中國網:各位好!這裡是中國網《中國訪談》2019年全國兩會特別報道。全國政協委員、安天科技集團首席技術架構師肖新光認為,目前我國大量的重要資訊系統和資訊基礎設施存在低水準防護,甚至無效防護的狀態,網路安全不管是對於國家還是企業來説至關重要。針對網路安全問題,全國政協委員肖新光提出了自己的建議和提案,我們一塊來聽聽他怎麼説。
全國政協委員、安天科技集團首席技術架構師肖新光。
中國網:肖委員您好!歡迎您做客《中國訪談》,首先請您跟我們介紹一下您今年的兩會提案。
肖新光:今年的兩會提案主要是通過規劃引導、預算保障和問責落實形成一個落地的閉環,來提升咱們國家政府、央企的網路安全水準。因為當前來看,我們國家面臨著非常複雜嚴峻的內外部挑戰。在這些挑戰中,我們的信號系統和關鍵基礎設施防護能力薄弱,難以應對帶有政府背景的高強度的網路攻擊,是其中一個重要的風險隱患。對於由一個個政企機構所維護的這些資訊系統和關鍵基礎設施,這些安全性是我們國家整個安全防護能力的基石,基石不穩則大廈難安。從過去來看,在提升安全防護能力的工作中,我們首先想到的是不是投入不足?但為什麼我們這次所講的把三個環節形成一個落地閉環?或者叫三管齊下,我們是以規劃指引作為先導。事實上來看,咱們國家政企機構的網路安全規劃能力普遍不足,具體的表現就包括我們往往是採用通過簡單的合規手段,再加上對其産品應對單點威脅的思路,沒有落實動態綜合的防禦理念。對於在整個資訊系統的規劃、建設、運維、推動全生命週期來考慮網路安全問題,對於把網路安全機制如何與資訊化的每個層次、每個角落都實現深度結合和全面覆蓋,我們過去這方面總體的規劃能力都不足。一旦規劃能力不足,實際上它就不能夠支撐起有效的預算框架,它也不能有效地來保障預算轉化能力,所以,規劃引領需要先行,這就需要我們的主管部門聯合發文。
首先,需要把政府央企的網路安全防護能力建設提升到落實網路強國戰略任務的高度,為政府央企提供全面的框架性的指引和相應的指導。
第二,需要預算保障。網路安全能力要形成就需要足夠的資源,而資源投入就要有相應的預算保障,根據我們的調研情況來看,由於當前存在著經濟下行壓力,我們的政府機構、央企因為網路安全投入不能直接産生經濟效益,他們往往就在砍這方面投入。加上一些機構長期以來實行的就是合規基礎上儘量少花錢的思維,在過去一年中我們看到了大量的網路安全項目(的建設)和投入是降速或停滯的,因此就需要在規劃指引基礎上形成足夠的預算保障來應對相應的安全風險。
第三,隨著《網路安全法》的實施,我們國家整個網路安全的問責機制正在完善,但同時我們也會看到,當前的問責機制更多地是圍繞著一些合規性的例行檢查和出事的事後問責。在這種情況下,它對於是不是有效制定了安全規劃,是不是有效地按照規劃去實施,是不是形成了相應的防護能力,在這方面缺少深度的考察機制。我們在提案中提出,能不能將整個網路安全的問責機制和咱們國家的監察體系對接,通過主管部門提供規劃指引,它就形成了一個幫扶央企提升規劃能力的賦能視角,通過規劃指引驅動預算的形成與執行,通過問責機制來看規劃的有效落實和能力轉化,從而形成一個能力閉環。
中國網:政府一般是在一般架構上再形成單點的自我保護,這種簡單的安全防護形式,因為現在還沒有産生重大威脅,所以沒有引起重視。如果有重大威脅進入,是不是對各級政府、各級企業帶來很大威脅?
肖新光:應該這麼説,當前並不是沒有産生重大的威脅。特別是在網路空間中,這種高能力的,甚至超高能力的威脅行為體,他們多數是帶有政府背景的,實際上一直圍繞著我國的重要資訊系統和關鍵基礎設施,包括我們整個的政府和軍事目標等等,長期地嘗試進行各種入侵、滲透、竊取。為什麼這些攻擊還沒有完全浮出水面?很大程度上恰恰是因為攻擊者本身的攻擊體系龐大,攻擊能力非常強,他們的攻擊具有很大的隱蔽性,對他們進行有效的發現、分析、獵殺、溯源都有很大難度。去年我們在《焦點訪談》曝光了具有某地緣背景的攻擊組織持續對大陸相關的軍工科研入侵、滲透、攻擊,這就是典型的高級持續性攻擊。在我們所分析監測的攻擊方向來看,他們相對還是處於能力偏中下的情況。從過去來看,我們在整個建設上主要的驅動力是“合規+威脅”,合規就形成了一個及格線,有必須實現的清單,這是基礎工作;威脅,過去出現了D6S、勒索病毒,會上一些單點的安全産品去防禦這種單點威脅。但在當前情況下,在攻擊者本身是帶有政府背景的,具有體系化攻擊,可以承受非常大的攻擊成本的情況下,靠合規導向模式再加上威脅導向模式是不夠的,我們當前所需要的就是能力導向的建設模式。
什麼是能力導向建設模式呢?它實際上就是要全面建設所有必要的安全能力,並使這些能力成為一個動態綜合的網路防禦體系。在這種情況下它不只是能夠對現有的威脅形態有比較好的防禦能力,它也能對這些形態組合和一些新的威脅類型具有較好的、能夠做出相應的應對工作的能力基礎。
中國網:剛才您談到了央企的問題,其實一些企業容易受到外部的有組織的威脅和攻擊,這個時候作為企業來説應該如何保護自己呢,在網路安全領域?
肖新光:從過去來看,比如説在更早的像DOS時代我們的資訊系統大量的是孤立的,單機孤島,可能在那個時候大家所形成的安全認識就是感染病毒,我要殺毒。後來在資訊高速公路建設之後出現了一些其他的攻擊形式,威脅隨著網路開始高速流動,出現了類似于大規模拒絕服務攻擊,我們在那個時候是以更偏重於運營商的視角,強調的是“保障”和“恢復”。在當前,由於我們整個社會的運作是依賴於資訊化的,這種情況下對政企機構運營的關鍵資訊基礎設施(發動攻擊),就不只是政企機構的安全問題,還會帶來嚴重的社會安全問題和國家安全問題,比如説像金融、電力、交通、能源。我們可以想像,假如説它的資訊系統遭遇了癱瘓,可能帶來的就是停電、停水,金融系統不能正常運作,很多相應的風險。而且在這個過程中,當前我們國家很多科研成果,包括我們取得的産業進步形成了很多的成果積累,就有可能存在一些具有政府背景或商業競爭背景的攻擊,嘗試獲取我們的科研成果、技術秘密等等,想要去進行一些抄襲、仿製,所以還存在著我們對整個科技安全相關的影響。這裡還有更進一步的,比如説對於軍事和政治相關的資訊,對國家安全的影響等等。網路安全在總體國家安全中,它是幾乎與總體國家安全每個方面都密切相關的連通因素,因此在這種情況下必須給予高度重視。
在面臨如此高風險的情況下,每一個政府機構、央企就不是簡單地從自身應對顯現層面威脅的角度,而是要深入分析自己所運作支撐的資訊資産和承載著其他資訊成果的綜合性影響,做好安全規劃,落實安全預算,按照能力導向建設模式去疊加演進,進行網路安全從基礎結構安全縱深防禦、態勢感知和積極防禦,以及威脅情報的疊加引進建設,來形成自身的動態綜合防禦體系,做到在資訊系統的規劃建設運維中全生命週期的網路安全機制,去做到網路安全機制與資訊化的每一個層次、每一個角落深度結合,全面覆蓋,形成掌控敵情、動態協同的防禦體系。
中國網:您談到了預算的問題,今年的《政府工作報告》當中也談到了要讓政府過緊日子,那您談的這個預算究竟成本有多高呢?
肖新光:首先我們要看到一個原則,通常情況下一個國家在面臨著更為嚴峻的安全挑戰時,是需要優先進行增強國家安全能力的投入。這就像我們在建國伊始,經濟百廢待興,當時的物質條件非常匱乏的情況下,因為我們面臨著核訛詐的風險,面臨著嚴峻的國際形勢,在這個時候我們集中力量進行了“兩彈一星”的研發,奠定了我們作為一個大國的安全基石。安全投入在一定程度上對當時同樣緊迫的其他領域形成了一定資源壓力,如果沒有當時做這個決策,我們整個的大國地位和長治久安就無從談起。
在當前的形勢下,網路空間在整個的大國博弈和地緣安全中是一個常態化對抗領域,未來面臨戰爭風險時的首發戰場。我們作為一個資訊化的大國,網路安全防護能力就決定了我們國家在面對重大挑戰時的戰略主動性,在這個時候我們是需要把網路安全投入作為國家安全能力的一個必需的基礎投入來完成。但同時我們也要看到,因為網路是複合的,網路本身是由一個個具體的資訊系統、資訊基礎設施組成,我們要發揮“兩彈一星”精神,但它並不是一個完全的集中建設模式,它只單純靠一兩個重大工程去應對是不行的,它必須落實轉化到每一個具體的資訊系統和關鍵基礎設施的防護能力,每一個相應的系統只要它承載了關乎國計民生的重要資訊資産,它就必須得到充分的安全保障。對於它需要投入多少的問題,反過來説我們為什麼一定要強調以規劃指引為先行?你沒有相應的規劃能力就很難形成相應的解決方案,你也就無法去預測你所需要的合理的投入水準。我們要通過規劃來指導預算的行程,通過規劃來引導預算的落實。
中國網:剛才我們談到了規劃和預算,和其他的行業一樣,最終是落實,政策出來了,預算有了,但如何落到實處?監管方面和國家監察要結合。前段時間跟他們聊環保問題,減稅降費的問題,最重要的就是層層監管如何實施。您剛才談到了和國家監察結合,在監管方面能不能談談您的觀點?
肖新光:我們剛才已經講了,越是高水準的網路攻擊,越是可能帶來重大風險隱患的網路攻擊,往往具有更高的隱蔽性,往往不是以一般性的災難和事故來表現的,實際上是相關威脅行為體對我們的資訊系統和關鍵基礎設施實現入侵滲透,長期持有化,構成了一個具備持續竊取我方關鍵資訊重點成果的能力,具備實施對我們整個重要的基礎設施運作實現違抗干擾的可能性。在這個問題上看,如果我們只有淺層次的安全檢查,可能無法發現深度的問題。如果我們只是以是否出事兒來進行問責,那就變成了一種撞大運式的模式。我們當前所需要的是重要資訊系統和關鍵基礎設施建立動態綜合的防護體系,形成有效的防護能力,這種能力是以規劃為引領、以預算為保障,通過相應的實施落實,它本質上不是合規檢查,它也不是簡單的演練對抗。它檢查的是你規劃的品質、規劃的保障、規劃的落實情況、能力的形成。它是有這樣一套思路,它是履職盡責相結合的一部分。如果沒有問責,可能帶來的就是一些機構出於利益、營收指標的考慮,在網路安全上,表面上做了一些措施和投入,實際上不去投入,也有可能出現無效投入和亂投入的情況。
中國網:最後還想請您跟我們講一講整個提案為了什麼目的,為了達到什麼效果,我們要看到一張什麼藍圖?
肖新光:希望透過這個提案快速地通過主管部門集中優勢能力,通過幫扶賦能視角提升政企機構的規劃能力,引領預算投入,形成能力落地,看到我們在一個相對短的時間內使政企機構的網路安全防護水準快速提升,實現全天候全方位感知態勢和有效防護。
