我國(guó)網(wǎng)絡(luò)空間安全建設(shè)歷程的回顧與思考

【 摘 要 】 結(jié)合個(gè)人多年參與我國(guó)信息安全實(shí)踐的經(jīng)歷，簡(jiǎn)要回顧了我國(guó)開展信息安全建設(shè)二十年的歷程，并結(jié)合當(dāng)前形勢(shì)，提出了個(gè)人的思考和建議，供從事信息安全建設(shè)的單位和同行參考。

【 關(guān)鍵詞 】 信息安全；信息安全建設(shè)； 網(wǎng)絡(luò)空間安全；網(wǎng)絡(luò)空間安全建設(shè)

【 Abstract 】 The author combined with his years of participating in China's information security practice， briefly reviewed twenty years history of our countrys construction of information security， and considering the current situation， put forward personal thoughts and suggestions about information security construction for unit and peer reference.

【 Keywords 】 information security； information security construction； cyber security；cyber security construction

1 引言

從1995年國(guó)內(nèi)市場(chǎng)首次出現(xiàn)專配X86微機(jī)的防病毒卡至今，我國(guó)信息安全建設(shè)已走過了二十年歷程?；仡欉@個(gè)歷程，可以清晰地看出我國(guó)信息安全建設(shè)發(fā)展的階段性和不同階段的特點(diǎn)。

賽博安全“Cyber Security”一詞出現(xiàn)后，國(guó)內(nèi)有的翻譯為“網(wǎng)絡(luò)安全”或“網(wǎng)際安全”，有的翻譯為“電腦安全”，還有的翻譯為“數(shù)字世界安全”。信息安全領(lǐng)域有關(guān)專家認(rèn)為上述翻譯都欠準(zhǔn)確，都不能表達(dá)Cyber一詞涵蓋的內(nèi)容和范圍，在尚無對(duì)應(yīng)詞匯和權(quán)威意譯的情況下，多數(shù)人傾向翻譯成“網(wǎng)絡(luò)空間安全”。網(wǎng)絡(luò)空間安全涵蓋了所有信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施和環(huán)境設(shè)施的軟硬件設(shè)備及數(shù)據(jù)安全，包括互聯(lián)網(wǎng)、廣播電視網(wǎng)、電信網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等安全。

2003年2月，美國(guó)政府正式發(fā)布了《保護(hù)網(wǎng)絡(luò)空間安全的國(guó)家戰(zhàn)略》。2005年4月，美國(guó)政府公布了總統(tǒng)信息技術(shù)顧問委員會(huì)題為《網(wǎng)絡(luò)空間安全：優(yōu)先考慮的危機(jī)》的報(bào)告。2006年4月，美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)公布了網(wǎng)絡(luò)空間安全和信息保障跨部門工作組提交的《聯(lián)邦政府網(wǎng)絡(luò)空間安全和信息保障研發(fā)計(jì)劃》。

這三個(gè)文件，在全面分析美國(guó)關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)面臨威脅的基礎(chǔ)上，提出了網(wǎng)絡(luò)空間安全的新理念，并從國(guó)家層面明確了網(wǎng)絡(luò)空間安全的戰(zhàn)略目標(biāo)、政府職責(zé)以及技術(shù)研發(fā)的重點(diǎn)領(lǐng)域與項(xiàng)目，對(duì)我國(guó)信息安全規(guī)劃和建設(shè)提供了有益的啟示。

我國(guó)的信息安全建設(shè)起步晚于歐美等發(fā)達(dá)國(guó)家。初始階段，從政策和技術(shù)層面，主要借鑒歐美國(guó)家的做法，學(xué)習(xí)、照搬歐美國(guó)家已頒布的信息安全標(biāo)準(zhǔn)規(guī)范，使我們能夠在較高起點(diǎn)上開始信息安全建設(shè)，以避免重蹈覆轍，少走彎路。后來，隨著我國(guó)信息安全建設(shè)取得的成就和積累的經(jīng)驗(yàn)，我們逐漸摸索出一套有中國(guó)特色的網(wǎng)絡(luò)安全治理措施，從制定和推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)標(biāo)準(zhǔn)，在基層全面開展等級(jí)保護(hù)安全測(cè)評(píng)和對(duì)重要信息系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施年度安全檢查，到今天國(guó)家立法機(jī)構(gòu)推出《網(wǎng)絡(luò)安全法》，我國(guó)的網(wǎng)絡(luò)空間安全戰(zhàn)略輪廓逐漸清晰，發(fā)展的步伐更加扎實(shí)和穩(wěn)健。

2 我國(guó)網(wǎng)絡(luò)空間安全建設(shè)的歷程

2.1 建設(shè)初期和發(fā)展期（1995-2005年）

我國(guó)信息安全建設(shè)始于20世紀(jì)90年代后期，隨著各行業(yè)信息化和網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)安全的理念也得到了公眾的認(rèn)可。最初，為了抵御一般網(wǎng)絡(luò)黑客的攻擊，許多重要的企事業(yè)單位開始在內(nèi)部網(wǎng)絡(luò)上部署防火墻、網(wǎng)閘、IDS等網(wǎng)絡(luò)安全防護(hù)設(shè)備。一時(shí)間，網(wǎng)絡(luò)安全產(chǎn)品成為熱門商品，為了適應(yīng)國(guó)內(nèi)市場(chǎng)的巨大需求，國(guó)內(nèi)涌現(xiàn)出一批新興的信息安全設(shè)備研發(fā)、生產(chǎn)公司，并創(chuàng)新性地研發(fā)出內(nèi)網(wǎng)安全管理、桌面管理和信息安全審計(jì)等系統(tǒng)，彌補(bǔ)了信息安全管理的缺項(xiàng)，推動(dòng)了國(guó)內(nèi)自主的信息安全產(chǎn)品和系統(tǒng)的研發(fā)及產(chǎn)業(yè)化。經(jīng)過10年發(fā)展，我國(guó)的信息安全制造行業(yè)已初具規(guī)模，涌現(xiàn)出啟明星辰、天融信、綠盟科技、南京金稅等行業(yè)龍頭企業(yè)。

與此同時(shí)，由公安部牽頭組建了信息安全標(biāo)準(zhǔn)化委員會(huì)，開始了基于等級(jí)保護(hù)的信息安全技術(shù)標(biāo)準(zhǔn)的編撰工作。短短三年，編制出近二十個(gè)有關(guān)信息安全設(shè)備的技術(shù)要求和安全服務(wù)要求的行業(yè)標(biāo)準(zhǔn)和規(guī)范，為保障和促進(jìn)我國(guó)信息安全的建設(shè)奠定了良好的技術(shù)基礎(chǔ)。這十年間，尤其是2000年至2005年間，我國(guó)各大城市每年均舉辦多場(chǎng)規(guī)模不一的信息安全產(chǎn)品展，參展廠商包括國(guó)內(nèi)外著名的信息安全產(chǎn)品和系統(tǒng)制造商，這些會(huì)展對(duì)我國(guó)大力宣貫信息安全理念也起到了積極作用。

這個(gè)階段的特點(diǎn)：大干快上，宣貫造勢(shì)。

2.2 建設(shè)中期和穩(wěn)定期（2005-2013年）

進(jìn)入2005年，我國(guó)信息安全事業(yè)取得了長(zhǎng)足的進(jìn)步，呈現(xiàn)出欣欣向榮的景象。國(guó)家信息安全職能部門（工信部信息安全協(xié)調(diào)司）從國(guó)家層面提出了信息安全建設(shè)的目標(biāo)（推進(jìn)各行業(yè)等級(jí)保護(hù)定級(jí)及整改并重點(diǎn)開展工控系統(tǒng)信息安全防護(hù)工作）、政府職責(zé)（強(qiáng)化安全產(chǎn)品市場(chǎng)準(zhǔn)入檢測(cè)制度和組織專業(yè)機(jī)構(gòu)對(duì)重要信息系統(tǒng)進(jìn)行年度安全檢查）以及技術(shù)研發(fā)的重點(diǎn)領(lǐng)域與項(xiàng)目，對(duì)我國(guó)信息安全規(guī)劃和建設(shè)提供了有力指導(dǎo)。與之配套，國(guó)家發(fā)改委高新司每年均撥出專項(xiàng)資金組織對(duì)申報(bào)技術(shù)研發(fā)重點(diǎn)領(lǐng)域與項(xiàng)目的國(guó)內(nèi)信息安全企業(yè)進(jìn)行評(píng)審、選拔和資助，扶持了一批有創(chuàng)新、有技術(shù)但缺資金的中小民營(yíng)信息安全企業(yè)，實(shí)質(zhì)性地推動(dòng)了一批技術(shù)含量高、市場(chǎng)緊缺并擁有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品和系統(tǒng)的產(chǎn)業(yè)化。這一措施，既取得了較好的市場(chǎng)效益，也提高了國(guó)家重要行業(yè)信息安全設(shè)備國(guó)產(chǎn)化比率。

這個(gè)發(fā)展階段取得了多項(xiàng)主要成果。

成果1：國(guó)營(yíng)和民營(yíng)的信息安全廠商及機(jī)構(gòu)吸引了眾多大學(xué)本科生、研究生、博士生參與新產(chǎn)品的研發(fā)工作，為信息安全行業(yè)培養(yǎng)出大批高科技人才。

成果2：隨著信息安全企業(yè)創(chuàng)新和自主研發(fā)能力的增強(qiáng)，國(guó)產(chǎn)的信息安全產(chǎn)品和系統(tǒng)的技術(shù)水平和質(zhì)量也有了顯著的提高，有些產(chǎn)品和系統(tǒng)甚至達(dá)到了國(guó)際先進(jìn)水平。

成果3：通過工信部組織的年度信息安全檢查和整改，較大地提升了關(guān)系國(guó)計(jì)民生的國(guó)家重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的信息安全防護(hù)水平。

經(jīng)過本階段的建設(shè)，我國(guó)的“8+2”行業(yè)信息系統(tǒng)，尤其是電力、稅務(wù)、電信和金融行業(yè)的信息安全制度化管理及技術(shù)防護(hù)措施，均處于國(guó)內(nèi)領(lǐng)先水平。

這個(gè)階段的特點(diǎn)：依據(jù)標(biāo)準(zhǔn)，規(guī)范治理。

2.3 建設(shè)深化期（2013-至今）

2013年，國(guó)家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，表明國(guó)家對(duì)網(wǎng)絡(luò)空間安全的重視程度上升到一個(gè)新的高度。

2015年7月，全國(guó)人大審議通過了《網(wǎng)絡(luò)安全法（草案）》。該法案成為我國(guó)網(wǎng)絡(luò)空間治理的指導(dǎo)思想，對(duì)我國(guó)網(wǎng)絡(luò)空間安全建設(shè)提供了堅(jiān)實(shí)的法律依據(jù)。

2016年4月，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組舉辦了工作座談會(huì)，對(duì)我國(guó)網(wǎng)絡(luò)安全建設(shè)提出了四點(diǎn)要求：第一，樹立正確的網(wǎng)絡(luò)安全觀；第二，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系；第三，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)；第四，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。這四條成為今后相當(dāng)一段時(shí)期我國(guó)網(wǎng)絡(luò)空間安全建設(shè)的目標(biāo)和方向，是明確的國(guó)家戰(zhàn)略。

2013年以來，大數(shù)據(jù)和云計(jì)算成為業(yè)界的熱點(diǎn)，有關(guān)大數(shù)據(jù)和云計(jì)算安全的標(biāo)準(zhǔn)規(guī)范也提到了信安標(biāo)委的議事日程上。在此階段，信息安全領(lǐng)域有幾個(gè)值得注意的亮點(diǎn)。

一是國(guó)家對(duì)工控系統(tǒng)安全的重視程度不斷提高，圍繞工控系統(tǒng)安全的標(biāo)準(zhǔn)規(guī)范制定和專題宣貫會(huì)議明顯增多，在技術(shù)路線上重點(diǎn)強(qiáng)調(diào)監(jiān)視預(yù)警、自主可控和應(yīng)急保障。

二是國(guó)內(nèi)信息安全產(chǎn)品廠商將信息安全檢測(cè)和防護(hù)技術(shù)的研發(fā)重點(diǎn)聚焦在防范隱蔽的APT和AET特種攻擊上，并借此適時(shí)推出了下一代防火墻、IDS/IPS等安全產(chǎn)品，吹響了安全產(chǎn)品更新?lián)Q代的號(hào)角。

三是業(yè)界欲突破長(zhǎng)期困擾網(wǎng)絡(luò)安全管理員的難題：確實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)安全的可視化、一體化智能管理，以提高網(wǎng)絡(luò)信息安全管理的效率和進(jìn)一步減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)。

四是出現(xiàn)了一批專門研發(fā)移動(dòng)互聯(lián)網(wǎng)信息安全產(chǎn)品的公司，以滿足市場(chǎng)上越來越龐大的手機(jī)用戶對(duì)移動(dòng)信息安全的需求。

五是國(guó)家在信息安全專項(xiàng)資金資助方式上規(guī)定申報(bào)單位必須是產(chǎn)學(xué)研和行業(yè)聯(lián)合體，以保證產(chǎn)業(yè)化后的市場(chǎng)應(yīng)用，提高國(guó)家資助資金的有效性?？傊@一階段的信息安全新理念、新觀點(diǎn)和新技術(shù)不斷涌現(xiàn)，令人應(yīng)接不暇。

這個(gè)階段的特點(diǎn)：國(guó)家立法，深化治理。

3 思考和建議

回顧我國(guó)信息安全建設(shè)近二十年來的歷程，我國(guó)信息安全建設(shè)取得了了不起的成績(jī)：總體思路明確，技術(shù)路線基本正確，在國(guó)內(nèi)孵化了許多敢于創(chuàng)業(yè)的信息安全企業(yè)，造就了一大批勇于創(chuàng)新的專業(yè)技術(shù)人才，形成了獨(dú)具特色的中國(guó)信息安全產(chǎn)業(yè)，奠定了我國(guó)開展信息安全建設(shè)，鑄造網(wǎng)絡(luò)強(qiáng)國(guó)的物質(zhì)基礎(chǔ)。

提出幾點(diǎn)建議，供業(yè)界同行商榷。

（1）國(guó)家每年應(yīng)繼續(xù)設(shè)立一定數(shù)量的專項(xiàng)資金，資助在信息安全前沿領(lǐng)域攻關(guān)克難的信息安全公司，并適當(dāng)向小微企業(yè)傾斜。

（2）從國(guó)家層面繼續(xù)鼓勵(lì)軍地結(jié)合、軍民共建聯(lián)合攻關(guān)，有效利用軍隊(duì)的組織和技術(shù)優(yōu)長(zhǎng)及民營(yíng)公司的靈活體制與市場(chǎng)基礎(chǔ)，以軍帶民、以軍促民，不斷攻克信息安全特殊技術(shù)的推廣應(yīng)用難題。

（3）建立長(zhǎng)效的信息安全人才培養(yǎng)機(jī)制，從院校、科研院所到信息安全企業(yè)，搭建一條從理論到實(shí)踐，再回到理論，不斷提高、不斷實(shí)踐的良性循環(huán)路線的創(chuàng)業(yè)孵化平臺(tái)。

（4）高度重視信息安全標(biāo)準(zhǔn)規(guī)范的研究制定工作，從事信息安全的事業(yè)和規(guī)模企業(yè)，應(yīng)設(shè)立專職標(biāo)準(zhǔn)研究制定崗位。業(yè)界信息安全標(biāo)準(zhǔn)化委員會(huì)應(yīng)吸納有信息安全實(shí)踐經(jīng)驗(yàn)的技術(shù)專家參與，加快各項(xiàng)信息安全技術(shù)標(biāo)準(zhǔn)規(guī)范的評(píng)審工作，盡快出臺(tái)業(yè)界急需的新技術(shù)應(yīng)用的信息安全標(biāo)準(zhǔn)，如安全防護(hù)要求和檢測(cè)要求，使信息安全建設(shè)做到“規(guī)范建設(shè)、標(biāo)準(zhǔn)先行”。

（5）鼓勵(lì)和支持我國(guó)信息安全事業(yè)和企業(yè)單位在信息安全管理及技術(shù)方面積極開展國(guó)際交流和合作，尤其加強(qiáng)與以色列、芬蘭、瑞典等信息安全技術(shù)強(qiáng)國(guó)的技術(shù)交流和合作，力爭(zhēng)在專項(xiàng)技術(shù)方面達(dá)到世界先進(jìn)水平。

參考文獻(xiàn)

[1] 美國(guó)《聯(lián)邦政府賽博安全和信息保障研發(fā)計(jì)劃》2008年5月翻譯文.

[2] 《美國(guó)賽博安全戰(zhàn)略及對(duì)我們的啟示》國(guó)家信息安全技術(shù)安全研究中心2008年5月.

[3] 《RSA會(huì)議主題報(bào)告》綠盟科技2012～2015年.

[4] 《我國(guó)信息安全市場(chǎng)調(diào)研報(bào)告》2012-2015年，徐金偉.

[5] 《中國(guó)信息安全技術(shù)展望學(xué)術(shù)論文集》2013-2014年中國(guó)信息安全技術(shù)大會(huì).

作者簡(jiǎn)介：

徐金偉（1951-），男，中國(guó)人民解放軍總參某研究所，研究員，長(zhǎng)期從事信息安全研究和架構(gòu)設(shè)計(jì)工作。