在信息革命的演进过程中,泛在化的互联网快速发展起来,发展之快超乎人们的想象,以致成为既陆、海、空、天之后的第五大空间,称之为网络空间。在这个网络空间里,信息安全问题的内涵和外延也在不断放大、扩大,扩大到了整个网络空间。从此,信息安全的概念被网络安全所涵盖。网络信息泄露关乎成千上万人的敏感信息和个人隐私,网络攻击和黑色产业威胁经济健康发展,网络舆论恶意炒作影响社会稳定,网络战争和网络间谍威胁国家安全。同时,由于网络核心技术、优势技术掌握在少数国家手里,网络安全问题极易被他人恶意传播、利用、控制和绑架,成为攻击、颠覆他国政权的手段途径,网络安全已成为全世界关注的焦点和热点问题。如何正确认识网络安全问题,树立正确的网络安全观是摆在政府、企业、社会组织和个人面前的首要问题。
一、网络安全是整体的而不是割裂的。习总书记指出,“网络安全对国家安全牵一发而动全身。”要正确认识这个问题,必须抓住三点:一是要站在国家大战略的高度看网络安全问题。网络安全问题被世界各国高度关注,如何应对网络安全博弈,需要深入研究对策,相互沟通,加强统一指挥,在中央网信办统一领导下采取应对措施,防止各行其是,各部门自行出台网络安全不合理、不科学、不适当政策,造成被动,影响国家形象;二是网络安全需要统筹规划,在法律法规建设上、在技术标准建设上、在基础技术创新上、在国产化产业发展上、在人才队伍建设上、在外交政策上以及在国防建设上都应加以综合研究,发挥主管部门作用,加强顶层设计;三是在网络安全行动计划中,国家、企业、社会组织以及个人,要依据相关法律法规、技术标准和年度规划计划做好本部门、本单位网络安全建设和日常运行工作,以及网络安全应急准备和处置工作。目前,我国网络安全整体态势感知能力还比较薄弱,亟待加强国家关键基础设施建设,实现全社会优势资源整合,依据规则实现信息共享。
二、网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。网络安全风险是动态的。一是系统漏洞是动态,信息化基础设施和重要信息系统在不断改进、不断升级、不断扩容,使网络系统漏洞和脆弱性增多,特别是互联网、云计算、大数据、物联网、智慧城市等新技术新应用的普及给网络安全带来新的挑战;二是产品漏洞是动态的,这些新技术新应用需要大量进口软硬件产品,以及国产化软硬件产品,这些产品中的脆弱性、安全漏洞和产品供应链带来的安全隐患仍然不可忽视;三是管理漏洞是动态的,这些变更的新系统、新产品在管理运维上同样可以出现安全漏洞,新的安全制度、管理规定尚未重新制定,甚至出现复杂系统资产底数不清,给网络安全管理带来潜在隐患。四是威胁手段是动态的,从近年来发生的安全事件看,很多网络攻击长期潜伏,谁来的不知道,干了什么不知道,窃走那些数据不知道,其网络渗透、攻击威胁手段花样翻新,加密来、加密走,现有网络监测设备、网络检测手段难以发现深层次的网络攻击,只靠传统安全措施来保障新时期网络高度发展变化的系统,显然是不可能的。
三、网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。今天的网络安全概念应该立足于在恶劣的网络环境中保证网络安全。因为网络是互联互通的,封闭的网络没有大作为,封闭的网络没有大作用。要建立互联网环境下的安全保障体系。工业控制系统原来是封闭的,现在也需要远程互联,需要互联网来实现更大范围的自动控制与管理。解决的办法是实现工控专用协议与IP协议的网络关联,靠专用安全网关设备实现上位IP网与下位工控协议的信息互通。这些技术在汽车自动驾驶、电力清洁发电等得到广泛应用。当然工业控制系统安全问题非常突出,需要进一步加强开放的环境下或半开放环境下的网络安全防护。同时,信息化建设需要国际合作,需要国际技术交流。今天,我们在国产化创新推进中仍然需要国际合作,软硬件产品供应链是全球化的,不可能不开放。供应链是开放的,产品是开放的,人才是开放的,技术是开放,网络安全也是开放的。要达到如同“密码算法是开放的,密码保护作用是可靠”的效果。
四、网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。网络安全和信息化是一体之双翼,驱动之双轮,需要平衡驾驭。网络空间随信息化发展进步而延展放大,网络空间随网络安全对抗博弈而健康完善。网络安全在整个信息化建设中就如同一个庞大的免疫系统,免疫系统越完善,信息化建设就会越健康、安全稳定;免疫系统越薄弱,抵抗不住病毒侵害和网络攻击,信息化建设就会越脆弱,甚至会瘫痪停服,可见,网络安全与信息化在网络空间里始终相互纠缠,相互影响,像一对伴侣形影相随。这个免疫系统就像人一样,不是绝对的,不可能不生病。银行系统的网络安全可以说是互联网应用最多,是网络安全风险非常高的行业。但各银行在网络安全建设中,同时关注两个问题,一个是用户体验,另一个是网络安全。如果安全措施太多,不计成本的追求绝对安全,客户肯定认为这个银行的系统不好用,不会用,从而放弃采用该银行的产品,银行业务也就收到影响。这个例子说明一个问题,银行系统很关注网络安全相对性原理,不追求绝对安全。同时需要强调的是,如何解决突出的安全问题呢?我们要引入“问题导向”理念,引入“风险管理”的理念,对高风险、高威胁采取有效防护措施,对低风险、底威胁采取安全监视的策略,千万不要把大量资金用到不需要加固的地方。用创新技术解决突出、高风险的安全问题。不要总是采用“千人一面”的安全解决方案。
五、网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。网络安全是现实世界安全问题在网络空间上的客观反映,现实世界里有违法犯罪,网络空间也会出现违法犯罪;现实世界里存在国家间的战争对抗,网络空间里同样会出现网络对抗;网络空间已经成为人类活动的新空间。现实社会空间里进步的东西,网络空间也会反映,充盈正能量,发挥积极作用;现实社会空间里腐败的东西,网络空间也会反映出负面作用,影响社会稳定、影响网民思想、影响国家形象。因此,该打击的要严厉打击;该引导的要说明真相,正面引导;该传播的要积极传播传统文化;该弘扬的要让网民处处点赞文明精神;该批判的要网民自觉抵制外来诽谤、造谣。因此,网络安全需要国家各部门、IT企业、网络安全组织团体和个人共同提高网络安全意识,发挥各自作用。政府在协调国家关键基础设施保护和关乎国家安全工作中发挥主导作用,企业在网络安全技术、产品、建设、运维等方面发挥主体作用,社会组织机构在促进产业发展、产业化协调中发挥主要作用,个人在掌握网络安全技能提升能力,发挥主动作用。共同在网络安全人才培养方面发挥各自优势作用,共筑网络安全长城。习总书记在4﹒19座谈会上讲:网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。谁都不愿生活在一个充斥着虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。利用网络鼓吹推翻国家政权,煽动宗教极端主义,宣扬民族分裂思想,教唆暴力恐怖活动,等等,这样的行为要坚决制止和打击,决不能任其大行其道。利用网络进行欺诈活动,散布色情材料,进行人身攻击,兜售非法物品,等等,这样的言行也要坚决管控,决不能任其大行其道。没有哪个国家会允许这样的行为泛滥开来。我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。
(作者单位:国家信息技术安全研究中心副主任)