随着移动互联网、5G、云计算、人工智能、大数据技术的迅速发展和各个国家产业数字化进程的加速进化,以物联网、工业互联网形成的万物互联成为未来的主流,由此信息安全成为数字化社会发展的重要底层架构和基石。
在这样的技术变革进程中,我国领导人习近平总书记敏锐的看到了其中的关键,深刻认识到国家的安全离不开网络安全,并在 2014 年 2 月《中央网络安全和信息化领导小组第一次会议上的讲话》中明确表态:
“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”
“没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。”
根据习总书记的讲话精神,我国在 17 年 6 月正式实施了《中华人民共和国网络安全法》(以下简称网安法),包括 7 章 79 条。
网安法是我国第一部真正意义上的网络安全相关法律,提纲挈领的定义了国家、地区、企业和公民的网络安全责任、义务和权利。网安法着重定义了如下几方面的内容:
1.明确了网络安全等级保护制度的法律地位,要求网络运营者履行等级保护的责任和义务;
2.明确了数据安全和个人信息安全对于国家安全的重要性;
3.强调了国家关键信息基础设施的安全防护重要地位和意义;
4.明确了不同层级的网络安全监测预警和应急处置的制度和机制。
配合网络安全法,国家陆续发布了《网络安全等级保护条例 2.0》(包括大数据、云计算、物联网、移动互联网和工业互联网几个扩展系统)、《关键信息基础设施安全保护条例》、《国家网络安全实践应急预案》、《个人信息和重要数据出境安全评估办法》、《数据安全管理办法》、《个人信息安全规范》、《加强工业互联网安全工作的指导意见》等不同的行业规范和国家标准。这些行业规范和国家标准是网安法的重要补充,提供了网安法落地执行的重要依据。
网络安全就是国家安全,而长期以来,网络安全的核心技术掌握在国外的几个大型企业中,对于系统中可能存在的后门和漏洞我们无法控制和掌握。
因此,习总书记在 2016 年 4 月 19 日发表的《在网络安全和信息化工作座谈会上的讲话》中,明确指出“互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。
一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
在 2016 年 10 月 9 日的《在十八届中央政治局第三十六次集体学习时的讲话》中指出“网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域,是全球技术创新的竞争高地。我们要顺应这一趋势,大力发展核心技术,加强关键信息基础设施安全保障,完善网络治理体系。要紧紧牵住核心技术自主创新这个“牛鼻子”,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。要改革科技研发投入产出机制和科研成果转化机制,实施网络信息领域核心技术设备攻坚战略,推动高性能计算、移动通信、量子通信、核心芯片、操作系统等研发和应用取得重大突破。”
由此可见,安全可信,自主可控是未来我国网络安全产业发展的主旋律和大方向,也是我们所有安全企业发展的重要指导思想。
根据习总书记的讲话和之后一系列的法律、法规和标准,我国的网络安全市场从横向功能维度主要分为如下几个领域:
1.等级保护测评、咨询评估、整改市场
网安法中明确了等级保护的法律地位,为了适应新技术的发展趋势,国家也同步发布了等保 2.0,纳入了针对移动互联网、物联网、大数据、云计算和工业互联网等内容。等保从以前的建议履行变成强制履行,围绕等保的测评、评估、咨询、整改等内容是一个巨大的市场;
2.数据安全和个人信息安全相关
在数字化转型的现代,数据就是新时代的石油,是国家安全的重要组成部分。
习总书记在 2017 年 12 月 8 日《在十九届中央政治局第二次集体学习时的讲话》中指出:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度,维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究,提出中国方案。由此可见,数据安全以及个人信息安全是作为国家安全重要基础的存在,需要重点考虑和侧重;
3.关键信息基础设施安全防护
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统;且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
习总书记在 2016 年 4 月 19 日主持召开网络安全和信息化工作座谈会并发表重要讲话时强调“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
从国家层面而言,关键信息基础设施主要分布在物联网和工业互联网领域,例如泛在电力物联网、车联网、融媒体网络、智慧城市、工业制造 4.0 以及其他等相关;
4.监测预警和应急处置
自古以来,国家安全的重要防护措施就包括对敌方的情报收集以及预警应急处置手段。在现代网络安全边界日益模糊和攻击手段多样化的形势下,网络攻击成功只是时间和成本的问题,所以无论从国家层面还是企业层面,安全防护的有效性主要取决于对潜在风险的预警和对安全风险的应急响应技术。响应时间越短,流程越自动化,可能遭受的损失就越小。
而有效的应急响应机制也是对攻击者的重要威慑手段,从而达到攻击者和防护者之间的平衡状态。监测预警和应急处置需要通过海量安全数据的收集、清洗和借助人工智能技术的深度分析形成的智能安全大脑和安全大数据平台完成。
如上横向的领域是安全防护的基础。在横向维度之上,从纵向的层级维度考虑,我国的网络安全发展包括如下几个方面:
国家层面的安全
我国作为网络大国,网络安全是国家安全的重要组成部分,因此国家层面的安全主要需要包括如下几个方面:
网络安全人才培养,网络空间安全问题,关涉公共秩序的构建,但归根结底是人才的竞争。当前,网络空间安全斗争普遍日趋尖锐复杂,关键信息基础设施、重要数据和个人隐私都面临新的威胁和风险。而网络安全人才却严重短缺,因此完善网络安全人才的建设刻不容缓。只有网络安全高层次人才队伍不断壮大,才能为网络强国保驾护航。
建立国家层面的网络安全预警和应急响应机制,主要是采集国家骨干网络和各个行业代表性企业的流量数据,通过人工智能大数据分析系统进行深度分析,建立国家网络安全大脑,形成国家网络安全态势感知和紧急响应的平台;
建立跨境数据安全评估办法和流程。数据是新时代的新能源新石油,也是国家安全的重要组成部分。关键行业或者个人的数据和信息泄露可能导致敌对势力渗透我国的关键信息基础设施和针对个人的策反。因此,对于跨境的数据传输和转移需要建立标准规范的数据安全评估办法和流程,确保国家层面的数据安全;
针对关键信息基础设施的安全防护。关键信息基础设施可以分解为物联网安全和工业互联网安全两个部分。物联网安全主要是指泛在电力物联网、车联网相关。
而工业互联网包括国家重要的工业制造业企业的工业互联网平台安全。对于物联网来说,目前主要的安全领域集中在源代码安全、资产管理、PKI 密钥基础设施、传输通道安全、嵌入式系统安全、OTA 安全、APP 安全等。
工业互联网国内处于相对较低的水平,处于标准制定的阶段,其主要安全领域包括感知层设备安全、工业 APP 安全、平台安全等。工业互联网由于平台多样,协议不统一,当务之急在于规范和标准相关协议、平台。只有统一的平台和协议才能建立较好的安全防护机制。
区域层面的安全
区域层面的安全主要是指数字城市和数字园区等的安全。数字城市和数字园区的核心是一个混合泛在的物联网集合,包括了城市数字化进程中所有的必要元素:交通、市政、安防、税收、居民、照明、水务等等。对于数字城市来说,安全防护的首要手段还是建立行之有效的安全大数据平台和态势感知应急响应平台。
通过对边缘层海量设备数据的收集,建立城市安全大脑和应急响应平台,分析潜在的安全风险,对紧急事件进行快速响应和处置。此外,对数字城市来说,整合安全资源,建立统一的安全管理平台是另外一件非常重要的事情。
城市安全大脑和应急响应平台是基础能力的建设,需要把安全防护、安全响应、安全感知应急处置等相关资源有效的整合在一起才能形成高效的安全治理。基于 CARTA、SOAP 和 PPDR 等模型的安全管理平台也是数字城市安全必不可少的存在。
数字城市的安全管理平台需要包括强大的资产管理、风险管理、安全大数据整合分析、安全可视化和安全风险响应、安全知识库等功能模块,能够有效的整合繁杂的数字城市安全资源,形成最为有效的数字城市安全治理平台。根据数字城市的结构,云平台安全、物联网安全、PKI 安全和 APP 安全也是数字城市必须考虑的因素;
企业层面安全
最后要考虑的是企业安全。对于企业来说,安全的主要发展趋势是去中心化、去边界化,系统往往需要运行在不可信的环境、不可信的平台和不可信的人。在所有不可信的条件下,安全认证是企业安全最为重要的基础。企业安全需要包括如下几个重要领域:
IAM:基于企业的零信任是构建企业安全的基础。在对企业员工和设备进行授权之前,需要通过身份认证系统对人员和设备进行认证,这是 IAM 系统的核心价值所在;
基于企业的态势感知和应急响应:构建企业级的内外网态势感知和应急响应系统平台;
下一代安全运营管理中心:整合传统和现代的安全防护资源,消除烟囱式的安全系统和安全数据,打通底层的安全资源,形成安全分析统一化,安全防护自动化,安全管理规范化的企业安全防护目标。
(本文作者:爱加密技术副总裁程智力)
评论