刘烈宏：发挥国家队作用，构建可检测、可防控、可替代的网络安全和信息化产业体系

（作者系中国电子信息产业集团有限公司总经理）

编者按：网络安全和信息化产业是国家战略性产业，事关国家安全和长远发展，需要举国家之力，聚力习近平总书记强调的网络安全和信息化涉及的技术、经济、文化、人才、国际交流等方面，利用“两会”的人民代表和政治协商方式，上下联动，齐心协力，凝聚最大的正能量，发展壮大国家网络安全和信息化产业国家队，突破核心关键技术，形成可检测、可防控、可替代的产业综合实力，在产品和技术供应链的各个环节，有效改变家底不清、防护不利、受控于人的不利局面，真正实现心中有数、安全可控和产业自主。

网络和信息化浪潮对全球经济社会发展影响越来越大，已经成为推动人类社会进步的重要驱动力，但是“棱镜门”、“谷歌Wi-Fi门”、“XP停止服务”，以及美国终止对叙利亚、利比亚域名服务等，无不显示出全球化的互联网服务和信息正面临着极大的安全隐患。中国在网络安全上面临的挑战归根结底是产业不对称造成的，中国的网络安全和信息化市场不仅推动了中国的经济发展，也推动了美国和世界的产业发展，但却面临家底不清、防护不利、受控于人的严峻局面。2月27日，中央网络安全和信息化领导小组成立，习近平总书记清晰描述了“一个目标、两个支撑、五项任务”的国家网络安全和信息化发展框架，标志着我国网络安全和信息化产业已经进入一个新的战略发展阶段。网络强国的目标，网络安全和信息化作为两个支撑，需要有自己过硬的技术，需要有蓬勃发展的网络经济，需要有繁荣发展的网络文化，需要有高素质的网络安全和信息化人才队伍，需要积极开展双边、多边的互联网国际交流合作。这成为我们奋起直追，形成对等制衡态势的重大契机。我们亟待以底线思维，直面威胁，瞄准关键，创新发展，加强网络安全和信息化产业国家队建设，加速构建自主可控的产业体系，高度重视具有中华民族文明底蕴的企业文化培育，形成一个良好的网络和信息安全生态环境，实现中国从网络大国走向网络强国的跨越式发展，助力中华民族复兴的伟大梦想。当前，中国电子等国有大型企业，正在打造网络安全和信息化产业体系，顺应了时代的发展需要和国家的顶层设计，将在网络强国建设中发挥重要作用。

一、产业能力不对称已经成为中国迫切的战略威胁

当前中国在网络安全问题上面临的压力和挑战，有着政治、经济、法律、技术等诸方面原因，但归根结底是中美产业能力不对称造成的。为什么美国在全球网络中，既有监听全球的常态能力，又具备长驱直入的战时手段。是因为它具有先进、完整的产业实力，在供应链层面把持上游，在信息流动方面位于全球汇聚点。而美国的产业能力和其国家信息安全整体架构不是割裂的，而是浑然一体、层次分明的，这说明美国的信息安全整体架构是经过高质量、系统设计的，并不是一个偶然。

中国也为全球化经济和全球供应链做出了巨大贡献，不但通过网络安全和信息化拉动了中国的经济发展，也实际上推动了美国和世界的产业发展。但中国自身从国家安全上，却反过来缺少供应链话语权受制于人。自主可控产品和信息环节的严重不足，导致中国网络安全和信息化产业存在问题更多，也更深层次、更复杂。

（一）服务体系不完善，导致面临的威胁“家底不清”

美国经常披露报道中国和其他国家对其进行攻击的详尽案例和分析，并通过这些素材获取外交主动。最主要是因为美国从安全层次上能够对各种攻击实现及时发现、威胁评估、溯源分析，这种技术能力是其在统一协调部署下，其安全厂商、技术和标准机构以及其他社会力量统一发力的结果。源于其安全产业，成之于其国家能力，是其战略优势。与此相对，我们对于中国信息安全面临着什么样的威胁，从宏观上能够高谈阔论，但是缺少精准案例和证据来进行说明。首先是数量不清，有没有安全问题不知道，很多用户对于有没有受到攻击不清楚，国家多大范围的网络和信息产业受到威胁不清楚；其次问题不清，到底入侵渗透到什么程度不清楚，对于真正的攻击源头也不清楚。这些问题的一个重要原因是高质量的信息安全服务体系还没有形成，没有一个统一的国家信息工作运行维护平台。

（二）防御措施不成体系，导致整体“防护不利”

我国网络安全事件频发，防护能力特别薄弱。据国家互联网应急中心报告，仅2012年，就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件，有3.2成个境外IP地址通过植入后门参与了对中国境内近3.8万个网站的远程控制事件，中国互联网每个月受到的网络攻击达27000起以上。在全球信息化时代，单靠一个部门、一家企业的力量是无法解决黑客、病毒等诸多问题的。更难以有效应对具有高度针对性和强大成本承受能力的APT等高级攻击形式。从单一层面防护情况来看，我国大多数网络用户都有采取一定防御措施，但是从应对多种威胁角度来看，国家信息产业真正做到联防联抗、体系防御的非常少，即使有些做了防御，这些防御手段到底有没有用？也难以评估验证。这么多网络安全事件，说明我国对于各类网络信息安全威胁还不能有效防护，缺少一个软硬件相配套、国家和企业多部门合作的综合可防控信息安全防御体系。

（三）技术和产品缺乏自主，导致产业“受控于人”

如果说美国的网络和信息安全是末端问题，那么我国在顶端就有问题，从CPU、操作系统、数据库，到核心路由网络节点，基本上都是美国产品。虽然，我们在自主可控方面也做了很多的开发，在操作系统、芯片、数据库等方面都有一定的投入和尝试，但是效果都不好。这里虽然有很多产业、技术的因素，但缺乏统一清晰的国家战略也是一个问题，都是孤点、各自为战。单独的产品和技术拿出来好像都没问题，但是一个系统需要跟很多其他东西配合使用，比如我们的操作系统跟自己的芯片、自己的数据库放在一起就不能适配，无法达到自主而且可控可用的要求，导致国家关键信息系统信息化程度和安全能力始终不能摆脱对美国的依赖，无法形成自主可控的核心能力，给国家信息安全带来严重的隐患。

二、统筹考虑，系统设计，构建可检测、可防控、可替代的网络和信息安全体系

需要清晰的认识到，自主可控一方面面临着在关键环节上逐步赶超美国的所需要的时间过程，另一方面也必须尊重和满足人民群众用世界上最先进、最方便、最便宜的技术和产品的权利。这两点将使我国的自主可控产品发展之路呈现更加长期、复杂、艰巨的趋势。决定了自主可控不可能是一拥而起，一蹴而就的，需要针对客观分析制定现实可行、渐进务实的路线，首先立足党政机关的信息系统，从改善其检测、防御能力入手，并逐步以此为国产化替代的起点和主攻方向。

我们在构建网络和信息安全防御体系的时候应该围绕可检测、可预防、可替代三个方面进行统筹考虑，在逐步完善信息安全产业链的过程中，形成一个可检测的服务体系，健全一个可防控的防御体系，建立一个国产化替代的产品体系。

（一）围绕威胁可发现，形成可检测的网络和信息安全服务体系

发现威胁是采取措施消除威胁的前提。单一的信息安全公司受能力和规模限制，难以全面发现和掌握所有的安全威胁，这时就应充分发挥互联网的融合优势，从国家的层面出发，把各类信息安全防护力量聚合起来，健全完善可检测的信息服务体系，形成一个服务于国家的统一运营维护平台，实现评估、检测、认证、培训等一系列服务保障。通过集中建设，引入中国信息安全测评中心等国家管理和测评机构的综合能力，汇聚360、安天等优秀安全企业的优质资源，实现对国内信息系统的多引擎检测，安全事件的联合检索，大幅提高对于各类攻击的发现能力，使得各级用户对所面临的病毒、攻击等能做到心中有数。

（二）瞄准威胁能预防，建立可防控的网络和信息安全防御体系

要想对安全威胁能够有效防控，就必须要从系统联防、体系共防的角度出发，广泛与社会力量开展技术合作，统合利用国内信息安全防护技术，从组织、监督、防御等多方面对我国信息安全防御体系进行战略升级和完善，建立一个可防控的信息安全防御体系。要将国内先进的安全防御领域技术单位集中在一起行动，创新防御模式，搭建各单位资源共享、优势互补的技术攻关平台，着力解决消除网络攻击的关键技术问题，达到高水平的整体协同运行状态，实现能够有效拦截各类网络攻击并在其进入系统前将其清除，做到药到病除。

（三）立足产品国产化，建立国产网络安全和信息化产品替代体系

国家网络和信息安全的根本还是要依靠自主可控、安全可靠的产业链。因此，当前要有效维护国家网络和信息安全，最核心的是要能够实现产业链的国产化替代。可以说，网络安全和信息化产品的国产化是所有安全工作的基础和根本，不能实现的话，可检测和可防护也无从谈起。国家要集中人力、财力、物力，研发核心、通用、高端的产品，制定出国产产品和系统替代的战略和计划，列出达到国产化率的时间表，尽快建设建成国产安全、高效的替代体系，从根本上解决国家网络和信息安全隐患。

三、抓好关键环节和战略部署，凸显网络安全和信息化产业国家队的重要作用

随着中央网络安全和信息化领导小组的成立，网络和信息安全已经上升到国家战略层面，网络安全和信息化产业作为国家战略性产业，应举国家之力，加强国家队建设。通过资金支持、项目支持和政策倾斜等方式，扶持信息技术产业链较完整、有较好信息技术基础的企业做大做强，从而突破信息安全关键技术，形成自主可控的网络安全和信息化产业体系。

（一）加强网络安全和信息化产业国家队的建设

信息安全领域的企业应该分为三个层次，以国有大型综合信息技术企业集团为上层框架，以信息技术相关领域的大量企业为综合基础，以网络信息安全企业为中坚支撑。

居于上层框架的信息安全产业国家队应能够承担国家信息安全体系的总体设计和总体集成，负责对国防、国家基础网络和重要信息系统提供安全方案和安全服务。同时积极联合社会其他信息技术企业、信息安全企业做为关键产品、关键技术供应方。利用技术和产业优势，有效组织与协调各种社会力量，推动国家信息安全体系中的必要信息技术装备和信息安全体系特殊装备的研制。这样既发挥了国家队的综合优势，也充分保证了具有技术创新能力的民营信息技术和信息安全企业的积极性，推动了全产业链的发展。

（二）抓住网络安全和信息化产业顶层、中间和末端的关键环节

围绕完善网络安全和信息化产业链，形成良好生态环境，需要抓好国家队顶层、中间和末端建设的关键环节。在产业的顶层，要立足国家，建设网络和信息安全智库，抓总体，抓宏观，为国家信息安全主管部门出谋划策，成为国家的智囊。在末端，成立网络安全和信息化产业国家队的产业联盟，为国家网络和信息安全提供各类服务保障。中间是产业链的建设，着力推动信息产业链的各个节点建设，把芯片、数据库、整机、操作系统、信息安全集成等各个方面的力量聚合起来，信息安全产业国家队的重要任务，就是要把这些产业链上的“珍珠”用一根线穿起来，整合现有的网络安全和信息化产业链上的企业和产品。

（三）突出可信计算、自主可控适配、工业控制安全和运行维护平台等方面的战略部署

网络安全和信息化产业国家队要发挥自身顶层引领和组织协调作用，必须要强化基础技术的战略部署和推动，从而奠定行业的技术基础，具有和保持突出技术优势。一是要抓紧可信计算及其他相关自主可控技术的研究与推广。要有相对比较成熟的技术路线，推广底层访问可信平台，使产品的安全性具有模型上的保证。二是要不断推进自主可控软硬件的适配。从顶层推动国内基础软硬件厂商的联合研究，加强与其他信息产业的横向合作，促进可靠软硬件适配效果。三是要加快工业控制安全技术应用。把信息安全作为工业体系发展进步的关键要求，不断加强工控安全技术创新，并推广应用。四是建立国家信息工作的运行维护平台。立足于央企，建立一个以央企为核心的多引擎平台，对于国内的一些信息安全事故和事件多引擎进行搜索和检测，然后进行综合治理。

我们在网络安全和信息化产业建设方面有较好的基础，为产业的发展做了大量工作，未来将在国家政策的指导下进一步整合产业链，推动产业快速健康发展，为建设坚固可靠的国家网络安全体系贡献力量。

（来源：中国信息安全）