2014年,中央成立了網絡安全和信息化領導小組,網絡安全工作被納入國家總體安全觀,提升到國家戰(zhàn)略高度,網絡安全和信息化工作的集中領導進一步加強。總書記針對網絡安全和信息化工作發(fā)表了一系列重要講話,提出了建設網絡強國的宏偉目標,這一戰(zhàn)略目標是與“兩個一百年”奮斗目標相匹配,是“中國夢”的重要組成部分。
網絡安全是實現(xiàn)網絡強國之夢的重要根基,“沒有網絡安全就沒有國家安全”,沒有網絡安全更談不上網絡強國建設。總書記的一系列重要講話精神,為我們今后的工作指明了方向,明確了要求,也為我們重新認識和做好網絡安全標準化工作增添了信心。
一、對網絡安全現(xiàn)狀的新認識
我國互聯(lián)網和信息化工作取得了顯著發(fā)展成就,網絡走入千家萬戶,網民數(shù)量世界第一,我國已成為網絡大國。同時也要看到,我們在自主創(chuàng)新方面還相對落后,區(qū)域和城鄉(xiāng)差異比較明顯,特別是人均帶寬與國際先進水平差距較大,國內互聯(lián)網發(fā)展瓶頸仍然較為突出??傮w說,我國目前的網絡發(fā)展現(xiàn)狀是“大而不強”。
我國不少業(yè)內人士對我國的網絡現(xiàn)狀評價可概括為:一流的網絡規(guī)模,四流的網絡安全。2012年1月,美國“安全與國防議程”智庫發(fā)布報告,將全球23個國家的信息安全防御能力分為6個梯隊,中國處于中下等的第4梯隊,網絡與信息系統(tǒng)安全防護水平很低。造成這一現(xiàn)狀的原因是多方面的:
(1)我國的網絡技術、設備的研發(fā)起步晚,國內市場過早被外來廠商占領,后來者很難實現(xiàn)趕超,很多關鍵領域的國產化自主可控研發(fā)進程面臨難題,核心技術仍然受制于人。建設網絡強國,要有自己的技術,有過硬的技術,特別是底層技術沒有安全可控保障,在此之上做出來的開發(fā)應用自然更談不上有安全保障。
(2)現(xiàn)有的人才培養(yǎng)和發(fā)掘機制與網絡技術高度開放、快速變化的特性并不相符。我國早在2001年就開設了信息安全本科專業(yè),最近還將網絡安全建議設立為一級學科,培養(yǎng)了大量網絡安全專業(yè)人才,但仍然面臨著大量的人才缺口。另一方面,目前活躍的一流高手大多并非出自正規(guī)高校,很多是自學成才、無師自通,這一現(xiàn)象值得我們的教育機構反思,以探索和制定出更適合網絡安全領域的人才培養(yǎng)和發(fā)掘機制。
(3)網絡安全標準化研究和制定工作財力人力物力的總體投入力度不夠,影響力不足,在國際標準化舞臺話語權缺失,在國際競爭中經常處于“跟隨陪跑”狀態(tài)。網絡安全標準化工作是將技術、人才、管理等要素最終科學的、有效的匯集到實施層面的重要手段,對實現(xiàn)國家網絡安全保障具有重要意義。如果說網絡安全是網絡強國的建筑地基,那么網絡安全標準化工作就是打地基的這一過程。如果地基都不牢固,上層建筑就難以建得高、站得穩(wěn),因此必須更大力度的推進這方面的工作。
二、對網絡安全標準化工作內容的新定位
隨著各種網絡技術的普及,移動互聯(lián)網、工控互聯(lián)網、能源互聯(lián)網、車聯(lián)網等各種新型網絡形式都需要網絡安全技術的保障,更是需要網絡安全標準來規(guī)范和指導建設。從某種意義上說,網絡安全標準化工作就是在建設網絡強國的脊梁。
從宏觀層面來看,網絡強國建設的要素包括很多方面:技術、人才、制度、標準、管理等等,這其中最關鍵的網絡安全各種技術的最終效果體現(xiàn)在應用實施過程中,而應用實施過程的統(tǒng)籌有序開展就離不開標準。標準是一種規(guī)范,更是一種力量,一種團結各方利益的力量。從建設網絡強國的大局出發(fā),就是要通過標準來團結國內最大范圍的網絡技術力量,包括企業(yè)、高校、研究機構、民間團體,共同匯聚力量提升我國的網絡安全能力,完成國家網絡安全保障藍圖。當然,這個過程中必然需要一小部分組織暫時犧牲部分利益,這也是標準化工作過程中需要努力協(xié)商一致的重要內容。
從微觀層面來看,過去我們總是把網絡安全看做是某些新興網絡技術的配套功能,相應的標準也只是一個錦上添花的補充?,F(xiàn)在,網絡安全相關功能應該在新技術設計之初就納入考慮范疇,不應該只是作為“增值功能”,而應該是一種“標配功能”。而更多的實踐也表明,在設計之初就將網絡安全考慮在內的話,其所消耗的各種成本遠比完成設計之后再來添加安全功能所消耗的要少。因此我們在進行網絡安全標準化工作時需要將這一理念更多更廣的傳達出去,提升全民整體網絡安全意識。
三、開展網絡安全標準化工作的新舉措
經國家標準化管理委員會批準,全國信息安全標準化技術委員會(簡稱信安標委,SAC/TC260)于2002年4月15日在北京正式成立,秘書處設在中國電子技術標準化研究院。信安標委負責組織開展國內信息安全有關的標準化技術工作,工作范圍包括:安全技術、安全機制、安全服務、安全管理、安全評估等領域。信安標委下設7個工作組(WG),包括WG1-信息安全標準體系與協(xié)調工作組、WG2-涉密信息系統(tǒng)安全保密標準工作組、WG3-密碼技術工作組、WG4-鑒別與授權工作組、WG5-信息安全評估工作組、WG6-通信安全標準工作組、WG7-信息安全管理工作組。在新形勢下面對新問題,信安標委的標準化工作也應有新舉措:
1、統(tǒng)籌規(guī)劃,加強網絡安全標準化頂層設計;
網絡安全標準體系涉及因素多,結構復雜,需進一步厘清眾多標準之間的關系,這就要求我們在處理問題時不能頭痛醫(yī)頭、腳痛醫(yī)腳,要從問題本質出發(fā),要做好總體規(guī)劃和頂層設計,推進網絡安全標準體系建設的科學性、合理性。
2、突出重點,推進關鍵標準的制修訂工作;
截至2015年4月,信安標委共組織申報信息安全國家標準290項,其中284項已獲批立項,正式發(fā)布國家標準149項。標準范圍涵蓋了信息安全基礎、安全技術與機制、安全管理、安全評估以及保密、密碼和通信安全等多個領域,有力保障了國家和社會的網絡安全。這其中有部分標準對國家網絡安全體系構建具有至關重要的作用,需要我們的標準化人員步步緊跟相關技術動態(tài),實時把握標準內容與應用現(xiàn)狀之間的關系,對與時代發(fā)展不再相適應的標準及時修訂。
3、與時俱進,豐富標準宣貫途徑;
標準的效果還在于實施,而實施的力度與標準宣貫力度有很大關系。在當前各種新媒體蓬勃的時代,更多應用各類新媒體平臺來豐富標準的宣貫和傳播途徑,從標準制修訂征集意見開始,加大宣傳和影響力度,建立廣大民眾對“國家網絡安全標準”的品牌認可。
4、樹立榜樣,讓重要行業(yè)企業(yè)在標準化工作方面要承擔起應有的責任;
作為國家經濟支柱的重要行業(yè)和大型企業(yè),特別是國有企業(yè),應該更多的肩負起網絡安全標準制定和試點試用的社會責任;同時,對于標準化工作有突出貢獻的企業(yè),應該在其他方面(比如稅收優(yōu)惠、財政撥款等)出臺一定的政策進行鼓勵,形成一種蓬勃發(fā)展的新局面。
四、總結
過去的一年,在中央網絡安全和信息化領導小組的堅強領導下,我國的網絡強國戰(zhàn)略路線圖日漸清晰,網絡安全保障工作穩(wěn)步推進。作為標準化戰(zhàn)線的一員,我們希望通過網絡安全標準化工作,為國家網絡安全防護保駕護航,為信息化健康發(fā)展添磚加瓦,為國際話語權爭奪推波助瀾。大力提升我國的網絡安全保障能力,為實現(xiàn)網絡強國的中國夢貢獻自己的力量。(中國電子技術標準化研究院 高林)