寧家駿：關(guān)于加強信息安全保障體系建設(shè)的思考(共6頁)

1、關(guān)于(guny)加強信息安全保障體系建設(shè)的思考寧家駿 為推進建設(shè)領(lǐng)域電子政務(wù)的建設(shè)，加強相關(guān)技術(shù)成果在城市信息化中的交流與應(yīng)用(yngyng)，進一步提升城鄉(xiāng)建設(shè)水平，促進行業(yè)產(chǎn)業(yè)化發(fā)展，深入研討“十二五”數(shù)字城市的發(fā)展方向和技術(shù)要點，住房和城鄉(xiāng)建設(shè)部于2010年11月11日-13日在北京召開“第五屆中國數(shù)字城市建設(shè)技術(shù)研討會暨設(shè)備博覽會”。以下(yxi)為國家信息中心原首席工程師、現(xiàn)專家委員會主任寧家駿做主題演講：主持人：下面我們有請國家信息中心原首席工程師、現(xiàn)專家委員會主任寧家駿演講，他的演講題目是關(guān)于我國新時期加強信息安全保障體系建設(shè)的若干思考。寧家駿：大家知道面對國際金融危機，我國的經(jīng)

2、濟社會持續(xù)快速的發(fā)展，中國已經(jīng)成為一枝獨秀這樣的國家。我國信息化步伐加快，在促進經(jīng)濟發(fā)展，調(diào)整經(jīng)濟結(jié)構(gòu)，改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用，社會經(jīng)濟對信息化的以來程度越來越高，同時逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)，我國社會主義事業(yè)高速發(fā)展的成就彰顯了我國社會主義體制的優(yōu)越性，也引起了國際敵對勢力的關(guān)注和猜忌，也使得國際范圍在各個領(lǐng)域的競爭日趨激烈，其中我國信息化的發(fā)展也招致了各種勢力的關(guān)注和攻擊。隨著信息技術(shù)日新月異的發(fā)展，近些年來，國家公用基礎(chǔ)設(shè)施在信息化應(yīng)用和要求方面也在進一步提高，在這種情況下大家都看到了信息技術(shù)飛速進步帶來的新的安全問題，當(dāng)前，世界信息化進入

3、斷代發(fā)展階段，物聯(lián)網(wǎng)在推動網(wǎng)絡(luò)空間從計算與通信世界延伸到物理實體世界。聯(lián)合國宣稱：盡管互聯(lián)網(wǎng)用戶將計以幾十億，然而在物聯(lián)網(wǎng)時代，帶來的安全更值得我們關(guān)注。隨著新技術(shù)的發(fā)展對國家的安全可能產(chǎn)生的影響，包括信息安全延伸到生命和財產(chǎn)安全，自己的適應(yīng)行為擴大骨牌災(zāi)難效應(yīng)，感知全球下的社會活動越來越透明，網(wǎng)絡(luò)空間理論上都可以分解和癱瘓，大家知道網(wǎng)絡(luò)戰(zhàn)爭已經(jīng)從過去的科學(xué)幻想走向現(xiàn)實，美國正式組建了網(wǎng)絡(luò)戰(zhàn)爭的司令部，這次我們的規(guī)劃建議明確說一定要打贏信息化的網(wǎng)絡(luò)戰(zhàn)爭?？偟膩碚f，對新的信息時代，大家對于特點和安全，還處在盲人摸象的階段，在這樣的情況下，網(wǎng)絡(luò)的空間分割和依賴，正是因為這樣，西方戰(zhàn)略家認為實體空間

4、的大規(guī)模毀滅戰(zhàn)爭正在向網(wǎng)絡(luò)空間的大規(guī)模的癱瘓戰(zhàn)爭轉(zhuǎn)型，只要把系統(tǒng)搞癱瘓了就勝利了，包括格魯吉亞，伊拉克等等地方都發(fā)生過。所以我們國家的信息安全必須看到面臨著日益復(fù)雜的尖銳的形式，隨著中國政府的崛起引起國際社會的廣泛關(guān)注，面對網(wǎng)絡(luò)與信息安全的新形勢、新情況，我國信息安全工作仍然存在一些亟待解決的問題。信息安全已經(jīng)成為維護國家利益和保障國家安全的重要的戰(zhàn)爭，也代表著國家的根本利益，從信息安全的形式來說，總體來說嚴(yán)峻，我們的信息安全網(wǎng)絡(luò)事件發(fā)生的比例連續(xù)三年呈上升的趨勢，我們現(xiàn)在被木馬控制的IP地址將近一萬個，而且有所增加，我們將視網(wǎng)絡(luò)控制的手機、主機數(shù)量都在增加，而這些問題往往都是我們事先沒有察覺

5、的，比如說一些政府的網(wǎng)站，在被篡改之后沒有發(fā)現(xiàn)，因為他們往往沒有在最前面的主頁上進行篡改，有的在欄目當(dāng)中被篡改，有的被篡改幾個月之后才被發(fā)現(xiàn)，這樣的情況我們必須看到，我們必須科學(xué)冷靜的分析我國信息安全的形勢，來構(gòu)建我們的信息安全保障體系，這一點在我們加強數(shù)字保障里面也是刻不容緩的，中國作為世界第一網(wǎng)民大國，我們的互聯(lián)網(wǎng)帶寬非常高，但是我們不是信息強國，我們在信息技術(shù)的核心技術(shù)上，自主的可控能力不強，我們的信息化相當(dāng)多的是買來的，同時我們在信息內(nèi)容上，為什么我們國家大力發(fā)展自己的北斗星，包括的GPS，包括很多的東西，我們沒有真正掌握在自己的手里，而且我們的信息化發(fā)展不均衡，在信息安全的建設(shè)方面欠

6、帳較多，這是我們國家特有的國情，必須看到。同時還要看到網(wǎng)絡(luò)信息安全，特別是引擎與我們國家改革當(dāng)中的熱點問題相互交錯，我們說信息安全經(jīng)常直接影響到我們的重要信息系統(tǒng)的正常運轉(zhuǎn)，包括我們在城市尤為明顯，一旦發(fā)生了安全問題，導(dǎo)致了大面積的停電，交通癱瘓和通信的中斷，各個行業(yè)的管理失控，不僅嚴(yán)重的影響人們的生產(chǎn)生活，造成重大的經(jīng)濟損失和社會影響。做好動態(tài)分析，尋找那些朝著正面和積極方向發(fā)展的特征根，盡量減少或者避開那些發(fā)生負面影響，引發(fā)振蕩的特征根或特征區(qū)間。大家知道重要信息都是部門單位或者國家正常運轉(zhuǎn)不可缺少的部分，在城市里面更是如此，包括我們城市的管理，包括城市的基礎(chǔ)設(shè)施的運作，包括我們城市的安全

7、，這些涉及到國家和城市的安全，而重要性由于規(guī)模大、設(shè)計復(fù)雜，涉及的人員多，保障相對困難，而且要達到一定的標(biāo)準(zhǔn)，所以所需要的投入相當(dāng)大。正因為這樣，我們可以看到，以金融信息為例，我們從八十年代開始，我們的銀行業(yè)在全國范圍內(nèi)建起一大批計算機網(wǎng)絡(luò)的系統(tǒng)，實現(xiàn)了業(yè)務(wù)全過程的電子化，從九十年代開始實現(xiàn)了綜合服務(wù)，保險業(yè)也一樣，從金融業(yè)我們現(xiàn)在已經(jīng)完全實現(xiàn)了數(shù)據(jù)的大集中，但是大集中意味著高風(fēng)險，特別是在我們當(dāng)前，比如說滬深兩市的股票每天交易量達到3000多億，這種大規(guī)模既有好的一面，我們的處理能力每秒幾萬次，但是也必須看到，在這種新的業(yè)務(wù)面前，我們的安全保障工作并沒有完全的跟上，比如說我們的網(wǎng)絡(luò)銀行，電子

8、銀行也屢屢出現(xiàn)詐騙的行為，這樣的系統(tǒng)使得功能、安全保障水平極為關(guān)鍵，所以說不是一般的處理任務(wù)，而是擴大了整個業(yè)務(wù)流程的支持，系統(tǒng)安全一旦出現(xiàn)問題，意味著許多的管理工作業(yè)務(wù)流程完全被中斷，包括股票、銀行一旦發(fā)生問題，產(chǎn)生的是社會問題，我們多次看到，有時候銀行的系統(tǒng)暫時出了故障，乘客沒有辦法走和機場的工作人員發(fā)生肢體沖突，發(fā)生了都是一些很不好的影響的事情。另外我們的信息資源非常重要，現(xiàn)在我們銀行的儲蓄信息多次發(fā)生問題，都涉及到信息安全的問題，而且還涉及到很多更多寶貴的信息資源，比如說大家知道，現(xiàn)在銀監(jiān)會已經(jīng)正式要求在華設(shè)立的法人單位銀行，包括外資銀行必須要把數(shù)據(jù)中心設(shè)立在中國本土，以防止這種在外資

9、銀行開戶的中國客戶的所有的信息資產(chǎn)和信息的業(yè)務(wù)流向要到國外的數(shù)據(jù)中心去存儲這樣的現(xiàn)象，也就是我們數(shù)據(jù)過境的問題。同時我們必須看到，重要的信息系統(tǒng)具有天然的脆弱性，規(guī)模大，技術(shù)復(fù)雜，使得信息保障的難度加大，由于環(huán)節(jié)多，薄弱環(huán)節(jié)也多，而且一般都包含著網(wǎng)絡(luò)的系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)遭受攻擊的可能性遠遠大于簡單的獨立系統(tǒng)，而且重要的信息需要多人，多個部門介入?yún)f(xié)同工作，除了有意破壞之外，人的失誤也會帶來危害。我們可以看到，在冷戰(zhàn)時期，美國曾經(jīng)在蘇聯(lián)的西伯利亞某天然氣場秘密的植入惡意破壞程序，在使用初期表現(xiàn)正常，在逐漸獲得信任后改變一些程序，使得后來發(fā)生的大爆炸，2001年一個澳大利亞的水處理長發(fā)生了46次不明原因

10、的控制設(shè)備功能異常事件，這個是與水廠有爭執(zhí)的合約工程師通過無線網(wǎng)絡(luò)進行破壞?；A(chǔ)設(shè)施存在的互依賴性導(dǎo)致了災(zāi)難的骨牌效應(yīng)，物聯(lián)網(wǎng)環(huán)境物與物、物之間大量交換控制的信息，遭受攻擊時會產(chǎn)生更加強大的骨牌效應(yīng)。未來我們的物流，交通運輸，人員目標(biāo)都可以被跟蹤，在全球的監(jiān)視之下，在這種情況下信息安全面臨的威脅是不言而喻的，正如我們前面所說的網(wǎng)絡(luò)戰(zhàn)的問題，我們認為在數(shù)字城市的建設(shè)當(dāng)中必須加強數(shù)字安全保障體系的建設(shè)，要建立信息安全工作的長效機制，要落實人員到位，同時把信息系統(tǒng)安全貫穿到整個信息安全的全過程，要建立經(jīng)常性的監(jiān)督管理制度，同時加強相關(guān)的法規(guī)的建設(shè)和培訓(xùn)。關(guān)于加強新時期數(shù)字城市保障體系規(guī)劃建設(shè)的構(gòu)想，

11、我們覺得今年是十一五的收官之年，是十二五的規(guī)劃之年，我們說今天推進信息化建設(shè)的頭等大事，我們搞好規(guī)劃，我們做好規(guī)劃應(yīng)該做好信息安全的規(guī)劃，把這個規(guī)劃作為信息安全保障體系的建設(shè)的基本綱領(lǐng)和總體的體現(xiàn)，現(xiàn)在各個部門都在做規(guī)劃，作為個人我認為要把信息安全的規(guī)劃放在非常重要的位置，在信息安全領(lǐng)域的突出問題，要以公共的基礎(chǔ)設(shè)施為支撐，通過重大的工程來明確我們在數(shù)字城市建設(shè)當(dāng)中的保障目標(biāo)，來解決我們數(shù)字城市建設(shè)中間最關(guān)鍵，最緊迫，最現(xiàn)實的重大安全問題。我們必須堅持以科學(xué)發(fā)展觀為主線，當(dāng)前我們對信息化的建設(shè)，對數(shù)字城市的建設(shè)，對信息安全保障要不要堅持科學(xué)發(fā)展是有爭議的，因為有一些同志，包括個別部門的同志提出

12、來我們當(dāng)前的信息安全工作之所以存在問題是因為你們信息化應(yīng)用走的腳步太快了，還沒有研究出怎么管理的辦法，這個應(yīng)用不能夠馬上倉促的上，但是我個人不敢茍同這種觀點，我覺得必須要堅持我們說以發(fā)展保安全，同時必須要以安全保發(fā)展，在發(fā)展中求安全，科學(xué)發(fā)展觀的觀點把這個工作做好，在信息安全保障體系的總體思路上首先要以發(fā)展為第一要務(wù)，統(tǒng)籌規(guī)劃，統(tǒng)一資源，加強全民的防范意識，我們強調(diào)城市也好，國家也好，信息安全必須堅持國家主導(dǎo)，行業(yè)參與，同時加入個人守則，我們從小教育小孩要有網(wǎng)絡(luò)的道德，下大力氣解決我們自己的自主可控問題，發(fā)展我們自己的信息安全產(chǎn)業(yè)，同時加強信息安全管理，加強綜合協(xié)調(diào)，到十二五末期在各地的數(shù)字城

13、市建設(shè)當(dāng)中形成較為完善的信息安全保障體系來支持積累用戶，推動城市數(shù)字化和信息安全可持續(xù)、平穩(wěn)發(fā)展。在當(dāng)前，要堅持這樣的幾個不能改變，正確處理安全和發(fā)展的關(guān)系不能改變，堅持能夠管好信息安全的基本判斷不能改變，堅持各部門齊抓共管不能改變，同時按照中央提出的信息保障安全的要素不能改變，最后我們要加強國際合作，搞好安全。所以在當(dāng)前我們必須要堅持創(chuàng)新，堅持我們的管理創(chuàng)新，技術(shù)創(chuàng)新以及我們的集成創(chuàng)新。這里我們特別想強調(diào)的就是在信息安全問題，是一個國際化的問題，不能各個方面要積極參與國際安全話語權(quán)的參與，互聯(lián)網(wǎng)上的標(biāo)志，我們的信息安全的企業(yè)，主管要積極走出去，參與工作，包括在制定標(biāo)準(zhǔn)、規(guī)范，包括我們要積極主

14、張開展信息安全多方面的外交，網(wǎng)絡(luò)是大家共同的資產(chǎn)，我們就像當(dāng)前推進減少核軍備一樣，要制定國際網(wǎng)絡(luò)安全的公約，保障互聯(lián)網(wǎng)，大家有一個共同的安全的環(huán)境。同時要加快發(fā)展自主的信息安全的產(chǎn)業(yè)，所以在這種情況下，我們覺得解決安全問題比較求真務(wù)實，立足我們的國情，當(dāng)前要堅持需求導(dǎo)向，利用主導(dǎo)，同時要以國產(chǎn)替代自主可控為原則，在推進網(wǎng)絡(luò)整合和三網(wǎng)融合的過程中建設(shè)自己的可信的信息化網(wǎng)絡(luò)。同時我們覺得，要搞好安全關(guān)鍵是要樹立本質(zhì)安全的觀念，嚴(yán)格說，沒有絕對的安全，只有可控的安全，消除事故的最佳辦法不是建立什么樣的可靠的保護措施，而是在系統(tǒng)設(shè)計的時候，我們說作為一個復(fù)雜的系統(tǒng)，我們怎么樣尋找安全參數(shù)，怎么樣尋找平

15、衡點，這是我們總體設(shè)計必須要考慮的，我們總體設(shè)計當(dāng)中考慮的安全可能受到干擾，攻擊，我們提前把這些要素放進去，選擇合適的操作空間，才可以實現(xiàn)對信息安全可治理的目標(biāo)。也就是這樣，我們要進一步的做好頂層設(shè)計，加強新時期數(shù)字安全保障工作的總體的協(xié)同，制定統(tǒng)一的戰(zhàn)略，特別考慮我們自己的信息安全產(chǎn)業(yè)，這幾年在國家發(fā)改委，工信部和科技部的大力支持下，我們自己的信息安全的產(chǎn)業(yè)已經(jīng)有了長足的進步，但是我們跟國際相比還有不小的差距，我們說要發(fā)展我們的信息安全的企業(yè)和產(chǎn)業(yè)梯隊，優(yōu)化產(chǎn)品的結(jié)構(gòu)，我們說建好一個國家的信息安全保障體系，既有產(chǎn)品、平臺、系統(tǒng)，同時要形成安全防護能力，安全監(jiān)管能力，應(yīng)急響應(yīng)的能力，信息對抗的能力，評估的能力和信息保障的能力，由我們的科研、產(chǎn)業(yè)系服務(wù)體系，技術(shù)管理和標(biāo)準(zhǔn)體系。要在目前的情況下更加注重對態(tài)勢的理解，早發(fā)現(xiàn)一步就可以早解決問題一步，日本已經(jīng)建成了對地震災(zāi)害15秒提前預(yù)警機制，我聽參加十二五規(guī)劃當(dāng)中他們的嘉賓說，我們能不能學(xué)習(xí)日本，對我們重大的災(zāi)害有提前的預(yù)警，哪怕10秒，30秒，前震是有很多的預(yù)兆的，有10秒就足夠了，這是指的是自然災(zāi)害。信息安全更需要這樣，只有當(dāng)我們居安思危，有這樣的危機意識，樹立可以提前預(yù)測預(yù)警的才可以落實統(tǒng)一指揮，高效機制，發(fā)生危機事件的時候有條不紊的應(yīng)對。在試點取得經(jīng)驗后，再推廣到數(shù)字城市和建