三是网站管理人员的安全意识薄弱。根据公开披露信息,在公安机关通报安全隐患和漏洞等问题后,一些部门往往以缺乏资金和专业人员等理由敷衍塞责,只进行简单地应急处置。但是,安全措施不落实,隐患就会长期存在,进而导致网站反复受到攻击;很多部门重建设、轻维护,重应用、轻管理的现象比较严重,导致安全隐患凸显。
针对当前互联网发展面临的突出问题,要科学分析,对症下药,切实解决信息与网络安全方面的突出问题,力争在高水平建成小康社会的宏伟蓝图中,能够实现网络安全的有效保障。
“一体两翼”发展要有新举措
国家“十三五”信息化发展规划明确指出,要继续大力推进信息化发展。在网络安全领域,实施这一战略的重要指导思想就是“一体两翼”。必须要以创新的思想,探索“五个一”,开拓网信事业的新局面。
培育一个产业:信息安全产业。信息安全产业是网络安全技术的主要提供者,在网络强国战略中扮演着十分重要的角色,既肩负着确保国家安全和网络空间安全的重任,也是信息系统安全运行的主要技术支撑,还是社会和公民信息安全保障事务的服务者。安全产业是否壮大,已经成为衡量国家网络安全综合实力的重要标准。
培育信息安全产业,要加强重点企业扶持。首先,鼓励以兼并收购、战略合作等途径,加快产业资源整合和技术互补,加快培育一批具有较强盈利能力和产业链控制能力,掌握核心关键技术,能够支撑国家战略的网络安全领域的龙头企业;同时,以专、精、特、新为导向,积极培育一些掌握自主可控技术、发展潜力大、成长性强的创新型中小企业,逐步形成“龙头带动、中小协同”的网络安全产业生态。其次,强化平台载体建设。在国内互联网产业、软件产业的领先地区,布局一批信息安全产业基地、特色小镇和众创空间,加快产业集群发展,培育信息安全产业集群。同时,充分发挥安全产业咨询平台、行业协会、产业联盟等机构的作用,推动建立政府主导、多方参与的安全服务平台,加快网络安全技术、产品和服务的推广应用,推动安全产业持续健康发展。再次,大力提升产业创新能力,引导网络安全技术支撑单位、科研院所、骨干企业、运营商等创新主体,设立网络安全相关的R&D机构;鼓励共同组建集“政产学研用”于一身的专家联盟、技术联盟、创新联盟,开展联合攻关,围绕重大技术需求,布局建设一批国家级创新平台。
突破一批技术:我国网络安全保障最大的隐患来自于核心技术受制于人。习总书记强调“一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击”。因此,掌握网络强国建设的主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,力争在一系列领域实现“弯道超车”。
加强网络安全的基础、通用、非对称、前沿、颠覆等技术研发,加强基础安全技术能力攻关。加快提升基于基础网络架构、应用协议漏洞挖掘、溯源取证、漏洞修复等基础安全能力。重点建设脆弱性漏洞库、恶意代码库、攻击规则库、协议行为特征库、软件补丁库、标准信息库等安全资源库。加快防火墙、入侵检测/防御等网络与边界安全类产品,病毒查杀、身份管理与访问控制、内容安全管理等终端安全类产品的创新和应用,加强面向前沿技术的安全技术研发。重点面向云计算、大数据、智能制造等新兴领域,和虚拟化安全、数据备份与恢复等威胁情报分析与外防内控等关键技术的研发应用,提升网络威胁的感知、预警和防御能力,实现从跟跑并跑到并跑领跑的转变。
提升一套能力:在当前严峻的网络空间安全态势下,传统“被动应对”防护模式的保障效力不断减弱。关键信息基础设施的安全监测预警能力弱、安全防护体系分散、抵抗攻击能力不强、手段缺乏等问题突出。因此,需要不断提升网络信息安全的主动防御能力,变被动“挨打”防御为积极进攻“擒敌”,降低网络安全风险。
按照网络安全主动防御思路,重点提升:监测预警能力。在网络空间各层级部署监测设备,加强网络安全信息情报共享和大数据分析,形成网络空间风险的智能感知、预警预测能力;主动防御能力。梳理关键信息基础设施的网络安全需求,分层落实网络安全保护制度,积极采用自主可控、先进适用的网络安全技术,大幅提升全省网络安全的主动防御能力。指挥保障能力。围绕“高效、灵活、统一、协调”的目标,建立多层级联动的网络安全工作指挥机制,实现网络安全决策指挥、任务下达、资源调度、信息互动,全面提高网络安全指挥保障能力。应急响应能力。完善网络安全应急预案,定期开展应急演练,建立网络安全应急响应平台,实时掌握重大网络安全事件风险及威胁,及时处置突发事件。提升追踪溯源能力。推进网络实名制,加强网络溯源取证能力建设,强化互联网监控,落实网络安全责任追溯制度。
健全一套体系:网络空间安全防御体系的建设有其特殊性,其涉及面广、技术难度大,但战略意义突出。首先,建立一套完善的制度,是实现网络空间防御体系建设目标的现实保障。尤其要根据当前技术的发展趋势,针对我国网络安全保障方面法律法规、规章制度和标准规范等方面的空缺与陈旧之处,不断完善相关的体系与标准建设,为网络空间防御体系建设提供有效地支撑。
