NSC2013 中國網絡安全大會2013論壇一 北信源 胡建斌
責編:rhliu |2013-12-11 12:28:39胡建斌:好,我下面簡單給大家分享一點,就是說我個人對國家信息安全戰略的一個思考。首先我們想,國家信息安全戰略實際上對中國來講,實際上跟中美關系是息息相關的,一個10年為一個階段看,從八十年代到九十年代的時候,中美關系的改善,然后中國得到了首先是開放了經濟市場,得到美國國際社會的積極響應,這個時候我們看到,IBM、惠普,蘋果等一系列的軟硬件產品開始進入中國市場,這個時候也是中國本土市場初步形成的一個階段,包括我們的五筆字型,四通漢字打印機,國光計算機漢化終端等等。從信息安全的角度來講,那么這是我們國內開始逐步地研究美國的橘皮書的技術標準,對信息安全的保密性、完整性和可用性形成了一些粗淺的理解。
到九十年代的時候,隨著中美關系的變化,蘇聯解體,海灣戰爭的發生,我們整個中國的信息安全市場又得到了進一步的繁榮,這時候就是互聯網,BBC、移動手機、數字電視等等開始進入了中國市場,那么這個時候一個比較典型的標志就是移動通信和計算機與互聯網的廣泛應用以及普及,標志著我們進入了信息網絡時代。如果大家在這個時候給信息安全比較明顯的一個理解,那么我們可以記憶猶新的就是我們CIH的病毒,我們BO的木馬等等,中辦發2003年27號文件一直都是我們的行動計劃。到2000年的時候,我們可以看到隨著中美關系發生微妙的變化,我們可以看到911阿富汗事件,南聯盟的戰爭,這時候中美關系已經開始,美國已經開始對遏制中國發展,成為西方的一個主流的意識形態,所以我們國內對IT企業的發展已經開始比較成熟,比方說我們的中興華為已經開始逐漸走出國門了,那么這時候我們也開始構建自己的關鍵性基礎設施,但是很遺憾的是,我們的資金也是這樣,我們的核心的軟硬件產品基本上都是國外的產品占比都非常大。所以這時候我們在這一個10年,中國信息安全的體系和戰略布局基本形成了,那么也一直延續到現在。包括我們的管理協調體系,我們的標準的建設,以及我們各種產品測評,還有就是我們的人保分保體系的建立。
2011年之后,我們前面大家也講了,智慧地球,云技術的出現,可以看到中美關系進一步的朝分化的方向發展,那么我們可以看到就是說在美國成立了美國國防部的網絡空間司令部,網絡作戰部隊等等一系列的這種針對中國的威脅的網絡威脅的一些手段,同時在近幾年,大家可能明確提出來網絡,很多國家提出來自己的網絡安全的國家戰略,那么提出了賽博空間,網絡電子空間等等一系列的概念,那么這時候網絡空間已經放大了,與陸海空天相融合,能夠對現實世界產生現實影響力的一個空間,所以在這個階段的話,中國在國家的層面上和軍地在軍隊層面上,都做了很多的應對措施,那么對典型的就是我們三中全會的國家信息安全委員會的成立。總體來講我們可以看到,我們國家這個國家信息安全整體的一個發展趨勢,首先美國的國家戰略對我們的影響是非常大的,那么隨著美國國家信息安全戰略將中國略為主要的打擊目標以后,我們可以看到,就是說美國政府它點名的時候,主要的網絡威脅的主要原因之一就是中國,為了維持這種,它也投入了高額的投入,將中國作為它的假想敵,這次的鄰居們事件,把美國的意圖基本上表現得淋漓盡致。第二個它加大了民營高科技公司的合作力度,就是我們通常所說的八大金剛,加上一些黑客技術的研發,前面陳老師也做了一些闡述。包括一些新技術的威脅,網絡恐怖主義的威脅,還有就是剛才我們大家看到了說信息安全產業的100個億的產值,我覺得是面上的,如果我們看到我們互聯網的黑色經濟的話,可能在我們的地下,可能還會有100億在這個地方,在2011年的時候我們統計,互聯網的地下黑色產業鏈已經達到了50個億,那么2013年應該會超過七八十個億左右,所以地下的這個產業也是很嚇人的。
另外就是意識形態和網絡戰爭的危險,這是我們不要講太多。所以包括到尤其是物聯網、云計算以及下一代互聯網成為當前熱門的新技術和新領域以后,我們的安全由傳統的網絡世界,延伸到了我們真實的物質世界,包括我們大家現在可能講的APT的公約控制系統的危害,可能是一個最典型的表現。那么整個隨著云計算和虛擬化計算,還有物聯網的發展,所以它把整個網絡安全延伸到了我們現實生活中的每一個人,甚至我們生活中的每一個時辰,每一個點,就是幾乎是無處不在,無時不在的威脅。那么我們對信息安全的一些指導思想的一些考慮,因為時間有限,就簡單講一點。
首先我們要講改變我們的觀念,就是從我們傳統的,尤其是在我們內網建設的時候,都是從信任出發的一個理念,那么我們希望能夠從懷疑走向信任的一個原則,遵循這個原則構建我們的指導體系,第二個,我們現有的體系一個就是邊界防御,再一個就是圍網防護。大家可能非常重視邊界防御,隨著我們新型計算機的發展,內部和外部的區別已經很模糊了。第三個現在我們談到很多信息安全的話,可能都是老三樣,就是老生常談,這些新技術也需要引起大家的重視,包括軟件的凈化技術,系統清洗,網絡清洗,主動防御,深度防御以及攻擊成本增加采取的一系列措施等等。那么我想對信息安全的發展的總體的戰略目標,應該是首先第一是預防和阻止對我們國家關鍵信息基礎設施的網絡攻擊行為,其次當這種行為不可避免的時候,那么我們怎么樣減少、減輕我們所遭受的損失,以及進行快速的恢復,所以站在國家的層面上來講,第一個我們要建立國家的賽博空間的應急響應體系,第二個是要建設降低國家安全危險性的一大批的國家項目,那么這些項目有可能,除了剛才講的一些大型的國企以外,隨著黃金10年的到來,信息安全黃金10年的到來,可能也會向大量的民營企業進行傾斜。第三個就是建立國家網絡安全預警和培訓項目,第四個是確保政府各部門的網絡安全,這個是由政府來管的事。然后還有很重要的事,就像網絡師一樣,網絡師在安全領域里頭,它也是有自己的呼聲,就是加強網絡安全的國際合作,用國際的準則和法律去約束美國,我們國家也應該走這樣一個路。
有八大研發領域,包括網絡安全功能,保護基礎設施安全,特定域的安全等等。然后我們認為就是說在10個方向上面可能是未來國家會優先做的一些發展的一些方向。第一個就是我們的認證技術,第二個是我們協議的各種協議的安全性的理解和新協議的構建,第三個是從軟件工程和軟件保證上講安全,第四個是系統整體的安全性,這種安全性不僅是包括我們技術性的,甚至包括我們社會性,我們管理性的安全體系。第五個是監控與探測,第六個是緩解與恢復,第七個是我們現在大家發展得如火如荼的網絡的取證,第八個是新技術建模與測試平臺,第九個是度量基準和最佳實踐,第十個是危害網絡安全的非技術問題。包括一些管理體制,我們的法律法規,甚至包括我們的人才培養,還有就是我們的人員的這種全民的信息安全意識的培養等等。謝謝。
