近日,国务院印发了《“十三五”国家信息化规划》(以下简称《规划》),这是对《国家信息化发展战略纲要》的细化落实。网络安全和信息化是一体之两翼、驱动之双轮,《规划》将“健全网络安全保障体系”作为一项重要任务。以下对这项任务下的具体工作进行了梳理。
一、关于强化网络安全顶层设计
制定实施国家网络空间安全战略——战略是个根本问题,《网络安全法》第四条要求,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标。近日,《国家网络空间安全战略》已经正式发布,其作用主要有三个方面:举旗、划线、指路。举旗就是宣示我国在网络空间的重大立场和主张,划线就是指出我国在网络空间的重大利益和底线,指路就是明确今后的工作方向、重点并作出战略部署。
完善网络安全法律法规体系,推动出台网络安全法、密码法、个人信息保护法,研究制定未成年人网络保护条例——《网络安全法》已于11月7日在全国人大常委会通过,这是我国网络安全的“基本法”,是网络安全法律法规体系的核心。《商用密码管理条例》已经完成修订稿,密码法将在此基础上加快出台,重点是适应密码应用社会化的大趋势,调整有关管理体制机制,促进密码技术广泛应用。个人信息保护法的起草过程一波三折,在当前个人信息安全已经成为一个严重的社会问题的情况下,其立法进程料将加速,目前的工作基础主要是《网络安全法》第四章“网络信息安全”作出的有关规定。未成年人网络保护条例定位于国务院行政法规,早在2014年便列入国务院立法工作计划,目前已经完成草案,国家互联网信息办公室已于2016年9月向社会公开征求意见。
健全完善国家网络与信息安全信息通报预警体系——目前我国网络安全预警和通报体系建设比较混乱,很多部门都在发布预警和通报,公众无所适从。国家网络与信息安全信息通报中心在2004年成立,当时的国家网络与信息安全协调小组办公室将该中心委托公安部管理。《网络安全法》对通报预警体系的后续建设工作提出了明确要求:国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
健全网络安全标准体系——标准在网络安全工作中起着基础性、规范性、引领性的作用,也是话语权的重要依托。中央网信办、国家质检总局、国家标准委已于2016年8月印发了《关于加强国家网络安全标准化工作的若干意见》,对构建统一权威、科学高效的网络安全标准体系和标准化工作机制作出了部署,“十三五”时期重在落实。
加强网络空间安全学科专业建设,创建一流网络安全学院——网络空间的竞争,归根结底是人才竞争。中央网信办、发改委、教育部等6部委已于2016年6月印发了《关于加强网络安全学科建设和人才培养的意见》,从加快网络安全学科专业和院系建设、创新网络安全人才培养机制、加强网络安全教材建设、强化网络安全师资队伍建设、推动高校与行业企业合作育人和协同创新、加强在职培训、加强全民网络安全意识和技能培养、完善人才培养配套措施等方面提出了要求。目前,已有多个高等院校成立了网络安全学院,并已开始招生。
二、关于构建关键信息基础设施安全保障体系
实施网络安全审查制度——2014年5月,我国宣布将建立网络安全审查制度。目前,有几类重要技术产品和服务正在进行审查,首批云服务安全审查结果已经公布。《网络安全法》已经明确了这项制度的范围、对象、重点和实施部门:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。“十三五”时期,主要工作是完善制度、加快推进制度实施。
建立国家关键信息基础设施目录,制定关于国家关键信息基础设施保护的指导性文件——关键信息基础设施是我国网络安全保护的重点,但《网络安全法》没有明确其范围,“十三五”期间要抓紧制定关键信息基础设施的具体范围和安全保护办法。在《网络安全法》的原则规定下,这个保护办法将确定我国关键信息基础设施保护的一系列具体制度,提出强制性要求。
加强关键信息基础设施核心技术装备威胁感知和持续防御能力建设,增强网络安全防御能力和威慑能力——《规划》这一要求集中体现了我国保护关键信息基础设施思路的转变:要求从被动防护转向积极防御,重点是感知威胁和威慑反制。威慑能力是继《国家信息化发展战略纲要》后再次提出,其核心是要建立以慑止战的能力,切实维护国家网络空间主权、安全、发展利益。
加强重要领域密码应用——密码是保护网络安全的核心技术,“十三五”时期要推动国产自主密码算法及相关产品在重要领域的积极应用,重点是推进基础信息网络密码应用、规范重要信息系统密码应用、促进重要工业控制系统密码应用、加强面向社会服务的政务信息系统密码应用、提升密码基础支撑能力、建立健全密码应用安全性评估审查制度。
三、关于全天候全方位感知网络安全态势
建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制——这实际上是针对当前我国网络安全应急处置中多头管理、各自为战等局面提出的要求。关于这项工作的基本思路,《网络安全法》中已经明确:国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析——态势感知的基础是数据,目前有大量的与网络安全有关的数据掌握在企业手中,特别是很多大型互联网企业拥有庞大的用户群和装机量,其掌握的网络安全信息往往更加全面、准确和实时。习近平总书记在2016年4月19日的网络安全和信息化工作座谈会上强调:“把企业掌握的大量网络安全信息用起来”。这要解决两个问题,一是如何保护各方权益,特别是对企业的补偿机制;二是突破多源异构信息汇聚、追踪溯源等技术难题。
完善网络安全检查、风险评估等制度——我国的网络安全风险评估制度始于2006年,以当时国家网络与信息安全协调小组发文为标志。在此后的若干次重大活动期间,国家对包括重点行业在内的系统开展了多次网络安全检查活动,但当时并没有形成网络安全检查制度。2008年以后,逐步在政府部门建立起了网络安全年度检查制度,检查结果上报国务院。今年启动的关键信息基础设施网络安全大检查,依据的还是领导批示。《网络安全法》则正式建立了整个关键信息基础设施领域的网络安全检查制度。首先,各运营单位每年至少进行一次检测评估,结果应上报;其次,国家网信部门统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测。
加快实施党政机关互联网安全接入工程——美国在2008年发布国家安全总统令,宣布了爱因斯坦2和爱因斯坦3计划。这个计划的首要一步,是将政府部门各自接入互联网改为集中统一接入互联网,并在接入口加装态势感知等设备。这是一种有效的积极措施,我国后来也实施了党政机关互联网安全接入工程,“十三五”时期的要求是“加快实施”。
加强网站安全管理——网站安全特别是政府网站安全向来十分重要,但至今仍问题频发。2014年,中央网信办印发了《关于加强党政机关网站安全管理的通知》,应该说在政策层面已经作出了完善的布置,应进一步落实。2015年,国标委为此发布了国家标准GB/T 31506,中央网信办也于2016年启动了试点工作。
四、关于强化网络安全科技创新能力
实施国家信息安全专项——国家信息安全专项由发改委负责,近几年已由重点支持技术产品转向重点支持关键信息基础设施的安全保障,以关键信息基础设施的安全需求牵引急需安全技术的研发和产业化。“十三五”将继续实施国家信息安全专项,重点还是关键信息基础设施保护,包括基础信息网络、重点行业信息系统、涉密信息系统等。
实施国家网络空间安全重大科技项目——网络安全科技计划由科技部负责。国家科技管理体制改革后,863计划、973计划等已取消、整合,科技计划新分为五种类型,其中与网络安全科技计划相关的主要是第二类“科技重大专项”和第三类“重点研发计划”。在第二类中,“网络空间安全重大专项”正在立项论证过程之中,“网络空间安全重点研发计划”已经发布。
加快推进安全可靠信息技术产品研发创新、应用和推广——习近平总书记指出,核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。总书记将核心技术分为三类:一是基础技术、通用技术。二是非对称技术、“杀手锏”技术。三是前沿技术、颠覆性技术。这里的“安全可靠信息技术”主要指第一类,包括CPU、操作系统等。这类技术位于整个产业链的前端,对产业有重大影响,也正是我们受制于人之处。这个方向上的攻关没有任何退路,必须树立决心、恒心、重心,立足我国国情,面向世界科技前沿,面向国家重大需求,面向国民经济主战场,咬定青山不放松。
形成信息技术产品自主发展的生态链——当前全球信息技术的竞争,早已从单品竞争发展到了生态系统的竞争。仅满足于单品突破已经没有意义,如果生态系统不支持,这个单品完全不可能在别人的平台上跑起来。因此,国际巨头对生态系统的垄断,是我们目前面临的最大挑战。习近平总书记指出,美国有个所谓的“文泰来”(wintel)联盟,微软的视窗操作系统只配对英特尔的芯片,我们也必须推动强强联合、协同攻关。目前,我国在这方面已经实现了重大突破,工信部授牌、中国电子信息产业集团运营的安全可靠软硬件联合攻关基地已经完成了从CPU到办公套件等国内主流自主基础软硬件的适配,实现了国产自主产品从“基本不可用”到“基本可用”的历史性转折,目前在党政办公领域已经实现“好用”。
推进党政机关电子公文系统安全可靠应用——在维护网络安全过程中,我国始终坚持正确处理安全与发展、自主与开放的关系。我国的网络安全政策,是基于开放环境维护国家网络安全。这意味着,我们既不排斥国外先进技术,也要坚持自主创新。但发展核心技术,必须要使用。习近平总书记指出,核心技术研发的最终结果,不应只是技术报告、科研论文、实验室样品,而应是市场产品、技术实力、产业实力。党政机关电子公文系统安全可靠应用是我国推进核心技术应用的重大工程,此项工作会在“十三五”时期全面推开。
建立有利于网络安全产业良性发展的市场环境——我国整个网络安全市场规模比不上国外一家网络安全企业的年收入,产业发展环境差是不可回避的原因。重复检测收费、低于成本价中标等问题依然存在。《网络安全法》提出了减少重复检测的要求,产业界十分期待政府拿出“实招”,“十三五”时期这方面的工作还很重。