n
    ews and information
    新聞資訊
    聯系我們
    contact us
    聯系人:宋經理

    座  機:028-86677012

    郵  箱:[email protected]
    地  址:成都市武侯區長華路19號萬科匯智中心30樓
    行業動態
    您當前位置:首頁 > 新聞資訊 > 行業動態 >
    構建安全可控的信息技術體系
    發布時間:2018-10-19 16:28:49   來源:本站原創   點擊量:
    【導語】應當將自主可控作為網絡安全的必然要求,在此基礎上才能構建安全可控的信息技術體系。

    2017年12月3日,第四屆世界互聯網大會領先科技成果發布現場,一個更高效、更精準的新一代北斗三號全球系統部署正在給出中國方案。圖/本刊記者 潘樹瓊 攝

     2016年10月9日,習總書記在中共中央政治局第三十六次集體學習時提出,“加快推進國產自主可控替代計劃,構建安全可控的信息技術體系”“實施網絡信息領域核心技術設備攻堅戰略”。這充分說明,“構建安全可控的信息技術體系”是我國網信領域的一項重大任務。
    打破壟斷,自主掌握核心技術
    網信技術具有高度的壟斷性。在網信領域,技術、標準、知識產權、文獻資料、產品、服務、解決方案……往往形成一個信息技術體系,該體系及其關聯的經濟社會環境構成了一個生態系統。相應地,市場競爭也從產品或服務之間的競爭上升到生態系統之間的競爭,造成了網信技術的高度壟斷。

    要想打破現有的壟斷,靠單項技術的突破是不夠的,必須在信息技術體系及其生態系統的競爭中取勝。近年來在實施國產自主可控替代計劃中,各個軟硬件之間的適配問題耗費了大量人力物力。因此,要構建安全可控的信息技術體系,從根本上予以解決。

    那么,為什么要構建安全可控的信息技術體系?

    一是為了達到核心技術不受制于人。2016年4月19日,習總書記在網信工作座談會上指出:“核心技術受制于人是我們的隱患。”2016年10月9日,習總書記在中共中央政治局第三十六次集體學習時強調,“要緊緊牽住核心技術自主創新這個‘牛鼻子’,抓緊突破網絡發展的前沿技術和具有國際競爭力的關鍵核心技術。”實踐證明,關鍵和核心的技術必須靠自主研發、自主發展,這是實踐經驗的總結。構建安全可控的信息技術體系是打破現有壟斷,使核心技術能發揮作用、有用武之地,目標是達到核心技術不受制于人的必要條件。

    二是為了建設網絡強國的需要。中國雖然已經是網絡大國,但還不是網絡強國,一個重要原因就是我們還缺乏安全可控的信息技術體系的支撐,我國的信息基礎設施以及信息化所需的軟硬件和服務,大部分來自外國跨國公司。由此構成的基礎設施或信息系統就像沙灘上的建筑,在遭到攻擊時頃刻間便會土崩瓦解。隨著中國與發達國家的技術差距迅速縮短,外國對我們的方針也從封鎖禁運變為 “技術合作”,但往往是以“合作” 之名,行 “穿馬甲” 之實。實際上是希望中國放棄追趕,停止構建安全可控的信息技術體系,這樣,中國就會永遠依賴外國,永遠不能建成網絡強國。

    在實施過程中,市場化引導對于構建信息技術體系來說非常必要。不能指望將剛自主研發出來的一些軟硬件湊在一起就能正常工作,只有通過實際使用,發現問題,解決問題,才能做好所有軟硬件之間的適配,然后形成一個可實際使用的信息技術體系。

    這個過程一般要經歷“不可用”——“可用”——“好用”三個階段,特別是處在“不可用”階段時,如果沒有市場化引導,很可能根本無法進入市場,沒人應用也就不可能得到改進和發展。這時特別需要為其提供市場化支持,使這些開始“不可用”的技術也能有得到應用的機會,并在應用中發現問題,不斷改進,實現從“不可用”發展到“可用”“好用”。

    要安全和發展同步推進

    習總書記一直強調整體網絡安全觀:“沒有網絡安全就沒有國家安全”“網絡安全和信息化是一體之兩翼、驅動之雙輪”“網絡安全和信息化是相輔相成的。安全是發展的前提,發展是安全的保障,安全和發展要同步推進”。因此,網信事業應當實施安全和發展同步推進。發展是硬道理,安全也是硬道理。為此,要建立必要的法規制度保障,例如貫徹實施《網絡安全法》《網絡產品和服務安全審查辦法》、實施多維度測評、實行等保制度等等。

      在這個過程中,自主可控不等于安全,但不自主可控一定不安全。自主可控意味著不存在后門,可以主動增強安全性,發現了漏洞可以主動打補丁;而不自主可控意味著喪失主動權,在網絡攻擊下完全處于被動挨打地位。所以應當將自主可控作為網絡安全的必然要求,在此基礎上才能構建安全可控的信息技術體系。

      為了確保自主可控的信息技術體系構建,我國目前推出的“信息安全等級保護制度”和“多維度測評”將起到巨大作用。信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障,也是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法,更是我國多年來信息安全工作經驗的總結,事關國家安全、社會穩定、國家利益的重要任務。

      在網信領域中“安全”的內涵比傳統領域中“安全”的內涵更加廣泛、更加全面。例如當傳統汽車發展成了自動駕駛汽車,那么后者的“安全”不僅包含了前者的“安全”,還包含了能抵御網絡攻擊、能保護用戶信息等等內涵,而這些本來對前者來說是不需要考慮的。為此,有關部門提出了實行多維度測評的要求,包括:自主可控評估、質量測評、安全測評等。

    推進自主可控評估,對我國網信事業的發展意義重大。一是對即將開展的黨政機關黨政公文系統安全可靠應用推進工作提供必要的、及時的支持,以更好地保障網絡安全。二是為主要依靠自己研發、自己發展、自主可控程度高的產品和服務,給予更好的市場機會,防止各種打著“國產”“技術合作”旗號的 “穿馬甲”的外國產品和服務,混入政府和重要領域。三是落實“多維度測評”制度,使其成為網信工作的一項制度,以更好地體現習總書記關于網信工作的系列重要講話精神。

    從自主可控到自主先進的安全舉措

    加強自主可控產品共有組件透明度管理。重視自主產品的安全問題,建立從編碼安全到物理安全的管理機制和代碼審計機制,形成安全透明的協作生態體系。在開發的過程中,通過源代碼審計可以檢查源代碼中的安全問題,分析并找到這些問題可能引發的安全漏洞,提高國內自主產品源代碼的安全性。透明管理自主可控產品使用第三方組件或共有組件,明確其組件版本號,當上下游生態鏈出現問題時,整體從國家層面積極管理該問題,明確影響自主可控軟硬件范圍,發布對應補丁,解決問題。

      加強自主產品IT供應鏈的安全管理。軟件供應鏈包括的角色、環節眾多,結構復雜,攻擊者可能會利用供應鏈各節點的安全隱患,單靠現有的安全模式和離散的安全手段難以達成有效防護,必須依靠新模式、新思路,實現安全能力的抵近部署和集中感知,形成深度的威脅情報和態勢感知能力,實現對軟件供應鏈攻擊的有效防護和快速響應,達成有效的安全價值。(倪光南:中國工程院院士。本文系倪光南在第五屆安天網絡安全冬訓營暨關鍵信息基礎設施保護論壇上的演講摘錄)

    本文章轉載自:中共中央網絡安全和信息化委員會辦公室官網(http://www.cac.gov.cn/)

     



    ?