◆张新刚 于波 王保平 孙晓林 李贺
河南省网络安全保障体系与能力建设研究
◆张新刚1于波2王保平1孙晓林1李贺1
(1.南阳师范学院计算机科学与技术学院 河南 473061;2.信阳师范学院法学与社会学学院 河南 464000)
河南省网络建设加快推进,互联网应用蓬勃发展。为了构建河南省网络安全体系化的防御能力,有效保障关键信息基础设施、重要敏感数据及个人信息安全,在系统梳理河南省网络安全发展现状的基础上,分析了河南省网络安全面临的威胁与挑战,最后从完善管理服务体系、健全政策法规体系、加强科技平台体系建设、发展壮大产业发展体系、加强学科和人才体系建设、构建协同联动机制等六个方面设计了河南省网络安全保障体系建设的策略,为提升河南省网络安全保障能力提供决策参考。
网络安全;信息安全;保障体系;科技创新平台;工业互联网
近年来新一代信息技术和应用快速发展,网民规模持续扩大,数字经济蓬勃发展,数字政府建设稳步推进,互联网行业在新冠肺炎疫情防控方面发挥了十分重要的作用。随着大数据、移动互联网、区块链、人工智能、5G、量子信息等新技术新应用的快速发展,网络安全风险日益加剧。习近平总书记指出“没有网络安全就没有国家安全”,网络空间已成为继陆、海、空、天之后的第五大主权空间,网络空间安全已成为经济社会发展特别是数字经济发展的重要基础[1]。
近年来,河南省持续加强对互联网的网络信息安全管理工作,加大对关键信息基础设施的保护力度,加强网络安全保障体系建设,不断提升全省网络安全保障水平和应急处置能力。全省公共互联网整体上运行较为平稳,没有发生大规模网络瘫痪和病毒传播等重大事件。但是同时也要看到,部分行业、部分区域的网络安全防护能力不强,新技术新应用带来了新的安全风险挑战,数据泄露、APT攻击、工业互联网等风险加剧,如何进一步健全河南省网络安全保障体系,提升网络安全保障能力迫在眉睫,刻不容缓[2]。
本文首先分析了河南省网络安全和信息化的发展现状,接着梳理了河南省网络安全面临的威胁与挑战,最后从六个方面设计了加强河南省网络安全保障体系建设的策略。
河南省互联网应用加快发展,网络安全工作有序推进,政策环境持续优化,产业发展态势向好。具体来说,网络安全法规政策制度体系不断完善,科技创新平台建设持续推进,网络安全产业不断发展壮大,学科建设和人才体系不断加强,竞赛和科普活动品牌优势明显,网络安全相关工作成绩显著。
近年来,为了更好地适应我国数字经济的快速发展,有力保障网络安全工作,我国加快了在网络安全方面的立法进程,行政法规和部门规章不断更新完善,一批法律法规和制度文件逐步落地实施。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《网络安全审查办法》《网络信息内容生态治理规定》《儿童个人信息网络保护规定》《网络产品安全漏洞管理规定》等的落地实施,对于维护网络空间主权、加强网络空间法治、维护网络空间秩序都具有十分重要的意义,为我国的网络强国建设保驾护航。2021世界电信和信息社会日大会上发布的《2020河南省互联网发展报告》指出,河南省不断健全网络安全相关的政策体系,政府相关主管部门先后出台了《河南省推进“5G+工业互联网”融合发展实施方案》等一系列政策和制度文件,不断提升网络安全工作的规范化、科学化水平,法规政策制度体系不断完善,为推动网络安全工作良性发展提供了良好的政策和制度环境。
近年来,河南省大力加强网络空间安全领域的科技创新平台建设,不断提高在网络空间安全领域的技术研发能力和科技创新能力。一是加强国家级科技创新平台建设。依托解放军信息工程大学,联合相关行业企业和知名高校,共建了国家移动互联网安全技术工程实验室、国家计算机病毒防御技术工程实验室等多个国家级科研创新平台。二是合理布局建设省级科研创新平台。河南省科技厅、河南省发改委等政府机构已批准建立了涵盖网络空间安全领域的多个省级重点实验室、省级工程实验室、省级工程技术中心等省级科研平台,例如河南省信息安全重点实验室、河南省网络空间拟态防御重点实验室、河南省网络空间态势感知重点实验室、河南省量子信息与量子密码重点实验室、河南省网络密码技术重点实验室等。三是积极对标国家实验室,建立河南首家省实验室“嵩山实验室”。围绕国家科技战略,聚焦网络空间安全、通信等领域,由解放军信息工程大学、郑州大学、中国电子科技集团公司第二十七研究所等三家单位联合发起,由解放军信息工程大学邬江兴院士担任主任的“嵩山实验室”于2021年7月揭牌成立,该实验室力争打造成为信息通信领域的国家战略科技力量的重要组成部分。
近年来,河南省不断发展壮大网络安全产业,为网络安全保障工作提供了有力的产业支撑。河南省不断加大对网络信息安全产业示范基地的支持力度,充分发挥国家大数据(河南)综合试验区的战略优势,引进了安天科技等一批国内知名网络安全企业入驻,汇聚了解放军信息工程大学、郑州大学、中科院计算所大数据研究院等高校科研院所的科研力量,构建了“芯片+终端+平台+服务”的完整产业链,形成了“人才培养+技术创新+产业发展”的良性网络安全产业生态[3]。2018年拟态防御设备及系统在郑州市景安网络公司的上线运行,标志着拟态防御理论和技术在我省的产业化应用开创了新的篇章。
河南省不断加强网络安全相关学科的建设,网络安全相关学科的人才培养体系逐步完善,先后出台了一系列文件,多措并举统筹推进网络安全相关学科的建设工作[3]。截至目前,解放军信息工程大学拥有网络空间安全一级学科博士点,解放军信息工程大学、郑州大学、中原工学院等高校拥有网络空间安全硕士点,省内50余所本科高校设立了信息安全、网络空间安全、网络工程等网络安全相关的本科专业点,具备本科、硕士、博士完备的网络空间安全人才培养体系。
由中央网信办和河南省人民政府指导,解放军信息工程大学和郑州市人民政府等单位主办的年度国家级网络安全赛事--“强网杯”全国网络安全挑战赛,已成为国内有较大影响力的网络安全领域竞赛的活动品牌,通过竞赛已经锻炼、选拔和储备了一大批优秀的网络安全人才。由河南省教育厅主办的河南省高等学校信息安全对抗大赛到2021年已经成功举办了五届,坚持以赛促教、以赛促学的理念,着眼于提高高校网络空间安全人才的实践能力、创新能力,已成为河南省信息领域比较有影响力的赛事之一。
作为2020年国家网络安全宣传周的核心场馆,位于郑州的网络安全科技馆是国内外首个网络安全领域的主题馆。该场馆为开展网络安全科普活动提供了沉浸式多样化的体验场景,增强了观众对虚拟世界网络安全的切身体验,建成以来科普效果十分明显,品牌影响力不断增强。同时,该馆也成为国家级赛事“强网杯”全国网络安全挑战赛的永久赛场。
河南省网络安全和信息化发展态势良好,整体运行较为平稳,但是同时也要看到,河南省网络安全还面临着严峻的威胁与挑战,5G、区块链等新技术新应用的推广也带来了新的安全挑战和风险,例如数据泄露风险依然严峻、漏洞利用的安全隐患依然严重、勒索病毒攻击威胁形势严峻、工业互联网安全威胁加剧等,河南省网络安全面临的典型威胁风险类型如图1所示,网络安全保障任务依然任重道远。
图1 河南省网络安全面临的典型威胁风险类型
近年来数据泄露风险依然严峻,数据泄露问题十分突出。2020年国家互联网信息办公室、工业和信息化部、公安部等多个部门联合开展了App 违法违规收集个人信息治理已经取得了明显成效,但是个人信息被非法售卖问题依然比较严重。其次,新冠肺炎疫情发生以来,公民个人敏感信息过度收集和非脱敏展示情况仍然比较严重。另外,由于数据库的安全漏洞引发的数据泄露事件时有发生。个人通过安装使用各种微信小程序而导致的数据泄露风险依然突出。
针对网络产品和系统的漏洞发起的网络攻击是一种常见的攻击手段。近年来,网络用户整体的网络安全防护意识和防护能力都有所增强,但是漏洞利用的安全隐患依然严重,通常用来攻击计算机主机、网站和移动终端等,而且这些漏洞很多是常见的高危漏洞。例如,攻击者利用OpenSSL“心脏滴血”等漏洞攻击计算机主机,利用Apache Struts2 远程代码漏洞攻击网站,运用Webview 远程代码漏洞攻击移动终端等。这些漏洞都是曾经造成过重大威胁的重大漏洞,但是目前仍然被攻击者频繁使用,因此针对这类漏洞的修补工作更加紧迫和必要。另外,0day漏洞利用的安全隐患更大,更需要做好安全防护和及时修复加固工作。
河南省持续开展对计算机恶意程序的治理工作,通过常态化打击,近年来计算机感染恶意程序的数量不断降低,并保持在一个较低的感染水平,治理效果明显。近年来勒索病毒比较活跃,其危害巨大破解难度大,它主要利用漏洞攻击实现了自动化、模块化和组织化,成功攻击后,勒索病毒利用加密算法对计算机的文件进行加密,被感染用户一般无法有效破解,因此亟需提高防护能力,针对该病毒的攻击做好针对性的预防。
工业互联网既包括工业控制系统、商业系统、客户系统等各种网络信息基础设施,同时又融合了大数据、物联网、5G等新一代的信息技术。通过工业互联网平台建设,加大传统制造业和新一代信息技术的深度融合,不断探索和推进制造业数字化、智能化的进程,打破了传统工业控制系统较为封闭的业务环境,生产业务等各环节的网络暴露面大范围增加,工业互联网的安全隐患和风险日益突出。国家计算机网络应急技术处理协调中心监测发现,我国暴露在互联网上的工业控制设备和控制系统存在高危安全漏洞的比例比较高,特别是在能源、交通等关键信息基础设施领域。工业控制系统已成为黑客攻击的重要目标,一旦工业互联网遭受攻击,将可能造成正常的生产停工停滞,甚至会给整个产业生态造成不良影响,从而影响经济社会稳定[4]。因此,提升工业互联网的安全保障能力迫在眉睫,刻不容缓。
为了有效提升河南省网络安全保障能力,结合河南省网络安全建设和发展实际,分别从完善管理服务体系、健全政策法规体系、加强科技平台体系建设、发展壮大产业发展体系、加强学科和人才体系建设、构建协同联动机制等六个方面设计了河南省网络安全保障体系建设的策略,为加强河南省网络安全保障体系与能力建设提供参考。河南省网络安全保障能力和体系架构如图2所示。
图2 河南省网络安全保障能力和体系架构
进一步完善河南省网络安全管理服务体系,加强管理体系的顶层设计,优化网络安全各相关管理部门的职责分工,健全对各行业各部门网络安全工作的指导、监督、检查、考核等工作机制,持续加强河南省等保测评、隐私合规测评、数字身份认证、网络安全审查、网络信息安全专项检查等工作,不断提高精细化管理和服务支撑能力。
政府部门在推动大数据、5G、区块链等新兴技术领域产业发展的同时,加快出台新技术领域配套的网络安全产业发展促进政策,从网络安全产业发展、技术创新、应用示范、园区建设等方面落实激励政策,为区域网络安全产业发展指明方向和重点,为推动河南省网络安全产业高质量发展提供政策支持和保障。
持续加强高水平科技研发平台建设,建好建强以嵩山实验室为代表的网络安全技术研发平台。统筹各方优势资源集聚创新要素,激发创新活力,借鉴之江实验室、鹏程实验室等的成功经验,大力推动体制机制改革,提高自主创新能力,培养和引进一批国内网络安全的知名专家学者加盟嵩山实验室,紧密结合数字经济时代的网络安全重大需求,聚焦网络安全的若干研究领域,汇聚优势研究资源,加强关键核心技术科研攻关,积极尝试“揭榜挂帅”,加大技术研发投入,突破“卡脖子”的网络安全核心技术,推动科技成果转化,助力国家网络安全保障体系建设。另外,鼓励依托省内高校科研院所联合国内知名网络安全企业,共建一批网络安全技术研发平台,推动产学研用紧密结合,持续提高技术研发能力。
河南省网络安全产业发展潜力大,发展前景好。抢抓我国数字经济发展和国家大数据(河南)综合试验区的战略机遇,利用好国家和省市部门出台的促进网络安全产业发展的相关政策,依托郑东新区龙子湖智慧岛等试验区,积极引入国内知名的网络安全骨干企业在河南建立研发基地,结合河南省网络安全优势产业发展方向和领域培育本土的网络安全企业,把网络安全产业做大做强做出特色,积极培育形成良性、健康、有序的网络安全产业生态。针对大数据、云计算、物联网、移动互联网、工业互联网等不同的应用场景,提供多维度的网络安全产品和服务,不断完善网络安全产品体系,增强网络安全产业活力,持续提高网络安全产业支撑能力。
应加强顶层设计,进一步加强网络空间安全的学科建设,提升学科建设水平。结合河南省高等教育实际,有计划地提高网络空间安全学科的本科、硕士、博士点高校的覆盖面,特别是增加网络空间安全硕士点、博士点高校的数量。充分发挥解放军信息工程大学在网络空间安全领域的学科优势,继续加强与省内其他高校在网络空间安全学科的共建、合作交流力度,从整体上提升河南省高校网络空间安全学科的内涵和实力。以共建嵩山实验室为契机,创新人才培养模式,联合郑州大学等省内外知名高校共同培养更多的网络空间安全方面的优秀人才。通过学科竞赛、校企合作等多种形式培养、锻炼和选拔网络安全的优秀人才,不断提升对网络安全产业的人才支撑能力。
为了更好地促进河南省网络安全产业发展,提升河南省网络安全产业服务水平,开展网络安全方面的理论研究、技术攻关、产品研发、安全测评、教育培训等方面的工作,适时成立河南省网络安全产业联盟,搭建产业发展的创新交流平台,推动河南省网络安全产业做大做强。同时,进一步构建高效协同的联动机制,有效协同政产学研等网络安全保障力量,促进省委网信办、省工业和信息化厅、国家计算机网络应急技术处理协调中心河南分中心、河南省信息安全产业协会、河南省信息安全保密协会、网络安全公司、高校科研院所等形成强大合力,提高河南省网络安全工作的整体保障水平,加强网络安全应急演练,提高网络安全事件的应急处置能力[5]。
河南省公共互联网整体上运行平稳有序,互联网应用蓬勃发展,网络安全政策环境持续优化,网络安全保障体系稳步推进,网络安全产业不断发展壮大,科技创新平台建设持续推进,整体上呈现出良好的发展态势。随着数字经济的快速发展,以及区块链、人工智能、5G等新技术新应用的发展,新的网络安全问题会不断出现,如何适应快速发展的新技术新应用新场景,进一步转变思维,持续创新,构建体系化、实战化、动态化和立体化的网络安全保障体系将是新的课题。
[1]贾焰,方滨兴,李爱平,等.基于人工智能的网络空间安全防御战略研究[J].中国工程科学,2021,23(3):98-105.
[2]张新刚,田燕,孙晓林,等.大数据环境下高校信息安全全生命周期协同防御体系研究[J]. 信息技术与信息化,2020(3):78-80.
[3]守护网络安全护航出彩之路——河南省推进网络安全工作综述[EB/OL]. http://www.henan.gov.cn/2020/09-14/1766618.html,2020-09-14/2021-07-26.
[4]国家计算机网络应急技术处理协调中心.2020年中国互联网网络安全报告[EB/OL]. https://www.cert.org.cn/publish/main/46/2021/20210721130944504525772/20210721130944504525772_.html,2021-07-21/2021-07-21.
[5]贾焰,韩伟红,杨行.网络安全态势感知研究现状与发展趋势[J].广州大学学报:自然科学版,2019,18(3):1-10.
河南省科技攻关项目(222102320369);河南省高校科技研究重点项目(21A520032,21A520033);河南省高校人文社科研究项目(2022-ZZJH-118,2018-ZZJH-375)