在新的起点上深入推动网络安全工作——学习《国家信息化发展战略纲要》的几点体会
按照《2006—2020年国家信息化发展战略》描绘的蓝图,我国信息化进入高速发展的快车道已有十年。信息通信技术发展日新月异,十年足以翻天覆地,今天的信息化发展应用场景已经超出了任何预言家的想象。《国家信息化发展战略纲要》(以下简称《战略纲要》)贯彻落实习近平总书记网络强国战略思想,根据新形势对《2006—2020年国家信息化发展战略》做了调整和发展,为今后另一个十年的信息化工作作出了全局安排。其中,《战略纲要》在总结已有成绩基础之上,面向新时期维护国家安全的重大需求,对网络安全工作提出了新的更高的要求。
相比十年前的网络安全工作部署,《战略纲要》有以下一系列重要变化:
一、指导方针上,进一步深化了安全与发展的辩证关系
2003年,中办、国办印发我国网络安全方面(当时称“信息安全”)的首部纲领性文件《关于加强信息安全保障工作的意见》(中办发〔2003〕27号)。文件当时便深刻指出,要正确处理安全与发展之间的关系,以安全保发展,在发展中求安全。因此,2006年的信息化战略将其作为一条重要的指导方针。
此次《战略纲要》更深刻诠释了安全与发展“一体两翼、双轮驱动”的辩证关系,将“以安全保发展,在发展中求安全”升级为“以安全保发展,以发展促安全”。“以安全保发展”表明安全是发展的基础,“在发展中求安全”强调了要在发展中解决安全问题,而不是用停滞发展来确保安全。但“以发展促安全”则进一步要求,要用发展的手段解决安全问题,通过发展为维护网络安全提供物质基础。这与习近平总书记总体国家安全观中“富国才能强兵、强兵才能卫国”的思想一脉相承,内涵十分丰富,将安全与发展辩证关系升华到了新的高度。
二、战略目标上,朝向“网络强国”扎实推进
2006的信息化发展战略提出的总体目标为“国家信息安全保障水平大幅提高”,这不是一个可衡量的、带有阶段性特征的目标,对实际工作的指导意义不强。这与当时我国网络安全基础薄弱、头绪过多有关。在具体目标上,2006年的信息化发展战略提出,在2020年前突破和掌握一批关键、核心技术,实现信息技术从跟踪、引进到自主创新的跨越,并笼统要求“国家信息安全保障体系较为完善,信息安全保障能力显著增强”。
此次《战略纲要》则明确要求,在2025年“根本改变核心技术受制于人的局面,形成安全可控的信息技术产业体系”。核心技术是网络安全的“命门”,只要这个问题不解决,我们的网络安全体系就根基不稳、危在旦夕。倘若十年以后的“十四五”末期,我们还不能扭转受制于人局面,“网络强国”和“中华民族伟大复兴中国梦”实在无从谈起。对这样一个十分具体而关键的目标,我们没有任何退路,否则要承担历史责任。当然,这是对恒心、信心、重心的巨大考验。
在此基础上,《战略纲要》指出,网络安全要做到“技术先进、产业发达、应用领先、网络安全坚不可摧”,这又是可衡量和有意义的目标。“坚不可摧”意味着在对抗中立于不败之地,这是维护国家安全的必然要求。
三、更全面地揭示和遵循网络安全的内在规律
2006年的信息化战略对网络安全内在规律有一个基本把握:网络安全是基于风险的,要综合平衡安全成本和风险,既要防止过保护,也要防止欠保护。这一基本规律直接决定了使用什么方法维护网络安全,这之后的信息安全等级保护、风险评估等工作部署,均来源于此。
但这只是网络安全内在规律的一部分。随着对客观世界认识的不断深化,《战略纲要》指出,要“树立正确的网络安全观”。这包含五个方面:网络安全是整体的而不是割裂的;网络安全是动态的而不是静态的;网络安全是开放的而不是封闭的;网络安全是相对的而不是绝对的;网络安全是共同的而不是孤立的。习近平总书记在4月19日的网络安全和信息化工作座谈会上,对“正确的网络安全观”作了深刻阐述。内在规律是不可违背的,任何一项工作都要对此一以贯之,否则就会事倍功半,甚至南辕北辙。
四、由“防范”改为“应对”,防御和威慑能力并举
2006年的信息化战略要求坚持“积极防御、综合防范”,两者实际上是一回事,都是重在“防”,只是前者强调行动的事前性,后者强调手段的全面性。但再“积极”、“综合”的“防御”与“防范”,终究是防守。面对严峻的网络安全斗争形势,我们急需形成网络威慑能力。当然,这不是要发展网络攻击,而是要通过威慑能力建设,使对手在采取行动前“三思而后行”,从而以慑止战,达到更有效保护自身的目的,实现网络空间真正的稳定与平衡。
为此,《战略纲要》改为,要坚持“积极防御,主动应对”,并“增强网络安全防御能力和威慑能力”,这对维护国家网络空间主权、安全、发展利益具有重大意义。
五、首次提出维护“网络主权”的重大任务
网络主权原则是我国关于全球网络空间安全的核心主张。习近平总书记在第二届世界互联网大会上提出,要尊重网络主权,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。我国《国家安全法》规定,维护国家网络空间主权、安全和发展利益。《战略纲要》将“维护网络主权”作为一项重大任务,要求“坚定捍卫我国网络主权”。主权不容侵犯,主权问题不容商量,为了维护网络主权,我们应当采取包括政治、外交、经济、司法等在内的一切手段,不排除军事手段。
“网络主权”是《战略纲要》相比2006年信息化战略的重大变化,这是提升我国在全球网络空间治理活动中的制度性话语权的必然要求。
六、保护重点由“2+8”扩展至关键信息基础设施
任何一个国家的信息化或网络安全战略,都要确定保护重点,这是战略文件的“规定动作”。2006年的信息化战略确立的重点是“基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统”。在实际工作中,具体落实为广播电视传输网、电信网、互联网,以及银行、保险、证券、民航、铁路、税务、海关、电力等领域的信息系统,俗称“2+8”(三大基础网络由两个部委主管)。
随着信息通信技术在国民经济各行业加速渗透,上述保护范围显然已经过窄。此外,鉴于这类系统的重要性,有必要建立专门安全管理制度。为此,近年我国提出了“关键信息基础设施”的概念,取代了“基础信息网络和重要信息系统”。《战略纲要》要求“建立实施关键信息基础设施保护制度”。近日征求意见的《网络安全法》(草案二审稿)则与此呼应,指出“关键信息基础设施的具体范围和安全保护办法由国务院制定”。
七、更深刻地认识开放与自主的关系,建立起在开放环境中维护国家网络安全的能力
在制定2006年的信息化战略时,开放与自主尚未成为一对主要矛盾,对这个问题的认识尚停留在浅层次。当前,经济全球化深入发展,信息流引领技术流、资金流、人才流。如何辩证认识和处理好开放与自主的关系,这是一项新的课题。一方面,确定核心技术的突破路线时,要考虑如何利用全球创新资源,选对“肩膀”;另一方面,我们的网络安全政策要兼顾入世承诺。习近平总书记深刻指出,不能把自己封闭世界之外,必须树立全球视野和开放心态。但在开放环境中维护国家网络安全,需要科学的手段,以确保产品和服务的安全性、可控性,防止产品提供者借助提供产品之便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。这就是网络安全审查制度,《战略纲要》将其作为一项重要的战略任务予以部署。
八、进一步强化基础性工作
基础不牢,地动山摇。网络安全工作永远要注重夯实基础。但在不同时期,基础性工作包含的内容有所差别。一方面,《战略纲要》要求继续抓好带有长期性特点的基础性工作,做深做实,如网络安全技术研发、等级保护、风险评估、人才教育、标准化等工作;另一方面,对于没有如期完成的专项基础性工作,还要求尽快见效,如网络安全认证认可工作。此外,针对网络安全形势发展,还有一些新的基础性工作被提上了议事日程,如态势感知工作,这些工作将在《战略纲要》的指导下逐步落实。(中国信息安全研究院副院长 左晓栋)