购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第三节
关键信息基础设施安全和自主可控是信息安全的重要方面

党的十八大以来,以习近平同志为核心的党中央,高度重视网络安全和信息化工作,将其提升到前所未有的高度。2014年2月27日中央网络安全和信息化领导小组的成立,标志着我国把信息化和网络信息安全列入了国家发展的最高战略,体现出了国家对信息安全工作的顶层设计和在保障网络安全、维护国家利益、推动信息化发展方面的坚定决心。

2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)实施,标志着中国网络治理的法制化进程进一步推进。《网络安全法》由7个章节、79项条款组成,旨在监管网络安全、保护个人隐私和敏感信息,维护国家的网络空间主权和安全。

(一)保障关键信息基础设施的安全是国家信息安全战略的重要内容

2014年2月27日,中央网络安全和信息化领导小组第一次会议中提出,建设网络强国,要有良好的信息基础设施,形成实力雄厚的信息经济,要完善关键信息基础设施保护等法律法规。其中,关键信息基础设施涉及的重点领域包括政府、银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业,涉及城市轨道交通、供水供气供热等市政领域。其范围涵盖了国家安全、经济安全和保障民生等方面。

人们的日常生活越来越依靠这些关键基础设施的正常运转,信息空间已经成为国家主权的延伸,成为继领土、领海、领空之外的“第四空间”。这些领域也是网络攻击的重要目标。

国家计算机网络应急技术处理协调中心(简称国家互联网应急中心,CNCERT)2018年4月发布了《2017年我国互联网网络安全态势综述》(以下简称《综述》)。2017年,CNCERT抽取1 000余家互联网金融网站进行安全评估检测,发现包括跨站脚本漏洞、SQL注入漏洞等网站高危漏洞400余个,存在严重的用户隐私数据泄露风险;对互联网金融相关的移动APP抽样检测,发现安全漏洞1 000余个,严重威胁互联网金融的数据安全、传输安全等。2017年国家信息安全漏洞共享平台(CNVD)所收录的安全漏洞数量持续走高。2017年较2016年收录安全漏洞数量增长了47.4%,达15 955个,收录安全漏洞数量达到历史新高。其中,高危漏洞收录数量高达5 615个(占35.2%)。

保障关键信息基础设施安全是网络安全的重要组成部分,这直接影响到国计民生、社会稳定,甚至国家安全。因此不少国家都出台了相关法律、法规来保护关键基础设施安全,保护内容涉及国计民生的各个行业,如表1.3所示。

表1.3 国外信息安全保障情况

(续表)

资料来源:公开资料,联盟整理。

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上明确要求,要树立正确的“网络安全观”,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全“防御能力和威慑能力”。2017年6月1日正式实施的《中华人民共和国网络安全法》通过“网络安全等级保护制度”“用户信息保护制度”“关键信息基础设施重点保护制度”三种形式,对网络服务提供者的相关义务和责任做出了规范。法令从国家、行业、运营者三个层面,分别规定了国家职能部门、行业主管部门及运营企业等各相关方在关键信息基础设施安全保护方面的责任与义务。法令还明确了关键信息基础设施安全保护中各方实体的责任义务,推动责权清晰的管理体系建设。其中,关键信息基础设施的运营者应当履行的安全保护义务有如下5项。

(1)设置专门的安全管理机构和安全管理负责人,并对相关负责人和关键岗位的人员进行安全背景审查。

(2)定期对从业人员进行网络安全教育、技术培训和技能考核。

(3)对重要系统和数据库进行容灾备份。

(4)制订网络安全事件应急预案,并定期进行演练。

(5)法律、行政法规规定的其他义务。

(二)自主可控是我国信息安全的核心

信息安全工作有一个“短板理论”,在硬件、系统、网络交织成的信息安全网中,任何环节存在漏洞,整个体系就有漏洞,牵一发而动全身。安全不能靠别人,要靠自己,我们要有自己可控的软硬件系统。

在信息技术领域,我国“自主可控”能力依然很低。目前国内金融、电信、政府等关键领域的信息系统主要依托国外品牌产品构筑,在国家信息安全方面存在着极大威胁。没有自主知识产权的关键技术和产品,就没有自主可控的信息系统。

自主可控既包括CPU、主板、硬盘、电源等硬件产品,也包括操作系统、应用软件等软件产品,还要求在可信计算、安全存储、计算机底层安全防护、虚拟化等关键领域拥有核心技术,做到从产品到解决方案的全面自主可控(如图1.4)。

图1.4 自主可控的三个维度

目前,我国的信息安全工作面临的主要问题有以下三个。

一是自主核心技术产业发展困境不减。我国网络安全形势很严峻,很多硬件不能自主可控,国外产品有漏洞或安全问题我们不了解。近年来,我国自主核心技术产业取得了一定进展,但在技术、产品等方面同国外IT巨头差距依然较大,产业发展困难重重。计算机操作系统几乎都不是我国自己研发的,我们很难掌握其中的安全问题,以“龙芯+国产操作系统+配套应用软件”为核心的“龙芯产业链”模式长期无法建成,无法建立完备的产业生态。

二是部分企业自主可控技术研发动力不足。自主可控技术的研发需要大量人力、物力、财力为保障,国家扶持力度不够或企业研发及市场能力不足。同时,某些大型跨国企业更倾向于对全球资源进行整合而非进行自主可控技术研发,并且由于其主要市场都在国外,全力推行国产化,会导致其海外业务受损,这也在一定程度上削弱了企业研发自主可控技术的积极性。

三是国产化进程遭遇外部阻力。中国银行保险监督管理委员会原计划推进银行业IT安全新规,要求向国内银行出售IT系统设备的企业将源代码送交银监会备案,并在中国设立技术研究或服务中心等。对此,先是美国财政部带头要求中国暂停银行业网络安全新规,之后美国、日本和欧洲的31家商会联名写信给中央网络安全和信息化委员会,表达“强烈担忧”,迫于国外政府和企业的巨大压力,银监会被迫暂缓实施该计划。

(三)存储器自主可控是数据安全的基础

大数据时代的背景下,信息化的建设成为国家战略,数据安全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。

数据安全至少包括两方面含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、数据不可篡改性、双向强身份认证等;二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的保护措施。

威胁数据安全的因素有很多,常见的有:硬盘驱动器损坏、人为失误、黑客、病毒、信息窃取等。随着计算机存储的信息越来越多,而且越来越重要,为防止计算机中的数据意外丢失,一般都采用许多重要的安全防护技术来确保数据的安全。常用和流行的数据安全防护技术有磁盘阵列、数据备份等。

服务器、网络、存储是数据中心的“三大件”,随着我国信息化建设自主可控进程的深入,服务器、网络设备的自主化已经取得阶段性进展。然而,国产自主可控存储技术的发展还存在一定的发展瓶颈,表现为存储架构、CPU和系统软件积累不足,传输协议受制于人、存储介质无法实现专项定制等,严重制约了国产化自主可控存储技术的发展。

为了摆脱信息技术受制于人的局面,从根本上解决计算机及网络信息安全隐患问题,我国加大了相关领域的科研投入,并先后出台了一系列激励政策。其中,信息技术列为《高技术研究发展计划纲要》的重大项目,处理器和操作系统等计算机关键软硬件列入《国家中长期科学和技术发展规划纲要(2006—2020)》中的“核高基”重大科技专项,给予了重点支持。此外,国家制定了《进一步鼓励软件产业和集成电路产业发展的若干政策》《国家集成电路产业发展推进纲要》和中国智能制造发展规划等相关政策与发展规划。

存储技术作为IT基础设施之一,是数据安全的基础。存储领域的自主可控也一直是国家和从业者的努力方向,从存储底层架构突破、从高端存储突破、从存储核心软件突破,中国存储厂商一直在积极尝试,并且积累了一定的核心技术,在部分领域存在突围的可能。

(四)中兴事件为我国信息安全产业敲响了警钟

进入2018年,中美贸易战爆发。美国制裁中国中兴通讯公司的事件极大地震惊了世界,也警醒国人。这一事件凸显了在关键核心技术领域实现自主知识产权的重要性。可以预期,未来中国将加快前沿技术研发和薄弱环节突破,在通信行业中5G技术和高速光电芯片、通信芯片等领域,加速自主核心技术的研发及布局。

2016年4月,习总书记在网络安全和信息化工作座谈会上指出:互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。

存储领域也是如此,我国存储芯片严重依赖进口,年度进口存储芯片的金额曾达680亿美元。国内存储芯片的研发、量产已经取得了一些进展,但总体来看仍处于起步阶段。无论是半导体存储、磁存储还是光存储领域,核心技术、重要专利仍主要掌握在海外厂商手中。我国在存储器领域的发展依然面临着很多问题,国外对相关领域的封锁只会越来越严重,要想实现国产存储器产业的发展,工业强基工程势在必行。

此次中美贸易战的进程提醒我们,关键领域的知识产权必须牢牢掌握在自己手中。虽然在当前社会不可能将所有知识产权纳入手中,但一定要注重知识产权的保护工作,通过技术研发、知识产权交易等方式实现知识产权的实质性积累,达到知识产权自主可控的目标。 Jw/Fke9/btDiVe9iyJyIhdIMBLes3iiGCWxplcMOCaPZ6UstJlkb7XYF+qMXBI7u

点击中间区域
呼出菜单
上一章
目录
下一章
×