2014年,中央成立了网络安全和信息化领导小组,网络安全工作被纳入国家总体安全观,提升到国家战略高度,网络安全和信息化工作的集中领导进一步加强。总书记针对网络安全和信息化工作发表了一系列重要讲话,提出了建设网络强国的宏伟目标,这一战略目标是与“两个一百年”奋斗目标相匹配,是“中国梦”的重要组成部分。
网络安全是实现网络强国之梦的重要根基,“没有网络安全就没有国家安全”,没有网络安全更谈不上网络强国建设。总书记的一系列重要讲话精神,为我们今后的工作指明了方向,明确了要求,也为我们重新认识和做好网络安全标准化工作增添了信心。
一、对网络安全现状的新认识
我国互联网和信息化工作取得了显著发展成就,网络走入千家万户,网民数量世界第一,我国已成为网络大国。同时也要看到,我们在自主创新方面还相对落后,区域和城乡差异比较明显,特别是人均带宽与国际先进水平差距较大,国内互联网发展瓶颈仍然较为突出。总体说,我国目前的网络发展现状是“大而不强”。
我国不少业内人士对我国的网络现状评价可概括为:一流的网络规模,四流的网络安全。2012年1月,美国“安全与国防议程”智库发布报告,将全球23个国家的信息安全防御能力分为6个梯队,中国处于中下等的第4梯队,网络与信息系统安全防护水平很低。造成这一现状的原因是多方面的:
(1)我国的网络技术、设备的研发起步晚,国内市场过早被外来厂商占领,后来者很难实现赶超,很多关键领域的国产化自主可控研发进程面临难题,核心技术仍然受制于人。建设网络强国,要有自己的技术,有过硬的技术,特别是底层技术没有安全可控保障,在此之上做出来的开发应用自然更谈不上有安全保障。
(2)现有的人才培养和发掘机制与网络技术高度开放、快速变化的特性并不相符。我国早在2001年就开设了信息安全本科专业,最近还将网络安全建议设立为一级学科,培养了大量网络安全专业人才,但仍然面临着大量的人才缺口。另一方面,目前活跃的一流高手大多并非出自正规高校,很多是自学成才、无师自通,这一现象值得我们的教育机构反思,以探索和制定出更适合网络安全领域的人才培养和发掘机制。
(3)网络安全标准化研究和制定工作财力人力物力的总体投入力度不够,影响力不足,在国际标准化舞台话语权缺失,在国际竞争中经常处于“跟随陪跑”状态。网络安全标准化工作是将技术、人才、管理等要素最终科学的、有效的汇集到实施层面的重要手段,对实现国家网络安全保障具有重要意义。如果说网络安全是网络强国的建筑地基,那么网络安全标准化工作就是打地基的这一过程。如果地基都不牢固,上层建筑就难以建得高、站得稳,因此必须更大力度的推进这方面的工作。
二、对网络安全标准化工作内容的新定位
随着各种网络技术的普及,移动互联网、工控互联网、能源互联网、车联网等各种新型网络形式都需要网络安全技术的保障,更是需要网络安全标准来规范和指导建设。从某种意义上说,网络安全标准化工作就是在建设网络强国的脊梁。
从宏观层面来看,网络强国建设的要素包括很多方面:技术、人才、制度、标准、管理等等,这其中最关键的网络安全各种技术的最终效果体现在应用实施过程中,而应用实施过程的统筹有序开展就离不开标准。标准是一种规范,更是一种力量,一种团结各方利益的力量。从建设网络强国的大局出发,就是要通过标准来团结国内最大范围的网络技术力量,包括企业、高校、研究机构、民间团体,共同汇聚力量提升我国的网络安全能力,完成国家网络安全保障蓝图。当然,这个过程中必然需要一小部分组织暂时牺牲部分利益,这也是标准化工作过程中需要努力协商一致的重要内容。
从微观层面来看,过去我们总是把网络安全看做是某些新兴网络技术的配套功能,相应的标准也只是一个锦上添花的补充。现在,网络安全相关功能应该在新技术设计之初就纳入考虑范畴,不应该只是作为“增值功能”,而应该是一种“标配功能”。而更多的实践也表明,在设计之初就将网络安全考虑在内的话,其所消耗的各种成本远比完成设计之后再来添加安全功能所消耗的要少。因此我们在进行网络安全标准化工作时需要将这一理念更多更广的传达出去,提升全民整体网络安全意识。
三、开展网络安全标准化工作的新举措
经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称信安标委,SAC/TC260)于2002年4月15日在北京正式成立,秘书处设在中国电子技术标准化研究院。信安标委负责组织开展国内信息安全有关的标准化技术工作,工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域。信安标委下设7个工作组(WG),包括WG1-信息安全标准体系与协调工作组、WG2-涉密信息系统安全保密标准工作组、WG3-密码技术工作组、WG4-鉴别与授权工作组、WG5-信息安全评估工作组、WG6-通信安全标准工作组、WG7-信息安全管理工作组。在新形势下面对新问题,信安标委的标准化工作也应有新举措:
1、统筹规划,加强网络安全标准化顶层设计;
网络安全标准体系涉及因素多,结构复杂,需进一步厘清众多标准之间的关系,这就要求我们在处理问题时不能头痛医头、脚痛医脚,要从问题本质出发,要做好总体规划和顶层设计,推进网络安全标准体系建设的科学性、合理性。
2、突出重点,推进关键标准的制修订工作;
截至2015年4月,信安标委共组织申报信息安全国家标准290项,其中284项已获批立项,正式发布国家标准149项。标准范围涵盖了信息安全基础、安全技术与机制、安全管理、安全评估以及保密、密码和通信安全等多个领域,有力保障了国家和社会的网络安全。这其中有部分标准对国家网络安全体系构建具有至关重要的作用,需要我们的标准化人员步步紧跟相关技术动态,实时把握标准内容与应用现状之间的关系,对与时代发展不再相适应的标准及时修订。
3、与时俱进,丰富标准宣贯途径;
标准的效果还在于实施,而实施的力度与标准宣贯力度有很大关系。在当前各种新媒体蓬勃的时代,更多应用各类新媒体平台来丰富标准的宣贯和传播途径,从标准制修订征集意见开始,加大宣传和影响力度,建立广大民众对“国家网络安全标准”的品牌认可。
4、树立榜样,让重要行业企业在标准化工作方面要承担起应有的责任;
作为国家经济支柱的重要行业和大型企业,特别是国有企业,应该更多的肩负起网络安全标准制定和试点试用的社会责任;同时,对于标准化工作有突出贡献的企业,应该在其他方面(比如税收优惠、财政拨款等)出台一定的政策进行鼓励,形成一种蓬勃发展的新局面。
四、总结
过去的一年,在中央网络安全和信息化领导小组的坚强领导下,我国的网络强国战略路线图日渐清晰,网络安全保障工作稳步推进。作为标准化战线的一员,我们希望通过网络安全标准化工作,为国家网络安全防护保驾护航,为信息化健康发展添砖加瓦,为国际话语权争夺推波助澜。大力提升我国的网络安全保障能力,为实现网络强国的中国梦贡献自己的力量。(中国电子技术标准化研究院 高林)