寧家駿：關(guān)于加強(qiáng)信息安全保障體系建設(shè)的思考(共6頁)

1、關(guān)于(guny)加強(qiáng)信息安全保障體系建設(shè)的思考寧家駿 為推進(jìn)建設(shè)領(lǐng)域電子政務(wù)的建設(shè)，加強(qiáng)相關(guān)技術(shù)成果在城市信息化中的交流與應(yīng)用(yngyng)，進(jìn)一步提升城鄉(xiāng)建設(shè)水平，促進(jìn)行業(yè)產(chǎn)業(yè)化發(fā)展，深入研討“十二五”數(shù)字城市的發(fā)展方向和技術(shù)要點(diǎn)，住房和城鄉(xiāng)建設(shè)部于2010年11月11日-13日在北京召開“第五屆中國數(shù)字城市建設(shè)技術(shù)研討會(huì)暨設(shè)備博覽會(huì)”。以下(yxi)為國家信息中心原首席工程師、現(xiàn)專家委員會(huì)主任寧家駿做主題演講：主持人：下面我們有請(qǐng)國家信息中心原首席工程師、現(xiàn)專家委員會(huì)主任寧家駿演講，他的演講題目是關(guān)于我國新時(shí)期加強(qiáng)信息安全保障體系建設(shè)的若干思考。寧家駿：大家知道面對(duì)國際金融危機(jī)，我國的經(jīng)

2、濟(jì)社會(huì)持續(xù)快速的發(fā)展，中國已經(jīng)成為一枝獨(dú)秀這樣的國家。我國信息化步伐加快，在促進(jìn)經(jīng)濟(jì)發(fā)展，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用，社會(huì)經(jīng)濟(jì)對(duì)信息化的以來程度越來越高，同時(shí)逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)，我國社會(huì)主義事業(yè)高速發(fā)展的成就彰顯了我國社會(huì)主義體制的優(yōu)越性，也引起了國際敵對(duì)勢(shì)力的關(guān)注和猜忌，也使得國際范圍在各個(gè)領(lǐng)域的競爭日趨激烈，其中我國信息化的發(fā)展也招致了各種勢(shì)力的關(guān)注和攻擊。隨著信息技術(shù)日新月異的發(fā)展，近些年來，國家公用基礎(chǔ)設(shè)施在信息化應(yīng)用和要求方面也在進(jìn)一步提高，在這種情況下大家都看到了信息技術(shù)飛速進(jìn)步帶來的新的安全問題，當(dāng)前，世界信息化進(jìn)入

3、斷代發(fā)展階段，物聯(lián)網(wǎng)在推動(dòng)網(wǎng)絡(luò)空間從計(jì)算與通信世界延伸到物理實(shí)體世界。聯(lián)合國宣稱：盡管互聯(lián)網(wǎng)用戶將計(jì)以幾十億，然而在物聯(lián)網(wǎng)時(shí)代，帶來的安全更值得我們關(guān)注。隨著新技術(shù)的發(fā)展對(duì)國家的安全可能產(chǎn)生的影響，包括信息安全延伸到生命和財(cái)產(chǎn)安全，自己的適應(yīng)行為擴(kuò)大骨牌災(zāi)難效應(yīng)，感知全球下的社會(huì)活動(dòng)越來越透明，網(wǎng)絡(luò)空間理論上都可以分解和癱瘓，大家知道網(wǎng)絡(luò)戰(zhàn)爭已經(jīng)從過去的科學(xué)幻想走向現(xiàn)實(shí)，美國正式組建了網(wǎng)絡(luò)戰(zhàn)爭的司令部，這次我們的規(guī)劃建議明確說一定要打贏信息化的網(wǎng)絡(luò)戰(zhàn)爭?？偟膩碚f，對(duì)新的信息時(shí)代，大家對(duì)于特點(diǎn)和安全，還處在盲人摸象的階段，在這樣的情況下，網(wǎng)絡(luò)的空間分割和依賴，正是因?yàn)檫@樣，西方戰(zhàn)略家認(rèn)為實(shí)體空間

4、的大規(guī)模毀滅戰(zhàn)爭正在向網(wǎng)絡(luò)空間的大規(guī)模的癱瘓戰(zhàn)爭轉(zhuǎn)型，只要把系統(tǒng)搞癱瘓了就勝利了，包括格魯吉亞，伊拉克等等地方都發(fā)生過。所以我們國家的信息安全必須看到面臨著日益復(fù)雜的尖銳的形式，隨著中國政府的崛起引起國際社會(huì)的廣泛關(guān)注，面對(duì)網(wǎng)絡(luò)與信息安全的新形勢(shì)、新情況，我國信息安全工作仍然存在一些亟待解決的問題。信息安全已經(jīng)成為維護(hù)國家利益和保障國家安全的重要的戰(zhàn)爭，也代表著國家的根本利益，從信息安全的形式來說，總體來說嚴(yán)峻，我們的信息安全網(wǎng)絡(luò)事件發(fā)生的比例連續(xù)三年呈上升的趨勢(shì)，我們現(xiàn)在被木馬控制的IP地址將近一萬個(gè)，而且有所增加，我們將視網(wǎng)絡(luò)控制的手機(jī)、主機(jī)數(shù)量都在增加，而這些問題往往都是我們事先沒有察覺

5、的，比如說一些政府的網(wǎng)站，在被篡改之后沒有發(fā)現(xiàn)，因?yàn)樗麄兺鶝]有在最前面的主頁上進(jìn)行篡改，有的在欄目當(dāng)中被篡改，有的被篡改幾個(gè)月之后才被發(fā)現(xiàn)，這樣的情況我們必須看到，我們必須科學(xué)冷靜的分析我國信息安全的形勢(shì)，來構(gòu)建我們的信息安全保障體系，這一點(diǎn)在我們加強(qiáng)數(shù)字保障里面也是刻不容緩的，中國作為世界第一網(wǎng)民大國，我們的互聯(lián)網(wǎng)帶寬非常高，但是我們不是信息強(qiáng)國，我們?cè)谛畔⒓夹g(shù)的核心技術(shù)上，自主的可控能力不強(qiáng)，我們的信息化相當(dāng)多的是買來的，同時(shí)我們?cè)谛畔?nèi)容上，為什么我們國家大力發(fā)展自己的北斗星，包括的GPS，包括很多的東西，我們沒有真正掌握在自己的手里，而且我們的信息化發(fā)展不均衡，在信息安全的建設(shè)方面欠

6、帳較多，這是我們國家特有的國情，必須看到。同時(shí)還要看到網(wǎng)絡(luò)信息安全，特別是引擎與我們國家改革當(dāng)中的熱點(diǎn)問題相互交錯(cuò)，我們說信息安全經(jīng)常直接影響到我們的重要信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，包括我們?cè)诔鞘杏葹槊黠@，一旦發(fā)生了安全問題，導(dǎo)致了大面積的停電，交通癱瘓和通信的中斷，各個(gè)行業(yè)的管理失控，不僅嚴(yán)重的影響人們的生產(chǎn)生活，造成重大的經(jīng)濟(jì)損失和社會(huì)影響。做好動(dòng)態(tài)分析，尋找那些朝著正面和積極方向發(fā)展的特征根，盡量減少或者避開那些發(fā)生負(fù)面影響，引發(fā)振蕩的特征根或特征區(qū)間。大家知道重要信息都是部門單位或者國家正常運(yùn)轉(zhuǎn)不可缺少的部分，在城市里面更是如此，包括我們城市的管理，包括城市的基礎(chǔ)設(shè)施的運(yùn)作，包括我們城市的安全

7、，這些涉及到國家和城市的安全，而重要性由于規(guī)模大、設(shè)計(jì)復(fù)雜，涉及的人員多，保障相對(duì)困難，而且要達(dá)到一定的標(biāo)準(zhǔn)，所以所需要的投入相當(dāng)大。正因?yàn)檫@樣，我們可以看到，以金融信息為例，我們從八十年代開始，我們的銀行業(yè)在全國范圍內(nèi)建起一大批計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)，實(shí)現(xiàn)了業(yè)務(wù)全過程的電子化，從九十年代開始實(shí)現(xiàn)了綜合服務(wù)，保險(xiǎn)業(yè)也一樣，從金融業(yè)我們現(xiàn)在已經(jīng)完全實(shí)現(xiàn)了數(shù)據(jù)的大集中，但是大集中意味著高風(fēng)險(xiǎn)，特別是在我們當(dāng)前，比如說滬深兩市的股票每天交易量達(dá)到3000多億，這種大規(guī)模既有好的一面，我們的處理能力每秒幾萬次，但是也必須看到，在這種新的業(yè)務(wù)面前，我們的安全保障工作并沒有完全的跟上，比如說我們的網(wǎng)絡(luò)銀行，電子

8、銀行也屢屢出現(xiàn)詐騙的行為，這樣的系統(tǒng)使得功能、安全保障水平極為關(guān)鍵，所以說不是一般的處理任務(wù)，而是擴(kuò)大了整個(gè)業(yè)務(wù)流程的支持，系統(tǒng)安全一旦出現(xiàn)問題，意味著許多的管理工作業(yè)務(wù)流程完全被中斷，包括股票、銀行一旦發(fā)生問題，產(chǎn)生的是社會(huì)問題，我們多次看到，有時(shí)候銀行的系統(tǒng)暫時(shí)出了故障，乘客沒有辦法走和機(jī)場的工作人員發(fā)生肢體沖突，發(fā)生了都是一些很不好的影響的事情。另外我們的信息資源非常重要，現(xiàn)在我們銀行的儲(chǔ)蓄信息多次發(fā)生問題，都涉及到信息安全的問題，而且還涉及到很多更多寶貴的信息資源，比如說大家知道，現(xiàn)在銀監(jiān)會(huì)已經(jīng)正式要求在華設(shè)立的法人單位銀行，包括外資銀行必須要把數(shù)據(jù)中心設(shè)立在中國本土，以防止這種在外資

9、銀行開戶的中國客戶的所有的信息資產(chǎn)和信息的業(yè)務(wù)流向要到國外的數(shù)據(jù)中心去存儲(chǔ)這樣的現(xiàn)象，也就是我們數(shù)據(jù)過境的問題。同時(shí)我們必須看到，重要的信息系統(tǒng)具有天然的脆弱性，規(guī)模大，技術(shù)復(fù)雜，使得信息保障的難度加大，由于環(huán)節(jié)多，薄弱環(huán)節(jié)也多，而且一般都包含著網(wǎng)絡(luò)的系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)遭受攻擊的可能性遠(yuǎn)遠(yuǎn)大于簡單的獨(dú)立系統(tǒng)，而且重要的信息需要多人，多個(gè)部門介入?yún)f(xié)同工作，除了有意破壞之外，人的失誤也會(huì)帶來危害。我們可以看到，在冷戰(zhàn)時(shí)期，美國曾經(jīng)在蘇聯(lián)的西伯利亞某天然氣場秘密的植入惡意破壞程序，在使用初期表現(xiàn)正常，在逐漸獲得信任后改變一些程序，使得后來發(fā)生的大爆炸，2001年一個(gè)澳大利亞的水處理長發(fā)生了46次不明原因

10、的控制設(shè)備功能異常事件，這個(gè)是與水廠有爭執(zhí)的合約工程師通過無線網(wǎng)絡(luò)進(jìn)行破壞。基礎(chǔ)設(shè)施存在的互依賴性導(dǎo)致了災(zāi)難的骨牌效應(yīng)，物聯(lián)網(wǎng)環(huán)境物與物、物之間大量交換控制的信息，遭受攻擊時(shí)會(huì)產(chǎn)生更加強(qiáng)大的骨牌效應(yīng)。未來我們的物流，交通運(yùn)輸，人員目標(biāo)都可以被跟蹤，在全球的監(jiān)視之下，在這種情況下信息安全面臨的威脅是不言而喻的，正如我們前面所說的網(wǎng)絡(luò)戰(zhàn)的問題，我們認(rèn)為在數(shù)字城市的建設(shè)當(dāng)中必須加強(qiáng)數(shù)字安全保障體系的建設(shè)，要建立信息安全工作的長效機(jī)制，要落實(shí)人員到位，同時(shí)把信息系統(tǒng)安全貫穿到整個(gè)信息安全的全過程，要建立經(jīng)常性的監(jiān)督管理制度，同時(shí)加強(qiáng)相關(guān)的法規(guī)的建設(shè)和培訓(xùn)。關(guān)于加強(qiáng)新時(shí)期數(shù)字城市保障體系規(guī)劃建設(shè)的構(gòu)想，

11、我們覺得今年是十一五的收官之年，是十二五的規(guī)劃之年，我們說今天推進(jìn)信息化建設(shè)的頭等大事，我們搞好規(guī)劃，我們做好規(guī)劃應(yīng)該做好信息安全的規(guī)劃，把這個(gè)規(guī)劃作為信息安全保障體系的建設(shè)的基本綱領(lǐng)和總體的體現(xiàn)，現(xiàn)在各個(gè)部門都在做規(guī)劃，作為個(gè)人我認(rèn)為要把信息安全的規(guī)劃放在非常重要的位置，在信息安全領(lǐng)域的突出問題，要以公共的基礎(chǔ)設(shè)施為支撐，通過重大的工程來明確我們?cè)跀?shù)字城市建設(shè)當(dāng)中的保障目標(biāo)，來解決我們數(shù)字城市建設(shè)中間最關(guān)鍵，最緊迫，最現(xiàn)實(shí)的重大安全問題。我們必須堅(jiān)持以科學(xué)發(fā)展觀為主線，當(dāng)前我們對(duì)信息化的建設(shè)，對(duì)數(shù)字城市的建設(shè)，對(duì)信息安全保障要不要堅(jiān)持科學(xué)發(fā)展是有爭議的，因?yàn)橛幸恍┩?，包括個(gè)別部門的同志提出

12、來我們當(dāng)前的信息安全工作之所以存在問題是因?yàn)槟銈冃畔⒒瘧?yīng)用走的腳步太快了，還沒有研究出怎么管理的辦法，這個(gè)應(yīng)用不能夠馬上倉促的上，但是我個(gè)人不敢茍同這種觀點(diǎn)，我覺得必須要堅(jiān)持我們說以發(fā)展保安全，同時(shí)必須要以安全保發(fā)展，在發(fā)展中求安全，科學(xué)發(fā)展觀的觀點(diǎn)把這個(gè)工作做好，在信息安全保障體系的總體思路上首先要以發(fā)展為第一要?jiǎng)?wù)，統(tǒng)籌規(guī)劃，統(tǒng)一資源，加強(qiáng)全民的防范意識(shí)，我們強(qiáng)調(diào)城市也好，國家也好，信息安全必須堅(jiān)持國家主導(dǎo)，行業(yè)參與，同時(shí)加入個(gè)人守則，我們從小教育小孩要有網(wǎng)絡(luò)的道德，下大力氣解決我們自己的自主可控問題，發(fā)展我們自己的信息安全產(chǎn)業(yè)，同時(shí)加強(qiáng)信息安全管理，加強(qiáng)綜合協(xié)調(diào)，到十二五末期在各地的數(shù)字城

13、市建設(shè)當(dāng)中形成較為完善的信息安全保障體系來支持積累用戶，推動(dòng)城市數(shù)字化和信息安全可持續(xù)、平穩(wěn)發(fā)展。在當(dāng)前，要堅(jiān)持這樣的幾個(gè)不能改變，正確處理安全和發(fā)展的關(guān)系不能改變，堅(jiān)持能夠管好信息安全的基本判斷不能改變，堅(jiān)持各部門齊抓共管不能改變，同時(shí)按照中央提出的信息保障安全的要素不能改變，最后我們要加強(qiáng)國際合作，搞好安全。所以在當(dāng)前我們必須要堅(jiān)持創(chuàng)新，堅(jiān)持我們的管理創(chuàng)新，技術(shù)創(chuàng)新以及我們的集成創(chuàng)新。這里我們特別想強(qiáng)調(diào)的就是在信息安全問題，是一個(gè)國際化的問題，不能各個(gè)方面要積極參與國際安全話語權(quán)的參與，互聯(lián)網(wǎng)上的標(biāo)志，我們的信息安全的企業(yè)，主管要積極走出去，參與工作，包括在制定標(biāo)準(zhǔn)、規(guī)范，包括我們要積極主

14、張開展信息安全多方面的外交，網(wǎng)絡(luò)是大家共同的資產(chǎn)，我們就像當(dāng)前推進(jìn)減少核軍備一樣，要制定國際網(wǎng)絡(luò)安全的公約，保障互聯(lián)網(wǎng)，大家有一個(gè)共同的安全的環(huán)境。同時(shí)要加快發(fā)展自主的信息安全的產(chǎn)業(yè)，所以在這種情況下，我們覺得解決安全問題比較求真務(wù)實(shí)，立足我們的國情，當(dāng)前要堅(jiān)持需求導(dǎo)向，利用主導(dǎo)，同時(shí)要以國產(chǎn)替代自主可控為原則，在推進(jìn)網(wǎng)絡(luò)整合和三網(wǎng)融合的過程中建設(shè)自己的可信的信息化網(wǎng)絡(luò)。同時(shí)我們覺得，要搞好安全關(guān)鍵是要樹立本質(zhì)安全的觀念，嚴(yán)格說，沒有絕對(duì)的安全，只有可控的安全，消除事故的最佳辦法不是建立什么樣的可靠的保護(hù)措施，而是在系統(tǒng)設(shè)計(jì)的時(shí)候，我們說作為一個(gè)復(fù)雜的系統(tǒng)，我們?cè)趺礃訉ふ野踩珔?shù)，怎么樣尋找平

15、衡點(diǎn)，這是我們總體設(shè)計(jì)必須要考慮的，我們總體設(shè)計(jì)當(dāng)中考慮的安全可能受到干擾，攻擊，我們提前把這些要素放進(jìn)去，選擇合適的操作空間，才可以實(shí)現(xiàn)對(duì)信息安全可治理的目標(biāo)。也就是這樣，我們要進(jìn)一步的做好頂層設(shè)計(jì)，加強(qiáng)新時(shí)期數(shù)字安全保障工作的總體的協(xié)同，制定統(tǒng)一的戰(zhàn)略，特別考慮我們自己的信息安全產(chǎn)業(yè)，這幾年在國家發(fā)改委，工信部和科技部的大力支持下，我們自己的信息安全的產(chǎn)業(yè)已經(jīng)有了長足的進(jìn)步，但是我們跟國際相比還有不小的差距，我們說要發(fā)展我們的信息安全的企業(yè)和產(chǎn)業(yè)梯隊(duì)，優(yōu)化產(chǎn)品的結(jié)構(gòu)，我們說建好一個(gè)國家的信息安全保障體系，既有產(chǎn)品、平臺(tái)、系統(tǒng)，同時(shí)要形成安全防護(hù)能力，安全監(jiān)管能力，應(yīng)急響應(yīng)的能力，信息對(duì)抗的能力，評(píng)估的能力和信息保障的能力，由我們的科研、產(chǎn)業(yè)系服務(wù)體系，技術(shù)管理和標(biāo)準(zhǔn)體系。要在目前的情況下更加注重對(duì)態(tài)勢(shì)的理解，早發(fā)現(xiàn)一步就可以早解決問題一步，日本已經(jīng)建成了對(duì)地震災(zāi)害15秒提前預(yù)警機(jī)制，我聽參加十二五規(guī)劃當(dāng)中他們的嘉賓說，我們能不能學(xué)習(xí)日本，對(duì)我們重大的災(zāi)害有提前的預(yù)警，哪怕10秒，30秒，前震是有很多的預(yù)兆的，有10秒就足夠了，這是指的是自然災(zāi)害。信息安全更需要這樣，只有當(dāng)我們居安思危，有這樣的危機(jī)意識(shí)，樹立可以提前預(yù)測預(yù)警的才可以落實(shí)統(tǒng)一指揮，高效機(jī)制，發(fā)生危機(jī)事件的時(shí)候有條不紊的應(yīng)對(duì)。在試點(diǎn)取得經(jīng)驗(yàn)后，再推廣到數(shù)字城市和建