林 涛,张向宏
(中国信息安全研究院,北京 100091)
在我国网络安全的保障体系中,中央企业有着不可替代的作用,主要有两个方面的体现:一是作为供给侧。中央企业作为生产者,在国家网络安全保障中,担负着提供技术、产品和服务的重要职责。从产业划分来看,中央企业的产业支撑保障门类主要包括三种类型:提供自主可控信息技术产品和装备、提供网络安全防护技术产品和装备、以及提供网络安全服务。二是作为需求侧。中央企业是重要信息系统和基础信息网络的运营者,其自身安全就是国家安全的题中之义。绝大部分关系国计民生和社会发展的重要信息系统由中央企业负责运营,涉及国民经济发展的重要行业,包括金融、电力、石油、煤炭、铁路、民航、电信、军工等。
2003年国务院国有资产监督管理委员会成立以来,高度重视中央企业网络安全工作,先后制定了多部政策法规,如《中央企业商业秘密保护暂行规定》(国资发[2010]41号)、《关于加强“十二五”时期中央企业信息化工作的指导意见》(国资发[2012]93号)等,并积极组织开展央企网络安全工作;同时,各大央企也纷纷行动,在网络安全领域开展了大量工作,并取得了明显成效。尽管如此,困扰网络安全能力持续提升的深层次问题依然存在,阻碍了央企作用的全面深入发展。
一是缺乏顶层设计。对于中央企业在国家网络安全工作中重要性的认识虽不断提升,但在推进实施方面,缺乏顶层规划和指导。当前,国家《网络空间安全战略》已经发布,《网络安全法》已进入实施阶段,但对于如何进一步发挥央企在国家网络空间安全中的作用,仍缺少实施层面的统一规划部署,这与央企在国家网络安全和信息化发展中的地位极不相称,不利于央企网络安全相关工作的持续发展。
二是技术发展存在严重短板。一方面,我国在PC机、Windows操作系统以及基于TCP/IP协议的互联网应用上,在设计之初均未充分考虑程序校验、数据传输保护等问题,导致网络安全防护存在“先天不足”,这是当前信息系统面临网络安全问题的主要原因。另一方面,我国信息技术发展存在空白点,缺乏统一的技术方案和路线,造成产业支撑能力的严重不足,网络安全核心技术和产品受制于人,国家网络安全面临更大挑战。
三是产业发展受制于人。我国网络安全产业在发展过程中,产品、服务乃至产业发展面临全面受制于西方发达国家的窘境。从公开的数据统计来看,我国重要信息系统和工控系统产品主要依赖国外,配套网络安全服务能力较弱,与国家网络安全保障需求存在较大差距。同时,国外企业还把持着涉及到网络安全的战略咨询、审计、测评认证等关键服务业务。例如,IBM等外企为国内企业提供全面的信息安全咨询服务,而普华永道、德勤、毕马威、安永“四大”会计师事务所控制并试图垄断我国的会计审计业,许多国有企业和银行基本没什么商业秘密可言。通过提供信息安全服务,国外企业可以获取我国政府部门关键信息基础设施的重要信息数据。
做好网络安全工作,是央企的重要历史使命,是履行社会责任的重要体现,新时期强化中央企业的网络安全保障作用,总体目标应是培养和形成自主可控的网络安全技术,确保国家网络基础设施安全,增强和促进国家网络安全整体水平,服务国家安全体系的构建。包括两个具体目标:一是壮大网络安全产业力量,培育以中央企业为龙头、社会力量广泛参与的网络安全产业生态系统和产业链,全面提升网络安全技术、产品和服务支撑保障能力;二是巩固和提高中央企业自身网络安全能力,确保国家关键信息基础设施网络和重要信息系统安全运行。
实现央企在保障国家安全中发挥重要作用,需要将总体目标细化分解为两项重点任务。一是培育重点企业,立足中央企业自身基础和发展定位,集中资源和力量,将其培养成国家网络安全和信息化主要装备和服务的提供商。二是强化重点领域网络安全,分阶段、分步骤确保国家金融、电力、交通等重点行业网络基础设施安全,以点带面,全面实现网络安全水平的提升。
采取综合措施,体系化推进央企网络安全水平和保障能力建设,全面实现央企在国家网络安全保障体系中的作用。建议从强化顶层设计、加强技术创新、推进产业协同、实现重点突破四个方面着手推进。
尽快出台《中央企业网络安全和信息化发展战略》,确立中央企业在国家网络安全中的角色定位。一是进行统一规划。明确在新形势下,我国加强网络安全的内外环境、目标任务、重点工作、保障措施和体制机制等,探索基于我国国情的网络安全保障应对策略。二是进行合理布局。突出中央企业在国家网络安全和信息化中的保障主体作用,使之成为国家网络安全的主力装备提供商,统一配置资源,相互协调分工。三是进行重点引导。强化央企在各自行业的网络安全保障作用,加大对国家关键信息基础设施的保障力度。
在国家加大对网络安全企业科技投入力度的同时,央企要积极承担起提供关键技术和核心设备的责任。加强核心关键技术产品和服务的研制开发,重点突破自主可信、安全防护、安全服务等关键领域,服务国家战略发展需求。
通过军民转化、军民复用的方式推进军民融合发展,实现关键技术、安全演练、信息资源等方面的有效融合。一是推进关键技术的军民融合。部分关键技术可由军队先行研制,再推广到民用,然后再反馈给军方,实现关键技术产品的军民转化。二是推进安全演练的军民融合。建立模拟实验环境,吸纳军民力量参加,配合进行攻防演练,共同提升网络安全保障水平。三是推进信息资源的军民融合。适度开放部分网络设施和信息资源,由中央企业带头,吸纳民间技术力量充分参与到国家网络安全建设中,扩大国家网络安全保障的支撑力量。
强化国家网络安全。在涉及国计民生的金融、能源、粮食、交通等领域,强化对工控系统及重要信息系统的安全保障。通过实施重点保障工程,推动在工控系统和重要信息系统领域的网络安全能力建设。一是在工业控制系统领域,重点打造工业控制系统网络安全研发能力建设平台[6],研发具有中国自主知识产权的安全工控技术、产品和系统等,形成国家工控安全领域的核心竞争力。重点打造面向关键行业工业控制系统网络安全保障体系建设平台,研制工业控制系统的网络安全设备以及监控管理系统等。二是在重要信息系统领域。重点打造重要信息系统体系化网络安全防护平台,研制以数据保护等为核心的系列化信息系统安全防护产品等。重点打造重要信息网络自主专用安全支撑技术研发与产业化平台,研究专用安全芯片和高可靠基础专用安全设备产品服务及其支撑应用等。
目前,中央企业在信息安全保障中发挥的作用远低于预期,所暴露的问题也较为突出,央企发挥的作用与其应当承担的使命与责任不相匹配,无法满足信息安全严峻形势对产业提出的急切需求。加强对中央企业在信息安全保障中的作用的研究刻不容缓,应首先明确和强化央企在保障国家信息安全的双重角色,再以供给侧、需求侧并举的思路,加快探索并深入推进央企在保障国家信息安全中的作用。
[1] 国家工业信息安全发展研究中心.工业和信息化蓝皮书(2016-2017)[M].北京:社科文献出版社出版,2017.6.
[2] 芮晓武.构建科学发展体系,推动产业由大到强[J].工业经济论坛,2014(1):102-110.
[3] 张向宏,林涛.美国信息安全立法概况及启示[J].保密科学技术,2012(11):6-13.
[4] 林涛.美国近期信息安全立法及其战略思路研究[J].中国信息安全,2013(4):68-71.
[5] 卢坦,林涛,梁颂.美国工控安全保障体系研究及启示[J].保密科学技术,2014(4):27-33.
[6] 刘仁辉,张尼,吴云峰.构筑工业互联网安全防护体系 为推动先进制造业发展保驾护航[J].信息技术与网络安全,2018,37(1):23-24,29.