信息安全技术五大短板治理
发布时间:2015-07-28

 

我国当前在网络空间的防御力量仍然不足,大规模网络对抗能力仍比较缺乏,建设信息安全技术保障体系,有助于改变我国在网络空间方面的技术劣势,提升我国网络空间防御能力。

 

 

当前,网络攻击、信息泄露等网络安全事件频发,国家级网络对抗也不断出现,我国面临严峻的信息安全形势。据统计,仅2013年,我国因网络钓鱼受骗的网民达6000多万,经济损失超过300亿元。当年受各类网络犯罪侵害的人数超过2.57亿人次,经济损失达人民币2890亿元。

 

新世纪以来,我国在信息安全技术方面取得了较大的进展,特别是密码技术、基础网络安全技术等方面取得了一定的突破,但仍有大量技术存在空缺。信息安全技术是维护国家信息安全、保障网络空间健康发展的基础,无论是国家间的网络战对抗还是与网络犯罪分子做斗争,都需要强大的技术能力做支撑。

 

面临五大短板

 

第一大短板:核心技术受制于人。

 

从“棱镜门”事件可以看出,信息安全问题的根源其实在于网络和信息技术的底层,而我国在相关核心技术方面仍受制于西方发达国家。

 

一是网络和通信协议。协议和标准是互联网的骨架,是最核心的技术,而只有掌握核心的协议和标准,才能了解互联网运作的原理,认清网络空间可能存在的信息安全隐患,而我国当前在网络和通信协议方面参与较少,研究也往往流于表面,成果较少。

 

二是基础信息技术产品。依托相关协议和标准开发的基础信息技术产品,如操作系统、芯片和基础网络设施等,是互联网运作的基础,我国已经研发了一系列自主操作系统、数据库和芯片,以及建设根域名镜像服务器等,但由于产业生态被控制,在技术先进性和可用性方面与西方发达国家还有较大差距,部分核心元器件、专用芯片、操作系统和大型应用软件等自主可控能力较低。

 

特别是关键芯片、核心软件和部件严重依赖进口,银行、民航、电力、铁路、工业控制、装备制造等国民经济重要部门70%以上信息设备来自国外,给国家信息安全带来严重隐患。

 

三是密码技术。密码理论和技术是互联网安全机制的核心,是保障网络与信息安全的重要技术,我国当前已经取得一定的突破,如我国自主公钥密码算法SM2的广泛推广应用,但总体还是在西方密码体系基础上发展而来。

 

第二大短板:关键技术不成体系。

 

当前网络空间冲突不断,这种直接交锋则主要依靠态势感知、网络攻击、网络防御等关键技术,目前我国在部分技术上还存在缺项,尚未形成技术体系。

 

在网络攻击方面,我国尚未形成具威慑力的网络武器,而美、俄、印、英、日等国家都将病毒武器列入作战武器名单,美研究人员已经提出“网络数字大炮”概念,在网络空间具备类似核武器的威慑力。

 

在网络防御方面,我国整体实力仍较薄弱,虽然国内信息安全企业在部分领域取得了突破,在低端网络安全产品方面占据了一定优势,但在高端网络安全产品和服务方面仍无法打破国外企业的垄断。

 

在态势感知方面,国家层面的威势感知平台等仍未建立,技术能力与国外有较大差距,“棱镜门”等事件中对我国的网络攻击事件,均不是由我国自主发现。

 

第三大短板:产业支撑能力不足。

 

我国信息安全产业规模和企业实力仍远远落后于西方发达国家,难以有效支撑国家信息安全需求。

 

一是缺少信息安全龙头企业,同质化竞争严重。我国信息安全企业数量较多,保持在1000家左右,但规模超过10亿元的屈指可数,虽然百度、腾讯、阿里等大型互联网公司开始介入安全产业,但其仍集中于保障自身安全,且企业间的争斗不断,能与国外赛门铁克、IBM等企业竞争的基本没有,国外动辄几亿到十几亿美元的并购也很少在国内看到。

 

二是信息安全企业创新不足。国内信息安全产业经过十多年的发展,排名在前的企业仍是启明星辰、绿盟等几家,产品和服务也缺少创新,新兴的信息企业很少能发展起来,而国外新兴的“火眼”等企业则能够迅速发展起来。

 

三是信息安全业务水平差距大。当前信息安全需求已逐渐从单一信息安全技术产品转向能够面向行业的解决个性化需求的信息安全整体解决方案,我国信息安全企业仍集中在防火墙、入侵检测、入侵防御等单点技术产品上,综合性信息安全技术发展仍处于较低水平。相比而言,国外则有雷神、BAE等国防提供商提供信息安全服务。

 

第四大短板:技术管理制度不完善。

 

我国虽然已经推出了信息安全技术产品强制认证制度,并出台了相应的标准,但是在制度完备性和操作规范性方面仍存在较大问题。

 

一是相关制度不完备。我们当前的强制性认证主要针对防火墙、入侵检测等信息安全产品,但信息安全是一个综合性问题,信息系统自身的基础软硬件等技术产品的安全性、整体信息安全防护体系的可靠性等都会影响到信息安全,我国目前缺少针对关键信息技术产品和信息安全综合解决方案的审查制度。

 

二是国内相关标准制度实施不严格。由于核心技术受制于人,经常出现采购的产品只能选国外厂商,而国外厂商不接受审查的情况,这不仅影响了相关标准制度的权威性,而且侧面打压了国内厂商。本文来源:瞭望观察网

 

三是缺少管理手段。当前我国在信息安全检测技术方面仍存在较大空白,如缺少针对处理器安全性检测的技术等,执行信息安全检测的机构需要从国外采购相关设备,甚至缺少相应的检测能力,这都导致标准制度无法落实。

 

第五大短板:技术发展环境有待改善。

 

我国当前在技术创新、产业发展等方面仍存在诸多弊端,限制了信息安全技术产业的快速发展。

 

一是信息技术产品发展受制于西方发达国家。西方国家在技术思路、标准协议、核心技术、产品服务方面都处于主导地位,我国在技术产业发展过程中一直处于“跟随者”角色,只能采取以资源和环境换技术的策略,广泛引进西方技术和资金。这给我国经济发展产生较大推动,但却牺牲了民族企业的自主创新能力,形成“体系性依赖”。

 

二是西方国家大肆制造技术壁垒。由于我国信息安全技术发展较晚,与西方国家存在较大差距,特别是操作系统、芯片等基础技术,与国际先进水平存在代差,同时西方国家对我国实施技术禁运政策,从而导致我国相关技术产品难以在市场上与国外产品竞争,这也导致我国大量信息安全技术研发与市场严重脱节。

 

以芯片为例,我国自主研发的龙芯产品,一直没有形成与之相适应的产品体系,没有对应的企业来开发相应的驱动程序、开发工具等,整体应用环境不具备,市场前景也较差,很难形成以市场促进研发的良性循环。

 

三是我国政科不分、政企不分的体制机制严重制约了科技创新和产业发展。我国科技创新体制存在主体定位不清、科研经费分配不合理等问题,导致科研人才大量流失,同时我国“泛行政化”的体制严重阻碍了科技创新和产业发展。我国科研院所、大型央企等均采取行政化管理,这使得大量科学家、企业家行政化。科研创新应该完全市场化,企业发展也应市场化。

 

信息安全技术对策建议

 

其一,健全信息安全技术管理体系。

 

一是健全国家网络安全组织架构,强化中央网络安全和信息化领导小组的统一协调指挥,提高总揽全局的整体规划能力和高层协调能力,同时明确公安部、保密局、密码办、工信部等信息安全各部门的职责;二是强化国家网络安全管理手段,制定关键基础设施网络安全保护条例、政府信息安全保护条例等法规;三是提升网络安全管理能力,不断提升相关机构的网络安全检测能力。

 

其二,改善信息安全技术自主创新环境。

 

一是大力支持自主可控信息安全产业的发展,通过资金和其他优惠政策鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品,比如安全操作系统和安全芯片等;二是依托高校、研究机构和企业自主创新平台,加大核心信息技术的投入,严格管理研究资金,推动研究成果转化;三是加强信息安全市场的政策引导,合理利用国际规则,约束国外企业在国内市场的发展,为自主信息安全产品提供更好的生存空间。

 

其三,加强信息安全技术产品市场规范。

 

一是启动核心信息技术产品的信息安全检查和强制性认证工作,对关键领域应用的产品进行源代码级检测,将安全产品的强制市场准入制度引入到核心信息技术产品领域;二是加强对国外进口技术、产品和服务的漏洞分析工作,对从事关键行业数据搜集和数据分析业务的企业采取备案和黑名单制度;三是建立新兴技术的信息安全预警机制,对掌握关键领域数据的企业进行管控。

 

其四,建设自主可控的信息安全生态体系。

 

一是发挥举国体制优势,实现核心技术突破;二是积极推动关键信息技术产品的国产化替代,在关系国家安全的重点领域,有序开展国产产品和设备的替代工作;三是推动全产业链协同发展。以资本为纽带实现资源整合及产业融合,加快发展和形成一批掌握关键核心技术、创新能力突出、国际竞争力强的跨国企业。

 

其五,发展结构完整层次分明的信息安全产业。

 

一是重点培育几家具有较强信息安全实力的企业,专门为政府、军队等提供整体架构设计和集成解决方案,形成解决国家级信息安全问题的承包商,类似于美国的洛克希德·马丁、波音和雷神公司等企业;二是重点发展一批类似于IBM、微软、思科等能提供行业解决方案和完整产品线的专业信息安全企业;三是鼓励发展提供专用、新型技术和产品的独立信息安全企业,类似于赛门铁克、RSA(美国加密技术实验室)等。

 

来源:瞭望观察网  作者:刘权(工信部赛迪智库网络安全研究所所长)

分类: 大数据应用 标签: