——訪×××院士、國家信息化專家諮詢委員會委員沈昌祥
信息安全保障能力是21世紀綜合國力、經濟競爭力和生存能力的重要組成部分,是世紀之交世界各國奮力攀登的制高點。近年來,在國家的高度重視和大力推進下,我國的信息安全保障能力大幅提升。隨着工業控制信息化、三網融合、物聯網、雲計算等新型信息技術的發展應用,我國的信息安全保障工作面臨新挑戰和新任務。如何應對新形勢,不斷提高信息安全保障能力,確保國家網絡信息安全,本刊記者對×××院士、國家信息化專家諮詢委員會委員沈昌祥進行了專訪。
記者:當前,隨着工業控制信息化、三網融合、物聯網、雲計算等新型信息技術的發展應用,我國信息化發展正進入全面深化的新階段。請您談談這些新型信息技術給我國網絡與信息安全保障工作帶來了哪些新挑戰。
沈昌祥:新型信息技術的挑戰在工業控制信息化方面表現較爲明顯。2010年“震網”病毒事件破壞了伊朗核設施,震驚全球。這標誌着網絡***從傳統“軟***”階段升級爲直接***電力、金融、通信、核設施等核心要害系統的“硬摧毀”階段。目前,應對高強度連續***(APT)已成爲確保國家關鍵基礎設施安全,保障國家安全、社會穩定、經濟發展、人民生活安定的核心問題。
電信網、廣電網和互聯網三網融合後,信息安全風險將主要來自於網絡開放性、終端複雜性、信息可信性等方面。信息量的急劇增加,使得信息內容控制對信息保密防範技術提出更高要求。終端智能化和移動等多接入方式,使三網面臨更復雜的***。另外,大規模的用戶數量將給監管帶來重大挑戰,存在着原有法律與三網融合新要求相沖突的問題。
物聯網將傳感、通信和信息處理整合成網路系統,把物品與互聯網連接起來,實現智能化識別、定位、跟蹤監控和管理,這必然會成爲影響社會穩定、國家安全的重要因素之一。同時,物聯網運用大量感知節點(智能設備和傳感器),將成爲竊取情報、盜竊隱私的***對象,而且龐大節點以集羣方式連接,將對網絡通信的依賴更加敏感,對分佈式物聯網核心網絡的管理平臺安全性、可信性要求更高。另外,對數據傳輸安全性和身份認證的可信性也提出了更高要求。
雲計算是一種能夠動態伸縮的虛擬化資源,通過網絡以服務的方式提供給用戶的計算模式,用戶不需要知道如何管理那些支持雲計算的基礎設施,其安全風險在於:(1)由不可控、不可信的雲經營商統管IT資源和計算基礎設施;(2)更大規模異構共享和虛擬動態的運營環境難以控制。如何確保雲中IT資源安全、用戶隱私安全以及雲計算環境的可信可靠,已成爲阻礙雲計算進一步發展的主要因素。同時,制定相應的雲計算法律法規,明確用戶和運營商法律責任也是發展雲計算必不可缺少的。
記者:隨着信息技術的快速發展,世界各國尤其是美國高度重視網絡空間安全問題,使其成爲國家安全戰略中“不可分割的重要組成部分”,美國的意圖是什麼?
沈昌祥:2007年8月,美國成立第44屆總統網絡空間安全委員會,經過一年半的工作,形成了《提交第44屆總統的保護網絡空間安全的報告》。報告認爲,過去20年來,美國一直在努力設計一種戰略來應對這些新型威脅和保護自身利益,但始終都不算成功。無效的網絡安全以及信息基礎設施在激烈競爭中受到***,削弱了美國力量,使國家處於風險之中。報告提出了12項、25條建議,分別從制定戰略、設立部門、制定法律法規、身份管理、技術研發等方面進行了闡述。
2008年12月,爲了加深對信息安全現狀的認識,美國開展了爲期2天的“模擬網絡戰”,總計有230名來自軍方、政府和企業的代表參與了這次演習活動。演習結果顯示,美國對網絡***的抵抗能力很差,這爲奧巴馬政府敲響了警鐘。
2009年5月,奧巴馬公佈網絡空間政策評估報告,並發表重要講話。奧巴馬強調,美國21世紀的經濟繁榮將依賴於網絡空間安全,他將網絡空間安全威脅定位爲最嚴重的國家經濟和國家安全挑戰之一,並宣佈“從現在起,我們的數字基礎設施將被視爲國家戰略資產。保護這一基礎設施將成爲國家安全的優先事項”。報告提出了10條近期行動計劃和14條中期行動計劃,全面規劃了保護網絡空間的戰略措施。
2009年6月,美國建立美國“網絡空間司令部”,編制近千人,很快投入全面運作。隨後,美國國防部與國土安全局簽署了網絡安全合作備忘錄,明確了兩個部門在網絡安全事務中的職責,建立了常設合作機構,確定了長效合作機制,並構建國家網絡靶場,升級網絡戰規模;美國國防信息局宣佈“網電計劃”,創建“非軍事區”,嚴格控制敏感IP路由接入,軍民聯防,保證美國網絡安全。
2011年5月,美國白宮網絡安全協調員施密特發佈美國首份《網絡空間國際戰略》,闡述美國“在日益以網絡相連的世界如何建立繁榮、增進安全和保護開放”。施密特將這份戰略文件稱爲美國在21世紀的“歷史性政策文件”。該戰略文件稱,美國希望打造“開放、可共同使用、安全、可信賴”的國際網絡空間,並將綜合利用外交、防務等手段來實現此目標。對於任何***網絡空間的敵對行動,美國將其視同於威脅美國國家安全行爲,運用軍事力量予以回擊,並保留使用包括外交、情報、軍事以及經濟上一切必要手段的合理權利。”
從上述戰略舉措可以看出,美國政府在網絡空間安全方面的總意圖就是:確立霸主地位,制定規則,謀求優勢,控制世界。
記者:爲了有效防範和應對信息化帶來的各種風險與挑戰,早在2003年,《×××關於加強信息安全保障工作的意見》(以下簡稱27號文件)就明確提出了加強信息安全保障工作的總體要求,請您介紹一下我國信息安全保障體系建設的基本架構。
沈昌祥:27號文件中關於加強信息安全保障工作的總體要求是:堅持積極防禦、綜合防範的方針,全面提高信息安全防護能力,重點保障基礎信息網絡和重要信息系統安全,創建安全健康的網絡環境,保障和促進信息化發展,保護公衆利益,維護國家安全。落實這一總體要求的核心關鍵是建立健全“積極防禦、綜合防範”的信息安全保障體系。這是一個複雜的系統工程,其基本架構可概括爲“四個層面、兩個支撐、一個確保”。
“四個層面”包括,一是加強信息安全平臺及基礎設施建設。要建立安全事件應急響應中心、數據備份和災難恢復設施,發揮密碼在保障體系中的基礎和核心作用,加強密碼基礎設施(KMI/PKI)建設。二是強化國家信息安全技術防護體系。要採用先進技術手段,確保網絡和電信傳輸、應用區域邊界、應用環境等環節的安全,既能防外部***,又能防內部作案。三是完善國家信息安全組織管理體系。要強化管理機構的職能,建立高效能的、職責分工明確的行政管理和業務組織體系,加強國家信息安全保障的綜合協調工作。四是建立信息安全法制體系。要確立信息化領域法規框架,做到有法可依,有法必依。“兩個支撐”包括,一是確定國家信息安全經費支持規劃,明確信息安全保障體系建設經費佔信息化經費的比例。二是確立信息安全人才教育和培訓體系,把信息安全列爲一級學科,進行學歷教育,除培養大批高質量的專門人才外,還須進行社會化的培訓和普及教育,以提高全民的信息安全素質。“一個確保”是指確保國家關鍵信息基礎設施的安全運行。
記者:您對構建我國信息安全保障體系,加強網絡空間安全有何建議?
沈昌祥:一是完善我國網絡空間安全戰略,強化我國網絡空間主權。要加快研究制定新時期我國全面的網絡空間安全國家戰略,明確我國網絡空間安全戰略的國際地位,旗幟鮮明地提出網絡空間的主權特性,將重要信息系統、基礎信息網絡、重要工業控制系統作爲我國網絡安全的重點領域。
二是加強網絡空間能力建設,提高我國網絡空間國際競爭能力。要加大技術創新投入,加強高端核心路由器、服務器、操作系統、數據庫等核心技術與產品的研發支持能力,採用具有自主知識產權的產品與設備,在基礎技術與關鍵產品上做到安全可控。要加強網絡安全人才培養與隊伍建設,針對國家整體上缺乏信息安全人才以及信息安全教學和學科建設不夠健全的情況下,應採取特殊措施,加大培養力度,不拘一格選人才和挖人才,同時要採取有力的措施留住人才。
三是加快網絡空間安全立法進程,保護國家網絡信息資源。要加快完善與我國國情相適應的網絡安全法律法規;加緊制定關於網絡空間資源權屬和知識產權保護、國家基礎設施保護、政府信息系統安全保護相關的法律法規。
四是堅持縱深防禦戰略,建立牢固的網絡防護體系。要克服常規的網絡封堵、打補丁的被動局面,實施人、技術、管理一體化的縱深防禦,控制源頭,內外兼防,提高自身防護能力。