原標題:
近日,國務院印發了《“十三五”國家信息化規劃》(以下簡稱《規劃》),這是對《國家信息化發展戰略綱要》的細化落實。網絡安全和信息化是一體之兩翼、驅動之雙輪,《規劃》將“健全網絡安全保障體系”作為一項重要任務。以下對這項任務下的具體工作進行了梳理。
一、關於強化網絡安全頂層設計
制定實施國家網絡空間安全戰略——戰略是個根本問題,《網絡安全法》第四條要求,國家制定並不斷完善網絡安全戰略,明確保障網絡安全的基本要求和主要目標。近日,《國家網絡空間安全戰略》已經正式發佈,其作用主要有三個方面:舉旗、劃線、指路。舉旗就是宣示我國在網絡空間的重大立場和主張,劃線就是指出我國在網絡空間的重大利益和底線,指路就是明確今後的工作方向、重點並作出戰略部署。
完善網絡安全法律法規體系,推動出臺網絡安全法、密碼法、個人信息保護法,研究制定未成年人網絡保護條例——《網絡安全法》已于11月7日在全國人大常委會通過,這是我國網絡安全的“基本法”,是網絡安全法律法規體系的核心。《商用密碼管理條例》已經完成修訂稿,密碼法將在此基礎上加快出臺,重點是適應密碼應用社會化的大趨勢,調整有關管理體制機制,促進密碼技術廣泛應用。個人信息保護法的起草過程一波三折,在當前個人信息安全已經成為一個嚴重的社會問題的情況下,其立法進程料將加速,目前的工作基礎主要是《網絡安全法》第四章“網絡信息安全”作出的有關規定。未成年人網絡保護條例定位於國務院行政法規,早在2014年便列入國務院立法工作計劃,目前已經完成草案,國家互聯網信息辦公室已于2016年9月向社會公開徵求意見。
健全完善國家網絡與信息安全信息通報預警體系——目前我國網絡安全預警和通報體系建設比較混亂,很多部門都在發佈預警和通報,公眾無所適從。國家網絡與信息安全信息通報中心在2004年成立,當時的國家網絡與信息安全協調小組辦公室將該中心委託公安部管理。《網絡安全法》對通報預警體系的後續建設工作提出了明確要求:國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發佈網絡安全監測預警信息。
健全網絡安全標準體系——標準在網絡安全工作中起著基礎性、規範性、引領性的作用,也是話語權的重要依託。中央網信辦、國家質檢總局、國家標準委已于2016年8月印發了《關於加強國家網絡安全標準化工作的若干意見》,對構建統一權威、科學高效的網絡安全標準體系和標準化工作機製作出了部署,“十三五”時期重在落實。
加強網絡空間安全學科專業建設,創建一流網絡安全學院——網絡空間的競爭,歸根結底是人才競爭。中央網信辦、發改委、教育部等6部委已于2016年6月印發了《關於加強網絡安全學科建設和人才培養的意見》,從加快網絡安全學科專業和院係建設、創新網絡安全人才培養機制、加強網絡安全教材建設、強化網絡安全師資隊伍建設、推動高校與行業企業合作育人和協同創新、加強在職培訓、加強全民網絡安全意識和技能培養、完善人才培養配套措施等方面提出了要求。目前,已有多個高等院校成立了網絡安全學院,並已開始招生。
二、關於構建關鍵信息基礎設施安全保障體系
實施網絡安全審查制度——2014年5月,我國宣佈將建立網絡安全審查制度。目前,有幾類重要技術産品和服務正在進行審查,首批雲服務安全審查結果已經公佈。《網絡安全法》已經明確了這項制度的範圍、對象、重點和實施部門:關鍵信息基礎設施的運營者採購網絡産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。“十三五”時期,主要工作是完善制度、加快推進制度實施。
建立國家關鍵信息基礎設施目錄,制定關於國家關鍵信息基礎設施保護的指導性文件——關鍵信息基礎設施是我國網絡安全保護的重點,但《網絡安全法》沒有明確其範圍,“十三五”期間要抓緊制定關鍵信息基礎設施的具體範圍和安全保護辦法。在《網絡安全法》的原則規定下,這個保護辦法將確定我國關鍵信息基礎設施保護的一系列具體制度,提出強制性要求。
加強關鍵信息基礎設施核心技術裝備威脅感知和持續防禦能力建設,增強網絡安全防禦能力和威懾能力——《規劃》這一要求集中體現了我國保護關鍵信息基礎設施思路的轉變:要求從被動防護轉向積極防禦,重點是感知威脅和威懾反制。威懾能力是繼《國家信息化發展戰略綱要》後再次提出,其核心是要建立以懾止戰的能力,切實維護國家網絡空間主權、安全、發展利益。
加強重要領域密碼應用——密碼是保護網絡安全的核心技術,“十三五”時期要推動國産自主密碼算法及相關産品在重要領域的積極應用,重點是推進基礎信息網絡密碼應用、規範重要信息系統密碼應用、促進重要工業控制系統密碼應用、加強面向社會服務的政務信息系統密碼應用、提升密碼基礎支撐能力、建立健全密碼應用安全性評估審查制度。
三、關於全天候全方位感知網絡安全態勢
建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制——這實際上是針對當前我國網絡安全應急處置中多頭管理、各自為戰等局面提出的要求。關於這項工作的基本思路,《網絡安全法》中已經明確:國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,制定網絡安全事件應急預案,並定期組織演練。
建立政府和企業網絡安全信息共享機制,加強網絡安全大數據挖掘分析——態勢感知的基礎是數據,目前有大量的與網絡安全有關的數據掌握在企業手中,特別是很多大型互聯網企業擁有龐大的用戶群和裝機量,其掌握的網絡安全信息往往更加全面、準確和實時。習近平總書記在2016年4月19日的網絡安全和信息化工作座談會上強調:“把企業掌握的大量網絡安全信息用起來”。這要解決兩個問題,一是如何保護各方權益,特別是對企業的補償機制;二是突破多源異構信息匯聚、追蹤溯源等技術難題。
完善網絡安全檢查、風險評估等制度——我國的網絡安全風險評估制度始於2006年,以當時國家網絡與信息安全協調小組發文為標誌。在此後的若干次重大活動期間,國家對包括重點行業在內的系統開展了多次網絡安全檢查活動,但當時並沒有形成網絡安全檢查制度。2008年以後,逐步在政府部門建立起了網絡安全年度檢查制度,檢查結果上報國務院。今年啟動的關鍵信息基礎設施網絡安全大檢查,依據的還是領導批示。《網絡安全法》則正式建立了整個關鍵信息基礎設施領域的網絡安全檢查制度。首先,各運營單位每年至少進行一次檢測評估,結果應上報;其次,國家網信部門統籌協調有關部門對關鍵信息基礎設施的安全風險進行抽查檢測。
加快實施黨政機關互聯網安全接入工程——美國在2008年發佈國家安全總統令,宣佈了愛因斯坦2和愛因斯坦3計劃。這個計劃的首要一步,是將政府部門各自接入互聯網改為集中統一接入互聯網,並在接入口加裝態勢感知等設備。這是一種有效的積極措施,我國後來也實施了黨政機關互聯網安全接入工程,“十三五”時期的要求是“加快實施”。
加強網站安全管理——網站安全特別是政府網站安全向來十分重要,但至今仍問題頻發。2014年,中央網信辦印發了《關於加強黨政機關網站安全管理的通知》,應該説在政策層面已經作出了完善的佈置,應進一步落實。2015年,國標委為此發佈了國家標準GB/T 31506,中央網信辦也于2016年啟動了試點工作。
四、關於強化網絡安全科技創新能力
實施國家信息安全專項——國家信息安全專項由發改委負責,近幾年已由重點支持技術産品轉向重點支持關鍵信息基礎設施的安全保障,以關鍵信息基礎設施的安全需求牽引急需安全技術的研發和産業化。“十三五”將繼續實施國家信息安全專項,重點還是關鍵信息基礎設施保護,包括基礎信息網絡、重點行業信息系統、涉密信息系統等。
實施國家網絡空間安全重大科技項目——網絡安全科技計劃由科技部負責。國家科技管理體制改革後,863計劃、973計劃等已取消、整合,科技計劃新分為五種類型,其中與網絡安全科技計劃相關的主要是第二類“科技重大專項”和第三類“重點研發計劃”。在第二類中,“網絡空間安全重大專項”正在立項論證過程之中,“網絡空間安全重點研發計劃”已經發佈。
加快推進安全可靠信息技術産品研發創新、應用和推廣——習近平總書記指出,核心技術是我們最大的“命門”,核心技術受制於人是我們最大的隱患。總書記將核心技術分為三類:一是基礎技術、通用技術。二是非對稱技術、“殺手锏”技術。三是前沿技術、顛覆性技術。這裡的“安全可靠信息技術”主要指第一類,包括CPU、操作系統等。這類技術位於整個産業鏈的前端,對産業有重大影響,也正是我們受制於人之處。這個方向上的攻關沒有任何退路,必須樹立決心、恒心、重心,立足我國國情,面向世界科技前沿,面向國家重大需求,面向國民經濟主戰場,咬定青山不放鬆。
形成信息技術産品自主發展的生態鏈——當前全球信息技術的競爭,早已從單品競爭發展到了生態系統的競爭。僅滿足於單品突破已經沒有意義,如果生態系統不支持,這個單品完全不可能在別人的平臺上跑起來。因此,國際巨頭對生態系統的壟斷,是我們目前面臨的最大挑戰。習近平總書記指出,美國有個所謂的“文泰來”(wintel)聯盟,微軟的視窗操作系統只配對英特爾的芯片,我們也必須推動強強聯合、協同攻關。目前,我國在這方面已經實現了重大突破,工信部授牌、中國電子信息産業集團運營的安全可靠軟硬體聯合攻關基地已經完成了從CPU到辦公套件等國內主流自主基礎軟硬體的適配,實現了國産自主産品從“基本不可用”到“基本可用”的歷史性轉折,目前在黨政辦公領域已經實現“好用”。
推進黨政機關電子公文系統安全可靠應用——在維護網絡安全過程中,我國始終堅持正確處理安全與發展、自主與開放的關係。我國的網絡安全政策,是基於開放環境維護國家網絡安全。這意味著,我們既不排斥國外先進技術,也要堅持自主創新。但發展核心技術,必須要使用。習近平總書記指出,核心技術研發的最終結果,不應只是技術報告、科研論文、實驗室樣品,而應是市場産品、技術實力、産業實力。黨政機關電子公文系統安全可靠應用是我國推進核心技術應用的重大工程,此項工作會在“十三五”時期全面推開。
建立有利於網絡安全産業良性發展的市場環境——我國整個網絡安全市場規模比不上國外一家網絡安全企業的年收入,産業發展環境差是不可回避的原因。重復檢測收費、低於成本價中標等問題依然存在。《網絡安全法》提出了減少重復檢測的要求,産業界十分期待政府拿出“實招”,“十三五”時期這方面的工作還很重。