开拓·进取·求实·创新
  • -工业和信息化部软件与集成电路促进中心

校内新闻
网站首页 > CSIP动态 > 媒体聚焦

人民网:邱善勤——维护中国网络安全需要国家意志推动

发布时间:2014-05-07

  人民网北京5月7日电(记者陈键)工业和信息化部软件与集成电路促进中心主任、中国开源软件推进联盟主席邱善勤近期在接受人民网专访时指出,没有网络安全,国家安全将无从谈起。他认为,要应对日趋复杂多样的网络空间威胁,需要国家意志推动,从战略高度角度集中各方面力量、协调各应用部门加快提升信息安全保障能力。

  邱善勤指出,从技术层面看,中国网络信息安全面临巨大威胁,安全隐患较大。目前,我国关键信息系统主要面临设备被控、数据被窃及业务被瘫三类威胁。仅在2012年,中国被境外控制的计算机就达1420余万台,其中涉及金融、交通、能源等多个关键部门。侵入信息系统基础设施如服务器、存储,即可盗取关键业务情报,甚至瘫痪核心业务,影响国家机器正常运转。

  邱善勤提到,我国通信网络核心基础设施、网络核心设备(路由器、交换机)、党政军机关信息系统、关系国计民生重要领域(如银行、交通、商业、电力等)的信息系统大多基于国外基础软硬件,被渗透、被控制的安全风险严峻,安全可控信息技术和产品的支撑能力严重不足,信息安全被动、被控的不利局面没有彻底改观,网络安全乃至国家安全受到严重威胁。在美国“八大金刚”面前,我国的信息化应用系统几乎是“裸奔”状况。

  中国如何才能真正解决网络安全问题?邱善勤建议,一是加快构建国家网络空间战略顶层设计。中国首先应该构建国家级网络空间战略,提出自己的顶层设计,以应对网络空间日趋复杂的形式。二是大力发展安全可靠信息网络安全产业,推动信息安全产业向体系化、规模化、特色化、高端化方向发展。三是加强网络空间对抗实战演练,锻炼和展示我国的网络空间综合实力,发挥战略威慑的作用。四是构建全方位支撑保障。国家应该从网络管制立法、产业政策制定、创新能力建设、骨干企业培育等方面共同发力,为维护中国的网络安全提供宏观指导和全方位支撑保障。

 

  记者:中国政府对网络安全问题给予了很高的重视,在互联网时代,网络安全问题会对国家安全形成什么样的影响? 

  邱善勤:在中央网络安全和信息化领导小组第一次会议上,习近平总书记提出“没有网络安全就没有国家安全”的重要论断,将网络安全上升到国家安全的高度。网络作为信息交付手段,承载了海量的信息,涉及社会生产、生活、管理等诸多方面。在互联网时代,整个经济社会的运行越来越依赖于网络。2013年我国网民数达6.81亿,互联网普及率达到45.8%,互联网已经成为人们不可或缺的生活方式;同时,现在互联网已成为国内外敌对势力对我国进行进攻和渗透的重要渠道,互联网已经嵌入到了国家经济政治文化的各个方面,关乎社会的稳定和国家的安全。因此,无论是国家的强大还是人民生活水平的改善与提高都离不开安全可控、优质高效的网络,没有网络安全,国家安全也就无从谈起。

 

  记者:中国如何才能真正解决网络安全问题?中国是否有能力达到这个目标? 

  邱善勤:当前,信息网络普及程度的提高使得信息安全管理的范围大幅拓展,网络空间环境面临的威胁、攻击手段日益复杂和多样,国家间大规模的信息网络攻击已经成为常态。传统单一功能的网络信息安全技术和产品已不足以满足新形势下安全防护的需求。应对日趋复杂多样的网络空间威胁,需要国家意志推动,从战略高度角度集中各方面力量、协调各应用部门加快提升信息安全保障能力。要将多种网络信息安全技术产品和系统平台有机集成,构建完整、联动、可信、快速响应的综合防护系统,提高主动化网络安全防护能力。要在管理体系、技术创新、应用推广、网络立法、宣传引导、国际合作等多方面共同发力,形成全社会提升网络信息安全保障能力的合力。

  在诸多因素中,我认为加强网络安全保障关键技术以及自主可控关键软硬件技术支撑能力建设是解决网络安全问题的根本。为此,我们建议要加大对互联网安全保障基础技术研发的资金投入,提供专项资金用于网络安全核心技术的研发。大力扶持具有较强创新能力的企业、高校和科研单位加强网络信息安全技术原始创新。要着力发展自主可控、安全可靠的关键软硬件产业,开发并推广应用具有自主知识产权的信息安全技术和产品,尽快形成我国独立自主的网络安全技术和产品体系。加快安全可靠国产关键软硬件应用推广,分阶段在国防、军工、政府、公安、金融、电信、能源等关键领域完成国产化信息安全产品的替换迁移工作。现阶段,还应重点提升云计算、大数据等新技术新应用环境下的网络信息安全水平。

  从支撑网络安全的相关技术和产品来看,我国经过这几年的发展,已经取得了一些成绩。例如,我国自主可控高端服务器、路由器、交换机、高性能存储、国产基础软件集成应用方案在金融、电信、能源等国民经济重要行业的应用已经取得突破,通信网络设备国产化率已达到44.79%。数据采集监控和分布式控制等重要工业控制系统国产品牌占比超过50%。这为我们解决网络安全问题打下了良好的技术和产业基础。但是我们的网络安全保障能力和技术产业支撑能力离习总书记提出的“技术先进、产业领先、安全可靠、自主可控、不受制于人”的目标还有较大差距。即使技术问题解决了,还有网络立法、监督管理、国际竞争等棘手问题需要解决。从目前情况来看,我感觉像中国这样的发展中国家还没有足够能力应对大范围互联网攻击,对网络犯罪仍然缺乏有效的手段。国际合作的缺乏会为犯罪分子形成“避风港”,促使其利用法律漏洞和发展中国家缺乏的强有力的安全措施进行网络犯罪。

  当然,要彻底解决网络安全问题不是一朝一夕之事。随着我国网络和信息技术和产业支撑能力的不断增强,党中央对国家网络安全重视程度的日益重视,以及网络安全立法以及管理保障能力的逐步提升,只要政府、业界、社会共同努力,我相信,中国人完全有能力解决网络安全问题,捍卫自身的网络领土安全。

 

  记者:在自主、可控技术还没有完全建成之前,我们应该采取什么样的措施最大可能地维护中国的网络安全? 

  邱善勤:一是加快构建国家网络空间战略顶层设计。美、英、法、 德、俄等主要国家都已制定了网络空间安全战略,把网络空间安全提升到了国家安全战略高度。目前,已有50余国家发布网络安全战略。在网络空间战略级博弈的大背景下,中国首先应该构建国家级网络空间战略,提出自己的顶层设计,以应对网络空间日趋复杂的形式。

  二是大力发展安全可靠信息网络安全产业。以提升对国家信息网络安全保障的支撑能力为目标,以保障基础信息网络安全和重要信息系统安全为中心,按照“安全可控、创新发展、应用牵引、环境营造”的原则,推进技术产品创新、应用和服务模式创新,积极培育骨干企业, 加快发展特色中小企业,构建产业链完整、分工合理的产业体系,推动信息安全产业向体系化、规模化、特色化、高端化方向发展,做大做强信息安全产业。

  三是加强网络空间对抗实战演练。组织实施国家级的网络战演习,有国家相关强力部门、关键基础设施机构和部委、国营和民营技术企业、院校科研团队和民间技术力量共同参加;这样的演习将真正锻炼和展示我国的网络空间综合实力,并起到战略威慑的作用。

  四是构建全方位支撑保障。国家应该从网络管制立法、产业政策制定、创新能力建设、骨干企业培育、应用示范推广、标准体系建设、产品规范认证、人才队伍建设、宣传交流合作等方面共同发力,为维护中国的网络安全提供宏观指导和全方位支撑保障。

 

  记者:中国下决心要维护网络安全,对中国企业而言,是机遇也是挑战,您觉得他们应该如何抓住这次机会? 

  邱善勤:对于中国企业来说,的确是一次难得的机遇。

  一是要修炼内功、提升核心竞争力。国产化将成国内信息安全行业未来发展主旋律。我国将在产业政策、搭建联盟、政府采购、应用示范等多个环节发力,国产基础软件、国产CPU、服务器整机、桌面终端及应用、网络设备、存储产品、网络安全、集成服务等企业将迎来历史性发展新机遇。企业掌握自主可靠核心技术、形成产业化能力和服务能力,才能紧跟信息安全产品国产化的步伐,有望迎来大发展。

  二是要提升国产软硬件的系统集成能力和标准化水平。在中央和各级地方政府持续给予政策、资金支持的同时,企业需发挥主体作用,推动提升国产软硬件的系统集成能力,通过联合攻关、试点示范等多种应用推广有效手段,提高集成应用的适配性、兼容性和互操作性。同时,以骨干基础企业为龙头建立技术联盟、标准联盟和应用推进联盟,实现联合创新和应用推广。进一步完善国产化相关技术、产品和服务的标准化体系。

 

  记者:从技术层面来看,中国网络安全吗?在网络安全维护方面,中国还存在什么样的短板? 

  邱善勤:首先,首先,我们认为从技术层面看,中国网络信息安全面临巨大较大威胁,安全隐患较大。我国关键信息系统主要面临设备被控、数据被窃及业务被瘫三类威胁。例如,仅2012年中国被境外控制的计算机就达1420余万台,其中涉及金融、交通、能源等多个关键部门。侵入信息系统基础设施如服务器、存储,即可盗取关键业务情报,甚至瘫痪核心业务,影响国家机器正常运转。

  设备被控:主要通过利用系统后门、漏洞、木马、病毒,及系统管理维护之便,取得设备控制权,甚至作为跳板,继续攻击其他目标。

  从硬件方面看,国外某些设备硬件板卡上存在后门或漏洞,并预留隐蔽数据通道及控制方法,TAO(美国庞大的电子窃听监控机构,NSA成立的名为“获取特定情报行动办公室”Office of Tailored Access Operations)可用于盗取数据、瘫痪业务。

  在操作系统层面,预留超级用户账号、预留系统远程控制端口及命令、预设定时或条件触发的系统程序、恶意的系统行为记录器等。例如以高品质的文件、坚持开放程式码以及严格的软体授权著名的OpenBSD操作系统的创始人希欧?德若特自己爆料称,他们所提供的OpenBSD网络数据安全加密协议可能早在10年前就为美国联邦调查局(FBI)预留了 “后门”。

  从运维服务方面看,主机系统封闭、复杂、维护技术难度大,并且不对外公开技术细节,只能厂商自行维护管理。在系统日常升级委会过程中,TAO可以非法注入恶意代码,并盗取数据。2007年国家某重要经济部门就曾经因为主机远程升级系统而发生数据丢失导致泄密事件。

  数据被窃:监控、窃取数据后发送回后台数据库,从而导致国家机密数据被窃,危害巨大。

  当主机系统出现故障之后,工程师维护过程中信息安全难以掌控,攻击者可利用现场维护私自拷贝数据、利用更换下的部件进行数据恢复、部署软件过程中安装木马或设置触发后门、篡改参数等行为。

  业务被瘫:使金融、电信、能源、交通等关系国计民生的核心业务系统瘫痪,继而影响国家机器正常运转。

  导致业务瘫痪主要有三种,一是利用中间层攻击,瘫痪公网系统。二是利用摆渡攻击,瘫痪内网系统。三是利用软件漏洞,瘫痪主机系统。

  其次,在网络安全维护方面,中国的确存在一些短板。从网络竞争环境来看。近年来,西方国家对我国的网络遏制的进一步加强,西方国家一直试图恶化我国国际环境,将我国树为国际社会在网络安全领域的公敌,大肆宣传“中国网络威胁论”。同时,西方国家通过多种形式打造网络同盟,试图在我国周边构建网络空间包围圈,给我国网络安全维护带来了不利因素。从技术、产品和系统支撑情况来看。我国网络和信息安全发展过程中信息技术和产品受制于人的问题日益突出。我国通信网络核心基础设施、网络核心设备(路由器、交换机)、党政军机关信息系统、关系国计民生重要领域(如银行、交通、商业、电力等)的信息系统大多基于国外基础软硬件,被渗透、被控制的安全风险严峻,安全可控信息技术和产品的支撑能力严重不足,信息安全被动、被控的不利局面没有彻底改观,网络安全乃至国家安全受到严重威胁。在美国“八大金刚”面前,我国的信息化应用系统几乎是“裸奔”状况。我们认为,国家之间的争论既是意识形态的交锋,更是经济发展遏制与反遏制的较量。我们必须要在关键应用领域中采用国产自主可控设备,从硬件逻辑、软件源代码及系统运维层面实现自主可控,克服发展短板,消除国外设备存在的安全隐患,从根本上解决信息安全威胁。

 

    人民网链接:http://it.people.com.cn/n/2014/0507/c1009-24983748.html