军民融合的网络安全体系研究
2016-12-23 10:25:09
    目前,网络安全已成为保障国家安全发展的核心领域,在构筑国家网络安全保障体系的过程中,走军民融合之路是实现网络安全的必要手段。近30多年来,美国军方和民间不断创新网络安全理论,持续完善覆盖政府、军方、私营企业等的国家网络安全战略体系,制定了较完善的网络安全法律、法规、政策和标准,形成了政府和军方共同主导、跨国IT企业参与、社会组织协调配合的国家网络安全保障体系,美国跨国IT企业在保障国家网络安全中发挥了主力军的作用。美国几乎垄断了全球所有的网络安全核心技术,形成了全球唯一的网络超级大国。美国政府和军方采取网络安全审查和政府采购等措施,积极培养本国的网络安全产业。美国政府、军方和私营企业协调配合,相互融合,共同构筑了坚实的国家网络安全屏障。
    军民融合是保障国家网络安全的根本举措。一是走军民融合之路保障国家网络安全是世界各国的通行做法;二是产业性质和特点决定了国家网络安全必须走军民融合之路;三是军民融合是由网络空间作战特点决定的;四是军民融合已成为国家网络安全的战略需求;五是军民融合是实现我国自主可信确保国家安全的根本保障。建设我国军民融合网络安全体系的目标为统筹构建军民共用的国家网络安全系统,强化基础产品和基础能力保障,构建军民融合的国家网络安全体系,切实维护国家网络安全。
    一、国际网络安全发展现状和趋势
    1.美国网络安全发展现状
    (1)美国军方和民间不断创新网络安全理论,持续完善覆盖政府、军方、私营企业等的国家网络安全战略体系
美国将网络安全作为国家安全的核心内容。在信息时代,互联网已融入美国社会各个领域,成为其得以正常运转的“神经系统”,构成了美国国家安全的核心内容。网络安全不再是单纯的技术问题,而早已上升至国家安全的层面。美国网络安全相关战略政策文件中,反复强调网络安全威胁和网络空间安全的重要性。2008年美国《第44届总统保护网络空间安全报告》就明确指出:“网络空间安全是现今美国政府面对的最紧急的国家安全问题之一…只有将国内和国际网络安全包含在内的全面国家安全策略才能改善这种现状。”
    美国提出网络战新理论,成立网络战新军种。美国不断创新网络安全理论,2011年美国发布《网络空间国际战略》将网络攻击进行分级,最高等级将视同“战争行为”。“如果你关掉我们的电网,我们也许会向你的烟囱里扔枚导弹。”这是美国首次对网络入侵行为制定应对战略。在以上理论的指导下,2005年美国建立了世界上第一支网络战部队。2010年5月,美国成立了世界上第一个网络司令部,2010年底网络战部队达到8万人,并研制出网络病毒2000多种。2013年7月,美国国防部首度公开美军网络部队兵力。这支可在网络空间发起进攻的部队共计4000余人,分配到40个小组,其中13个小组以进攻为主,其余27个小组以防御为主。此外,美国网络司令部正在组建133个实施进攻和防御以及情报和其他支援功能的小组,以完成包括防御、进攻和ISR(情报、监视与侦察)在内的网络空间“深度防御”任务。
美国重视顶层设计,提出网络安全国家战略。美国高度重视网络空间的战略布局与规划,一直将网络基础设施安全作为网络安全的重中之重。克林顿政府颁布的第63号总统令初步划定了关键基础设施的范围,确定了8个关键基础设施部门:政府、应急服务、通信和信息服务、电力供应、交通、金融服务、水供应、天然气及石油存储与供应;小布什政府颁布的《保护网络空间安全的国家战略》中,核心基础设施涉及12个类别:农业、食品、水、公共卫生、紧急事件处置、国防基础工业、信息与电信、能源、运输、银行与财政、化工与危险品、邮电和货运;奥巴马政府第21号总统令重新确定了16类关键基础设施部门:化学、商业设施、通讯、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆和材料及废弃物、运输系统、水及污水处理系统。
    美国构建网络安全保障体系,明确国家网络安全保障主体、客体和方式。美国将关键基础设施作为国家网络安全保障重点,政府、网军、企业和社会组织作为国家网络安全保障的主体,协调配合,共同保障国家网络安全。政府负责国家网络安全保障的组织、计划和评估,网军和企业负责国家网络攻防的具体实施,社会组织负责对国家网络安全保障进行声援、游说和宣传。其中,网军和企业在网络安全保障体系中发挥了核心作用。
    (2)美国制定了较完善的网络安全法律、法规、政策和标准
美国是网络应用最普及、网络技术发展最快的国家,对网络的依赖程度也最高,如美国电网现已实现包括发、输、配、售在内的各个环节的全国联网。而网络的高度密集也为网络攻击提供了条件,据统计,网络犯罪每年对美国经济造成最高1400亿美元和50万个工作岗位的损失,对国家安全造成严重威胁。对此,美国从技术层面予以保障的同时,很早就开始制定一系列的法律、法规、政策和标准对网络进行管理,目前已出台130多部与网络安全相关的战略、法律法规、政策规章和标准。
    (3)美国形成了政府和军方共同主导、跨国IT企业参与、社会组织协调配合的国家网络安全保障体系,美国跨国IT企业在保障国家网络安全中发挥了主力军的作用
    美国形成了扁平化、组织有序、协调配合的网络安全领导组织体系。20世纪90年代以来,美国相继成立、改组了一批网络安全保障的部门和机构,各部门、各机构不断磨合,逐步形成扁平化、组织有序、协调配合的网络安全领导组织体系。
    美国八大金刚、四大运营商、十大安全承包商在国家网络安全保障中发挥了主力军作用。美国大型IT企业、网络运营商以及安全承包商扮演了国家网络安全保障主力军的角色。这些企业除掌握先进的技术和完善的服务、拥有较高的市场占有率和影响力外,还与美国政府和军方的关系密切,其发展得到来自政府和军方的大力支持。以思科为例,美国有73名国会议员持有思科集团的股份。除政府投资外,美国《爱国者法》还规定,联邦调查局人员具有获取商业活动记录的权力,要求公司从技术开发和产品研制的过程中为政府相关部门留有后门,从法律上强化了企业与政府在网络信息方面的合作。
    (4)美国几乎垄断了全球所有的网络安全核心技术,形成了全球唯一的网络超级大国
    不断引领全球网络安全技术发展。美国几乎完全垄断了全球网络安全技术,处于绝对霸权地位。在安全信息技术领域,微软的安全操作系统、英特尔的安全芯片、甲骨文的安全数据库、EMC和惠普的安全存储、戴尔和惠普的安全计算机和安全服务器、思科的安全路由器几乎垄断了全球的网络安全市场;在网络安全防护领域,赛门铁克、迈克菲、RSA在开发密码认证、防火墙、用户认证产品等保护类技术方面都处于领先地位,并在积极探索预警、检测、追踪、响应和恢复等积极防范技术以及下一代互联网的研制;在网络安全服务领域,IBM、惠普、埃森哲、安达信、毕博、麦肯锡等企业在网络安全总体设计、咨询、审计、测试、运维等方面拥有绝对的优势;在新技术新应用网络安全领域,苹果、谷歌、亚马逊、雅虎等企业在移动互联、云计算、物联网等领域已成为行业的旗帜。
    持续打造完善的国家网络安全产业体系。美国国家安全一直被视为美国最核心的国家利益,近年来,美国又将保障国家网络空间安全作为保障国家安全的重点。为此,美国正持续打造层级清晰、分工明确的国家网络安全产业体系。一是由国家政府采购和军方全力支持,形成保卫国家网络安全的国家队,如波音、洛克希德·马丁等公司;二是通过政府政策引导、市场导向形成保卫国家网络安全的专业队,如微软、英特尔、EMC、思科、苹果、谷歌等信息技术巨头;三是积极鼓励形成保卫国家网络安全的特种队,如赛门铁克、迈克菲、RSA等网络安全防护企业。
    (5)美国政府和军方采取网络安全审查和政府采购等措施,积极培养本国的网络安全产业
    美国国防采购催生网络新技术新产业的巨大市场。为保证美国国防网络安全,2007年美国开展了“国防网络安全拓展计划”,该计划就是建立适应新形势下美军的网络战装备体系。目前已经有8000家军工企业通过了资格审核加入这一计划。2008年在总额4470亿美元的军费预算中,有250亿美元用在了网络战方面,2009年总额5154亿美元的军费预算中,用于网络战项目的经费高达524亿美元。2012年,在军费预算总体减少的情况下,网络战项目的经费得到大幅提高。2013年,美国国防采购预算为6140亿美元。美国网络国防开支,扶植3000多家企业研发推广新技术。
    对网络安全技术和产品的供应链采取严格审查制度,阻止其他国家的竞争威胁。为阻止国外竞争,保护国内企业,参与美国安全供应链的所有产品和技术,美国在全球产业链的每一个环节,都要接受严格审查。保障整体安全,更主要的是堵住国外企业的竞争,保护国内企业。2013年,美国众议院以可能威胁美国国家通信安全为由将华为和中兴的产品拒之美国市场门外。其实质是从政府与国会层面维护美国国家根本利益与思科的商业利益。2004年,联想集团收购IBM全球PC业务,企图通过收购抢占IBM原有的美国市场份额,但由于美国政府的阻扰,就连IBM原本持有的美国政府采购订单也被取消,联想不得不将其总部搬至美国,中国联想现为其子公司。
    2.国际网络安全发展趋势
    (1)网络空间已成为继陆海空天之后的第五国家主权疆域
    网络空间主权与其他四大空间主权相比具有绝对性特点,包括不可剥夺性、完整性、独立性与平等性。网络空间主权是国家的最高权力,国家是行使主体,任何外部势力都不能取代该国行使该国的主权。网络空间主权是国家政治、经济和文化稳定发展的基本前提,网络空间主权的绝对性也是国际社会的基本原则。
    (2)基础体系成为全球网络安全竞争的制高点
    基础体系包括标准、协议、基础软件、基础硬件、基础元器件。标准是指为了在一定范围获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件,是信息技术的重要技术基础,是促进信息技术软硬件产品发展的纽带。协议是指两个或两个以上实体为了开展某项活动,经过协商后双方达成的一致意见,是国际信息技术产品互相兼容的前提。基础软件包括操作系统、数据库、中间件、语言处理系统和办公软件等。基础硬件包括CPU、芯片、板卡、硬盘、显示屏、路由器、交换机、服务器等。基础元器件包括基础电子元件和基础电子器件,基础电子元件是指在工厂生产加工时不改变分子成分的成品,如电阻器、电容器、电感器;基础电子器件是指在工厂生产加工时改变了分子结构的成品,如晶体管、电子管、集成电路等。
    全球网络安全竞争本质上就是网络安全基础体系的竞争。中美两国在网络安全方面的巨大差距,在很大程度上源于美国基础体系实力雄厚,占据了国际网络安全竞争的制高点。美国在标准、协议、基础软件、基础硬件和基础元器件方面均拥有世界级垄断企业,为其在全球网络安全竞争中占尽先机,特别是在其网络安全监控计划中扮演了不可或缺的角色。反观我国,在标准和协议方面处于跟随状态,在基础软件、基础硬件和基础元器件领域处于严重劣势,特别是集成电路关键装备及配件、材料和成套工艺受制于人,造成我国在国际网络安全竞争中处处被动挨打的局面。
    (3)无线网络和天基网络已成为各国网络基础设施的重要组成部分
    无线网络已经成为军民两用移动通信技术的基础。无线网络既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,不同之处在于传输媒介的不同,利用无线电技术取代网线,是有线网络的有效补充。无线通信应用广泛,在军方应用领域,可帮助军队打通战场到主通信网络的最后一公里,在民用领域,广泛用于移动设备到通信基站、移动设备到光纤网络的最后一公里打通。
    天基网络已经成为网络基础设施的另一“骨干”。……在陆地通信网络遭受打击后,天基网络的备份作用可分为三类,一是能够恢复原有通信网络;二是能够部分替代原有通信网络,达到最低通信要求;三是能够完全替代原有通信网络。
    (4)自主可信作为保障网络安全的基础已成为各国广泛共识
    美国大力实施网络安全技术领先国家战略,确保在全球的网络霸权地位。美国采取各种措施大力扶植本国企业研发并储备网络安全技术,积极向他国输出自主可信的网络安全产品和服务的同时,并通过严格的安全审查制度严防他国产品进入美国信息系统。
    世界其他国家逐渐意识到只有自主可信才有可能保障国家网络安全。“棱镜事件”使得美国的面向全球的全方位监控计划浮出水面,美国不仅监控伊朗等敌对国家,而且监控本国公民和德国、法国等美国盟友,可谓无孔不入,给世界各国造成深深的恐惧感,所以如何采用自主可信的技术和产品,已经成为各国考虑的首要问题。各国纷纷意识到,没有自主可信就一定没有网络安全。包括中国在内的德国、法国、乌克兰等国已经在大力推行自主可信的网络安全技术和产品。
    (5)工业控制安全体系建设将成为保障国家基础设施安全的决定性因素
    建立工业控制系统安全体系,是保障国家基础设施安全的决定性因素。国家关键基础设施主要分布在金融、电信、能源、交通等国家重要行业和领域,其核心组成部分是工业控制系统,而工控系统基本上没有考虑安全体系的设计,面临极大安全隐患。因此,建立可检测、可防护、可替代的工业控制系统安全体系,是保障国家基础设施安全的决定性因素。
    工业控制系统安全体系包含三个子体系。建立工业控制系统安全服务体系,实现工业控制系统安全可检测;构建工业控制系统防护体系,实现工业控制系统安全的可防护;研制工业控制系统和产品,实现工业控制系统的可替代。工业控制系统安全服务体系,是指按照横向分层、纵向分域、区域分等级的原则,对现场设备域、过程监控域、生产管理域、经营管理域、用户域等五个区域实施安全监控、事件处理和定期测评。工业控制系统防护体系,包括现场设备层和过程监控层之间的安全防护、企业管理层和过程控制层之间的安全防护、与第三方控制系统之间的安全防护。安全的工业控制系统和产品,包括安全控制器、安全工程师站、安全工控系统等。
    (6)聚合式网络安全服务已成为各国保障网络安全的重要抓手
    网络安全产品向网络安全服务转型明显。
    网络安全服务产品化趋势显著。
    二、我国网络安全发展现状和问题
    1.我国网络安全发展现状
    (1)我国已将网络安全上升至国家战略空前高度
    网络安全产业是伴随着互联网的发展而发展起来的。1996年,天融信和启明星辰等一批网络安全公司的成立,标志着我国网络安全产业的起步;2000年国家信息化领导小组办公室提出“信息化七要素模型”,首次将信息安全作为推进信息化的第七个要素;2003年国家信息化领导小组印发《关于加强信息安全保障工作的意见(中办发〔2003〕27号)》,提出切实加强信息安全保障工作,完善信息安全监控体系;2006年国家发布《2006-2020年国家信息化发展战略》,首次将保障国家信息安全提升到国家战略层次;2012年国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23号)》,将建立国家信息安全保障体系作为主要目标之一。
    2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记任组长,强调“没有网络安全就没有国家安全”。确立了“战略清晰、技术先进、产业领先、攻防兼备”的网络强国建设目标,提出将网络安全和信息化作为网络强国建设的“一体两翼、双轮驱动”。明确了要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作等五项具体任务。
    (2)我国已制定一些网络安全相关法律法规、政策、标准
    我国已出台两部网络安全法律和一系列法规。一是出台《中华人民共和国国家安全法》、《中华人民共和国电子签名法》两部法律;二是围绕信息资源开发利用、信息网络管理、网络安全等方面逐步完善了一系列法规,包括《信息网络传播权保护条例》、《中国互联网域名管理办法》等。近年来共制定100多项网络安全相关法律、法规、文件等。
    国务院和具体政府部门已制定网络安全政策规章。一是国务院出台的指导意见,如《关于大力推进信息化发展和切实保障信息安全的若干意见》,意见指示要确保重要信息系统和基础信息网络安全,加强政府和涉密信息系统安全管理,保障工业控制系统安全,强化信息资源和个人信息保护等多条具体措施;二是具体政府部门结合行业实际,研究制定的具体领域的规章。如国资委发布的《中央企业商业秘密保护暂行规定》、保密局制定的《国家保密标准》、证监会制定了《奥运期间证券期货业网络与信息安全突发事件应急预案》以及《证券公司分类监管规定》、卫生部《卫生行业信息安全等级保护工作的指导意见》等。
    我国网络安全标准制定取得一定成绩。一是围绕各类信息资源的目录、元数据、分类、共享等建立了信息资源标准体系,包括《政务信息目录体系》、《政务信息资源交换体系》、《信息资源核心元数据》等。二是在国际信息技术与网络标准制定方面取得突破。三是制定了信息技术各领域应用的实施标准,包括《电子政务标准化指南》、《国家电子商务标准体系》等。四是全面开展网络安全标准研究制定,包括《信息安全技术——云计算服务安全能力要求》等。近年来共制定标准160项。
    (3)我国网络安全组织管理体系逐步形成
    我国正在形成以中央网信办为领导核心,党政军各部门分工协作、协调配合的网络安全领导体制。长期以来,我国网络安全领导体制存在“九龙治水”、部门分割、协调不力的问题。公安部、国家保密局、国家密码管理局、安全部、工信部、科技部、国家发改委、国家认证认可委等部门在标准制定、技术研发、产品研制、市场应用等方面,部门利益代替了国家利益,造成资源重复浪费、项目资金支持分散、技术产品不能通用,严重影响了国家网络安全产业的发展,无法构筑起我国网络安全的坚实长城。2014年,横跨党、政、军各部门的中央网络安全和信息化领导小组成立,结束了我国网络安全管理“九龙治水”的局面,初步形成了以中央网信办为领导核心,党政军各部门分工协作、协调配合的网络安全领导体制。
    我国已具备安全信息技术、网络安全防护和网络安全服务的初步保障能力。一是我国安全信息技术企业已经起步。在国家有关部门的大力支持下,我国已形成一批具有自主知识产权的安全信息技术企业,几乎覆盖了网络安全产业链的全部环节。二是我国网络安全防护企业初具规模。北京天融信科技有限公司、北京启明星辰信息技术有限公司、北京绿盟科技股份有限公司、重庆爱思网安信息技术有限公司等20多家综合性企业的产值占网络安全企业总产值的70%,达167亿人民币。三是我国传统的网络安全服务继续发展,聚合式网络安全服务成为重要趋势。目前,包括咨询、认证、测评、培训、集成、运维在内的传统网络安全服务业快速发展,已建立700多家从事网络安全服务的企业。同时,网络安全服务呈现聚合式的发展趋势,多核、集中、7×24不间断的服务在许多政府部门和社会行业中得到应用推广,长城网际、中国移动网络安全中心已开始提供这种服务。
    (4)我国网络安全产品和技术有所突破
    我国网络安全技术在核心技术、防护技术和服务技术三方面实现突破。核心技术方面,逐步突破完整系统设计、高速信号仿真平台、板卡Layout等CPU核心技术和工程技术,已达到业界主流水平;芯片技术朝着标准化模式不断发展;操作系统在强制访问控制体制、可信计算技术支持等方面不断改进;安全计算机、数据库等其他安全信息技术产品也逐步实现技术突破。防护技术方面,不仅在传统的系统本身加固防护技术方面持续进步,也在包括网络安全管理、预警、防范、检测、响应和恢复在内的新型网络安全防范体系建设方面不断创新。服务技术方面,传统的监测及数据分析、渗透测试、数据内容保护技术和新型的聚合式服务模式均有一定发展。
    我国安全信息技术产品、安全防护产品和安全服务产品逐步填补空白。安全信息技术产品方面已拥有中科院计算所的龙芯CPU、国防科大的飞腾CPU、总参56所的申威CPU以及北大微处理器中心的众志CPU等,中标软的中标操作系统和国防科大的麒麟操作系统,以及达梦数据库和人大金仓数据库等核心产品;网络安全防护方面,已拥有天融信擎天系列防火墙、绿盟NSFOCUS NIDS网络入侵检测系统等网络与边界安全类产品,金山毒霸反钓鱼系统、360反钓鱼系统等终端与数字内容安全类产品,启明星辰天榕电子文档安全系统、绿盟网站安全监测系统等安全管理类产品,交大捷普网络脆弱性智能评估系统、亿赛通虚拟安全隔离管控系统等信息安全支撑工具;网络安全服务产品除了传统的信息安全资讯、评测、工程监理、运维等方面外,已逐步形成聚合式的服务产品,目前中国移动网络安全中心的“聚合服务平台”,将不同主题提供的业务与服务有机结合在一起,“一站式”地提供给客户,满足客户泛在化和一体化的需求。中电长城网际的“央企网络安全聚合服务平台”也将聚合式服务引入央企网络安全服务产品中。
    (5)我国网络安全应用推广取得初步成绩
    军队武器装备基本国产化。我国国防信息化建设在军事通信、网络安全、卫星导航、指挥控制、模拟训练、卫星测控、军事物流、计算机等领域取得不菲成绩,通过与民营高科技企业的合作,部分技术均达到了世界领先水平,并实现了武器装备建设从引进到自主研发的跨越。如我国空军歼-10飞机、歼-11B飞机、歼轰-7A飞机、预警机、以及新型地空导弹等,国产武器装备种类迅速增多,系统配套方面也已接近或达到世界先进水平。据统计,我国军队的武器装备国产化率已到达80%以上。
    党政机关率先实现国产化替代。2013年10月27日,我国在党政机关全线推进设备及系统的国产化,中央办公室和工信部已经在(xxx)办公系统中实现国产化全面替代,并在中南海进行示范,预计到2017年可在全国范围内进行推广。同时,中央国家机关政府采购中心于2014年5月20日通知要求,中央机关采购的所有计算机类产品不允许安装Windows8操作系统;5月23日,来自国家互联网信息办公室的消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度,该项制度规定关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。
    中央企业和国有企业积极推动国产化替代。央企和国有企业的系统积极利用国有产品和设备来保障信息安全。目前,国网电力系统运用可信计算方式已实现国产化替代。浪潮的主机系统在中国进出口银行、国家开发银行、建设银行、邮政储蓄银行、大连银行等机构中承载关键应用。此外,中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成,思科路由器被“扫地出门”。
商业领域在国产化替代中取得一定成绩。阿里巴巴等国内企业正在掀起一场“去IOE”运动(在IT建设过程中,去除IBM小型机、Oracle数据库及EMC存储设备),大型企业IT底层建设国产化逐步推进,以“去IOE”为代表的国产软硬件对进口软硬件的替代已成为不可逆转的趋势。
    2.我国网络安全存在的问题
    (1)我国网络安全面临极其严峻的局面
    党政军、企业、社会组织和个人对网络安全认识不够。对网络安全和国家安全的认识不到位;对国家关键基础设施存在的巨大安全隐患认识不清;对网络空间的特点和规律性缺乏把握;对国产化替代重要性认识不够;对保障国家网络安全军民融合的必要性及融合机制和方式认识不深刻。
国家网络安全缺乏明确的战略目标和布局。我国国家网络安全战略目标缺失,导致网络安全保障的主体和客体不明确;国家网络安全缺乏合理的整体布局,体现为理论系统研究不够,法律法规体系化不足,产业生态链缺失。
    网络安全根基不牢,适配能力不足。CPU国产化推进缓慢且技术路线不明确;操作系统国产化发展难度巨大;国产软硬件兼容适配能力亟待加强;信息技术产品和服务严重依赖国外。
    现有网络易受攻击。党政机关已成为网络攻击的重要目标,危害社会和谐稳定;军队专网本身,极易出现通信中断、延时、数据丢失等问题,严重影响部队间协同作战能力乃至战略部署。
    政府和军方缺乏对网络安全基础能力建设的项目支持。民口支持的项目只注重当期效益,不支持战略性、长期性网络安全基础技术开发、基础能力培养;军队侧重武器型号项目,不支持战略型、创新型的基础能力建设项目;国防科工局虽支持能力建设,但受型号配套限制,无法将网络武器列为支持对象。
    国家网络安全体系尚未形成。首先网络安全作为国家安全体系的基础尚未发挥其保障作用;其次网络安全本身自成体系,未能从战略、技术、文化、经济、人才和国际合作等方面综合考虑。
    (2)我国在网络安全方面军民融合程度极低
    一是集成电路的制造成为制约我国网络安全问题的核心要素。军用电子元器件是制约我国武器装备发展的五大“瓶颈”之一,军用集成电路成为“瓶颈中的瓶颈”。二是国家关键基础设施保护主体尚不明确,网络空间缺乏军队的有效保障。三是没有形成军民共建共享的网络基础设施。目前,我国军队的网络只是战术网,在范围和技术产品上缺乏弹性。四是我国军工自我封闭、行业垄断的格局尚未打破。我国军工长期以来自成体系,民间高精尖的核心技术产品和高端人才无法为军方所用,导致闭环中网络技术产品水平低下。五是军民分割造成我军网络人才匮乏。中国网军由部队战士组成,大多不具备高水平,无法形成优秀的网络部队。
    三、我国军民融合的网络安全体系架构
    信息网络的发展日益泛在化、融合化,网络安全问题更具综合性和系统性。因此,以军民融合的方式保障网络安全,必须注重系统化思维,走体系化的道路,构建包括理论体系、政策法规体系、领导组织体系、产业体系、应用推广体系在内的“五位一体”的军民融合网络安全体系架构。
    1.理论体系
    (1)基础理论
    主要是指网络安全的基本范畴、战略规划等方面的理论,涉及安全理论、网络空间理论、网络安全理论、网络战理论、军队信息化理论等。
具体内容包括:安全与发展的关系;网络空间的含义、特征和要素;网络安全的基本内涵和外延;网络安全保障的基本原理、方法、发展理念和模式;网络安全保障体系的构成要素、基本框架、发展演变;国外网络安全保障的思路、理念和发展经验;网络战战略、方针、指导思想、态势、边界和作战方式等;网络战武器库中长期建设规划研究;网络部队的含义、构成、特点和发展趋势;网络作战制度化建设规划研究;网络安全基础体系的构成;军事信息化转型升级理论等。
    (2)应用理论
    主要是指网络安全保障相关要素的运行和实践等方面理论,主要涉及网络安全产业理论、自主可控理论、网络安全防护理论等。
主要内容包括:网络安全产业门类构成、发展特点和趋势;网络安全应用机制构成、推进成效和进展;网络舆情内涵和外延、现状和趋势;网络关防的界定和特点;网络基础设施的构成、发展演变及意义;天基和无线网络对保障网络安全的作用;推进自主可信的途径和方法;工控安全体系的主要内容;聚合式网络安全服务的含义、特点和优势;网络信息体系的安全机制、防御对策、安全技术、网络仿真环境和实验床研究;网络情报战战略;研究制定网络宣传战战略;研究制定民用设施攻防战战略;研究制定军用设施攻防战战略;国家网络安全态势感知能力建设理论、全国网络战指挥与控制系统建设规划等。
    (3)保障理论
    主要是指网络安全相关的环境、条件、保障手段和措施等理论。主要涉及政策、体制机制、法律政策、人才、资金等方面。
主要内容包括:网络安全政策的构成、发展演变和趋势;网络安全法律法规体系构成、问题和现状;网络安全领导组织的构成、发展和作用;网络安全人才的界定、特点和保障方式;网络安全资金发挥作用的方式、重点投入方向;军队编制创新研究等。
    2.政策法规体系
    (1)法律法规
    法律法规体系从效力上可分为法律、法规两个层次。网络安全法律位于网络安全法律法规体系的最高层次,由全国人大及其常委会制定,是网络安全的综合性立法和基本依据。网络安全法规包括网络安全行政法规和网络安全地方法规,前者由国务院根据宪法和法律制定,并由总理签署国务院令公布,后者由地方人大制定,是网络安全法律法规体系中的专门立法。
    网络安全法律。除了《宪法》、《刑法》、《国家安全法》、《保守国家秘密法》等综合立法中应当有相关网络安全规定外,还应具备网络安全综合性立法如《网络安全法》等,作为网络安全管理的基本法,对网络安全保障体系的重要职责、保护范围、保障措施等,进行统一明确。
网络安全法规。除了现有的《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、以及《广东省计算机信息系统安全保护管理规定》等系列地方法规外,对于网络安全相关的重要问题和领域,还应出台专门的法规,如《关键基础设施保护条例》等,将关键基础设施作为网络安全的保障重点,确定保护的主体、保护边界等,并赋予军队保护关键基础设施的职责。
    (2)政策规章
    政策与法规相比具有较强的灵活性和操作性,政策规章是网络安全法律在执行层面最主要的载体和表现形式,在网络安全保障过程中发挥更加直接的作用。政策规章体系由政策文件和规章两部分构成。
    网络安全政策。《国家信息化领导小组关于加强信息安全保障工作的意见》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《关于促进自主可控强化网络安全保障的若干意见》、《关于加强重要信息资产保护的若干意见》、《关于构建网络信任体系的指导意见》等等。
    网络安全规章。除了现有的各部门、地方制定发布的部门规章和地方规章,如《计算机病毒防治管理办法》、《计算机信息系统保密管理暂行规定》、《中国互联网络域名管理办法》等之外,还应包括《网络安全审查条例》、《政府IT和服务采购安全管理条例》、完善《关于鼓励和引导民间资本进入国防科技工业领域的实施办法》,《国防科技工业领域民间资本管理办法》、《国防科技领域网络安全支撑能力建设管理办法》等。
    (3)标准规范
    标准是技术层面的规范性文件,是“技术法规”,对于网络安全保障体系具有不可替代的支撑作用。标准规范包括:安全信息技术标准、信息安全防护标准、信息安全服务标准、新技术新应用技术标准四类。
    安全信息技术标准。《国家关键基础设施认定标准》、《IT产品国产化认定标准》、《PLC关键产品国产化认定标准》、《SCADA关键产品国产化认定标准》、《DCS关键产品国产化认定标准》、《RTU关键产品国产化认定标准》、《无线和天基网络接口安全标准》等。
    网络安全防护标准。《计算机信息系统安全保护等级划分准则》、《计算机信息系统安全等级保护网络技术要求》、《计算机信息系统实体安全技术要求》、《信息技术 包过滤防火墙安全技术要求》、《信息技术 应用级防火墙安全技术要求》、《网络代理服务器的安全技术要求》等。
    网络安全服务标准。《计算机集成电路安全检测标准》、《计算机操作系统安全标准》、《数据库安全标准》、《网络设备安全标准》等单品安全检测规范标准;研究制定《工控系统安全验证规范》、《网络服务安全规范》等。
新技术新应用标准。《云计算安全管理标准》《物联网安全管理标准》《大数据安全管理标准》等。
    3.领导组织体系
    (1)以集中统一领导和部门协同为特征的领导体系
    集中统一领导。强化中央网络安全和信息化领导小组的权威。中央网信小组的成立,是我国网络安全和信息化领导体制的重要里程碑,是结束网络安全管理“九龙治水”局面的重要开端。党政军各部门、社会各行业都应加强对中央网络安全和信息化工作会议精神的学习贯彻,并围绕中央网信小组提出的工作目标、方针政策、任务要求,强化落实,确保行动上与中央保持高度一致。
    部门分工协同。应形成网络信息内容安全、关键基础设施网络安全、网络空间防护三大业务管理板块。一是网络信息内容安全板块。主要工作包括:网上正面宣传、网上舆论引导、重点网络内容业务管理、强化网络阵地建设、推动媒体和新兴媒体融合等。主要管理部门包括:中央网信办、中央宣传部、新闻出版广电总局、文化部、财政部等。二是关键基础设施网络安全板块。主要工作包括:加强重点行业网络安全统筹协调、制定核心技术设备发展战略并明确时间表、加快国产信息技术产品推广应用、开展网络安全审查等。主要管理部门包括:中央网信办、国家发改委、科技部、工信部、财政部、国家保密局、国家密码局、军队相关部门等。三是网络空间防护业务板块。主要工作包括:完善全网一体化应急管理指挥体系、完善网络安全和信息化法律法规体系、完善国家防控体系等;主要管理部门包括:中央网信办、全国人大法工委、工信部、公安部、国家安全部、国家密码局、军队有关部门等。
    (2)以企业为主力军的组织体系
    网络安全产业国家队。主要负责承担国家网络安全和信息化重大工程的建设,并负责网络战武器装备的总体设计和总体集成,同时负责对专业队和特种队的协调与组织。可选择基础较好、产业链较为完整的央企作为龙头企业,联合社会大中型信息技术公司、信息安全专业公司共同组成。
网络安全产业专业队。专职负责网络安全的分领域工作,如安全测评、咨询服务、运维管理等。应发挥国有、民营企业的技术特长,选择优势企业牵头成立专业化网络安全保障队伍,该专业队还要在国家队的统一协调下,承担提供网络战武器装备的信息技术和装备等任务。
    网络安全特种队。承担网络安全感知、预警、溯源和反制等专项任务。同时在国家队的统一协调下,特种队负责提供网络战武器装备的攻击装备和防御装备。对应军民融合网络安全具体需求的不同,不断健全特种队的体系,包括:网络公安、网络武警、网络保安等配套支持力量,分别负责商业产业网络安全、银行交通通信网络安全、大企业内部网络安全等的装备和服务提供。
    4.产业体系
    (1)网络安全基础体系
    网络安全基础体系是指,为网络安全产业体系持续发展提供支撑和保障的各种要素,包括网络安全相关标准、协议、基础软件和基础硬件等。
    网络安全基础体系的构建,主要有两大建设目标:一是建立健全自主可控网络安全标准体系;二是研发安全可信的基础软硬件产品和系统。
    在两大目标的指引下,网络安全基础体系建设要重点完成三项任务:一是加强基础技术理论研究;二是大力开发研制自主软硬件产品和系统,包括自主的CPU、芯片、板卡、计算机、固件、操作系统、数据库、中间件、应用软件、存储、路由器、移动操作系统、云存储系统等;三是加强基础标准和协议的开发研制,包括互联网基础协议、4G标准、5G标准、计算机自主安全标准、网络安全连接标准、通信协议等。
    (2)无线和天基网络安全体系
    无线和天基网络安全体系是指,为确保无线和天基网络信息系统的安全,而形成的管理、技术和组织集群。
    建设无线和天基网络安全体系,就是要建设攻防一体的全球覆盖、技术先进、体系完备、功能齐全的天地一体化安全的无线和天基信息网络平台。形成服务于无线和天基信息网络安全体系的技术路线、提供功能全面的无线和天基信息网络安全产品体系、完善安全服务对象和领域。
    建设无线和天基网络安全体系,应重点完成三项任务。一是开展基础理论研究,包括无线网络安全要素、技术路线和服务领域等重要基础理论。二是完善技术和产品体系,研发安全的无线网络架构、无线网络安全通信架构、无线安全智能推理技术、自适应重配置技术、无线认证机制技术、无线数据加密技术、无线海量数据处理技术、无线安全重编程技术、服务集标识符(SSID)、物理地址过滤(MAC)、连线对等保密(WEP)、Wi-Fi保护接入(WPA)、端口访问控制等无线网络安全技术和产品;研发天基骨干通信系统、天基窄带通信系统、天基宽带通信系统、天基顽存通信系统、天基中继系统、天基广播系统、专用通信系统,以及对地观测系统、卫星导航系统和天基防卫系统等天基网络安全技术和产品。三是扩展服务和应用,包括扩大天基信息网络技术、产品和服务在经济社会发展和公共服务领域的市场应用,重点支持基于自主卫星的通信、导航和遥感三大领域的应用示范和推广,促进卫星应用产业规模化发展等。
    (3)网络安全自主可信体系
    网络安全自主可信体系是指,为保障信息产品和信息系统自身的安全性而形成的产品研发、制造、验证等产业集群。
    网络安全自主可信体系建设,应立足于研发在国产关键软硬件平台环境下的信息安全关键技术、产品及解决方案,形成基于国产关键软硬件的集成适配平台,为国家信息安全保障体系提供自主安全的集成技术及产业支撑能力。
    网络安全自主可信体系建设应着重开展三项任务。一是开展国产计算机体系技术产品研发:国产关键软硬件技术体系研究、基础运行环境研发、集成开发环境研发、Web客户端运行环境研发、知识库及相关工具等的研发;二是开展安全可信计算机技术产品研发:安全可靠计算机及核心部件研发、可信计算机及信息安全关键技术研发、安全操作系统研发、安全可信数据库研发、可信计算平台等研发、基于安全可信计算平台的可信应用基础架构研发、基于安全可信计算平台的可信网络基础架构研发等;三是数据安全技术产品研发:国产环境下数据备份及存储技术研发、基于安全可靠计算平台涉密信息标识与权限管理、基于安全可靠计算平台涉密信息加密与安全存储等。
    (4)网络安全工业控制体系
    网络安全工业控制体系是指,为确保重要工控系统安全,提供核心技术研发、测试验证、模拟仿真等产品和服务的产业集群。
    网络安全工业控制体系应立足于为工业控制系统安全提供技术、产品和服务,并加强测试验证能力建设。提供工控安全实时数据库、安全工控软件、安全实时操作系统等核心技术,建成工控安全模拟仿真平台,开发脆弱性测试工具,研发安全SCADA、安全DCS、安全PLC和控制器。
    网络安全工业控制体系的主要建设任务包括三个方面。一是加强工控安全关键理论研究,包括嵌入式安全实时操作系统研究、工控安全实时数据库核心技术研究、安全渗透与对抗技术研究、新一代工业控制系统安全体系研究,以及工控安全领域重要标准的制定等。二是加强工控安全核心技术产品研发:安全SCADA、安全DCS、安全PLC和控制器、工控系统安全开发工具环境。三是强化工控安全仿真验证平台建设,包括工业控制系统的高效安全认证授权系统平台、工控安全模拟仿真平台设计建设、脆弱性测试工具、安全评估工具的研发等。
    (5)网络安全聚合式服务体系
    网络安全聚合式服务体系是指,为保证信息产品和信息系统安全提供的全过程服务,把各类信息安全防护力聚合起来,健全完善信息服务体系,形成一个聚合式网络安全服务平台,实现评估、检测、认证、培训等一系列安全服务的集成。
    网络安全聚合式服务体系应立足于建设统一的信息安全保障服务平台。以国家的网络安全产业链为基础,通过系统化的设计和集成创新,建设网络空间安全咨询、监控预警、安全情报分析、动态保护和应急响应等服务能力,通过线上、线下相结合的模式提供信息安全服务,构筑网络安全防线,实现关键基础设施和重要信息系统的安全防护。
    网络安全聚合式服务体系建设包括三项任务。一是服务于国家关键基础设施和重要信息系统,建设信息安全保障服务平台,包括:安全服务数据中心、信息安全服务平台、信息安全服务支撑平台、信息安全服务网络、信息安全实验室、研发中心。二是通过线上、线下多种方式为重点行业提供多项服务:移动办公安全、终端防护、数据安全、行业监测、渗透测试评估、恶意代码检测、源代码安全、漏洞评估等服务。三是提供全方位聚合式网络安全服务,包括安全监控预警、保护防御、应急响应、安全运维、安全咨询服务等。
5.应用推广体系
(1)军方推广应用
军方市场的推广应用领域主要涉及全军网络信息系统、军事作战指挥信息系统、军队后勤保障系统、军队机关办公系统等。
军方市场应在3-5年内实现全面推广应用。网络和系统本身就是国家安全的核心组成部分,因此军方对于网络安全的需求最为强烈。同时,我国军方的装备国产化率已到达80%以上,远领先于其他各类市场,因此,军方具有推广应用国产化IT装备最坚实的基础,在各类市场中将率先实现推广应用目标。
(2)党政机关推广应用
党政机关市场的推广应用领域主要涉及:党政办公信息系统、事业单位办公系统、科研教育专网等。
党政机关市场应在5-10年内实现全面替代。首先,从必要性来看,党政机关负责党政办公信息系统、国家基础信息网络、核心要害信息系统的管理运行,其安全性目标表现为网络系统本身的安全运行、敏感信息和数据内容的失泄密防护等方面,具有较为突出的安全需求。其次,从可行性来看,尽管党政机关目前的IT装备国产化率低,但在中央高度关注网络安全的背景下,国产化替代工作会得到迅速推进。目前,党政机关IT产品的国产化替代试点已经开展,如中央办公厅和工信部在其办公系统中,已率先实现了国产计算机、服务器的上线试运行,并取得预期效果。近期,关于中央国家机关采购中禁用Windows8系统、国家将出台网络安全审查制度等举措,也必将加速推进党政机关的IT国产化替代工作。
(3)国有企业和央企推广应用
国有企业和央企市场的推广应用范围主要涉及:国有企业和央企自身的办公系统,国有企业和央企运行的金融、能源、电信、交通、广播电视等关键基础设施信息系统等。
国有企业和央企市场的推广应用要在10-20年内实现全面替代。首先,从必要性来看,国有企业和中央企业除了自身的办公系统之外,还要负责金融、能源、电信、交通、广播电视等关键基础设施的运营维护,这些系统与国民经济和社会发展关系十分密切,事关国家经济安全、信息安全、社会安全,安全需求较为迫切。其次,从可行性来看,目前我国关键基础设施中的IT设备国产化率不高,同时,这些关键基础设施还具有分散性强、替代要求高、工作量大等特点。这就决定了国有企业和中央企业的IT产品国产化推广应用是一个较为长期的过程。
(4)商业机构和个人推广应用
商业机构和个人市场的推广应用范围主要涉及商业机构信息系统、办公系统、商业机构和个人办公设备、终端等。
商业机构和个人市场的推广应用可在20-30年实现替代。首先,从必要性来看,商业机构的安全性需求,基本上集中在企业数据信息的安全保密方面;而个人用户对于安全性的关注,绝大多数仅限于对个人信息的保护。其次,从可行性来看,由于此类用户市场的可用性关注高于安全性关注,因此在国产化推广应用方面发挥的作用较小。
四、强化军民融合网络安全保障措施的思考和建议
网络安全已成为保障国家安全发展的核心领域,在构筑国家网络安全保障体系的过程中,走军民融合之路是实现网络安全的必要手段。然而,我国目前还没有建立起来有效可行的军民融合网络安全保障体系。统筹构建军民共用的国家网络安全系统,应从政策、组织、人才、机制和资金等方面进行保障,切实维护国家网络安全。
1.强化政策保障,加大军民融合网络安全支持力度
政策保障是实现军民融合网络安全的重要内容。发展军民融合的网络安全需要国家政策的大力支持,需要相关部门的有机配合和联合支撑。
一是制定关于联合支撑网络安全保障的相关政策。加强扶持与支撑,加大政策倾斜,联合形成支撑体系。很多重要的军事系统,如工控系统等还没有模拟环境,商用民用还无法承担,必须是由国家扶持。国防科工局联合总装、发改委、工信部、科技部、财政部等形成支撑体系,共同保障网络安全,通过相关产品产业层面的工程项目,发挥对军民融合网络安全的支撑作用。
二是制定关于明确网络军队保障网络安全职责的相关规定。赋予网军保障网络安全的权力,网络空间的国家主权必须要有正规部队来保障,应建立一支专门负责网络安全防护的专职队伍。网络部队可以适当进行网络空间的舆情控制,还可以主动通过网络途径,采用教育和宣传等手段来维护民族文化和国家的利益。同时制定法律和法规等,明确网军的构成、网军的职责和网军的选拔规则等。
三是制定关于明确支撑重点保障领域的相关文件。应对网络安全装备领域加大政策支持投入,着重对工业控制系统、重要信息系统等领域进行强调。在提升对军工集团支持力度的同时,逐步完善对民口和基础条件等方面的保障,改善我国基础设施能力较弱,需求条件和能力不够的局面。
2.加强组织保障,形成军民融合网络安全支撑体系
强大的组织保障是实现军民融合网络安全的基础条件。应在领导组织、产业组织和社会组织层面多管齐下,有机配合、有效协同、整合力量,为实现军民融合的网络安全提供支撑保障。
一是在领导组织方面,逐步完善网络安全各层级的协调分工。这包括中央和国家层面,如中央网信办等;包括部委层面,如科工局与总装、工信部、科技部等;包括各大军工集团和中央企业等,使之形成有效配合的体系环节。应强化中央总体的集中领导,协调明确各网络安全部门的职责,提供条件促进军方与民间组织交流合作。
二是在产业组织方面,形成国有企业和民营企业的有效协同。应打破界限,聚合力量,形成“两个协同”。协同以与网络安全直接相关的央企、军工集团为组织协调者,其他各大央企各自扮演自身角色的产业布局;协同以中央企业为核心、联合全国民间IT企业力量的产业布局,充分发挥产业组织的自身活力。
三是在社会组织方面,整合各行业各领域在网络安全方面的分散力量。组织产业和用户的联动,完善生产者和使用者间的产品反馈升级,通过重点示范工程带动核心技术产品的应用与推广。
3.注重人才保障,加强军民融合网络安全智力支持
人才保障是实现军民融合网络安全的核心要素。网络部队的组建需要吸纳高智商的人才,网络安全产品需要高技术团队研发,网络安全问题需要专业化的队伍解决。
一是从人才选拔范围来说,应该从全社会广泛选拔人才。通过严格训练组成特种部队,并隔离他们与外界商业的关系。这包括军队内部成立的选拔培养体制,以及外部选拔培养体制,例如如果要吸收外部人员,可成立军外相关组织,吸引大量民间高手。
二是从人才选拔模式来说,可设立军民融合网络/网络安全研究基金等组织,投入约100亿,用于人才发现。可以借鉴美国自然科学基金、美国国防部先进研究项目局(DARPA)的选拔机制,打破现有利益的界限。积极选拔民间优秀的技术人才,如手机监控技术等具体领域。同时也可以组织黑客比赛,通过比赛的形式来选拔优秀人才。
三是从人才培养方式来说,在全社会普及网络安全知识,例如美国通过实施Cybercapable项目等,着力提高全民的网络安全意识。另外,可选取对相关领域感兴趣的人进行重点培养,更新传统的学校培养模式,使得社会、学校、军队等相关机构形成人才培养的有序互动机制,为构建军民融合的网络安全体系提供智力支持。
4.发挥机制保障,促进军民融合网络安全有序发展
机制保障是实现军民融合网络安全的关键环节。以军民融合的方式保障国家的网络安全,需要构建一个可创新、技术共享和各部门协调配合的社会环境。
一是不断探索,建立军民融合的技术创新模式。
二是开放资源,制定军民信息共享制度。
三是降低门槛,吸引大量企业竞争参与合作。
5.加大资金保障,提供军民融合网络安全成长环境
资金保障是实现军民融合网络安全的必要手段。需要以资金投入的方式带动安全发展,确立资金保障的重点支持领域,大力提高基础能力建设。
一是设立专项预先研究资金,鼓励创新性研究。
二是充分吸引民间资本加入,发挥民间参与活力。
三是加大财政保障,着重提高网络安全能力建设。
(文:耿贵宁 张晓宇)
 

相关文章