷史跨度長、涉及范圍寬，關鍵信息基礎設施目前還不完全具備應對新挑戰的相應保障能力，主要存在以下四個突出問題。

（一）關鍵信息基礎設施的安全保障沒有專業的保安隊伍

從職能任務來看，網絡國防力量負責可能的網絡戰沖突，網絡治理力量負責網絡違法犯罪處置，而關鍵信息基礎設施的日常與應急網絡安全保障還停留在“工人糾察隊”模式，滿足於“合規性”的基本門檻要求，平時“得過且過”，重大活動期間突擊保障，難以協同防御，缺乏專業保安隊伍支撐。

（二）產業不對關鍵信息基礎設施網絡安全負責

我國雖然網絡安全企業數量眾多，但長期被產業“小、散、亂”所困擾，在關鍵信息基礎設施建設和運營過程中，大多扮演著“供應商”的角色，以“產品交付”的模式開展業務，“做完項目就走”，傳統的安全服務實際上也是以項目方式提供，“重建設，輕運維”，將網絡安全保障最關鍵的安全運維環節留給了運營單位自己去消化，業界尚缺乏持續全面提供網絡安全運維服務保障的業務模式。

（三）網絡安全防御體系“感而不知”，對攻擊目標、手段和結果一定程度上“掩耳盜鈴”

我國網絡安全產業正在逐步發展壯大，由於網絡空間瞬息萬變，攻防技術不斷升級等多種主客觀原因，我國尚未形成具有整體協同能力的防御體系。對手是否來過不清楚、威脅在哪不知道的情況在關鍵信息基礎設施防護中普遍存在。以傳統老三樣進行局部靜態的自我防護為主，導致對新型威脅不敏感甚至難以有效及時發現，對網絡安全的整體性、動態性、開放性、相對性和共同性認識嚴重不足，傳統防御體系“感而不知、掩耳盜鈴”的現實狀況，已經成為我國關鍵信息基礎設施防護的重大瓶頸。

（四）重網絡基礎設施安全，輕信息系統安全﹔重業務應用，輕信息數據﹔重防護形式，輕安全本質

關鍵信息基礎設施安全體系中，關注基礎網絡層面安全防護手段較多，關注信息系統和數據安全較少﹔重視業務系統建設與運行保障，對系統運行中收集和產生的重要數據缺乏有效保護﹔重視“合規性”防護和測評，對大量關系本質安全的風險控制投入不足。

網絡空間的重要特征是“全球一網”，軍民一體化，因此，網絡安全軍事力量和地方力量必將統籌聯合，共同面對，需要將軍民融合攜手解決關鍵信息基礎設施安全防護作為基本思想，以解決重點問題為抓手，謀求從根本上解決國家關鍵信息基礎設施面臨的綜合性安全風險。

三、明確網絡空間安全的新需求、新能力、新格局，構建全方位、全天候、全過程、全覆蓋的體系化的軍民融合整體保障體系

進入中國特色社會主義新時代，開啟偉大斗爭、建設偉大工程、推動偉大事業、實現偉大夢想，就必須以關鍵信息基礎設施為核心目標，維護網絡空間國家主權，安全和發展利益，必然對網絡安全和產業發展提出更高要求和更多需求。樹立正確的網絡安全觀，從國際國內重大網絡信息安全事件和技術發展趨勢看，採取實時監測安全威脅、動態主動調整防護策略、安全事件快速應急處置等綜合手段來應對日益嚴峻的網絡安全威脅，構建全方位、全天候、全過程、全覆蓋的體系化整體保障能力已成為確保關鍵信息基礎設施網絡安全的必然趨勢。網絡安全產業必須採取軍民融合的方式，創新模式，擔當責任，構建全方位、全天候、全過程、全覆蓋的軍民融合整體保障體系。

（一）開展整體保障服務，建立網絡安全專業保安創新模式，從組織形式上解決力量缺乏的問題

關鍵信息基礎設施網絡安全防護模式由“工人糾察隊”式自我防護模式轉變為可信的“專業保安隊”服務模式，從採購產品向採購“安全目標”轉變，將網絡安全規劃、安全評估、安全設計、建設實施、安全運維、安全培訓及人才培養等全生命周期安全保障過程統一納入到安全服務范疇，可採用建立軍民聯合的網絡預備役力量的創新模式，綜合兼顧各方能力水平、利益訴求、職責任務，以網絡預備役為組織方式，以重大項目為工作牽引，以軍地攻防演練為檢驗方式，開展整體保障服務，建立一支可持續發展壯大的國家關鍵信息基礎設施安全保障專業隊伍。

（二）加強合作，建立面向整體保障的網絡安全產業聯盟，以武器裝備協同攻關模式持續提升技術、產品與服務水平

在《網絡安全法》、關鍵信息基礎設施保護條例、網絡安全等級保護制度等法律法規的指引下，以保障關鍵信息基礎設施整體安全為目標，著力應對國家層面的網絡安全風險，將關鍵信息基礎設施持續健康運行和數據資產的可靠保護納入網絡空間國防力量的保護范疇。通過產業聯盟，聚集產業優勢資源和力量，博採眾長，在整個網絡安全行業突出國家關鍵信息基礎設施這個重點目標，並將網絡安全產品和服務的研發、檢測、運行納入優化的軍隊武器裝備採購系列，逐步通過軍隊層面高強度的攻防測試，實現國家安全信息基礎設施的全面安全，達到攻擊可防御、行為可檢測、攻擊可溯源、威脅可預警、事件可處置等網絡安全工作的目標，推動關鍵信息基礎設施網絡安全從單一防護向體系化防御、從被動防護向主動防御，從局部靜態防護向整體動態防御的根本性轉變。

（三）堅持自主創新，提升監測、預警、防御及快速響應能力，以綜合施策、整體防御和協同能力應對綜合性風險

習總書記指出：“知己知彼，才能百戰不殆。沒有意識到風險是最大的風險”，“感知網絡安全態勢是最基本最基礎的工作”。要實現整體安全，必須加強技術升級換代，聚焦核心技術突破，在基礎性技術、前沿性技術、顛覆性技術投入研發方面花大力氣，盡早實現關鍵信息基礎設施網絡安全裝備自主創新。大力推進軍民融合，協同攻關，突破網絡安全態勢感知，預警監測的核心關鍵技術，盡早盡全面地積累網絡安全態勢數據和情報，達到安全威脅早發現、早預防、早處置、早加固，防患於未然，全面提高網絡安全防御的主動性。

（四）加強密碼技術應用，以核心技術和關鍵手段保障關鍵信息基礎設施數據資產安全

密碼技術是網絡空間安全的核心技術之一，是保障信息數據安全的最后一道防線，也是最本質和最有效的數據安全防護手段。同時，密碼也是網絡進攻的有力武器（勒索病毒正是將密碼作為武器使用）。我國在密碼技術方面具有深厚的積澱和國際領先水平。要著力解決數據資產“裸奔”、“裸睡”的嚴峻局面，亟待全方位加大密碼技術的應用，保障國家、軍隊、企業乃至個人等多個層面的數據資產安全。充分借鑒軍隊從裝備保障向數據保障進行變革的有效經驗，通過軍民融合的方式，聯合網絡安全企業，盡快推廣到國家關鍵基礎設施防護體系，為全方位提升保障能力提供核心技術和核心手段。（作者系衛士通信息產業股份有限公司高級副總裁）