北京北信源軟件股份有限公司高級(jí)副總裁鐘力
當(dāng)前,在金融、能源、交通、政府等行業(yè)部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)中,信息基礎(chǔ)設(shè)施的提供商過分依賴國外供貨商,很多行業(yè)的重要數(shù)據(jù)存放于外資品牌的機(jī)器平臺(tái)上,自主可控性很差,安全保密隱患極大。
安全形勢(shì)面臨嚴(yán)峻挑戰(zhàn),中興事件表明國產(chǎn)核心技術(shù)受制于人將為大國崛起帶來阻礙。美國等國家、地區(qū)的情報(bào)機(jī)構(gòu)利用在軟硬件中的“后門”和“漏洞”,大肆開展網(wǎng)絡(luò)攻擊破壞和竊密活動(dòng),嚴(yán)重威脅我國信息安全。
自主可控、安全可信已成國家戰(zhàn)略
隨著《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》和《網(wǎng)絡(luò)安全法》等一批政策法律法規(guī)的發(fā)布實(shí)施,自主可控已經(jīng)上升到國家戰(zhàn)略高度,保衛(wèi)網(wǎng)絡(luò)安全就是保障國家主權(quán),而自主可控就是保障網(wǎng)絡(luò)安全的基本前提。
習(xí)總書記多次強(qiáng)調(diào)自主可控的重要性,建設(shè)網(wǎng)絡(luò)強(qiáng)國要以自主創(chuàng)新為基石,關(guān)鍵核心技術(shù)是國之重器,要加速推動(dòng)信息領(lǐng)域核心技術(shù)突破;要建設(shè)網(wǎng)絡(luò)強(qiáng)國,必須掌握核心技術(shù),強(qiáng)調(diào)安全可控,必須做到對(duì)網(wǎng)絡(luò)空間安全的可管、可防、可控,構(gòu)建安全可控的信息技術(shù)體系。
《網(wǎng)絡(luò)安全法》提出“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。
倪光南院士指出:核心技術(shù)受制于人不僅會(huì)帶來供應(yīng)鏈風(fēng)險(xiǎn),還會(huì)帶來安全風(fēng)險(xiǎn);強(qiáng)調(diào)核心技術(shù)“要不來,買不來,討不來”,需要自主可控;在今后一個(gè)相當(dāng)長的時(shí)期里,國產(chǎn)化替代將成為我國網(wǎng)信領(lǐng)域的新常態(tài)。
自主可控將貫穿IT領(lǐng)域的全產(chǎn)業(yè)鏈,國產(chǎn)化替代潮流勢(shì)不可擋。
面對(duì)來勢(shì)洶洶的網(wǎng)絡(luò)安全威脅,我們首先要弄清楚我們的對(duì)手及其目標(biāo)是誰。當(dāng)前,有組織的、有國家或地區(qū)背景支持的網(wǎng)絡(luò)攻擊,瞄準(zhǔn)我們的關(guān)鍵信息基礎(chǔ)設(shè)施,將來也就是國產(chǎn)化平臺(tái)構(gòu)建的信息系統(tǒng)。
根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2017年年度報(bào)告和2019年1月月報(bào),2017年,我國被篡改網(wǎng)頁和植入后門的政府網(wǎng)站分別達(dá)到618個(gè)和1339個(gè);僅在2019年1月,被篡改網(wǎng)頁和植入后門的政府網(wǎng)站分別達(dá)到71個(gè)和37個(gè),協(xié)調(diào)處置了1327起涉及我國政府、銀行、民航等重要信息系統(tǒng)的漏洞事件。
當(dāng)前網(wǎng)絡(luò)攻擊呈現(xiàn)出持續(xù)時(shí)間長,能力動(dòng)態(tài)變化、不斷提升,安全漏洞的挖掘和利用能力強(qiáng)等特點(diǎn)。
打造主動(dòng)防御的國產(chǎn)終端安全體系
根據(jù)“安全基線+安全服務(wù)”基本理念,堅(jiān)持安全基線,強(qiáng)調(diào)合規(guī),根據(jù)信息安全等級(jí)保護(hù)2.0和涉密信息系統(tǒng)分級(jí)保護(hù)的國家相關(guān)標(biāo)準(zhǔn),構(gòu)筑安全防護(hù)基線,即不同級(jí)別的信息系統(tǒng)應(yīng)滿足相應(yīng)級(jí)別標(biāo)準(zhǔn)要求的最低安全防護(hù)要求;以我為主,不能從攻擊者的角度去做網(wǎng)絡(luò)安全,這樣永遠(yuǎn)是被動(dòng)的!但同時(shí),我們發(fā)現(xiàn)僅僅有安全基線是遠(yuǎn)遠(yuǎn)不夠的!安全是個(gè)動(dòng)態(tài)的攻防對(duì)抗過程,每年甚至每月都有大的安全事件發(fā)生。
惟有執(zhí)行主動(dòng)防御理念,形成動(dòng)態(tài)防護(hù),利用大數(shù)據(jù)技術(shù)和平臺(tái),實(shí)現(xiàn)大數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)維與服務(wù),包括安全檢測(cè)、安全評(píng)估、威脅情報(bào)、態(tài)勢(shì)感知、應(yīng)急處置等等;安全服務(wù)市場(chǎng)空間在國內(nèi)有望迎來大幅度增長!
國產(chǎn)安全應(yīng)用領(lǐng)域
按照計(jì)劃,至2020年“十三五”期間將完成黨政軍市場(chǎng)的國產(chǎn)化替代,2020年之后將在國計(jì)民生行業(yè)推進(jìn)。
當(dāng)前我國芯片、操作系統(tǒng)、數(shù)據(jù)庫等核心元件國產(chǎn)占有率相對(duì)較低,未來“黨政軍+國計(jì)民生”八大行業(yè)的國產(chǎn)化替代將為國產(chǎn)軟硬件及網(wǎng)絡(luò)安全行業(yè)帶來巨大發(fā)展空間。
僅考慮黨政軍和八大重要行業(yè),在基礎(chǔ)IT設(shè)施方面(含網(wǎng)絡(luò))的國產(chǎn)替代空間已達(dá)萬億元級(jí)別,按照平均5年的更換周期,穩(wěn)定后每年將會(huì)帶來2000億元的替代空間,網(wǎng)絡(luò)安全投資占比以5%計(jì)算,每年將會(huì)有100億元的市場(chǎng)空間。
(本文根據(jù)北京北信源軟件股份有限公司高級(jí)副總裁鐘力在2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)上的演講內(nèi)容整理,未經(jīng)被人確認(rèn)。)