演萬變網域、練百戰精兵,是將軍事領域的「朱日和」模式,融合到網絡強國建設的實踐探索。中國法學會常務理事、警察法學研究會會長,中國人民公安大學原黨委書記、校長、研究員程琳同志,結合自己在中國人民公安大學的教學思考,以及在其他重要崗位上的實踐探索,與秦安戰略研究院一起,指導在成都武侯區建立了網絡安全「朱日和」基地。一年多時間裡,基地採取創新模式,和四川省公安廳網絡安全保衛總隊等單位,建立了良好的合作關係,並逐步落地網絡安全「朱日和」基地的「九大平臺」功能:培訓平臺、展示平臺、查詢平臺、檢測平臺、交流平臺、創新平臺、創業平臺、宣傳平臺、服務平臺,為網絡強國建設進入高質量的新發展階段奉獻力量。
本文是程琳會長積極構建網絡安全「朱日和」培訓創新綜合基地之後的又一篇重要文章,將「新基建」與網絡安全「朱日和」融為一體,思考了「新基建」背景下,加強網絡安全基礎建設的重大問題,為網絡強國建設進入新發展階段提供了有力的理論支撐。
網絡安全與國家安全、經濟社會的發展和人民群眾的工作、學習、生活等密切相關,新基建與網絡安全緊密地交織在一起,新基建離不開網絡安全,必須高度重視新基建的網絡安全問題。網絡安全目前主要存在兩大方面的問題:一是技術安全問題,二是管理安全問題。網絡安全保障新基建的核心是網絡基礎設備設施和數據信息的安全,要保障新基建網絡系統安全既要依靠網絡安全技術,又要加強安全管理,建立建全法律法規,堅持依法依規治網,堅持技術安全+管理安全「雙輪驅動」保障網絡安全。
一、解決好網絡安全與新基建的關係。隨著網際網路、大數據、雲計算、物聯網、5G、移動網際網路和人工智慧等新技術的迅猛發展,這必將對人類社會治理、經濟發展、社會觀念、社會心理及行為等產生深刻的影響與變化,為適應科學技術的迅速發展,加強供給側改革,推動提高經濟社會發展的高科技含量,國家作出了加強新基建的戰略布署。2020年3月6日,工信部公布新基建主要包括:5G基站建設、新能源汽車充電樁、大數據中心、人工智慧、工業網際網路、特高壓電網、城際高速鐵路和城際軌道交通等七大領域。新基建與網絡安全相關的主要內容有:5G基站建設中的網絡規劃、無線主設備及傳輸設備、終端設備等;大數據中心建設中的信息數據的存儲和處理等;人工智慧產業鏈建設中的底層硬體、通用AI技術及平臺,關鍵是計算處理與信息感知兩個過程,核心是晶片和算法等;工業網際網路建設中的工業控制系統、關鍵是數據信息的流動、存儲、分析處理,通信是基礎等;特高壓電網建設中的網絡數據信息中心等;城際高速鐵路和城際軌道交通建設中的數據信息處理中心等,從以上可以看出,新基建以信息網絡為基礎,根據高科技高質量發展的需要,提供數位化、信息化、智能化、傳統產業與現代高科技融合創新的新基礎設備設施體系,網絡基礎設備設施和數據信息是基礎也是關鍵,更是保證安全的核心。因此,新基建建設離不開網絡安全,網絡安全與新基建就像人離不開空氣一樣,看不見、摸不著、離不開。
我國的網絡安全存在著網絡核心關鍵技術受制於美西方控制,存在著嚴峻的安全風險問題。美國近期宣稱要「 清潔網絡」,誣衊我國利用網絡進行竊密等活動,這是明目張胆的賊喊捉賊,實際情況是美國在網際網路上的作為表現卻是全身劣跡斑斑,他們使用黑客高技術對他國進行網絡攻擊,搜集情報,製造謠言,破壞關鍵基礎設施等。美國長期以來利用自身的通訊技術、網絡技術優勢和網絡霸權在全球進行監聽監控,無孔不入,監聽其他國家和國際組織領導人、平民和相關企業的範圍不斷擴大,包括聯合國原秘書長潘基文和德國總理默克爾等多國政要。
2020年8月7日,《華爾街時報》曝光,與美國國防和情報界有聯繫的一家公司,將其軟體植入到超過500款行動應用程式中,使其能夠追蹤全球數億用戶的位置信息並傳送給軍方。10月13日有記者向我國外交部發言人提問,據法新社報導,「五眼聯盟」聯合日本和印度,要求 Signal、Telegram等科技公司在加密應用程式中「開後門」,為執法機構提供訪問權限,監控網絡犯罪。外交部發言人回答,長期以來「五眼聯盟」的成員國在沒有任何證據的情況下,無端指責中國企業在產品中設置「後門」,威脅供應鏈安全和個人隱私。與此同時,「五眼聯盟」此次毫無顧忌地公開要求企業在加密應用程式中設置「後門」,這不是典型的雙重標準嗎?這充分暴露了這些國家的虛偽性,也再次證明,其有關行為完全是出於政治動機,其真實目的就是為了打壓別國企業。「五眼聯盟」是全世界最大的情報組織。一個情報組織現在以打擊網絡犯罪為由,公開要求電信企業在產品中安裝「後門」,其真實目的到底是打擊犯罪還是搜集情報?鑑於「五眼聯盟」中美國曾在全球範圍實施大規模、無差別的網絡監控,國際社會有理由對「五眼聯盟」的真實意圖保持警惕。
從「斯諾登事件」、「維基解密」等曝光的網絡安全事件,到「稜鏡門」、「方程式組織」、「梯隊系統」等網絡間諜活動;長期對中國、俄羅斯等國進行網絡攻擊的組織「方程式」和「索倫之眼」的後臺皆為美國國家安全局;從對委內瑞拉電網的攻擊,對伊朗核設施離心機的破壞,大量事實證明美國才是全球網絡安全的黑手和安全威脅,主要是它們汙染了網絡的乾淨安全壞境。
隨著中國華為等企業在5G等領域的崛起,美國擔心影響他們的通訊網絡技術霸權,特別是近幾年美國對我國實施貿易戰,對中興、華為等公司及部分高校進行全面打壓實施科技戰,以及對中國共產黨和我國政治體制等汙名化,使我國的網絡安全問題更加突顯。當前,我們更要防範美國狗急跳牆可能對我國實施網絡攻擊網絡戰。
我們要緊緊抓住新基建這個新的歷史機遇,站在如何全面加強和維護國家網絡安全的高度,牢記習近平總書記「沒有網絡安全就沒有國家安全」的指示精神,充分認識到網絡安全基礎建設是新基建的重要組成部分,保障網絡安全是做好新基建建設發展的根本保證,要統籌網絡安全與新基建建設,做好頂層規劃設計,梳問題,找短板,建基礎,積極構建立體化、全天候的新基建網絡安全生態體系。
二、網絡安全基礎建設存在的主要困難和問題。
1.我國應用的全球網際網路有可能被美國斷網的風險。網際網路(原稱網際網路)是美國設計建造的,網際網路的13個根伺服器主要存放在美國及盟友國家,域名分配權由美國掌控。美國政府有可能根據自己的政治或經濟利益需要,以維護國家安全的名義,存在切斷我國與國際網際網路聯繫的風險。
2.斷供封鎖我國在網絡信息領域使用的核心關鍵硬體設備技術的風險。
我國網絡使用的關鍵核心技術如伺服器、晶片等網絡基礎設施設備依靠美西方國家。美國打擊圍堵我國的「中興公司」、「華為公司」等高科技企業,對我國網絡基礎設施設備所造成的危害和各種風險已非常明顯嚴重。
3.計算機作業系統等關鍵核心軟體系統技術被美國及盟友控制的安全風險。我國政府部門、企業單位及個人電腦大多數使用美國微軟公司的windows作業系統;許多使用的加密主要是安卓提供的開源密碼,我國自主創新的密碼很少;外國媒體及「維基解密」、「斯諾登」等曝光美國的一些企業提供的軟體故意留有「後門」;美國政府規定美國的網際網路企業自己發現的軟體系統漏洞要優先提供給美國政府情報部門和軍方等使用,並不許補漏洞,等其他組織或個人發現後才能對外公布,他們利用這些「後門」和漏洞,對我國及其他國家進行攻擊破壞,竊取數據信息等情報,製造謠言,挑撥黨和政府及人民群眾的關係,故意製造社會動亂等。
4.依法治理網絡安全的基本法律制度體系還不夠健全完善。網絡社會與現實社會緊密地交織在一起,5G等網絡新技術、新應用等不斷湧現,移動網際網路的普及應用,給新基建帶來的網絡安全風險問題會越來越多越嚴重,如何依法治理網絡社會與現實社會交織在一起所產生的安全風險問題,織牢織緊依法治網這張網,還有許多的法律和制度體系需要不斷地建立、修改和完善。依法依規治理新基建網絡安全是一項非常重要的急需解決的基礎性工作。
三、積極構建網絡安全基礎建設與新基建同步共振的安全環境體系
網際網路的快速發展和我國新基建戰略的實施,必將對我國的經濟、社會建設和發展,對人們的學習、工作、生活及思想觀念和行為方式等產生重大影響和深刻變化,美國對我國高科技發展的全面打壓,使我國實施新基建戰略與保障網絡安全面臨新的更加嚴峻的壓力和挑戰。在這種困難和挑戰面前,要牢記習近平總書記的指示:危機並存、危中有機、危可轉機。我們要在新基建中尋找和抓住機遇,化解危機和風險挑戰,貫徹以國內大循環為主體,國內國際雙循環相互促進的發展新格局。要以科技理論創新和原始技術創新催生新發展功能,鼓勵花大力氣提升新基建與網絡安全自主創新能力及水平,加強網絡安全的理論創新研究,儘快突破和掌握網絡安全關鍵核心技術,促進國產軟體、系統產品等基礎設施的廣泛應用,增強我國在網絡安全方面的競爭能力,開放監管能力,風險防控能力,構建立體化、全天候的網絡安全防控生態體系。
1.應把網絡安全設備設施系統等基礎建設納入新基建之中。網絡社會是現實社會的重要組成部分。隨著5G、物聯網、人工智慧和新基建的快速發展,網絡社會與現實社會更加緊密地交融在一起。網絡社會是一個開放自由的社會,越開放越要重視安全,越要統籌處理好發展與安全的關係。網絡安全治理是推進國家治理體系和治理能力現代化的重要組成部分,對網絡社會的治理要發揮技術安全+管理安全的優勢,使網絡社會的治理既充滿活力,又擁有良好秩序,呈現出活力和秩序有機統一。因此,在新基建中要把網絡安全放在與其他七大領域同步同等建設的重要位置。新基建的七大領域哪一個都離不開如何維護保障基礎設施設備安全和數據信息的安全這一核心基礎, 要吸取我國在網際網路建設發展過程中重建設、輕應用、忽視安全的教訓,要把網絡安全與新基建一起做好頂層設計,統籌做好「規劃、設計、建設、應用、安全、管理」六位一體,同步共振,從源頭開始構建新基建與網絡安全生態體系。
2、在新基建中以密碼為核心構建網絡數據信息安全技術保護體系。網絡安全維護保障的核心是數據信息的安全。目前採取的網絡安全防護措施主要是設置密碼、防火牆、網關網閘、訪問授權、審計等技術方法措施,主要在網絡的應用層做安全,從網絡數據信息的收集、傳輸、存儲、分析處理等主要環節形成的生命周期分析,哪個環節都容易出現數據信息被洩露的安全風險等問題;目前在網絡上保護數據信息的密碼一是比較簡單,二是大多數使用開源密碼,容易被攻破,存在很大的安全隱患。因此,要深入學習貫徹《中華人民共和國密碼法》,在全社會形成學密碼、知密碼、用密碼的氛圍。要加強密碼基礎理論和前沿技術研究,加強關鍵核心技術攻關,創新密碼算法,提升算法的安全性和可靠性,大力推動新型安全密碼算法、高速密碼算法、數據加密、密鑰安全管理等密碼技術在新基建等重要信息系統、重要工業控制系統、政務信息系統等重要領域、社會安全治理及商務活動中的應用。將密碼應用在網絡數據信息收集、傳輸、存儲、分析、處理的生命周期全過程,確保網絡數據信息的安全。
3、在新基建中構建網絡從基礎層到應用層的網絡軟硬體相互交融貫通的網絡安全技術保障系統體系。要創新保障網絡安全的思想,改變過去主要從應用層通過技術保障網絡安全的思路。從多年來發生的大量的網絡安全事件及網絡犯罪案件分析,從應用層難以保障網絡數據信息安全,必須把保障網絡安全的思想、政策、法規、安全技術嵌入到網絡系統的硬體基礎層(底層)、操作層(中間層)和應用層(上層)之中,形成層層分工負責保護、層層上下相互交融貫通,實施網絡安全系統以層保護、條層結合、各負其責、協調融合的網絡安全系統技術安全生態保護體系。要在網絡安全的新基建中加強網絡安全標準化規範化建設,網絡安全產品、系統等要與新基建融合貫通、互聯互享、共保安全,避免出現網絡系統軟硬體標準不統一、不規範所產生的漏洞風險等安全問題。
4、在網絡安全新基建中構建立體化、全天候的網絡安全防護、預警、響應處置的安全技術體系。網絡安全不安全,人們在網絡系統裡大多數是看不見、摸不著,除非電腦被黑屏、癱瘓才意識到出了問題,而數據信息被竊取、洩露等大多是神不知鬼不曉,對網絡發生的安全問題容易被忽視不重視。而做網絡安全的人深知網絡安全存在著嚴重的風險和問題,總是強調網絡系統易受黑客、敵對勢力及外國反華勢力等攻擊破壞,要預防和打擊「狼來了」的風險問題,這就要求做網絡安全的人員從技術上回答「狼來了,狼在哪裡?」的問題。
新基建網絡安全產品、系統要能夠對網絡系統出現的攻擊等安全威脅風險做到實時檢測、全局感知、及時發現、精準預警、有效響應處置,力爭做到「能預防、進不來、準預警、拿不走、打不開、讀不懂、自銷毀、會追蹤、保證據」,使網絡系統出現的風險安全問題通過數據化、圖表化等實現可視化,讓人們看得見、摸得著、知危害、立處置,解決「狼來了」「狼在哪裡?」的問題。強化網絡安全預防技術、預警技術、控制技術、處置技術、溯源技術、偵查取證和電子數據鑑定技術、硬體設備設施關鍵基礎技術產品及系統的研製及應用發展,構建網絡安全防護、預警、響應處置體系。
5.建立修改完善網絡安全新基建的法律法規體系,推動網絡安全治理體系和治理能力的法治化。維護保障新基建網絡安全必須堅持技術安全+管理安全「雙輪推動」保安全,管理必須規範化、法治化,依法建網,依法用網,依法管網。要在新時代新形勢下不斷修改和完善涉及新基建網絡安全的相關法律法規,構建完善新基建網絡安全的法律法規體系,要依法依規明確涉及國家網絡安全的新基建技術、設備設施及系統的核心關鍵技術的進出口審批,以及在國內新基建網絡系統中使用外國產品、系統的清單,保障網絡產品、系統、設備設施供應鏈安全,依法保障網絡產品、設備設施、網絡系統的安全。建議國家儘快制定頒布《個人信息保護法》、《數據安全法》,制定《網絡系統關鍵產品、設備設施安全管理條例》等法律法規,明確政府部門在新基建中對網絡安全的監管責任,企業技術的主體責任,網民應用者個體的維護責任,落實好「網絡安全為人民,網絡安全靠人民」,建設人人有責、人人盡責、人人享有網絡社會安全治理的共同體,鑄造新基建人民群眾保護網絡安全的銅牆鐵壁。
要建立建全網絡安全事件由國家權威部門機構通報制度,建立內部通報、面向社會通報制度機制,及時精準通報發生的網絡安全事件,以及危害方使用的技術手段方法、造成的危害及處置辦法,爭取把危害損失降到最小化。要加大網絡安全社會宣傳力度,提高全社會對網絡安全的認識,讓人們了解掌握及時處置應對網絡安全問題事件的本領,打好維護和保障網絡安全的群眾基礎和依法依規治理的法制基礎。近期我國提出《全球數據安全倡議》,呼籲信息企業不得在產品和服務中設置後門,如各國因打擊網絡犯罪等執法需要跨境調取數據,應通過司法協助或其他相關多雙邊協議解決;呼籲各方支持《全球數據安全倡議》,共同推動制定數據安全全球規則,維護網絡數據信息的安全。
5.在網絡安全新基建中大力加強網絡安全學科專業建設和人才培養力度。 新基建網絡安全的建設與發展離不開人才,網絡安全人才是維護保障網絡安全的根本,事靠人幹,沒有人才一事無成。我國的網絡安全基礎理論研究、課程設置、教材、學科專業體系等跟不上網絡安全新技術發展的步伐,網絡安全人才培養數量及質量遠遠滿足不了社會實際部門的需求,特別是奇缺既懂網絡安全技術、又懂網絡安全管理的人才。一定要加快網絡安全人才培養力度,特別注意培養理論與實踐能力強的複合型人才,堅持學歷教育和崗位技能培訓「兩條腿走路」的培養培訓模式,不斷提高網絡安全人才教育培訓數量、質量和水平。要抓住新基建這個歷史機遇,積極構建網絡安全學科專業體系,加強網絡安全理論創新,堅持問題導向,及時發現總結網絡安全新基建中的新理論、新技術、新經驗、新方法、新教訓等,不斷創新網絡安全新理論,以新理論引領新技術、新產品、新系統的研發、製造及應用等。
鑑於我國高校網絡安全人才的培養規模難以滿足社會需求,因此要加大崗位技能培訓力度,鼓勵高校、科研院所、企業等社會力量組織網絡安全崗位技能培訓,在培訓數量、培養質量和實踐動手能力上下功夫,實施教、學、練、戰一體化的教學培訓模式,培養攻防兼備的一流的實戰型網絡安全人才。去年,我提出建設網絡安全「朱日和」培訓創新綜合基地,重點培養能夠實時攻防對抗的攻防兼備型網絡安全人才。網絡安全「朱日和」培訓創新綜合基地具有「九大平臺」功能:培訓平臺、展示平臺、查詢平臺、檢測平臺、交流平臺、創新平臺、創業平臺、宣傳平臺、服務平臺,如果這些平臺的功能能夠做實做大做強,必將為我國的網絡安全新基建建設與發展、以及網絡安全人才的培養做出應有的貢獻。