塑造網絡安全科學思維 落實網絡安全能力提升
中國工程院院士 陳鯨
“十四五”規劃綱要中的網絡安全相關內容對整個社會的發展具有重大意義。近些年,大數據安全、個人信息保護、電磁空間等專業領域,與人工智能、大數據、區塊鏈等新興數字產業交織在一起,不斷拓展和更新網絡安全的范疇,對我國加強網絡安全保障體系和能力建設提出了更高的要求。
從各省的具體實踐來看,如四川省的“十四五”網絡安全和信息化規劃是依據國家發展規劃而制定,納入了省級重點專項規劃,遵循了國家標準,也因地制宜進行設計,在現有安全合規的基礎上提出了全面綜合能力提升的發展思路。關于網絡安全能力建設,在很多省份的本地規劃里涉及的方面非常多,有硬件的設施、政策的環境、創新的技術、企業的培育等,這些都是必要的任務和工程。如何有效提升安全能力,我認為,有三個關鍵“統一”,即意識和行動的措施統一、監管和服務的保障統一以及個人和團隊的創新統一。 新時代技術發展非??欤录夹g和新應用對安全風險的防范能力要求很高,在安全意識的問題上就顯得非常關鍵,這不僅僅是重要性的高度認識,要具備技術滲透到制度中的認知思維能力、系統方法能力以及措施統籌能力,網絡安全緊密聯動了經濟、社會、文化、國防等,構成了一個巨大的動態復雜系統,我們在這個系統里解決問題、提升能力就必須系統性思考,運用思維模型,塑造網絡安全的科學思維。要了解網絡安全整體的結構,弄清楚這個系統的變化規律,掌握這個系統的關鍵特性。聚焦的層面有:關鍵信息基礎設施、創新科技及應用、人才培養和評價、政策法規和財稅等。 很多省份在其“十四五”網絡安全規劃的相關章節中都強調了加強關系國計民生的關鍵信息基礎設施的安全保障,行業有水利、電力、交通、通信、金融等重要領域,國家與經濟安全在某種程度上取決于關鍵信息基礎設施是否可靠運行,這些系統存在缺陷或受到損壞將會削弱國民經濟安全、民眾健康及公共安全。由于內外威脅造成的壓力不斷增大,關鍵信息基礎設施的工程防護就需要通過系統性的網絡安全科學組織,在重點行業施以持續、綜合的治理方式,需要考慮業務需求和安全演進的適應性融合,制定能力可提升的網絡安全策略框架。那怎么去執行這些策略?就需要運用安全的科學思維,建立適宜的方法和措施。在工程實踐中所遇到的復雜系統,其構成本質是邏輯關系,而且大多是目前無法掌控的內在邏輯關系,系統發生故障的重要原因之一是其中的邏輯關系出現了矛盾,這些系統和組織面臨的威脅不一樣,漏洞不一樣、風險接受度也是有差異的,因此采取的方式方法就要具有針對性,進行更有效的管理,必須使用科學的驗證手段確保其安全可信。在這個導向下就需要建立關鍵信息基礎設施的資源清單,能夠有重點地通過技術手段建立我們自主的防御能力,有效發揮在安全攻防中甚至是網絡戰中的指揮體系。要根據不斷地使用和反饋進行持續性的更新和優化,這也是經驗積累以及持續創新的一個過程,也可以說是能力進化,有效提出動態未知環境中不斷出現新威脅、新風險的應對解決方案。 四川省“十四五”規劃里有全面的發展目標,其中有
2
個點值得提倡,一是在網絡安全工作體系的建立中,數字治理能力的提升是通過監管和服務的雙驅動來完成;二是產業能力的全方位提升,是在優化整體生態的基礎上,圍繞企業創新服務的保障模式上做出有效改革措施。這就是監管和服務的保障統一問題。以往,監管位于組織體系的頂層視角,在數據流動承載社會治理的趨勢下,社會運行機構的安全能力也需要同步提升,這里面包含了企業創新研發的需求引擎驅動力、部署應用的實踐競爭力,還有就是供應鏈的自主可控力。 在網絡安全風險防范方面,充分運用態勢感知等信息化平臺工具,提升精準監管,在整合全方位資源的同時也釋放專業技術服務、數據資源給企業和其他運營機構,引導社會化力量共同參與網絡安全治理,建立治理能力持續提升的長效機制。這個需要考慮的方面和問題很多,但從我國數字發展的現狀和趨勢看,政策主要考慮四個層面:戰略與法律、產業和市場、用戶與使用以及技術與風險。全社會的共同參與,這也是構建與現代化經濟體系和國家治理能力現代化相適應的風險管理制度環境。 關于個人和團隊的創新統一問題。和其他專業領域的科技創新一樣,網絡安全也包含技術創新、應用創新和管理創新,不僅需要頂尖人才的知識創新,更需要團隊的創新實現。一方面是需求導向,要以國家科技戰略、解決現實問題出發,在關鍵核心技術上發力。另一方面,要重視數據作為價值資源的供給規模,助推創新的競爭力。當然,這里面存在組織的科學管理,一個團隊、一套體系能付諸創新落地,需要具備個人對團隊、團隊對個人的賦能,這也是信息共享的組織創新能力。網絡安全未來的發展方向就是小團隊融合成大團隊。四川省也是國務院確定的
8
個全面創新改革試驗區中唯一以“軍民融合深度發展”為核心內容的省級區域,在網絡安全團隊建設和發展中充分結合軍民融合的創新機制,大膽探索、全面推進,我們要做好網絡戰備,落實“十四五”規劃中的各項工作,塑造網絡安全的科學思維,開展理論研究和實戰檢驗,整合各方面的資源,發揮科技創新的引領,全面提升網絡安全能力,切實維護我們國家在網絡空間安全的戰略優勢和發展利益。(感謝王丹琛對文字的編輯整理) 加強數據安全 落實“十四五”規劃 中國科學院院士 馮登國 數據已成為一種重要的生產資料,數據安全已經成為關乎個人隱私、經濟和社會安全等事關國家安全的重大安全問題?!笆奈濉币巹澗V要重點強調了要“加快數字化發展
建設數字中國”。對數據的生產、使用、流轉等過程的有效監管是落實“十四五”規劃綱要“營造良好數字生態”“統籌發展和安全,建設更高水平的平安中國”的關鍵。未來,我們應針對新形勢,加強隱私保護、數據安全防護、信息泄漏檢測等方面的技術攻關、產業部署和制度建設工作,為國家的數字經濟、數據安全保駕護航。 (本文刊登于《中國信息安全》雜志2021年第4期)