网络安全有多重要?习近平指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络安全的重点在哪里?习近平指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”他强调:“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”请随“学习中国”小编一起学习。
一、关键信息基础设施是经济社会运行的神经中枢
互联网已经无处不在,互联网正在连接一切。互联网加快了社会发展步伐,但也给各行各业带来越来越多新的安全问题。习近平指出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。我们一定要认识到,古往今来,很多技术都是‘双刃剑’,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。”要保证网络安全运行,关键信息基础设施是重中之重,这是网络安全的物质基础和前提。
2015年,我国出台的《中华人民共和国网络安全法(草案)》将“提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络、设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统”统称为关键信息基础设施,纳入国家安全保护范围,实行重点保护。网络安全法草案是我国首部提出关键信息基础设施概念并给出明确范围的法律性文件,明确了关键信息基础设施存在的行业范围,指出了关键信息基础设施的重要形态,使全社会提高了对关键信息基础设施的安全意识和重视程度。
在网络时代,关键信息基础设施是社会民生、经济发展和政府事务等赖以运转的神经网络,是各项事业顺畅运行的生命线,是可持续发展的保证。习近平指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢。”关键信息基础设施一旦遭遇破坏或袭击,不仅可能导致大规模的人员伤亡和财产损失,甚至可能威胁相关产业的生命。习近平指出:“不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。”
二、关键信息基础设施面临较大风险隐患
关键信息基础设施不仅是各项事业发展的基础和前提,而且也是黑客攻击重点。随着信息技术高速发展,针对关键信息基础设施的新型攻击技术手段也层出不穷,网络攻击者可以使用新型攻击技术对民众所依赖的关键信息基础设施加以破坏或毁灭,造成严重后果。习近平指出:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”他还强调:“特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。”
近年来,随着关键信息基础设施的互联互通,国际上各种网络安全事件时有发生,关键信息基础设施网络安全面临严峻的形势和挑战。2010年,“震网”病毒攻击伊朗核设施,致使伊朗核电站延迟运行;2014年,乌俄冲突导致乌克兰通信基础设施多次遭受攻击,相关地区电话、手机、互联网服务被切断,变成“孤岛”;2015年,波兰航空公司地面操作系统遭遇黑客攻击,致使出现长达5小时的系统瘫痪,至少10个班次航班被迫取消。这一系列事件均表明,能源、金融、通信、交通、电力等重要行业关键信息基础设施成为了网络攻击的“重灾区”。据统计,针对化工、电气、水利、运输等部门工控系统的攻击活动在过去三年间增长了17倍。美国工业控制系统网络应急响应小组(ICS-CERT)于2016年1月发布的《2015年关键基础设施报告》显示,2015年该小组共收到295起关键基础设施网络安全事件报告,较2014年上升了50起,成功入侵工控系统的事件比例由2014年的9%上升到12%。
当前,我国关键信息基础设施同样面临来自不同层面上的安全威胁。首先,由于网络空间的开放性和互联互通,既有少数国家层面的有组织、有计划的入侵攻击和窃密,也有黑客个人的网络攻击,还有犯罪团伙、商业间谍、邪教组织、恐怖分子等有组织行为,给我国的关键信息基础设施带来巨大的风险。其次,由于我国许多基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,关键信息基础设施安全防护能力较弱,一些“命门”受制于人,应对网络威胁的能力整体不足,无法抵御大规模、有组织的网络攻击。目前,在涉及政府、能源、通信、海关、金融、交通、医疗等国家关键信息基础设施的建设和运营过程中,频频出现外国品牌的影子,这无疑对我国的网络与信息安全构成严重威胁。习近平对此有着深刻认识,他指出:“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”
三、加快构建关键信息基础设施安全保障体系
关键信息基础设施已经被视为国家的重要战略资源,关键信息基础设施安全成为事关国家安全的战略事项,我国构建关键信息基础设施安全保障体系已迫在眉睫。习近平指出:“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”他强调,要“加快构建关键信息基础设施安全保障体系”。
党的十八大以来,在中央网络安全和信息化领导小组的统筹领导下,我国大力加强关键信息基础设施安全,防范能力不断提升。2014年工业和信息化部发布了《关于加强电信和互联网行业网络安全工作的指导意见》,将深化网络基础设施和业务系统安全防护作为网络安全工作重点之一。2015年,我国出台《中华人民共和国网络安全法(草案)》,并设置专节对关键信息基础设施的运行安全作出规定,对关键信息基础设施保护提出了具体措施要求,对建设、采购、评估、预警、事件响应等多个环节的安全问题,分别规定了各相关方在关键信息基础设施安全保护方面的责任与义务。2015年7月施行的《中华人民共和国国家安全法》对关键信息基础设施自主可控也提出了明确要求,对网络攻击等犯罪活动加大了打击力度,以“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。 2016年3月印发的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》,针对当前我国关键信息基础设施面临的严峻形势,坚持问题导向,全面部署了未来5年保障关键信息系统安全的重点任务。
然而,随着越来越多的关键基础设施信息系统联网,网络攻击工具与服务日益商品化,不法分子的网络技术应用能力也在不断提升,我国关键信息基础设施的安全挑战日益严峻。监测显示,2015年我国政府网站被入侵次数为21674次,较2014年增长36.7%。“聪者听于无声,明者见于未形”。在我们关键技术还比较薄弱的情况下,加强我国网络安全工作,一方面要充分发挥我国社会主义制度的优越性,定期开展关键信息基础设施网络安全检查。从关键信息基础设施网络安全风险“可发现”入手,准确掌握我国关键信息基础设施网络安全态势信息。习近平指出:“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。”他还强调:“感知网络安全态势是最基本最基础的工作。”另一方面,我们要加强关键信息基础设施安全防护技术研究和应用,尽快突破核心技术,将“命门”掌控在自己手里。习近平指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。” 他形象地说:“人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。”我们要建立安全信息资源共享机制,建立集“监测发现、情报侦察、快速处置、追踪溯源、安全防范、精确打击”为一体的国家关键信息基础设施安全保卫体系。要实质性推进实现政府部门、科研机构、运营单位、厂商和安全企业等各方之间的网络安全信息共享。习近平指出:“要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。”
习近平指出:“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”