目前我国网络安全产业发展势头强劲,但依然面临工业控制系统网络安全保障体系不完善等问题,应整合工控安全保障能力,突破核心技术瓶颈,构建自主可控的网络安全产业生态体系
今年以来,我国高度重视网络安全工作,开展了多项互联网治理行动。在网络安全需求的持续推动下,我国网络安全产业发展势头强劲,安全可控技术产品不断涌现,攻防技能得到进一步加强,网络安全形势整体向好。但是,我国依然面临工业控制系统网络安全保障体系不完善;网络安全产业根基不牢,自主创新能力有待提高;网络空间信任体系建设滞后,网络可信身份管理亟待加强;网络安全关键技术不强,防护水平有待提升等不少亟待解决的网络安全问题。
当前,随着黑客团体和网络恐怖组织等非国家行为体的网络空间破坏力的日益显现,各类网络攻击技术不断升级和应用,世界各国面临的网络安全挑战将不断加剧,以共享全球网络威胁信息、打击网络恐怖主义等为核心的国际网络安全合作将不断深化。但随着信息技术的逐渐发展与普及,国家关键基础设施互联互通的发展趋势愈发明显,在实现数据高效交互、信息资源共享的同时,也给针对关键基础设施的网络攻击提供了可能。尤其是随着网络黑产链条逐渐孵化成熟并向组织化、集团化发展,各类以信息泄露和资金窃取为目的的网络攻击将更加泛滥,网络空间固有的隐蔽特性以及网络可信身份管理的缺失也会客观上助长国际窃密、造谣诽谤、金融诈骗等网络违法犯罪行为,企业和个人的信息安全及金融安全将面临更加严峻的挑战。
对此,国家应整合工控安全保障能力,完善工控安全保障体系。除了要构建由国家主管部门协调管理的组织架构,明确工业和信息化部等政府部门在工控安全保障工作中的核心地位,加强与电力、水利、金融等行业主管部门的沟通协调,形成合力;还应研究制定工控安全标准化路线图,按照轻重缓急,研制工业控制系统的基础性标准,尽快形成关键工控系统清单。推动工控系统分类分级、工控安全评估等安全标准的研制和发布。
还应突破核心技术瓶颈,构建自主可控的网络安全产业生态体系。一方面要改善网络安全技术自主创新环境,集中国家优势力量和资源,介入集成电路、核心电子元器件、基础软件等开发周期长、资金回收慢的信息安全基础产品,突破核心关键技术并推动研究成果转化;另一方面要加速建设自主可控的网络安全产业生态体系。加强对信息安全技术产品的评估,促进信息安全技术产品自主可控程度的提升,同时加快网络安全审查制度的落地实施。
特别是要加强网络安全关键技术研究,提升网络安全防护水平。不但要研发国产安全芯片及密码算法,以自主可控和安全可信为核心,加强国产安全芯片及密码算法的研制和推广,研发基于可重组逻辑、标识认证、可追踪定位等技术的国产自主可控安全芯片,并推动SM2、SM3、SM4等国产密码算法在其中的应用;还要研发新一代网络安全防护技术产品,重点研究安全智能联动、攻击路径与异常行为分析、网络追踪溯源等新一代网络信息安全技术,并推动其在移动互联网安全、互联网安全、云计算安全、大数据安全等领域形成关键性的产品和系统。
此外要建设网络空间信任体系,强化网络可信身份管理。不但要细化网络身份体系顶层设计,在充分研究现有技术方案的基础上明确国家网络身份体系框架、各参与方在其中的角色和职责,并制定详细的网络身份体系构建路线图;还要推进网络身份体系建设,根据网络身份体系建设要求,修订现有法律法规或制定新法,明确网络身份凭证的法律效力,完善相关配套规定;开展网络可信身份相关试点示范,评估示范成效,并逐步推广。