當(dāng)前�,網(wǎng)絡(luò)攻擊、信息泄露等網(wǎng)絡(luò)安全事件頻發(fā)��,國家級網(wǎng)絡(luò)對抗也不斷出現(xiàn)�,我國面臨嚴峻的信息安全形勢���。據(jù)統(tǒng)計���,僅2013年,我國因網(wǎng)絡(luò)釣魚受騙的網(wǎng)民達6000多萬�,經(jīng)濟損失超過300億元。當(dāng)年受各類網(wǎng)絡(luò)犯罪侵害的人數(shù)超過2.57億人次�����,經(jīng)濟損失達人民幣2890億元���。
新世紀以來�,我國在信息安全技術(shù)方面取得了較大的進展�����,特別是密碼技術(shù)�����、基礎(chǔ)網(wǎng)絡(luò)安全技術(shù)等方面取得了一定的突破���,但仍有大量技術(shù)存在空缺���。信息安全技術(shù)是維護國家信息安全、保障網(wǎng)絡(luò)空間健康發(fā)展的基礎(chǔ)��,無論是國家間的網(wǎng)絡(luò)戰(zhàn)對抗還是與網(wǎng)絡(luò)犯罪分子做斗爭�,都需要強大的技術(shù)能力做支撐。
面臨五大短板
第一大短板:核心技術(shù)受制于人���。
從“棱鏡門”事件可以看出����,信息安全問題的根源其實在于網(wǎng)絡(luò)和信息技術(shù)的底層��,而我國在相關(guān)核心技術(shù)方面仍受制于西方發(fā)達國家�����。
一是網(wǎng)絡(luò)和通信協(xié)議�����。協(xié)議和標準是互聯(lián)網(wǎng)的骨架,是最核心的技術(shù)��,而只有掌握核心的協(xié)議和標準�,才能了解互聯(lián)網(wǎng)運作的原理,認清網(wǎng)絡(luò)空間可能存在的信息安全隱患����,而我國當(dāng)前在網(wǎng)絡(luò)和通信協(xié)議方面參與較少,研究也往往流于表面����,成果較少。
二是基礎(chǔ)信息技術(shù)產(chǎn)品�����。依托相關(guān)協(xié)議和標準開發(fā)的基礎(chǔ)信息技術(shù)產(chǎn)品����,如操作系統(tǒng)、芯片和基礎(chǔ)網(wǎng)絡(luò)設(shè)施等����,是互聯(lián)網(wǎng)運作的基礎(chǔ),我國已經(jīng)研發(fā)了一系列自主操作系統(tǒng)��、數(shù)據(jù)庫和芯片,以及建設(shè)根域名鏡像服務(wù)器等�,但由于產(chǎn)業(yè)生態(tài)被控制����,在技術(shù)先進性和可用性方面與西方發(fā)達國家還有較大差距,部分核心元器件�����、專用芯片�����、操作系統(tǒng)和大型應(yīng)用軟件等自主可控能力較低��。
特別是關(guān)鍵芯片����、核心軟件和部件嚴重依賴進口,銀行�、民航、電力����、鐵路����、工業(yè)控制����、裝備制造等國民經(jīng)濟重要部門70%以上信息設(shè)備來自國外,給國家信息安全帶來嚴重隱患�。
三是密碼技術(shù)。密碼理論和技術(shù)是互聯(lián)網(wǎng)安全機制的核心��,是保障網(wǎng)絡(luò)與信息安全的重要技術(shù)�����,我國當(dāng)前已經(jīng)取得一定的突破�,如我國自主公鑰密碼算法SM2的廣泛推廣應(yīng)用,但總體還是在西方密碼體系基礎(chǔ)上發(fā)展而來����。
第二大短板:關(guān)鍵技術(shù)不成體系。
當(dāng)前網(wǎng)絡(luò)空間沖突不斷����,這種直接交鋒則主要依靠態(tài)勢感知、網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)防御等關(guān)鍵技術(shù)���,目前我國在部分技術(shù)上還存在缺項,尚未形成技術(shù)體系����。
在網(wǎng)絡(luò)攻擊方面����,我國尚未形成具威懾力的網(wǎng)絡(luò)武器,而美����、俄、印����、英、日等國家都將病毒武器列入作戰(zhàn)武器名單�����,美研究人員已經(jīng)提出“網(wǎng)絡(luò)數(shù)字大炮”概念�,在網(wǎng)絡(luò)空間具備類似核武器的威懾力�。
在網(wǎng)絡(luò)防御方面�,我國整體實力仍較薄弱,雖然國內(nèi)信息安全企業(yè)在部分領(lǐng)域取得了突破�,在低端網(wǎng)絡(luò)安全產(chǎn)品方面占據(jù)了一定優(yōu)勢,但在高端網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)方面仍無法打破國外企業(yè)的壟斷����。
在態(tài)勢感知方面,國家層面的威勢感知平臺等仍未建立����,技術(shù)能力與國外有較大差距,“棱鏡門”等事件中對我國的網(wǎng)絡(luò)攻擊事件���,均不是由我國自主發(fā)現(xiàn)�����。
第三大短板:產(chǎn)業(yè)支撐能力不足�。
我國信息安全產(chǎn)業(yè)規(guī)模和企業(yè)實力仍遠遠落后于西方發(fā)達國家�����,難以有效支撐國家信息安全需求。
一是缺少信息安全龍頭企業(yè)����,同質(zhì)化競爭嚴重。我國信息安全企業(yè)數(shù)量較多����,保持在1000家左右,但規(guī)模超過10億元的屈指可數(shù)����,雖然百度��、騰訊�、阿里等大型互聯(lián)網(wǎng)公司開始介入安全產(chǎn)業(yè),但其仍集中于保障自身安全���,且企業(yè)間的爭斗不斷�,能與國外賽門鐵克�����、IBM等企業(yè)競爭的基本沒有����,國外動輒幾億到十幾億美元的并購也很少在國內(nèi)看到�。
二是信息安全企業(yè)創(chuàng)新不足��。國內(nèi)信息安全產(chǎn)業(yè)經(jīng)過十多年的發(fā)展�,排名在前的企業(yè)仍是啟明星辰、綠盟等幾家����,產(chǎn)品和服務(wù)也缺少創(chuàng)新,新興的信息企業(yè)很少能發(fā)展起來����,而國外新興的“火眼”等企業(yè)則能夠迅速發(fā)展起來。
三是信息安全業(yè)務(wù)水平差距大����。當(dāng)前信息安全需求已逐漸從單一信息安全技術(shù)產(chǎn)品轉(zhuǎn)向能夠面向行業(yè)的解決個性化需求的信息安全整體解決方案,我國信息安全企業(yè)仍集中在防火墻�、入侵檢測、入侵防御等單點技術(shù)產(chǎn)品上����,綜合性信息安全技術(shù)發(fā)展仍處于較低水平。相比而言�����,國外則有雷神、BAE等國防提供商提供信息安全服務(wù)��。
第四大短板:技術(shù)管理制度不完善��。
我國雖然已經(jīng)推出了信息安全技術(shù)產(chǎn)品強制認證制度���,并出臺了相應(yīng)的標準���,但是在制度完備性和操作規(guī)范性方面仍存在較大問題。
一是相關(guān)制度不完備��。我們當(dāng)前的強制性認證主要針對防火墻�、入侵檢測等信息安全產(chǎn)品��,但信息安全是一個綜合性問題����,信息系統(tǒng)自身的基礎(chǔ)軟硬件等技術(shù)產(chǎn)品的安全性、整體信息安全防護體系的可靠性等都會影響到信息安全�,我國目前缺少針對關(guān)鍵信息技術(shù)產(chǎn)品和信息安全綜合解決方案的審查制度。
二是國內(nèi)相關(guān)標準制度實施不嚴格�����。由于核心技術(shù)受制于人,經(jīng)常出現(xiàn)采購的產(chǎn)品只能選國外廠商��,而國外廠商不接受審查的情況����,這不僅影響了相關(guān)標準制度的權(quán)威性,而且側(cè)面打壓了國內(nèi)廠商�����。本文來源:瞭望觀察網(wǎng)
三是缺少管理手段��。當(dāng)前我國在信息安全檢測技術(shù)方面仍存在較大空白��,如缺少針對處理器安全性檢測的技術(shù)等��,執(zhí)行信息安全檢測的機構(gòu)需要從國外采購相關(guān)設(shè)備��,甚至缺少相應(yīng)的檢測能力�����,這都導(dǎo)致標準制度無法落實�。
第五大短板:技術(shù)發(fā)展環(huán)境有待改善����。
我國當(dāng)前在技術(shù)創(chuàng)新�����、產(chǎn)業(yè)發(fā)展等方面仍存在諸多弊端����,限制了信息安全技術(shù)產(chǎn)業(yè)的快速發(fā)展。
一是信息技術(shù)產(chǎn)品發(fā)展受制于西方發(fā)達國家���。西方國家在技術(shù)思路���、標準協(xié)議、核心技術(shù)��、產(chǎn)品服務(wù)方面都處于主導(dǎo)地位��,我國在技術(shù)產(chǎn)業(yè)發(fā)展過程中一直處于“跟隨者”角色�,只能采取以資源和環(huán)境換技術(shù)的策略����,廣泛引進西方技術(shù)和資金�。這給我國經(jīng)濟發(fā)展產(chǎn)生較大推動��,但卻犧牲了民族企業(yè)的自主創(chuàng)新能力�����,形成“體系性依賴”�。
二是西方國家大肆制造技術(shù)壁壘。由于我國信息安全技術(shù)發(fā)展較晚����,與西方國家存在較大差距,特別是操作系統(tǒng)��、芯片等基礎(chǔ)技術(shù)�����,與國際先進水平存在代差����,同時西方國家對我國實施技術(shù)禁運政策,從而導(dǎo)致我國相關(guān)技術(shù)產(chǎn)品難以在市場上與國外產(chǎn)品競爭����,這也導(dǎo)致我國大量信息安全技術(shù)研發(fā)與市場嚴重脫節(jié)����。
以芯片為例��,我國自主研發(fā)的龍芯產(chǎn)品��,一直沒有形成與之相適應(yīng)的產(chǎn)品體系�,沒有對應(yīng)的企業(yè)來開發(fā)相應(yīng)的驅(qū)動程序、開發(fā)工具等�,整體應(yīng)用環(huán)境不具備,市場前景也較差��,很難形成以市場促進研發(fā)的良性循環(huán)��。
三是我國政科不分�、政企不分的體制機制嚴重制約了科技創(chuàng)新和產(chǎn)業(yè)發(fā)展。我國科技創(chuàng)新體制存在主體定位不清����、科研經(jīng)費分配不合理等問題,導(dǎo)致科研人才大量流失�����,同時我國“泛行政化”的體制嚴重阻礙了科技創(chuàng)新和產(chǎn)業(yè)發(fā)展�。我國科研院所、大型央企等均采取行政化管理�����,這使得大量科學(xué)家��、企業(yè)家行政化���?�?蒲袆?chuàng)新應(yīng)該完全市場化���,企業(yè)發(fā)展也應(yīng)市場化。
信息安全技術(shù)對策建議
其一���,健全信息安全技術(shù)管理體系�����。
一是健全國家網(wǎng)絡(luò)安全組織架構(gòu)����,強化中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的統(tǒng)一協(xié)調(diào)指揮����,提高總攬全局的整體規(guī)劃能力和高層協(xié)調(diào)能力��,同時明確公安部�、保密局��、密碼辦����、工信部等信息安全各部門的職責(zé);二是強化國家網(wǎng)絡(luò)安全管理手段,制定關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護條例���、政府信息安全保護條例等法規(guī);三是提升網(wǎng)絡(luò)安全管理能力��,不斷提升相關(guān)機構(gòu)的網(wǎng)絡(luò)安全檢測能力�。
其二����,改善信息安全技術(shù)自主創(chuàng)新環(huán)境。
一是大力支持自主可控信息安全產(chǎn)業(yè)的發(fā)展����,通過資金和其他優(yōu)惠政策鼓勵有實力的企業(yè)介入開發(fā)周期長、資金回收慢的信息安全基礎(chǔ)產(chǎn)品,比如安全操作系統(tǒng)和安全芯片等;二是依托高校�����、研究機構(gòu)和企業(yè)自主創(chuàng)新平臺�,加大核心信息技術(shù)的投入����,嚴格管理研究資金,推動研究成果轉(zhuǎn)化;三是加強信息安全市場的政策引導(dǎo)�����,合理利用國際規(guī)則�,約束國外企業(yè)在國內(nèi)市場的發(fā)展,為自主信息安全產(chǎn)品提供更好的生存空間���。
其三�,加強信息安全技術(shù)產(chǎn)品市場規(guī)范��。
一是啟動核心信息技術(shù)產(chǎn)品的信息安全檢查和強制性認證工作�,對關(guān)鍵領(lǐng)域應(yīng)用的產(chǎn)品進行源代碼級檢測,將安全產(chǎn)品的強制市場準入制度引入到核心信息技術(shù)產(chǎn)品領(lǐng)域;二是加強對國外進口技術(shù)���、產(chǎn)品和服務(wù)的漏洞分析工作���,對從事關(guān)鍵行業(yè)數(shù)據(jù)搜集和數(shù)據(jù)分析業(yè)務(wù)的企業(yè)采取備案和黑名單制度;三是建立新興技術(shù)的信息安全預(yù)警機制����,對掌握關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進行管控�。
其四,建設(shè)自主可控的信息安全生態(tài)體系���。
一是發(fā)揮舉國體制優(yōu)勢�����,實現(xiàn)核心技術(shù)突破;二是積極推動關(guān)鍵信息技術(shù)產(chǎn)品的國產(chǎn)化替代��,在關(guān)系國家安全的重點領(lǐng)域�����,有序開展國產(chǎn)產(chǎn)品和設(shè)備的替代工作;三是推動全產(chǎn)業(yè)鏈協(xié)同發(fā)展���。以資本為紐帶實現(xiàn)資源整合及產(chǎn)業(yè)融合,加快發(fā)展和形成一批掌握關(guān)鍵核心技術(shù)��、創(chuàng)新能力突出、國際競爭力強的跨國企業(yè)�����。
其五��,發(fā)展結(jié)構(gòu)完整層次分明的信息安全產(chǎn)業(yè)��。
一是重點培育幾家具有較強信息安全實力的企業(yè)��,專門為政府���、軍隊等提供整體架構(gòu)設(shè)計和集成解決方案,形成解決國家級信息安全問題的承包商�,類似于美國的洛克希德·馬丁、波音和雷神公司等企業(yè);二是重點發(fā)展一批類似于IBM���、微軟�����、思科等能提供行業(yè)解決方案和完整產(chǎn)品線的專業(yè)信息安全企業(yè);三是鼓勵發(fā)展提供專用����、新型技術(shù)和產(chǎn)品的獨立信息安全企業(yè),類似于賽門鐵克�、RSA(美國加密技術(shù)實驗室)等。
