邵国安:维护国家网络空间安全急需解决的问题探讨 作者:国家信息中心/邵国安

编者按:攻防对抗、螺旋上升是网络空间安全领域的典型特征,被动防御的网络安全保障难以适应复杂的网络安全态势发展进程。面对当前中国存在的诸多网络安全问题,形成基于行为、主动探测、主动发现并及时消除威胁隐患的能力,应成为国家网络安全战略重点关注的信息化工程。需要以清晰的战略目标、明确的实现途径、具体的措施方法来扎实推动,为实现网络强国目标提供安全支撑。

自2010年美国发布《网络安全综合计划(CNCI)》计划以来,各国均在制定各自的网络安全战略及行动计划,以应对日趋复杂的网络环境。网络安全是一个复杂问题,需要运用系统工程的方法论来思考和解决问题,降低网络空间风险也需要有一个全面的国家网络空间的安全战略来有效应对。面对来自全球黑客、组织、敌对势力及国家间的网络攻击,我们国家既是“重灾区”,又是被无端指控攻击别国较多的国家之一,从一个侧面也反映出我们国家在网络安全防御、技术水平等方面存在差距和问题,也反映出从国家网络安全战略、观念上的缺失。在连续两届的RSA大会上,大会主席阿米特·约伦(Amit Yoran)发出安全行业需要“根本性变革”的同样呼吁。

一、国家网络安全现状与紧迫问题

保障网络安全是攻与防不断演进的一个动态过程,不受时间、空间、地域的限制,网络安全与业务应用系统共生存,贯穿于整个信息系统生命周期内,并时刻处于网络空间攻与防对抗演进的状态,只要你的服务器和终端还连在网络上,你的信息系统和数据就处在风险之中。网络安全就其本质是一种对抗,是个人、组织和国家之间在网络空间上的对抗。我们国家目前的安全保障基本是基于防御,以特征为主,辅以定期检查、风险评估。而不是实时的检测、预警、控制、事件共享、及时处置和事件评估。今年RSA大会主席阿米特发表“睡者醒来”的主题演讲,认为“安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。在这方面我们国家应该从主管领导、行业协会、研究机构、用户及企业开始转变观念,从基于特征为主的安全防御转变为基于行为的实时检测、预警和控制,区分与国家安全相关的网络和重要信息系统并给予重点保护。

目前我们国家在网络空间上的问题很多,有来自全球的各类网络攻击,各类的病毒木马、数据泄露、系统漏洞等,更为严重的是安全意识淡薄、思想观念落后、厂商急功近利给系统和数据带来的风险,在一定程度上危及国家安全。安全产品基本是市场驱动和问题驱动的产物,市场需要什么就能生产什么,少有基于行为、主动检测、主动发现隐患、关联分析并真正解决问题的公司,有的只是目光短浅,看重当前利益,以跟踪项目、卖出产品为目的公司,这也是目前我们国家应对网络攻击能力弱,发现取证及溯源定位难,苦于应付的原因。另外,与国家缺乏网络安全总体战略目标、主要任务,缺少政策引导也有一定关系。

网络攻击很少是孤立事件,寻找漏洞的作恶者通常要抢在开发者和安全人员做出响应前,尽最大可能地利用漏洞获利。因此,共享关于威胁、漏洞和其他实时事件的知识和经验,会给整个行业都带来益处。而安全事件的共享在我国更是困难,发生网络攻击并产生后果的事件,很少有主动上报,共享知识和经验,并评估损失,尤其缺少国家层面和行业层面的多部门参加的调查、评估、协调和总结。

二、国家网络空间安全战略实现路径

我国是一个网络大国,成为网络强国应该是我们国家网络安全的战略。那么,如何才能成为网络强国?需要多少时间?具备哪些条件才能说我们国家距离网络强国不远了?下面从以下几个方面来描述。

(一)战略目标:国家的关键信息基础设施应具备实时检测发现来自全球的网络攻击行为和主动发现系统漏洞的监控能力;具备溯源、定位、处置及评估的能力;具备持续学习、人才发现和攻击的能力;具备跨行业、跨部门的信息共享和对信息安全事件预测预警、态势感知的能力。

(二)实现这一战略目标的路径分为三个层面:其一是构建安全防御体系;其二是确保网络空间安全,奠定长治久安的基础;其三是塑造未来环境,强化网络优势,应对新的威胁。这三者之间相互关联,相互促进,共同构建一个网络强国。

1. 构建安全防御体系:区别对待互联网安全与国家关键信息基础设施的安全要求,明确责任和边界,从互联网安全、基础网络安全和网际安全入手,重点关注国家关键信息基础设施的安全,在这方面我们国家所欠缺的是网际安全和基于行为的实时分析检测溯源的能力。

2. 网络空间安全:建议从底层数据获取开始,加强分析和态势感知及信息共享的能力;提升涉密网络的安全保障,制定网络攻击和反间谍计划;制定各级管理人员、专业人员及公众培训计划,建立发现专业人才的国家机制,充实到研究机构、厂商及国家关键信息基础设施的单位。

3. 塑造未来环境,应对新的威胁:应依据战略目标制订前瞻技术、研发策略和计划,建立持久威慑力的策略和计划,管控供应链的安全风险及加强安全审查制度。

为实现国家网络安全的战略目标,需要改变现有陈旧观念和意识,加强组织监督,从政策框架、计划预算到组织落实抓起,通过“十三五”和“十四五”的努力,逐步落实战略目标,我们国家才能真正地从网络大国迈向网络强国。

三、抓住国家网络空间安全战略重点

网络安全是实现网络强国的重要组成部分,一个在网络安全无所作为的国家不可能成为一个网络强国。我们国家的《网络安全法》已进入立法程序,即将实施。安全和方便是一双矛盾的统一体,需要找到一个平衡点,既没有绝对的安全,也不存在没有安全的方便。因此首先必须能够保护自己的网络免遭攻击,如果安全措施失败也要能够迅速恢复业务,保证业务的可持续性。实时在其网络中检测到恶意活动征兆,有快速反应能力消除或缓解弱点,保护网络和系统安全是我们需要做的第一步。

从国家安全的角度来看,国家主管部门组织制定网络安全的发展战略是保证实施、引导和保证国家网络安全的根本,必须给予高度重视。今年是“十三五”的开局之年,制定我们国家网络安全发展战略,逐步落实各项与国家安全相关的网络安全事项,首先应落实党政机关网络、国家关键信息基础设施,如金融、水电气热、民航、铁路、交通及关系国计民生工业控制信息系统等的安全。

2015年以来,以美国为代表的西方各国相继发布各自的网络安全发展战略。美国继CNCI计划,又推出了《国防部网络战略》、《网络空间安全信息共享法》(CISA)、《网络安全国家行动计划》(CNAP)和《网络威慑战略》等文件。俄罗斯发布的《俄联邦信息安全学说》将于2016年出版,并取代2000年发布的旧版本等。各国均进一步把网络安全作为国家安全的重要组成部分给予明确细化,并指出重点研究发展和目标,捍卫国家主权。建议我们国家尽快组织制定国家网络安全发展战略,通过各种渠道沿着战略目标逐步落实,相信在不远将来,一定能实现网络强国的梦想。


2016-09-20 11:22
来源:中国信息安全杂志(2016.09)
热门推荐更多
热点新闻更多