近日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开网络安全和信息化工作座谈会并发表重要讲话。
习近平指出,要树立正确的“网络安全观”,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全“防御能力和威慑能力”。
天津师范大学计算机与信息工程学院物联网工程系主任花季伟告诉《法制日报》记者,构建关键信息基础设施安全保障体系,保障关键信息基础设施的安全,是国家信息安全战略中最为重要的内容,这与人们日常生活对网络关键基础设施的强烈依赖密不可分。
关键信息基础设施涉及诸多领域
随着信息通信技术的革命性进展,云计算、大数据等新事物改变着人类的生活方式,政务、经济、金融、电信等基础设施的正常运转越来越依靠信息基础设施。关键信息基础设施作为关键基础设施的衍生概念应运而生。
2014年2月27日召开的中央网络安全和信息化领导小组第一次会议中提到,建设网络强国,要有良好的信息基础设施,形成实力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。关键信息基础设施涉及的重点领域包括政府、银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业,涉及城市轨道交通、供水供气供热等市政领域。
2015年6月,全国人大常委会曾初次审议了《中华人民共和国网络安全法(草案)》,草案明确了关键信息基础设施范围,包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。
中国科学院信息工程研究所研究员、信息安全国家重点实验室主任林东岱说:“关键信息基础设施包括电力系统、通信系统、银行系统、交通系统等对国民经济起关键作用的、产生巨大影响的设施。”
“关键信息基础设施一般是指涉及电信、广电、金融、电力、能源、民航、交通、政府、国防等一系列国家系统,支持承载国计民生的主要公共环境。”花季伟说,信息空间目前已经成为领土、领海、领空之外的“第四空间”,是国家主权延伸的新疆域,作为一个正在崛起的发展中大国,信息空间已经成为我们国家和社会的“中枢神经”,其战略地位日益重要。而关键信息基础设施的范围涵盖了涉及国家安全、经济安全和保障民生等领域。
关键信息基础设施安全至关重要
国家互联网应急中心(以下简称“CNCERT”)4月21日发布的《2015年我国互联网网络安全态势综述》指出,2015年国家信息安全漏洞共享平台共收录安全漏洞8080个,较2014年减少11.8%,但高危漏洞收录数量较2014年增长21.5%,漏洞风险依然较大。
据统计,2015年被植入后门的中国网站数量达到75028个,比2014年增加了86.7%,其中政府网站3514个,比2014年增加130%。有3.1万多个境外IP地址通过植入后门对境内6.0万余个网站实施远程控制,境外控制端IP地址和所控制境内网站数量分别比2014年增加63%和82%,其中位于美国的4361个IP地址通过植入后门控制了我国境内11245个网站,入侵网站数量居首位。
花季伟说:“随着社会经济技术的发展,网络已经渗透到国民经济的各个角落,带来的直接结果就是关键信息基础设施安全运行将直接影响网络的安全运行。”
花季伟表示,构建关键信息基础设施安全保障体系是国家安全的重要组成部分,它直接影响着我国的政治安全,目前信息技术已经成为敌对势力对我国实施阴谋颠覆的重要手段。同时,由于银行、保险、税务、证券、海关、铁路、电力、民航等关键部门都已实现信息化,一旦关键信息基础设施安全出现问题,将使我国经济受到重创。
花季伟介绍,构建关键信息基础设施安全保障体系不仅对国家安全至关重要,对公民个人利益和公众利益也息息相关。网络诈骗、网络传播淫秽色情、网络赌博、网络攻击、网络病毒等网络违法犯罪活动日益增多,相对于传统犯罪,其危害面更广,也更加难以追踪。
“保障关键信息基础设施安全是一个很重要的问题,关键信息基础设施安全是网络安全的一部分,会影响到国计民生、社会稳定,甚至国家安全。”林东岱说,世界的信息化程度越高,社会就越脆弱,信息技术已应用于社会的方方面面,包括重大基础设施、智能电网、通信设施、高铁等,这些设施一旦出问题会对整个国民经济产生巨大影响。比如,若电网出了问题,就会导致国民经济瘫痪,甚至影响核电设施;若有战争,只要从网上攻击关键信息基础设施,国民经济就会陷入混乱。
关键信息基础设施面临五大问题
关键信息基础设施的“关键”是指这些设施一旦遭到破坏,会对国家安全、经济稳定和公众安全产生严重影响。由此,保障关键信息基础设施安全的重要性不言而喻。
林东岱说,国家对保障关键信息基础设施安全非常重视,我们每个人也要意识到信息安全的重要性,安全不是靠别人,是要靠自己,我们要有自己可控的软硬件系统。芯片、系统、网络是一个体系,在各个环节中有一个漏洞,整个体系就有漏洞,这与短板理论一个道理。
林东岱介绍,关键信息基础设施安全面临的问题主要在五个层面:物理方面,我国网络安全形式很严峻,很多硬件不能自主可控,国外产品有漏洞或安全问题我们不了解;系统方面,计算机操作系统几乎都不是我国自己的,我们很难撑握其中的安全问题;技术方面,从基础到创新到核心技术要都能自己做下来,靠别人告诉你这项技术有漏洞是很不可靠的,所以要强调自主创新;人才培养方面,所有竞争归结起来是人才的竞争,所以要用不同的形式引进人才,培养人才;法律法规方面,要制定相关的法律法规对相关事项予以明确。
林东岱认为,关键词在“自主可控”四个字。“设备都是人家生产的,而且咱们掌控不了,这是保障国家信息安全的核心问题,是我们要努力克服的问题”。
“此外,人们的安全意识和安全素质也有待提高。毕竟这个体系归根结底还是人才的体系,即:人、法律、技术相辅相成。”林东岱说,目前最该做的还有安全性评估。盲目的防护性措施用多了并不代表没有漏洞,系统安全性评估亟需建立起来。
如何保障关键信息基础设施安全
近年来,党和国家高度重视网络安全工作,在总体国家安全观的大背景下,关键信息基础设施的安全显得尤为重要。
对此,花季伟说:“只有安全可靠的关键信息基础设施才能使网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,保证网络服务不中断,进而保障国民经济的正常运转。”
对于如何保障关键信息基础设施安全,花季伟从七个方面提出了建议。
“第一是实行信息安全等级保护。信息安全等级保护制度是国家信息安全保障工作的基本制度,是国家通过统一的信息安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护。”花季伟说,第二要开展信息安全风险评估。信息安全风险评估是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的防护对策和整改措施。我国要在关键信息基础设施上,通过开展风险评估工作,运用专门的技术和设备检测、发现可能存在的后门和漏洞,这是十分必要的安全防范措施。
花季伟提出的第三个建议是加强安全技术应用。“信息安全是高技术的对抗,加强信息安全技术研发,推进信息安全产业发展是我国构建关键信息基础设施安全保障体系的核心要素”。
建设网络信任体系是花季伟提出的第四个建议。“网络信任体系是信息安全保障体系的重要组成部分,是国家的重要信息安全基础设施,目前已经成为我国信息化发展的迫切需要,这是构建关键信息基础设施安全保障体系的重要保障”。
“第五个方面,应高度重视应急处理工作。关键信息基础设施安全建设要充分考虑抗毁与灾难恢复,制定应急处理预案,加强信息安全应急支援建设,提高信息安全应急响应能力。”花季伟说,第六个方面是加强法律建设和标准化建设。面对信息安全建设中出现的新问题、新情况,要及时调整和修订现有信息安全法律、法规,建立和完善信息安全法律制度,明确社会各方面保障信息安全的责任和义务。
“最后一点,要加快安全人才培养,增强全民信息安全意识。”花季伟说,信息安全人才是信息安全健康、良性发展的关键,构建关键信息基础设施安全保障体系必须有一批高素质的信息安全管理和技术人才。同时加强对各级领导干部的信息安全教育和法律法规教育,开展全社会特别是对青少年的信息安全教育,增强全民信息安全意识。
“从这七方面考虑构建关键信息基础设施安全保障体系,才能够全天候全方位感知网络安全态势,从而增强网络安全‘防御能力和威慑能力’。”花季伟说。