中国网:各位好!这里是中国网《中国访谈》2019年全国两会特别报道。全国政协委员、安天科技集团首席技术架构师肖新光认为,目前我国大量的重要信息系统和信息基础设施存在低水平防护,甚至无效防护的状态,网络安全不管是对于国家还是企业来说至关重要。针对网络安全问题,全国政协委员肖新光提出了自己的建议和提案,我们一块来听听他怎么说。
全国政协委员、安天科技集团首席技术架构师肖新光。
中国网:肖委员您好!欢迎您做客《中国访谈》,首先请您跟我们介绍一下您今年的两会提案。
肖新光:今年的两会提案主要是通过规划引导、预算保障和问责落实形成一个落地的闭环,来提升咱们国家政府、央企的网络安全水平。因为当前来看,我们国家面临着非常复杂严峻的内外部挑战。在这些挑战中,我们的信号系统和关键基础设施防护能力薄弱,难以应对带有政府背景的高强度的网络攻击,是其中一个重要的风险隐患。对于由一个个政企机构所维护的这些信息系统和关键基础设施,这些安全性是我们国家整个安全防护能力的基石,基石不稳则大厦难安。从过去来看,在提升安全防护能力的工作中,我们首先想到的是不是投入不足?但为什么我们这次所讲的把三个环节形成一个落地闭环?或者叫三管齐下,我们是以规划指引作为先导。事实上来看,咱们国家政企机构的网络安全规划能力普遍不足,具体的表现就包括我们往往是采用通过简单的合规手段,再加上对其产品应对单点威胁的思路,没有落实动态综合的防御理念。对于在整个信息系统的规划、建设、运维、推动全生命周期来考虑网络安全问题,对于把网络安全机制如何与信息化的每个层次、每个角落都实现深度结合和全面覆盖,我们过去这方面总体的规划能力都不足。一旦规划能力不足,实际上它就不能够支撑起有效的预算框架,它也不能有效地来保障预算转化能力,所以,规划引领需要先行,这就需要我们的主管部门联合发文。
首先,需要把政府央企的网络安全防护能力建设提升到落实网络强国战略任务的高度,为政府央企提供全面的框架性的指引和相应的指导。
第二,需要预算保障。网络安全能力要形成就需要足够的资源,而资源投入就要有相应的预算保障,根据我们的调研情况来看,由于当前存在着经济下行压力,我们的政府机构、央企因为网络安全投入不能直接产生经济效益,他们往往就在砍这方面投入。加上一些机构长期以来实行的就是合规基础上尽量少花钱的思维,在过去一年中我们看到了大量的网络安全项目(的建设)和投入是降速或停滞的,因此就需要在规划指引基础上形成足够的预算保障来应对相应的安全风险。
第三,随着《网络安全法》的实施,我们国家整个网络安全的问责机制正在完善,但同时我们也会看到,当前的问责机制更多地是围绕着一些合规性的例行检查和出事的事后问责。在这种情况下,它对于是不是有效制定了安全规划,是不是有效地按照规划去实施,是不是形成了相应的防护能力,在这方面缺少深度的考察机制。我们在提案中提出,能不能将整个网络安全的问责机制和咱们国家的监察体系对接,通过主管部门提供规划指引,它就形成了一个帮扶央企提升规划能力的赋能视角,通过规划指引驱动预算的形成与执行,通过问责机制来看规划的有效落实和能力转化,从而形成一个能力闭环。
中国网:政府一般是在一般架构上再形成单点的自我保护,这种简单的安全防护形式,因为现在还没有产生重大威胁,所以没有引起重视。如果有重大威胁进入,是不是对各级政府、各级企业带来很大威胁?
肖新光:应该这么说,当前并不是没有产生重大的威胁。特别是在网络空间中,这种高能力的,甚至超高能力的威胁行为体,他们多数是带有政府背景的,实际上一直围绕着我国的重要信息系统和关键基础设施,包括我们整个的政府和军事目标等等,长期地尝试进行各种入侵、渗透、窃取。为什么这些攻击还没有完全浮出水面?很大程度上恰恰是因为攻击者本身的攻击体系庞大,攻击能力非常强,他们的攻击具有很大的隐蔽性,对他们进行有效的发现、分析、猎杀、溯源都有很大难度。去年我们在《焦点访谈》曝光了具有某地缘背景的攻击组织持续对大陆相关的军工科研入侵、渗透、攻击,这就是典型的高级持续性攻击。在我们所分析监测的攻击方向来看,他们相对还是处于能力偏中下的情况。从过去来看,我们在整个建设上主要的驱动力是“合规+威胁”,合规就形成了一个及格线,有必须实现的清单,这是基础工作;威胁,过去出现了D6S、勒索病毒,会上一些单点的安全产品去防御这种单点威胁。但在当前情况下,在攻击者本身是带有政府背景的,具有体系化攻击,可以承受非常大的攻击成本的情况下,靠合规导向模式再加上威胁导向模式是不够的,我们当前所需要的就是能力导向的建设模式。
什么是能力导向建设模式呢?它实际上就是要全面建设所有必要的安全能力,并使这些能力成为一个动态综合的网络防御体系。在这种情况下它不只是能够对现有的威胁形态有比较好的防御能力,它也能对这些形态组合和一些新的威胁类型具有较好的、能够做出相应的应对工作的能力基础。
中国网:刚才您谈到了央企的问题,其实一些企业容易受到外部的有组织的威胁和攻击,这个时候作为企业来说应该如何保护自己呢,在网络安全领域?
肖新光:从过去来看,比如说在更早的像DOS时代我们的信息系统大量的是孤立的,单机孤岛,可能在那个时候大家所形成的安全认识就是感染病毒,我要杀毒。后来在信息高速公路建设之后出现了一些其它的攻击形式,威胁随着网络开始高速流动,出现了类似于大规模拒绝服务攻击,我们在那个时候是以更偏重于运营商的视角,强调的是“保障”和“恢复”。在当前,由于我们整个社会的运行是依赖于信息化的,这种情况下对政企机构运营的关键信息基础设施(发动攻击),就不只是政企机构的安全问题,还会带来严重的社会安全问题和国家安全问题,比如说像金融、电力、交通、能源。我们可以想像,假如说它的信息系统遭遇了瘫痪,可能带来的就是停电、停水,金融系统不能正常运行,很多相应的风险。而且在这个过程中,当前我们国家很多科研成果,包括我们取得的产业进步形成了很多的成果积累,就有可能存在一些具有政府背景或商业竞争背景的攻击,尝试获取我们的科研成果、技术秘密等等,想要去进行一些抄袭、仿制,所以还存在着我们对整个科技安全相关的影响。这里还有更进一步的,比如说对于军事和政治相关的信息,对国家安全的影响等等。网络安全在总体国家安全中,它是几乎与总体国家安全每个方面都密切相关的连通因素,因此在这种情况下必须给予高度重视。
在面临如此高风险的情况下,每一个政府机构、央企就不是简单地从自身应对显现层面威胁的角度,而是要深入分析自己所运行支撑的信息资产和承载着其它信息成果的综合性影响,做好安全规划,落实安全预算,按照能力导向建设模式去叠加演进,进行网络安全从基础结构安全纵深防御、态势感知和积极防御,以及威胁情报的叠加引进建设,来形成自身的动态综合防御体系,做到在信息系统的规划建设运维中全生命周期的网络安全机制,去做到网络安全机制与信息化的每一个层次、每一个角落深度结合,全面覆盖,形成掌控敌情、动态协同的防御体系。
中国网:您谈到了预算的问题,今年的《政府工作报告》当中也谈到了要让政府过紧日子,那您谈的这个预算究竟成本有多高呢?
肖新光:首先我们要看到一个原则,通常情况下一个国家在面临着更为严峻的安全挑战时,是需要优先进行增强国家安全能力的投入。这就像我们在建国伊始,经济百废待兴,当时的物质条件非常匮乏的情况下,因为我们面临着核讹诈的风险,面临着严峻的国际形势,在这个时候我们集中力量进行了“两弹一星”的研发,奠定了我们作为一个大国的安全基石。安全投入在一定程度上对当时同样紧迫的其它领域形成了一定资源压力,如果没有当时做这个决策,我们整个的大国地位和长治久安就无从谈起。
在当前的形势下,网络空间在整个的大国博弈和地缘安全中是一个常态化对抗领域,未来面临战争风险时的首发战场。我们作为一个信息化的大国,网络安全防护能力就决定了我们国家在面对重大挑战时的战略主动性,在这个时候我们是需要把网络安全投入作为国家安全能力的一个必需的基础投入来完成。但同时我们也要看到,因为网络是复合的,网络本身是由一个个具体的信息系统、信息基础设施组成,我们要发挥“两弹一星”精神,但它并不是一个完全的集中建设模式,它只单纯靠一两个重大工程去应对是不行的,它必须落实转化到每一个具体的信息系统和关键基础设施的防护能力,每一个相应的系统只要它承载了关乎国计民生的重要信息资产,它就必须得到充分的安全保障。对于它需要投入多少的问题,反过来说我们为什么一定要强调以规划指引为先行?你没有相应的规划能力就很难形成相应的解决方案,你也就无法去预测你所需要的合理的投入水平。我们要通过规划来指导预算的行程,通过规划来引导预算的落实。
中国网:刚才我们谈到了规划和预算,和其它的行业一样,最终是落实,政策出来了,预算有了,但如何落到实处?监管方面和国家监察要结合。前段时间跟他们聊环保问题,减税降费的问题,最重要的就是层层监管如何实施。您刚才谈到了和国家监察结合,在监管方面能不能谈谈您的观点?
肖新光:我们刚才已经讲了,越是高水平的网络攻击,越是可能带来重大风险隐患的网络攻击,往往具有更高的隐蔽性,往往不是以一般性的灾难和事故来表现的,实际上是相关威胁行为体对我们的信息系统和关键基础设施实现入侵渗透,长期持有化,构成了一个具备持续窃取我方关键信息重点成果的能力,具备实施对我们整个重要的基础设施运行实现违抗干扰的可能性。在这个问题上看,如果我们只有浅层次的安全检查,可能无法发现深度的问题。如果我们只是以是否出事儿来进行问责,那就变成了一种撞大运式的模式。我们当前所需要的是重要信息系统和关键基础设施建立动态综合的防护体系,形成有效的防护能力,这种能力是以规划为引领、以预算为保障,通过相应的实施落实,它本质上不是合规检查,它也不是简单的演练对抗。它检查的是你规划的质量、规划的保障、规划的落实情况、能力的形成。它是有这样一套思路,它是履职尽责相结合的一部分。如果没有问责,可能带来的就是一些机构出于利益、营收指标的考虑,在网络安全上,表面上做了一些措施和投入,实际上不去投入,也有可能出现无效投入和乱投入的情况。
中国网:最后还想请您跟我们讲一讲整个提案为了什么目的,为了达到什么效果,我们要看到一张什么蓝图?
肖新光:希望透过这个提案快速地通过主管部门集中优势能力,通过帮扶赋能视角提升政企机构的规划能力,引领预算投入,形成能力落地,看到我们在一个相对短的时间内使政企机构的网络安全防护水平快速提升,实现全天候全方位感知态势和有效防护。