我國網絡空間安全建設歷程的回顧與思考

【 摘 要 】 結合個人多年參與我國信息安全實踐的經歷，簡要回顧了我國開展信息安全建設二十年的歷程，并結合當前形勢，提出了個人的思考和建議，供從事信息安全建設的單位和同行參考。

【 關鍵詞 】 信息安全；信息安全建設； 網絡空間安全；網絡空間安全建設

【 Abstract 】 The author combined with his years of participating in China's information security practice， briefly reviewed twenty years history of our countrys construction of information security， and considering the current situation， put forward personal thoughts and suggestions about information security construction for unit and peer reference.

【 Keywords 】 information security； information security construction； cyber security；cyber security construction

1 引言

從1995年國內市場首次出現專配X86微機的防病毒卡至今，我國信息安全建設已走過了二十年歷程?；仡欉@個歷程，可以清晰地看出我國信息安全建設發展的階段性和不同階段的特點。

賽博安全“Cyber Security”一詞出現后，國內有的翻譯為“網絡安全”或“網際安全”，有的翻譯為“電腦安全”，還有的翻譯為“數字世界安全”。信息安全領域有關專家認為上述翻譯都欠準確，都不能表達Cyber一詞涵蓋的內容和范圍，在尚無對應詞匯和權威意譯的情況下，多數人傾向翻譯成“網絡空間安全”。網絡空間安全涵蓋了所有信息網絡基礎設施和環境設施的軟硬件設備及數據安全，包括互聯網、廣播電視網、電信網、物聯網、工控系統等安全。

2003年2月，美國政府正式發布了《保護網絡空間安全的國家戰略》。2005年4月，美國政府公布了總統信息技術顧問委員會題為《網絡空間安全：優先考慮的危機》的報告。2006年4月，美國國家科學技術委員會公布了網絡空間安全和信息保障跨部門工作組提交的《聯邦政府網絡空間安全和信息保障研發計劃》。

這三個文件，在全面分析美國關鍵基礎設施信息系統面臨威脅的基礎上，提出了網絡空間安全的新理念，并從國家層面明確了網絡空間安全的戰略目標、政府職責以及技術研發的重點領域與項目，對我國信息安全規劃和建設提供了有益的啟示。

我國的信息安全建設起步晚于歐美等發達國家。初始階段，從政策和技術層面，主要借鑒歐美國家的做法，學習、照搬歐美國家已頒布的信息安全標準規范，使我們能夠在較高起點上開始信息安全建設，以避免重蹈覆轍，少走彎路。后來，隨著我國信息安全建設取得的成就和積累的經驗，我們逐漸摸索出一套有中國特色的網絡安全治理措施，從制定和推進網絡安全等級保護管理和技術標準，在基層全面開展等級保護安全測評和對重要信息系統及關鍵基礎設施年度安全檢查，到今天國家立法機構推出《網絡安全法》，我國的網絡空間安全戰略輪廓逐漸清晰，發展的步伐更加扎實和穩健。

2 我國網絡空間安全建設的歷程

2.1 建設初期和發展期（1995-2005年）

我國信息安全建設始于20世紀90年代后期，隨著各行業信息化和網絡建設的發展，網絡安全的理念也得到了公眾的認可。最初，為了抵御一般網絡黑客的攻擊，許多重要的企事業單位開始在內部網絡上部署防火墻、網閘、IDS等網絡安全防護設備。一時間，網絡安全產品成為熱門商品，為了適應國內市場的巨大需求，國內涌現出一批新興的信息安全設備研發、生產公司，并創新性地研發出內網安全管理、桌面管理和信息安全審計等系統，彌補了信息安全管理的缺項，推動了國內自主的信息安全產品和系統的研發及產業化。經過10年發展，我國的信息安全制造行業已初具規模，涌現出啟明星辰、天融信、綠盟科技、南京金稅等行業龍頭企業。

與此同時，由公安部牽頭組建了信息安全標準化委員會，開始了基于等級保護的信息安全技術標準的編撰工作。短短三年，編制出近二十個有關信息安全設備的技術要求和安全服務要求的行業標準和規范，為保障和促進我國信息安全的建設奠定了良好的技術基礎。這十年間，尤其是2000年至2005年間，我國各大城市每年均舉辦多場規模不一的信息安全產品展，參展廠商包括國內外著名的信息安全產品和系統制造商，這些會展對我國大力宣貫信息安全理念也起到了積極作用。

這個階段的特點：大干快上，宣貫造勢。

2.2 建設中期和穩定期（2005-2013年）

進入2005年，我國信息安全事業取得了長足的進步，呈現出欣欣向榮的景象。國家信息安全職能部門（工信部信息安全協調司）從國家層面提出了信息安全建設的目標（推進各行業等級保護定級及整改并重點開展工控系統信息安全防護工作）、政府職責（強化安全產品市場準入檢測制度和組織專業機構對重要信息系統進行年度安全檢查）以及技術研發的重點領域與項目，對我國信息安全規劃和建設提供了有力指導。與之配套，國家發改委高新司每年均撥出專項資金組織對申報技術研發重點領域與項目的國內信息安全企業進行評審、選拔和資助，扶持了一批有創新、有技術但缺資金的中小民營信息安全企業，實質性地推動了一批技術含量高、市場緊缺并擁有自主知識產權的信息安全產品和系統的產業化。這一措施，既取得了較好的市場效益，也提高了國家重要行業信息安全設備國產化比率。

這個發展階段取得了多項主要成果。

成果1：國營和民營的信息安全廠商及機構吸引了眾多大學本科生、研究生、博士生參與新產品的研發工作，為信息安全行業培養出大批高科技人才。

成果2：隨著信息安全企業創新和自主研發能力的增強，國產的信息安全產品和系統的技術水平和質量也有了顯著的提高，有些產品和系統甚至達到了國際先進水平。

成果3：通過工信部組織的年度信息安全檢查和整改，較大地提升了關系國計民生的國家重要信息系統和關鍵基礎設施的信息安全防護水平。

經過本階段的建設，我國的“8+2”行業信息系統，尤其是電力、稅務、電信和金融行業的信息安全制度化管理及技術防護措施，均處于國內領先水平。

這個階段的特點：依據標準，規范治理。

2.3 建設深化期（2013-至今）

2013年，國家成立中央網絡安全和信息化領導小組，表明國家對網絡空間安全的重視程度上升到一個新的高度。

2015年7月，全國人大審議通過了《網絡安全法（草案）》。該法案成為我國網絡空間治理的指導思想，對我國網絡空間安全建設提供了堅實的法律依據。

2016年4月，網絡安全和信息化領導小組舉辦了工作座談會，對我國網絡安全建設提出了四點要求：第一，樹立正確的網絡安全觀；第二，加快構建關鍵信息基礎設施安全保障體系；第三，全天候全方位感知網絡安全態勢；第四，增強網絡安全防御能力和威懾能力。這四條成為今后相當一段時期我國網絡空間安全建設的目標和方向，是明確的國家戰略。

2013年以來，大數據和云計算成為業界的熱點，有關大數據和云計算安全的標準規范也提到了信安標委的議事日程上。在此階段，信息安全領域有幾個值得注意的亮點。

一是國家對工控系統安全的重視程度不斷提高，圍繞工控系統安全的標準規范制定和專題宣貫會議明顯增多，在技術路線上重點強調監視預警、自主可控和應急保障。

二是國內信息安全產品廠商將信息安全檢測和防護技術的研發重點聚焦在防范隱蔽的APT和AET特種攻擊上，并借此適時推出了下一代防火墻、IDS/IPS等安全產品，吹響了安全產品更新換代的號角。

三是業界欲突破長期困擾網絡安全管理員的難題：確實實現網絡安全的可視化、一體化智能管理，以提高網絡信息安全管理的效率和進一步減輕網絡管理員的負擔。

四是出現了一批專門研發移動互聯網信息安全產品的公司，以滿足市場上越來越龐大的手機用戶對移動信息安全的需求。

五是國家在信息安全專項資金資助方式上規定申報單位必須是產學研和行業聯合體，以保證產業化后的市場應用，提高國家資助資金的有效性?？傊?，這一階段的信息安全新理念、新觀點和新技術不斷涌現，令人應接不暇。

這個階段的特點：國家立法，深化治理。

3 思考和建議

回顧我國信息安全建設近二十年來的歷程，我國信息安全建設取得了了不起的成績：總體思路明確，技術路線基本正確，在國內孵化了許多敢于創業的信息安全企業，造就了一大批勇于創新的專業技術人才，形成了獨具特色的中國信息安全產業，奠定了我國開展信息安全建設，鑄造網絡強國的物質基礎。

提出幾點建議，供業界同行商榷。

（1）國家每年應繼續設立一定數量的專項資金，資助在信息安全前沿領域攻關克難的信息安全公司，并適當向小微企業傾斜。

（2）從國家層面繼續鼓勵軍地結合、軍民共建聯合攻關，有效利用軍隊的組織和技術優長及民營公司的靈活體制與市場基礎，以軍帶民、以軍促民，不斷攻克信息安全特殊技術的推廣應用難題。

（3）建立長效的信息安全人才培養機制，從院校、科研院所到信息安全企業，搭建一條從理論到實踐，再回到理論，不斷提高、不斷實踐的良性循環路線的創業孵化平臺。

（4）高度重視信息安全標準規范的研究制定工作，從事信息安全的事業和規模企業，應設立專職標準研究制定崗位。業界信息安全標準化委員會應吸納有信息安全實踐經驗的技術專家參與，加快各項信息安全技術標準規范的評審工作，盡快出臺業界急需的新技術應用的信息安全標準，如安全防護要求和檢測要求，使信息安全建設做到“規范建設、標準先行”。

（5）鼓勵和支持我國信息安全事業和企業單位在信息安全管理及技術方面積極開展國際交流和合作，尤其加強與以色列、芬蘭、瑞典等信息安全技術強國的技術交流和合作，力爭在專項技術方面達到世界先進水平。

參考文獻

[1] 美國《聯邦政府賽博安全和信息保障研發計劃》2008年5月翻譯文.

[2] 《美國賽博安全戰略及對我們的啟示》國家信息安全技術安全研究中心2008年5月.

[3] 《RSA會議主題報告》綠盟科技2012～2015年.

[4] 《我國信息安全市場調研報告》2012-2015年，徐金偉.

[5] 《中國信息安全技術展望學術論文集》2013-2014年中國信息安全技術大會.

作者簡介：

徐金偉（1951-），男，中國人民解放軍總參某研究所，研究員，長期從事信息安全研究和架構設計工作。