工業和信息化部軟件與集成電路促進中心主任、中國開源軟件推進聯盟主席邱善勤近期在接受人民網專訪時指出,沒有網絡安全,國家安全將無從談起。他認為,要應對日趨復雜多樣的網絡空間威脅,需要國家意志推動,從戰略高度角度集中各方面力量、協調各應用部門加快提升信息安全保障能力。
邱善勤指出,從技術層面看,中國網絡信息安全面臨巨大威脅,安全隱患較大。目前,我國關鍵信息系統主要面臨設備被控、數據被竊及業務被癱三類威脅。僅在2012年,中國被境外控制的計算機就達1420余萬臺,其中涉及金融、交通、能源等多個關鍵部門。侵入信息系統基礎設施如服務器、存儲,即可盜取關鍵業務情報,甚至癱瘓核心業務,影響國家機器正常運轉。
邱善勤提到,我國通信網絡核心基礎設施、網絡核心設備(路由器、交換機)、黨政軍機關信息系統、關系國計民生重要領域(如銀行、交通、商業、電力等)的信息系統大多基于國外基礎軟硬件,被滲透、被控制的安全風險嚴峻,安全可控信息技術和產品的支撐能力嚴重不足,信息安全被動、被控的不利局面沒有徹底改觀,網絡安全乃至國家安全受到嚴重威脅。在美國“八大金剛”面前,我國的信息化應用系統幾乎是“裸奔”狀況。
中國如何才能真正解決網絡安全問題?邱善勤建議,一是加快構建國家網絡空間戰略頂層設計。中國首先應該構建國家級網絡空間戰略,提出自己的頂層設計,以應對網絡空間日趨復雜的形式。二是大力發展安全可靠信息網絡安全產業,推動信息安全產業向體系化、規模化、特色化、高端化方向發展。三是加強網絡空間對抗實戰演練,鍛煉和展示我國的網絡空間綜合實力,發揮戰略威懾的作用。四是構建全方位支撐保障。國家應該從網絡管制立法、產業政策制定、創新能力建設、骨干企業培育等方面共同發力,為維護中國的網絡安全提供宏觀指導和全方位支撐保障。
記者:中國政府對網絡安全問題給予了很高的重視,在互聯網時代,網絡安全問題會對國家安全形成什么樣的影響?
邱善勤:在中央網絡安全和信息化領導小組第一次會議上,習近平總書記提出“沒有網絡安全就沒有國家安全”的重要論斷,將網絡安全上升到國家安全的高度。網絡作為信息交付手段,承載了海量的信息,涉及社會生產、生活、管理等諸多方面。在互聯網時代,整個經濟社會的運行越來越依賴于網絡。2013年我國網民數達6.81億,互聯網普及率達到45.8%,互聯網已經成為人們不可或缺的生活方式;同時,現在互聯網已成為國內外敵對勢力對我國進行進攻和滲透的重要渠道,互聯網已經嵌入到了國家經濟政治文化的各個方面,關乎社會的穩定和國家的安全。因此,無論是國家的強大還是人民生活水平的改善與提高都離不開安全可控、優質高效的網絡,沒有網絡安全,國家安全也就無從談起。
記者:中國如何才能真正解決網絡安全問題?中國是否有能力達到這個目標?
邱善勤:當前,信息網絡普及程度的提高使得信息安全管理的范圍大幅拓展,網絡空間環境面臨的威脅、攻擊手段日益復雜和多樣,國家間大規模的信息網絡攻擊已經成為常態。傳統單一功能的網絡信息安全技術和產品已不足以滿足新形勢下安全防護的需求。應對日趨復雜多樣的網絡空間威脅,需要國家意志推動,從戰略高度角度集中各方面力量、協調各應用部門加快提升信息安全保障能力。要將多種網絡信息安全技術產品和系統平臺有機集成,構建完整、聯動、可信、快速響應的綜合防護系統,提高主動化網絡安全防護能力。要在管理體系、技術創新、應用推廣、網絡立法、宣傳引導、國際合作等多方面共同發力,形成全社會提升網絡信息安全保障能力的合力。
在諸多因素中,我認為加強網絡安全保障關鍵技術以及自主可控關鍵軟硬件技術支撐能力建設是解決網絡安全問題的根本。為此,我們建議要加大對互聯網安全保障基礎技術研發的資金投入,提供專項資金用于網絡安全核心技術的研發。大力扶持具有較強創新能力的企業、高校和科研單位加強網絡信息安全技術原始創新。要著力發展自主可控、安全可靠的關鍵軟硬件產業,開發并推廣應用具有自主知識產權的信息安全技術和產品,盡快形成我國獨立自主的網絡安全技術和產品體系。加快安全可靠國產關鍵軟硬件應用推廣,分階段在國防、軍工、政府、公安、金融、電信、能源等關鍵領域完成國產化信息安全產品的替換遷移工作。現階段,還應重點提升云計算、大數據等新技術新應用環境下的網絡信息安全水平。
從支撐網絡安全的相關技術和產品來看,我國經過這幾年的發展,已經取得了一些成績。例如,我國自主可控高端服務器、路由器、交換機、高性能存儲、國產基礎軟件集成應用方案在金融、電信、能源等國民經濟重要行業的應用已經取得突破,通信網絡設備國產化率已達到44.79%。數據采集監控和分布式控制等重要工業控制系統國產品牌占比超過50%。這為我們解決網絡安全問題打下了良好的技術和產業基礎。但是我們的網絡安全保障能力和技術產業支撐能力離習總書記提出的“技術先進、產業領先、安全可靠、自主可控、不受制于人”的目標還有較大差距。即使技術問題解決了,還有網絡立法、監督管理、國際競爭等棘手問題需要解決。從目前情況來看,我感覺像中國這樣的發展中國家還沒有足夠能力應對大范圍互聯網攻擊,對網絡犯罪仍然缺乏有效的手段。國際合作的缺乏會為犯罪分子形成“避風港”,促使其利用法律漏洞和發展中國家缺乏的強有力的安全措施進行網絡犯罪。
當然,要徹底解決網絡安全問題不是一朝一夕之事。隨著我國網絡和信息技術和產業支撐能力的不斷增強,黨中央對國家網絡安全重視程度的日益重視,以及網絡安全立法以及管理保障能力的逐步提升,只要政府、業界、社會共同努力,我相信,中國人完全有能力解決網絡安全問題,捍衛自身的網絡領土安全。
記者:在自主、可控技術還沒有完全建成之前,我們應該采取什么樣的措施最大可能地維護中國的網絡安全?
邱善勤:一是加快構建國家網絡空間戰略頂層設計。美、英、法、 德、俄等主要國家都已制定了網絡空間安全戰略,把網絡空間安全提升到了國家安全戰略高度。目前,已有50余國家發布網絡安全戰略。在網絡空間戰略級博弈的大背景下,中國首先應該構建國家級網絡空間戰略,提出自己的頂層設計,以應對網絡空間日趨復雜的形式。
二是大力發展安全可靠信息網絡安全產業。以提升對國家信息網絡安全保障的支撐能力為目標,以保障基礎信息網絡安全和重要信息系統安全為中心,按照“安全可控、創新發展、應用牽引、環境營造”的原則,推進技術產品創新、應用和服務模式創新,積極培育骨干企業, 加快發展特色中小企業,構建產業鏈完整、分工合理的產業體系,推動信息安全產業向體系化、規模化、特色化、高端化方向發展,做大做強信息安全產業。
三是加強網絡空間對抗實戰演練。組織實施國家級的網絡戰演習,有國家相關強力部門、關鍵基礎設施機構和部委、國營和民營技術企業、院校科研團隊和民間技術力量共同參加;這樣的演習將真正鍛煉和展示我國的網絡空間綜合實力,并起到戰略威懾的作用。
四是構建全方位支撐保障。國家應該從網絡管制立法、產業政策制定、創新能力建設、骨干企業培育、應用示范推廣、標準體系建設、產品規范認證、人才隊伍建設、宣傳交流合作等方面共同發力,為維護中國的網絡安全提供宏觀指導和全方位支撐保障。
記者:中國下決心要維護網絡安全,對中國企業而言,是機遇也是挑戰,您覺得他們應該如何抓住這次機會?
邱善勤:對于中國企業來說,的確是一次難得的機遇。
一是要修煉內功、提升核心競爭力。國產化將成國內信息安全行業未來發展主旋律。我國將在產業政策、搭建聯盟、政府采購、應用示范等多個環節發力,國產基礎軟件、國產CPU、服務器整機、桌面終端及應用、網絡設備、存儲產品、網絡安全、集成服務等企業將迎來歷史性發展新機遇。企業掌握自主可靠核心技術、形成產業化能力和服務能力,才能緊跟信息安全產品國產化的步伐,有望迎來大發展。
二是要提升國產軟硬件的系統集成能力和標準化水平。在中央和各級地方政府持續給予政策、資金支持的同時,企業需發揮主體作用,推動提升國產軟硬件的系統集成能力,通過聯合攻關、試點示范等多種應用推廣有效手段,提高集成應用的適配性、兼容性和互操作性。同時,以骨干基礎企業為龍頭建立技術聯盟、標準聯盟和應用推進聯盟,實現聯合創新和應用推廣。進一步完善國產化相關技術、產品和服務的標準化體系。
記者:從技術層面來看,中國網絡安全嗎?在網絡安全維護方面,中國還存在什么樣的短板?
邱善勤:首先,首先,我們認為從技術層面看,中國網絡信息安全面臨巨大較大威脅,安全隱患較大。我國關鍵信息系統主要面臨設備被控、數據被竊及業務被癱三類威脅。例如,僅2012年中國被境外控制的計算機就達1420余萬臺,其中涉及金融、交通、能源等多個關鍵部門。侵入信息系統基礎設施如服務器、存儲,即可盜取關鍵業務情報,甚至癱瘓核心業務,影響國家機器正常運轉。
設備被控:主要通過利用系統后門、漏洞、木馬、病毒,及系統管理維護之便,取得設備控制權,甚至作為跳板,繼續攻擊其他目標。
從硬件方面看,國外某些設備硬件板卡上存在后門或漏洞,并預留隱蔽數據通道及控制方法,TAO(美國龐大的電子竊聽監控機構,NSA成立的名為“獲取特定情報行動辦公室”Office of Tailored Access Operations)可用于盜取數據、癱瘓業務。
在操作系統層面,預留超級用戶賬號、預留系統遠程控制端口及命令、預設定時或條件觸發的系統程序、惡意的系統行為記錄器等。例如以高品質的文件、堅持開放程式碼以及嚴格的軟體授權著名的OpenBSD操作系統的創始人希歐?德若特自己爆料稱,他們所提供的OpenBSD網絡數據安全加密協議可能早在10年前就為美國聯邦調查局(FBI)預留了 “后門”。
從運維服務方面看,主機系統封閉、復雜、維護技術難度大,并且不對外公開技術細節,只能廠商自行維護管理。在系統日常升級委會過程中,TAO可以非法注入惡意代碼,并盜取數據。2007年國家某重要經濟部門就曾經因為主機遠程升級系統而發生數據丟失導致泄密事件。
數據被竊:監控、竊取數據后發送回后臺數據庫,從而導致國家機密數據被竊,危害巨大。
當主機系統出現故障之后,工程師維護過程中信息安全難以掌控,攻擊者可利用現場維護私自拷貝數據、利用更換下的部件進行數據恢復、部署軟件過程中安裝木馬或設置觸發后門、篡改參數等行為。
業務被癱:使金融、電信、能源、交通等關系國計民生的核心業務系統癱瘓,繼而影響國家機器正常運轉。
導致業務癱瘓主要有三種,一是利用中間層攻擊,癱瘓公網系統。二是利用擺渡攻擊,癱瘓內網系統。三是利用軟件漏洞,癱瘓主機系統。
其次,在網絡安全維護方面,中國的確存在一些短板。從網絡競爭環境來看。近年來,西方國家對我國的網絡遏制的進一步加強,西方國家一直試圖惡化我國國際環境,將我國樹為國際社會在網絡安全領域的公敵,大肆宣傳“中國網絡威脅論”。同時,西方國家通過多種形式打造網絡同盟,試圖在我國周邊構建網絡空間包圍圈,給我國網絡安全維護帶來了不利因素。從技術、產品和系統支撐情況來看。我國網絡和信息安全發展過程中信息技術和產品受制于人的問題日益突出。我國通信網絡核心基礎設施、網絡核心設備(路由器、交換機)、黨政軍機關信息系統、關系國計民生重要領域(如銀行、交通、商業、電力等)的信息系統大多基于國外基礎軟硬件,被滲透、被控制的安全風險嚴峻,安全可控信息技術和產品的支撐能力嚴重不足,信息安全被動、被控的不利局面沒有徹底改觀,網絡安全乃至國家安全受到嚴重威脅。在美國“八大金剛”面前,我國的信息化應用系統幾乎是“裸奔”狀況。我們認為,國家之間的爭論既是意識形態的交鋒,更是經濟發展遏制與反遏制的較量。我們必須要在關鍵應用領域中采用國產自主可控設備,從硬件邏輯、軟件源代碼及系統運維層面實現自主可控,克服發展短板,消除國外設備存在的安全隱患,從根本上解決信息安全威脅。
京公網安備 11010502049343號