党的十八届三中全会通过的《中共中央关于全面深化改革若干重大问题的决定》指出,坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全。
美国长期对全球互联网进行系统化的暗中监视,“棱镜门”事件再一次敲响了我国信息网络安全保障的警钟。它只是揭开了信息网络安全的冰山之一角,而在美国庞大的“棱镜”“主干道”“码头”“核子”“巧言”等计划背后,究竟还隐藏着多少不为人知的秘密。
面对复杂的国际安全形势和严峻的网络安全挑战,我国迫切需要将信息网络安全提升到国家战略地位,做好国家信息网络安全顶层规划和设计;总结现行互联网体系架构的优势和不足,结合未来发展趋势,立足自主创新,创建新一代安全可控的互联网络;面对网络安全新挑战,全面排查安全风险,总结分析重点安全问题,集中力量尽快从技术、管理和法律等方面解决。
信息网络安全应提升为国家战略
《第三次浪潮》的作者阿尔文·托夫勒断言:“谁掌握了信息,控制了网络,谁就拥有整个世界。”目前,美国实际上已经拥有了对整个世界互联网的控制权、核心技术的垄断权、资源的分配权、网络空间行为管理的话语权和数据的掌控权等。
在国内,互联网违法犯罪现象层出不穷,呈现出愈演愈烈的趋势,犯罪类型和形式趋于多样化、隐蔽化、复杂化。几乎每一次社会不稳现象的出现,都伴随着谣言的鼓动,网络谣言借助现代信息技术,传播速度与影响范围呈几何级数增长,容易成为社会震荡、危害公共安全的引发因素,必须引起全社会的高度警惕。
造成当前我国错综复杂的网络安全局势的因素很多,但就国内来讲主要有以下五点:
第一,多头管理,部门之间协调不畅。当前我国的互联网管理体制存在政府主导,多头管理,政出多门,难以形成拳头,缺乏统筹规划的问题。我国虽然设有国家网络与信息安全协调小组,但该小组的统筹协调存在一定困难,信息网络安全领域统一协调难度大,难以发挥集中优势。
第二,对我国的信息网络安全缺乏持续有效的总体规划和顶层设计。随着社会对网络依赖度越来越高,网络空间安全问题超越了专业技术层面,构成对国家安全的直接影响。因此,我国信息网络安全防护,迫切需要走出技术维护和配合的低层次运行水平,上升到由国家统一筹划、综合防护的战略高度。
第三,互联网的信息网络安全核心技术没有掌控。涉及信息网络安全核心技术的芯片、板卡、操作系统、中间件和大型应用软件等基础产品的自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。在密码破译、战略预警、态势感知、舆情掌控等信息网络安全核心技术产品上,与欧美还有很大的差距。
第四,网络社会法律层位不高,不完善。我国还没有形成使用新的网络社会的法理原则,网络法律还仍然沿用或套用物理世界的法理逻辑。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性和全面性。
第五,网民的网络安全防范意识和自律意识薄弱。目前,网民虽有一定的认知网络安全知识,但却没能将其有效转化为安全防范意识,更少落实在网络行为上。当今网民的网络道德及网络行为自律存在缺失,错误认为在网上想怎么说就怎么说,想怎么做就怎么做,一些网民不讲网络社会公德和道德。
重建网络结构,创建新一代互联网
源自20世纪60年代的互联网,经过几十年的发展和完善,已经深刻地改变了人们的生产、生活和学习方式,成为支撑现代社会经济发展、社会进步和科技创新最重要的基础设施。互联网最初的设计者怎么也不会想到,互联网会发展到今天这种状况,现行互联网在网络结构、运行、应用、数据存储、管理、信息数据安全等方面都存在不少问题。这些问题仅靠修修补补是无法有效解决的,应认真总结现行互联网的优势和不足,重新规划创建新的互联网结构体系。新一代的互联网规划中,重点要考虑以下几点:
第一,注重信息网络软、硬件新技术的自主创新能力。解决互联网的信息安全和其他负面问题,不能依赖国外技术,唯有依靠自主创新才能取得主动、主导和自主权。在新一代网络研究上,我们应当抓住机遇,树立信心,加强对未来网络技术发展的原创性研究,争取在网络基础理论、高速传输技术、安全体系及监控、服务模型和管理等新一代网络核心技术领域竞争中,掌握更多核心技术及话语权。
第二,注重信息网络海量数据的应用处置技术及能力。互联网络具有大数据、复杂性、异构性、开放性等特点,数据的处置能力体现了一国对数据的占有和控制的能力。我国需要大力研发和突破,以提高收集、储存、应用、保留、管理、分析和共享海量数据的处置等所需核心的先进技术。
第三,注重网络的运营管理技术和能力。目前的互联网技术架构,其中一个不足便是缺乏一套内建的网络管理技术。新一代网络需要支持多样化的服务,具备支持用户业务类型划分、优先级处理和服务质量保障的网络资源分配和使用管理能力。需要能适应规模庞大、结构复杂的网络系统自动化管理和监控控制,具备错误预警和故障快速发现及定位、服务质量监测等能力。
第四,注重信息网络海量数据的存储技术和能力。互联网就是一个巨型复杂的数据生产、存储和消费系统。受限于当前技术,我国作为互联网网民第一大国,真正存储下来的数据仅仅是北美的7%、日本的60%。下一代网络规划中,应特别关注海量数据存储的并行存储体系架构、高性能对象存储技术、并行I/O访问技术、海量存储系统高可用技术、数据保护与安全体系、绿色存储等关键技术的研究。
第五,注重移动网络与有线网络的有机融合技术和能力。移动性是新一代网络的关键特征,用户需要提供任意时间、任意地点、任意形式的综合服务。新一代网络需要注重通信终端在异构网络之间的无缝快速移动,支持丰富多样的终端接入,支持大规模的分布式泛在服务的能力研究,使网络就在用户身边。
第六,注重信息网络安全技术及能力。当前的安全技术是伴生技术,信息技术出现在前,安全技术通常伴随着安全问题的出现而产生。在规划设计新一代互联网时,一定要把“建设、应用、安全”三位一体进行顶层规划设计。新一代网络需要同步构建安全性框架,在各种网络组件中架构安全性平台,保证网络的完整性、高可靠性和可用性。
需要解决的六个现实问题
现阶段需要重点解决的现实问题:
第一,研发网络受到攻击时及时主动发现技术,增强主动发现能力。要加大科研能力投入,提高应对网络安全新风险的技术能力,加强协同联动的网络安全主动防御体系的技术能力研究,形成网络空间威胁实时检测、全局感知、预警防控技术能力,实现对我国互联网安全态势的整体把握。
第二,加快研发主动处置技术和方法。当前信息网络安全的被动防守姿态,导致长期以来网络风险的数量和复杂性始终保持着高增长态势。要改变这种现状,需采用积极主动的安全策略和研发安全风险主动处置技术与方法。发展使用黑客技术主动发现漏洞并及时加以解决,不给不法分子可乘之机。采用主动战术增加网络犯罪风险,使网络犯罪面临高风险、低收益的窘境,进而从整体上减少网络犯罪。
第三,强化密码技术在信息网络安全保密中的支撑作用。目前依靠前端和后台的安全防范技术,难以保证数据信息的安全。应大力推动新型安全密码算法、高速密码算法,实现数据加密、密钥安全管理等密码技术在重要信息系统安全保密中的应用,保证信息在生命周期中的安全。强化密码在保障电子政务、电子商务和保护公民个人信息安全等方面的支撑作用。
第四,抓紧制定国家信息网络安全法。迫切需要加强网络社会法学研究,切实提高立法质量和水平,需尽快研究制定《信息网络安全法》,确定信息网络法制的总体框架。确立信息网络法制模式和实现方式,明确政府、企业、用户及个人等各自应负的法律责任。
第五,逐步实现依法建网,依法管网,依法用网目标。进一步加强国家和各级政府部门对网络安全的领导和协调职责,建立运转顺畅、协调有力、分工合理、责任明确的信息网络安全管理体制。坚持政府主导,行业自律的原则,明确运营商、服务商等企业在信息网络安全方面应负的社会和法律责任。
第六,加强全民信息网络安全的法治意识教育及养成。要切实增强广大网民的法治意识,普及信息网络安全法律知识。完善信息网络公约机制,积极引导信息网络商户和网民加强网络自律,创建良好的网络社会法治环境。
(作者为中国人民公安大学党委书记、校长,研究员,中国警察法学研究会会长,中国计算机学会计算机安全专业委员会副主任委员)