一、從信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)維度剖析網(wǎng)絡(luò)空間安全面臨的新變化、新形勢(shì)和新挑戰(zhàn)

習(xí)近平總書記在“4.19講話”中明確指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全”，“要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。” “金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重”，“我們必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)。”深入落實(shí)國家最高領(lǐng)導(dǎo)人接地氣的重要指示，需要選擇科學(xué)的路徑，形成具有執(zhí)行力的有效方法。透過紛繁復(fù)雜的網(wǎng)絡(luò)安全現(xiàn)象，我們從資產(chǎn)、脆弱性和威脅三個(gè)核心要素分析網(wǎng)絡(luò)安全面臨的新變化、新形勢(shì)和新挑戰(zhàn)。

（一）信息資產(chǎn)和數(shù)據(jù)資產(chǎn)巨量增長(zhǎng)，并呈現(xiàn)泛在化趨勢(shì)，使防護(hù)難度急劇增加

我國已經(jīng)成為網(wǎng)絡(luò)大國，信息系統(tǒng)已經(jīng)成為國計(jì)民生和大多數(shù)行業(yè)賴以生存的生產(chǎn)工具，“刀耕火種”的時(shí)代一去不復(fù)返了。信息化建設(shè)形成了數(shù)以萬億計(jì)的信息資產(chǎn)軟硬件，信息系統(tǒng)運(yùn)行又產(chǎn)生了不可計(jì)數(shù)的數(shù)據(jù)資產(chǎn)，網(wǎng)絡(luò)空間的資產(chǎn)成為了個(gè)人、社會(huì)和企業(yè)的核心資產(chǎn)。同時(shí)，隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新技術(shù)的快速發(fā)展和普及應(yīng)用，數(shù)據(jù)資產(chǎn)快速泛在化，傳統(tǒng)安全防御邊界被打破，信息資產(chǎn)安全面臨前所未有的威脅。

（二）信息系統(tǒng)的復(fù)雜度和關(guān)聯(lián)度前所未有，脆弱性也隨之以指數(shù)上升

脆弱性與信息系統(tǒng)與生俱來，共生共存，所有信息設(shè)備和系統(tǒng)都存在難以避免的脆弱性。隨著信息化進(jìn)入新時(shí)代，信息系統(tǒng)的復(fù)雜度和關(guān)聯(lián)度遠(yuǎn)超過往，不僅系統(tǒng)自身的技術(shù)脆弱性不斷提升，人為失誤等社會(huì)工程因素也在不斷疊加、相互作用。當(dāng)今社會(huì)，信息系統(tǒng)無處不在，受攻擊面也同步擴(kuò)張。信息系統(tǒng)的脆弱性最終都轉(zhuǎn)化為網(wǎng)絡(luò)安全的綜合風(fēng)險(xiǎn)，使得傳統(tǒng)的單點(diǎn)防護(hù)模式難以適應(yīng)甚至失去作用。

（三）網(wǎng)絡(luò)攻擊的目標(biāo)和手段都發(fā)生了本質(zhì)變化，混合型高級(jí)別威脅來臨

網(wǎng)絡(luò)空間軍事化加劇，美國133支網(wǎng)絡(luò)戰(zhàn)部隊(duì)在去年部署到位，美國海軍、陸軍最近紛紛宣布具備綜合性網(wǎng)絡(luò)戰(zhàn)能力，網(wǎng)絡(luò)攻擊能力正在全方位融入傳統(tǒng)戰(zhàn)場(chǎng)。與此同時(shí)，網(wǎng)絡(luò)空間恐怖分子、犯罪集團(tuán)乃至國家層面的全球網(wǎng)絡(luò)攻擊勢(shì)力不斷成長(zhǎng)，以高級(jí)持續(xù)性威脅（APT）、勒索病毒等、數(shù)據(jù)黑產(chǎn)等以新一代攻擊技術(shù)為支撐的網(wǎng)絡(luò)安全事件頻繁發(fā)作說明，網(wǎng)絡(luò)攻擊從過去單純的炫耀技術(shù)，快速向有組織、長(zhǎng)期持續(xù)且極具針對(duì)性的謀取商業(yè)利益和經(jīng)濟(jì)利益，甚至軍事利益和政治利益轉(zhuǎn)變。

從以上三個(gè)維度分析來看，網(wǎng)絡(luò)安全面臨前所未有的新挑戰(zhàn)，任何關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位自身力量，都已經(jīng)難以獨(dú)自應(yīng)對(duì)這種全方位的綜合風(fēng)險(xiǎn)。創(chuàng)新模式、突破瓶頸、軍民融合、共同應(yīng)對(duì)，軍地?cái)y手維護(hù)網(wǎng)絡(luò)空間安全和發(fā)展已經(jīng)成為必由之路。

二、看清網(wǎng)絡(luò)空間安全的新力量、新機(jī)理、新目標(biāo)，聚焦關(guān)鍵信息基礎(chǔ)設(shè)施安全主要問題，形成軍民合力

我國關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息安全關(guān)乎黨的執(zhí)政之基、國家的經(jīng)濟(jì)發(fā)展，是國家安全的命門所在，是潛在網(wǎng)絡(luò)戰(zhàn)的主戰(zhàn)場(chǎng)，是國家必須要重點(diǎn)保護(hù)的對(duì)象。關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)之初，并未高度重視網(wǎng)絡(luò)安全，形成信息化和網(wǎng)絡(luò)安全分離的態(tài)勢(shì)。習(xí)近平總書記強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”，提出網(wǎng)絡(luò)強(qiáng)國號(hào)召之后，在中央的有力推動(dòng)下，這種局面在一定程度上有了很大轉(zhuǎn)變。但由于歷史跨度長(zhǎng)、涉及范圍寬，關(guān)鍵信息基礎(chǔ)設(shè)施目前還不完全具備應(yīng)對(duì)新挑戰(zhàn)的相應(yīng)保障能力，主要存在以下四個(gè)突出問題。

（一）關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障沒有專業(yè)的保安隊(duì)伍

從職能任務(wù)來看，網(wǎng)絡(luò)國防力量負(fù)責(zé)可能的網(wǎng)絡(luò)戰(zhàn)沖突，網(wǎng)絡(luò)治理力量負(fù)責(zé)網(wǎng)絡(luò)違法犯罪處置，而關(guān)鍵信息基礎(chǔ)設(shè)施的日常與應(yīng)急網(wǎng)絡(luò)安全保障還停留在“工人糾察隊(duì)”模式，滿足于“合規(guī)性”的基本門檻要求，平時(shí)“得過且過”，重大活動(dòng)期間突擊保障，難以協(xié)同防御，缺乏專業(yè)保安隊(duì)伍支撐。

（二）產(chǎn)業(yè)不對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全負(fù)責(zé)

我國雖然網(wǎng)絡(luò)安全企業(yè)數(shù)量眾多，但長(zhǎng)期被產(chǎn)業(yè)“小、散、亂”所困擾，在關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和運(yùn)營(yíng)過程中，大多扮演著“供應(yīng)商”的角色，以“產(chǎn)品交付”的模式開展業(yè)務(wù)，“做完項(xiàng)目就走”，傳統(tǒng)的安全服務(wù)實(shí)際上也是以項(xiàng)目方式提供，“重建設(shè)，輕運(yùn)維”，將網(wǎng)絡(luò)安全保障最關(guān)鍵的安全運(yùn)維環(huán)節(jié)留給了運(yùn)營(yíng)單位自己去消化，業(yè)界尚缺乏持續(xù)全面提供網(wǎng)絡(luò)安全運(yùn)維服務(wù)保障的業(yè)務(wù)模式。

（三）網(wǎng)絡(luò)安全防御體系“感而不知”，對(duì)攻擊目標(biāo)、手段和結(jié)果一定程度上“掩耳盜鈴”

我國網(wǎng)絡(luò)安全產(chǎn)業(yè)正在逐步發(fā)展壯大，由于網(wǎng)絡(luò)空間瞬息萬變，攻防技術(shù)不斷升級(jí)等多種主客觀原因，我國尚未形成具有整體協(xié)同能力的防御體系。對(duì)手是否來過不清楚、威脅在哪不知道的情況在關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)中普遍存在。以傳統(tǒng)老三樣進(jìn)行局部靜態(tài)的自我防護(hù)為主，導(dǎo)致對(duì)新型威脅不敏感甚至難以有效及時(shí)發(fā)現(xiàn)，對(duì)網(wǎng)絡(luò)安全的整體性、動(dòng)態(tài)性、開放性、相對(duì)性和共同性認(rèn)識(shí)嚴(yán)重不足，傳統(tǒng)防御體系“感而不知、掩耳盜鈴”的現(xiàn)實(shí)狀況，已經(jīng)成為我國關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的重大瓶頸。

（四）重網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，輕信息系統(tǒng)安全；重業(yè)務(wù)應(yīng)用，輕信息數(shù)據(jù)；重防護(hù)形式，輕安全本質(zhì)

關(guān)鍵信息基礎(chǔ)設(shè)施安全體系中，關(guān)注基礎(chǔ)網(wǎng)絡(luò)層面安全防護(hù)手段較多，關(guān)注信息系統(tǒng)和數(shù)據(jù)安全較少；重視業(yè)務(wù)系統(tǒng)建設(shè)與運(yùn)行保障，對(duì)系統(tǒng)運(yùn)行中收集和產(chǎn)生的重要數(shù)據(jù)缺乏有效保護(hù)；重視“合規(guī)性”防護(hù)和測(cè)評(píng)，對(duì)大量關(guān)系本質(zhì)安全的風(fēng)險(xiǎn)控制投入不足。

網(wǎng)絡(luò)空間的重要特征是“全球一網(wǎng)”，軍民一體化，因此，網(wǎng)絡(luò)安全軍事力量和地方力量必將統(tǒng)籌聯(lián)合，共同面對(duì)，需要將軍民融合攜手解決關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)作為基本思想，以解決重點(diǎn)問題為抓手，謀求從根本上解決國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨的綜合性安全風(fēng)險(xiǎn)。

三、明確網(wǎng)絡(luò)空間安全的新需求、新能力、新格局，構(gòu)建全方位、全天候、全過程、全覆蓋的體系化的軍民融合整體保障體系

進(jìn)入中國特色社會(huì)主義新時(shí)代，開啟偉大斗爭(zhēng)、建設(shè)偉大工程、推動(dòng)偉大事業(yè)、實(shí)現(xiàn)偉大夢(mèng)想，就必須以關(guān)鍵信息基礎(chǔ)設(shè)施為核心目標(biāo)，維護(hù)網(wǎng)絡(luò)空間國家主權(quán)，安全和發(fā)展利益，必然對(duì)網(wǎng)絡(luò)安全和產(chǎn)業(yè)發(fā)展提出更高要求和更多需求。樹立正確的網(wǎng)絡(luò)安全觀，從國際國內(nèi)重大網(wǎng)絡(luò)信息安全事件和技術(shù)發(fā)展趨勢(shì)看，采取實(shí)時(shí)監(jiān)測(cè)安全威脅、動(dòng)態(tài)主動(dòng)調(diào)整防護(hù)策略、安全事件快速應(yīng)急處置等綜合手段來應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，構(gòu)建全方位、全天候、全過程、全覆蓋的體系化整體保障能力已成為確保關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的必然趨勢(shì)。網(wǎng)絡(luò)安全產(chǎn)業(yè)必須采取軍民融合的方式，創(chuàng)新模式，擔(dān)當(dāng)責(zé)任，構(gòu)建全方位、全天候、全過程、全覆蓋的軍民融合整體保障體系。

（一）開展整體保障服務(wù)，建立網(wǎng)絡(luò)安全專業(yè)保安創(chuàng)新模式，從組織形式上解決力量缺乏的問題

關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)模式由“工人糾察隊(duì)”式自我防護(hù)模式轉(zhuǎn)變?yōu)榭尚诺?ldquo;專業(yè)保安隊(duì)”服務(wù)模式，從采購產(chǎn)品向采購“安全目標(biāo)”轉(zhuǎn)變，將網(wǎng)絡(luò)安全規(guī)劃、安全評(píng)估、安全設(shè)計(jì)、建設(shè)實(shí)施、安全運(yùn)維、安全培訓(xùn)及人才培養(yǎng)等全生命周期安全保障過程統(tǒng)一納入到安全服務(wù)范疇，可采用建立軍民聯(lián)合的網(wǎng)絡(luò)預(yù)備役力量的創(chuàng)新模式，綜合兼顧各方能力水平、利益訴求、職責(zé)任務(wù)，以網(wǎng)絡(luò)預(yù)備役為組織方式，以重大項(xiàng)目為工作牽引，以軍地攻防演練為檢驗(yàn)方式，開展整體保障服務(wù)，建立一支可持續(xù)發(fā)展壯大的國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障專業(yè)隊(duì)伍。

（二）加強(qiáng)合作，建立面向整體保障的網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟，以武器裝備協(xié)同攻關(guān)模式持續(xù)提升技術(shù)、產(chǎn)品與服務(wù)水平

在《網(wǎng)絡(luò)安全法》、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等法律法規(guī)的指引下，以保障關(guān)鍵信息基礎(chǔ)設(shè)施整體安全為目標(biāo)，著力應(yīng)對(duì)國家層面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，將關(guān)鍵信息基礎(chǔ)設(shè)施持續(xù)健康運(yùn)行和數(shù)據(jù)資產(chǎn)的可靠保護(hù)納入網(wǎng)絡(luò)空間國防力量的保護(hù)范疇。通過產(chǎn)業(yè)聯(lián)盟，聚集產(chǎn)業(yè)優(yōu)勢(shì)資源和力量，博采眾長(zhǎng)，在整個(gè)網(wǎng)絡(luò)安全行業(yè)突出國家關(guān)鍵信息基礎(chǔ)設(shè)施這個(gè)重點(diǎn)目標(biāo)，并將網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的研發(fā)、檢測(cè)、運(yùn)行納入優(yōu)化的軍隊(duì)武器裝備采購系列，逐步通過軍隊(duì)層面高強(qiáng)度的攻防測(cè)試，實(shí)現(xiàn)國家安全信息基礎(chǔ)設(shè)施的全面安全，達(dá)到攻擊可防御、行為可檢測(cè)、攻擊可溯源、威脅可預(yù)警、事件可處置等網(wǎng)絡(luò)安全工作的目標(biāo)，推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全從單一防護(hù)向體系化防御、從被動(dòng)防護(hù)向主動(dòng)防御，從局部靜態(tài)防護(hù)向整體動(dòng)態(tài)防御的根本性轉(zhuǎn)變。

（三）堅(jiān)持自主創(chuàng)新，提升監(jiān)測(cè)、預(yù)警、防御及快速響應(yīng)能力，以綜合施策、整體防御和協(xié)同能力應(yīng)對(duì)綜合性風(fēng)險(xiǎn)

習(xí)總書記指出：“知己知彼，才能百戰(zhàn)不殆。沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)”，“感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作”。要實(shí)現(xiàn)整體安全，必須加強(qiáng)技術(shù)升級(jí)換代，聚焦核心技術(shù)突破，在基礎(chǔ)性技術(shù)、前沿性技術(shù)、顛覆性技術(shù)投入研發(fā)方面花大力氣，盡早實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全裝備自主創(chuàng)新。大力推進(jìn)軍民融合，協(xié)同攻關(guān)，突破網(wǎng)絡(luò)安全態(tài)勢(shì)感知，預(yù)警監(jiān)測(cè)的核心關(guān)鍵技術(shù)，盡早盡全面地積累網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)和情報(bào)，達(dá)到安全威脅早發(fā)現(xiàn)、早預(yù)防、早處置、早加固，防患于未然，全面提高網(wǎng)絡(luò)安全防御的主動(dòng)性。

（四）加強(qiáng)密碼技術(shù)應(yīng)用，以核心技術(shù)和關(guān)鍵手段保障關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)資產(chǎn)安全

密碼技術(shù)是網(wǎng)絡(luò)空間安全的核心技術(shù)之一，是保障信息數(shù)據(jù)安全的最后一道防線，也是最本質(zhì)和最有效的數(shù)據(jù)安全防護(hù)手段。同時(shí)，密碼也是網(wǎng)絡(luò)進(jìn)攻的有力武器（勒索病毒正是將密碼作為武器使用）。我國在密碼技術(shù)方面具有深厚的積淀和國際領(lǐng)先水平。要著力解決數(shù)據(jù)資產(chǎn)“裸奔”、“裸睡”的嚴(yán)峻局面，亟待全方位加大密碼技術(shù)的應(yīng)用，保障國家、軍隊(duì)、企業(yè)乃至個(gè)人等多個(gè)層面的數(shù)據(jù)資產(chǎn)安全。充分借鑒軍隊(duì)從裝備保障向數(shù)據(jù)保障進(jìn)行變革的有效經(jīng)驗(yàn)，通過軍民融合的方式，聯(lián)合網(wǎng)絡(luò)安全企業(yè)，盡快推廣到國家關(guān)鍵基礎(chǔ)設(shè)施防護(hù)體系，為全方位提升保障能力提供核心技術(shù)和核心手段。