我国网络安全技术体系的短板

 [[321150]]

当前，网络安全已上升到国家战略高度，网络空间已成为继陆海空天后各国争夺的第五空间。由于发展时间较短以及技术障碍等问题，我国网络安全领域的技术深度与发达国家相比差距明显，特别是关键基础设施中的核心技术还没有做到真正的自主可控，短板的存在较为明显，综合而言，主要包括如下四个方面：

第一，核心技术受制于人。以美国为例，美国从1998年开始部署相关的网络安全战略，发展至今已经到达“深入实施阶段”。从全球信息产业方面，美国CPU的产量占全球比重超过90%，系统软件的生产量美国占比约86%，占领了世界各地的大部分市场。核心技术不可控，就会造成无法估量的损失。中国在芯片领域的技术短板，就让“受制于人”充分体现，掌握核心技术势在必行。

第二，体系结构先天不足。如今，互联网技术已深入到各个国家的政治经济中，也渗透到平民百姓的日常生活中。然而，我国在互联网技术中的相关协议和标准技术方面研究成果并不多，话语权较弱。在互联网中扮演了非常重要角色的域名根服务器，13台中的10台设在美国，另外3台分别设在英国、瑞典和日本，也间接受美国控制，这就更增加了网络安全形势的严峻性。我们国家对信息系统实行的等级保护，是开展信息安全保护工作的有效办法，但其主体架构仍然脱胎于美国的信息系统安全等级保护等相关标准。而且在实际系统设计实施中，由于用户自身缺乏安全系统设计能力，无法基于业务流的安全需要进行整体安全体系考虑，导致信息系统功能设计与安全设计脱节，造成先天性安全短板，容易造成被攻击者利用的安全盲点。

第三，主动防御功能缺失。目前国内安全产品已有很大的发展，例如，在防病毒、防火墙、入侵检测IDS 等方面有一定的发展成果，这类产品应用最广，但其安全机制以简单的被动防御为主，难以应对当前更新快、隐蔽性强、更智能化的攻击。主动防御技术在世界上已经发展到了一定的先进水平，我国虽然初步形成了密码方案、芯片、主板、基础支撑软件和可信网络连接等方面的自主创新体系，但与国际先进水平还存在较大差距，也未在国际上形成自己的标准，在专利申报方面比较滞后。

第四，安全管理亟需改善。近年来，重大安全事件频繁发生，安全领域可以说是三分技术、七分管理，大部分安全事件归根结底都与管理相关。安全管理问题主要存在于安全意识和安全技术两方面。在我国等级保护基本要求中，对安全管理进行了细致的分类，但即便按要求制定了管理规范，但是由于人员能力有限和人工管理工作的复杂性，使得规范在执行过程中存在许多问题。工作人员安全意识不足，主要是由于管理层对于增强工作人员安全意识的重要性认知不够。有的管理者认为，一旦部署了相应的安全产品，其系统就是安全的，能够抵挡任何攻击，安全培训较为简单，没有进行针对不同岗位的不同安全点的培训，没有实质性的技术点。管理者的信息安全意识水平不足，没有意识到安全防护是其信息系统运行的基本保障，进而导致安全人员也较少从其自身业务需求和发展需要出发考虑其安全方案，从而导致系统安全性风险。

树立动态综合的防护理念，更好维护网络安全新秩序

首先，推进体制机制创新，加大核心技术投入。在中央网络安全和信息化委员会的统一协调指挥下，大力支持自主可控信息安全产业的发展，特别是针对开发周期长、资金回收慢的核心电子器件、高端通用芯片及基础软件等产品，可以出台政策，为自主可控产品提供市场应用空间，使技术创新、性能提升与产业应用协同发展。不断推动自主可控产品的产业链发展，积极优化产业生态环境，从而有效提高企业在自主可控技术产品研发方面的内生动力。例如，党政军和核心要害系统国产化替代工程由国家出资支持，在替代工程实施中预留出专用资金对所应用自主可控产品的集成适配和优化进行提升完善，弥补直接研发资金缺口。

其次，构筑主动防御体系，加强安全防护能力。主动防御的可信计算技术的重要性已经毋庸置疑。我国的可信计算技术已经发展到了3.0阶段的“主动防御体系”，并在部分领域开展了规模应用。我国科研人员经过长期攻关，取得了很好的创新成果，包括采用国家自主设计的算法和双证书结构的可信计算密码模块(TCM)，可以作为自主可控的可信节点植入可信源根，先于CPU启动并对BIOS进行验证的可信平台控制模块(TPCM)，采用宿主软件系统+可信软件基的双系统体系结构的可信基础支撑软件框架以及基于三层三元对等的可信连接框架，提高了网络连接的整体可信性、安全性和可管理性。

最后，健全网络安全技术支撑体系，完善新产业标准制定。我国信息安全等级保护政策标准相对滞后，难以满足新技术应用的信息安全需求。例如，当前的云计算、物联网、移动互联网和工业控制系统的应用呈现出新特点，提出了新的安全需求，在网络层面原本相对比较封闭的政府、金融、能源、制造系统，开始越来越多地与互联网相连接。因此，我国要建立健全云计算、物联网、移动互联网和工业控制系统等新型信息系统的自主免疫、主动防御的标准和等级保护技术标准，完善实施、定级、测评、管理全过程的技术支持，以达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果。