當前,網絡攻擊、信息泄露等網絡安全事件頻發,國家級網絡對抗也不斷出現,我國面臨嚴峻的信息安全形勢。據統計,僅2013年,我國因網絡釣魚受騙的網民達6000多萬,經濟損失超過300億元。當年受各類網絡犯罪侵害的人數超過2.57億人次,經濟損失達人民幣2890億元。
新世紀以來,我國在信息安全技術方面取得了較大的進展,特別是密碼技術、基礎網絡安全技術等方面取得了一定的突破,但仍有大量技術存在空缺。信息安全技術是維護國家信息安全、保障網絡空間健康發展的基礎,無論是國家間的網絡戰對抗還是與網絡犯罪分子做斗爭,都需要強大的技術能力做支撐。
面臨五大短板
第一大短板:核心技術受制于人。
從“棱鏡門”事件可以看出,信息安全問題的根源其實在于網絡和信息技術的底層,而我國在相關核心技術方面仍受制于西方發達國家。
一是網絡和通信協議。協議和標準是互聯網的骨架,是最核心的技術,而只有掌握核心的協議和標準,才能了解互聯網運作的原理,認清網絡空間可能存在的信息安全隱患,而我國當前在網絡和通信協議方面參與較少,研究也往往流于表面,成果較少。
二是基礎信息技術產品。依托相關協議和標準開發的基礎信息技術產品,如操作系統、芯片和基礎網絡設施等,是互聯網運作的基礎,我國已經研發了一系列自主操作系統、數據庫和芯片,以及建設根域名鏡像服務器等,但由于產業生態被控制,在技術先進性和可用性方面與西方發達國家還有較大差距,部分核心元器件、專用芯片、操作系統和大型應用軟件等自主可控能力較低。
特別是關鍵芯片、核心軟件和部件嚴重依賴進口,銀行、民航、電力、鐵路、工業控制、裝備制造等國民經濟重要部門70%以上信息設備來自國外,給國家信息安全帶來嚴重隱患。
三是密碼技術。密碼理論和技術是互聯網安全機制的核心,是保障網絡與信息安全的重要技術,我國當前已經取得一定的突破,如我國自主公鑰密碼算法SM2的廣泛推廣應用,但總體還是在西方密碼體系基礎上發展而來。
第二大短板:關鍵技術不成體系。
當前網絡空間沖突不斷,這種直接交鋒則主要依靠態勢感知、網絡攻擊、網絡防御等關鍵技術,目前我國在部分技術上還存在缺項,尚未形成技術體系。
在網絡攻擊方面,我國尚未形成具威懾力的網絡武器,而美、俄、印、英、日等國家都將病毒武器列入作戰武器名單,美研究人員已經提出“網絡數字大炮”概念,在網絡空間具備類似核武器的威懾力。
在網絡防御方面,我國整體實力仍較薄弱,雖然國內信息安全企業在部分領域取得了突破,在低端網絡安全產品方面占據了一定優勢,但在高端網絡安全產品和服務方面仍無法打破國外企業的壟斷。
在態勢感知方面,國家層面的威勢感知平臺等仍未建立,技術能力與國外有較大差距,“棱鏡門”等事件中對我國的網絡攻擊事件,均不是由我國自主發現。
第三大短板:產業支撐能力不足。
我國信息安全產業規模和企業實力仍遠遠落后于西方發達國家,難以有效支撐國家信息安全需求。
一是缺少信息安全龍頭企業,同質化競爭嚴重。我國信息安全企業數量較多,保持在1000家左右,但規模超過10億元的屈指可數,雖然百度、騰訊、阿里等大型互聯網公司開始介入安全產業,但其仍集中于保障自身安全,且企業間的爭斗不斷,能與國外賽門鐵克、IBM等企業競爭的基本沒有,國外動輒幾億到十幾億美元的并購也很少在國內看到。
二是信息安全企業創新不足。國內信息安全產業經過十多年的發展,排名在前的企業仍是啟明星辰、綠盟等幾家,產品和服務也缺少創新,新興的信息企業很少能發展起來,而國外新興的“火眼”等企業則能夠迅速發展起來。
三是信息安全業務水平差距大。當前信息安全需求已逐漸從單一信息安全技術產品轉向能夠面向行業的解決個性化需求的信息安全整體解決方案,我國信息安全企業仍集中在防火墻、入侵檢測、入侵防御等單點技術產品上,綜合性信息安全技術發展仍處于較低水平。相比而言,國外則有雷神、BAE等國防提供商提供信息安全服務。
第四大短板:技術管理制度不完善。
我國雖然已經推出了信息安全技術產品強制認證制度,并出臺了相應的標準,但是在制度完備性和操作規范性方面仍存在較大問題。
一是相關制度不完備。我們當前的強制性認證主要針對防火墻、入侵檢測等信息安全產品,但信息安全是一個綜合性問題,信息系統自身的基礎軟硬件等技術產品的安全性、整體信息安全防護體系的可靠性等都會影響到信息安全,我國目前缺少針對關鍵信息技術產品和信息安全綜合解決方案的審查制度。
二是國內相關標準制度實施不嚴格。由于核心技術受制于人,經常出現采購的產品只能選國外廠商,而國外廠商不接受審查的情況,這不僅影響了相關標準制度的權威性,而且側面打壓了國內廠商。本文來源:瞭望觀察網
三是缺少管理手段。當前我國在信息安全檢測技術方面仍存在較大空白,如缺少針對處理器安全性檢測的技術等,執行信息安全檢測的機構需要從國外采購相關設備,甚至缺少相應的檢測能力,這都導致標準制度無法落實。
第五大短板:技術發展環境有待改善。
我國當前在技術創新、產業發展等方面仍存在諸多弊端,限制了信息安全技術產業的快速發展。
一是信息技術產品發展受制于西方發達國家。西方國家在技術思路、標準協議、核心技術、產品服務方面都處于主導地位,我國在技術產業發展過程中
一直處于“跟隨者”角色,只能采取以資源和環境換技術的策略,廣泛引進西方技術和資金。這給我國經濟發展產生較大推動,但卻犧牲了民族企業的自主創新能力,形成“體系性依賴”。
二是西方國家大肆制造技術壁壘。由于我國信息安全技術發展較晚,與西方國家存在較大差距,特別是操作系統、芯片等基礎技術,與國際先進水平存在代差,同時西方國家對我國實施技術禁運政策,從而導致我國相關技術產品難以在市場上與國外產品競爭,這也導致我國大量信息安全技術研發與市場嚴重脫節。
以芯片為例,我國自主研發的龍芯產品,一直沒有形成與之相適應的產品體系,沒有對應的企業來開發相應的驅動程序、開發工具等,整體應用環境不具備,市場前景也較差,很難形成以市場促進研發的良性循環。
三是我國政科不分、政企不分的體制機制嚴重制約了科技創新和產業發展。我國科技創新體制存在主體定位不清、科研經費分配不合理等問題,導致科研人才大量流失,同時我國“泛行政化”的體制嚴重阻礙了科技創新和產業發展。我國科研院所、大型央企等均采取行政化管理,這使得大量科學家、企業家行政化。科研創新應該完全市場化,企業發展也應市場化。
信息安全技術對策建議
其一,健全信息安全技術管理體系。
一是健全國家網絡安全組織架構,強化中央網絡安全和信息化領導小組的統一協調指揮,提高總攬全局的整體規劃能力和高層協調能力,同時明確公安部、保密局、密碼辦、工信部等信息安全各部門的職責;二是強化國家網絡安全管理手段,制定關鍵基礎設施網絡安全保護條例、政府信息安全保護條例等法規;三是提升網絡安全管理能力,不斷提升相關機構的網絡安全檢測能力。
其二,改善信息安全技術自主創新環境。
一是大力支持自主可控信息安全產業的發展,通過資金和其他優惠政策鼓勵有實力的企業介入開發周期長、資金回收慢的信息安全基礎產品,比如安全操作系統和安全芯片等;二是依托高校、研究機構和企業自主創新平臺,加大核心信息技術的投入,嚴格管理研究資金,推動研究成果轉化;三是加強信息安全市場的政策引導,合理利用國際規則,約束國外企業在國內市場的發展,為自主信息安全產品提供更好的生存空間。
其三,加強信息安全技術產品市場規范。
一是啟動核心信息技術產品的信息安全檢查和強制性認證工作,對關鍵領域應用的產品進行源代碼級檢測,將安全產品的強制市場準入制度引入到核心信息技術產品領域;二是加強對國外進口技術、產品和服務的漏洞分析工作,對從事關鍵行業數據搜集和數據分析業務的企業采取備案和黑名單制度;三是建立新興技術的信息安全預警機制,對掌握關鍵領域數據的企業進行管控。
其四,建設自主可控的信息安全生態體系。
一是發揮舉國體制優勢,實現核心技術突破;二是積極推動關鍵信息技術產品的國產化替代,在關系國家安全的重點領域,有序開展國產產品和設備的替代工作;三是推動全產業鏈協同發展。以資本為紐帶實現資源整合及產業融合,加快發展和形成一批掌握關鍵核心技術、創新能力突出、國際競爭力強的跨國企業。
其五,發展結構完整層次分明的信息安全產業。
一是重點培育幾家具有較強信息安全實力的企業,專門為政府、軍隊等提供整體架構設計和集成解決方案,形成解決國家級信息安全問題的承包商,類似于美國的洛克希德·馬丁、波音和雷神公司等企業;二是重點發展一批類似于IBM、微軟、思科等能提供行業解決方案和完整產品線的專業信息安全企業;三是鼓勵發展提供專用、新型技術和產品的獨立信息安全企業,類似于賽門鐵克、RSA(美國加密技術實驗室)等。
京公網安備 11010502049343號