原标题:【两会访谈】全国政协委员肖新光: 建议提升“十四五”网络安全规划的整体性、系统性和针对性
在今年的全国“两会”上,作为网络安全领域的代表,全国政协委员,哈尔滨安天科技集团董事长、首席技术架构师肖新光聚焦网络安全顶层设计,提交了《关于构建网络空间安全“机动防御”机制的提案》和《关于提升“十四五”网络安全规划的整体性、系统性和针对性的提案》。
在《关于构建网络空间安全“机动防御”机制的提案》中,肖新光指出,“当前网络空间已经是大国博弈和地缘安全竞合的常态化对抗领域,网络空间安全风险与其他传统安全和非传统安全风险交叉转化、递进叠加,构成连锁反应。”
肖新光认为,“当前我国网络安全主管和执法监督部门,与政企机构间的联动推进机制,主要立足于安全通报、临时检查和事后追责,这些工作对网络安全防护能力建设起到了重要的监督改善作用。但从现有防御能力来看,国内重要信息系统和关键信息基础设施,长期的建设目标立足于应对一般性安全风险,并不足以应对重大社会风险和地缘安全风险在网络空间的投射。需要较长时间周期和持续投入全面改善规划能力、建设能力、运营能力。”
对此,肖新光建议,按照习近平总书记“关口前移,防患于未然”、“备豫不虞,为国常道”的安全要求,展开如下工作:一是完善多部委联席风险研判机制,强化网络安全风险动态研判、形成动态化重点保障清单。二是由国家主管部门组织、财政统一拨款,构建国家-地域两级网安“机动防御”机制、战略储备库和日常运维机制。建立针对机动防御目标快速介入、动态调整布防策略、部署监测防御环节、进行响应处置的闭环工作机制,快速构建防御纵深。三是以威胁溯源、猎杀作为“机动防御”的更高目标要求。
在《关于提升“十四五”网络安全规划的整体性、系统性和针对性的提案》中,肖新光指出,“日趋复杂严峻的国际国内形势,对我国网络安全能力的发展速度和与信息化的融合程度提出了更高要求。‘十四五’的网络安全发展规划同时面对保障重要发展战略机遇期、应对重大安全风险期的双重挑战,需要坚持问题导向、目标导向、结果导向,正确处理好发展与安全、存量与增量关系,统筹规划、加速投入、精准施策。”
对存在问题,肖新光表示,“一是在网络安全领域依然缺少全面、充分的“敌情想定”。二是网络安全与数字化发展脱节,系统、深度、有效的规模性安全需求需要进一步激发。三是网络安全投入的行业和区域能力失衡。”
针对这些问题,肖新光建议,“需要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,贯彻落实习近平总书记关于网络强国的重要思想,及时按照新的发展目标和新的风险挑战,打破惯性沿袭,因时而变、因需而变。”一是完善总体国家安全综合研判机制,提升网络空间安全在其中的权重占比。二是把握十四五规划和实施机遇,全力推动网络安全的需求侧改革。三是针对性投入弥补行业和区域的能力短板。
以下为肖新光两份提案全文:
关于构建网络空间安全“机动防御”机制的提案
一、背景
当前网络空间已经是大国博弈和地缘安全竞合的常态化对抗领域,网络空间安全风险与其他传统安全和非传统安全风险交叉转化、递进叠加,构成连锁反应。
如抗击疫情期间,我国卫生医疗系统、疫苗研究机构、相关院所企业频遭网络入侵攻击,发生多起重要信息或科研成果被窃取事件。而在边界冲突背景下,相关国家频繁进行网空威胁活动,妄图窃取我和其他周边国家政治、经济、军事、科技等方面信息。
二、问题
当前我国网络安全主管和执法监督部门,与政企机构间的联动推进机制,主要立足于安全通报、临时检查和事后追责,这些工作对网络安全防护能力建设起到了重要的监督改善作用。
但从现有防御能力来看,国内重要信息系统和关键信息基础设施,长期的建设目标立足于应对一般性安全风险,并不足以应对重大社会风险和地缘安全风险在网络空间的投射。需要较长时间周期和持续投入全面改善规划能力、建设能力、运营能力。
但安全风险从来不会等待我们做好全面准备才会到来。重大地缘安全风险和社会风险演化过程中,会带来网络安全对抗烈度和形势的动态变化,一些行业、机构甚至个人迅速成为重点入侵攻击目标。而此时仅依靠安全检查和通报等机制,虽然提升了相关机构人员的重视程度,但并未直接增加对应机构的网络安全保护能力和保障强度。仅依靠被攻击机构的自身安全能力建设和历史投入积累,难以应对带有国家和其他复杂政经背景的高等级、持续的网络入侵攻击。
在面对可能发生的“黑天鹅”、“灰犀牛”式重大风险背景下,需要快速机动增加重点防护目标的防御能力部署和人员投入,通过有效预算和资源保障,实现快速机动布防。
三、建议
建议按照习近平总书记“关口前移,防患于未然”、“备豫不虞,为国常道”的安全要求,展开如下工作:
一是完善多部委联席风险研判机制,强化网络安全风险动态研判、形成动态化重点保障清单。基于阶段性重大社会风险和地缘安全风险进行预测推演,对可能遭遇高级别网络入侵攻击的目标行业、地域和人员等形成动态清单和调整机制,实现重点布防;配套建立弹性调整防护目标等级保护级别的机制,实现对相关工作的制度性支撑。
二是由国家主管部门组织、财政统一拨款,构建国家-地域两级网安“机动防御”机制、战略储备库和日常运维机制。建立针对机动防御目标快速介入、动态调整布防策略、部署监测防御环节、进行响应处置的闭环工作机制,快速构建防御纵深。充分发挥国家互联网应急中心、国资国企在线监管运营中心等机构的枢纽作用,联合网络安全企业和行业协会实现人员机动组织,实现针对网络出口、关键内网、关键服务、关键主机等重点场景的快速布防能力和重点人员网络安全的针对性保障机制,形成“网络-信息-人”联动的安全回路。支持能力型安全企业构建用于大规模样本和安全数据集中分析、大规模流量清洗等的云计算基础设施资源池。将流量监测、端点防护响应、应急取证处置、威胁分析、攻击捕获等方面的优秀产品列入到国家物资储备机制当中,形成相关机制的物资保障。在安全风险等级降低后,相关机制解除,装备回收入库。
三是以威胁溯源、猎杀作为“机动防御”的更高目标要求。不仅要实现快速部署,改善防御,快速止损、精确量损;同时要进一步实现信息留存、证据固化、威胁诱捕等机制,有效发现攻击线索、获取攻击载荷;通过推动情报共享和联动机制,联合分析、协同溯源,确定攻击组织,必要时予以披露曝光。
上述举措不能替代政府央企网络安全防护能力的自我提升。旨在国家主管、监管和应急机构原有的安全检查、监测、通报机制和“谁建设、谁负责”的自我安全防护能力建设的双层防御之间,增加一个国家层面的弹性机动的防护能力层次。增加安全防护能力面向攻击方的不可预测性,提升战略威慑能力。
关于提升“十四五”网络安全规划的整体性、系统性和针对性的提案
一、背景
“十三五”期间,我国网络安全产业快速发展,网络安全防御能力全面提升,全民网络安全意识逐步增强。但日趋复杂严峻的国际国内形势,对我国网络安全能力的发展速度和与信息化的融合程度提出了更高要求。
总书记在《中共中央关于制定国民经济和社会发展第十四个五年规划和二零三五年远景目标的建议》的说明中指出:“我国发展仍然处于重要战略机遇期,但面临的国内外环境正在发生深刻复杂变化。”“十四五”的网络安全发展规划同时面对保障重要发展战略机遇期、应对重大安全风险期的双重挑战,需要坚持问题导向、目标导向、结果导向,正确处理好发展与安全、存量与增量关系,统筹规划、加速投入、精准施策。
二、问题
一是在网络安全领域依然缺少全面、充分的“敌情想定”。“敌情想定”不是安全风险的一般性的技术认知,而是重大地缘安全和重大社会事件背景下的综合推演设定。当前对网络安全风险的系统认识停留在国家主管部门、专业机构和网络安全行业。立足于应对高等级持续性网络攻击,建设更高水平安全防护能力,尚未成为各行业和各地域规划决策的普遍性认知。
二是网络安全与数字化发展脱节,系统、深度、有效的规模性安全需求需要进一步激发。数字化是对经济社会的转型重塑,如果以先建设后安全补课的思路来实现,会带来更大代价和成本,甚至发生连锁崩盘式风险。但由于网络安全威胁特别是高级威胁,具有一定的隐蔽性属性,难以形成投入价值的显性认知,导致需求动力不足。因此仍有部分行业、地区的发展规划,只考虑数字化助力发展的巨大作用,忽略了不能同步构筑安全防护能力的巨大风险。不同程度存在“两张皮”或“重数字化、轻安全”的现象。信息化的规划目标相对清晰,篇幅大,预算占比高;网络安全则目标含混,篇幅极少,预算占比很低。两者对比完全失衡,无法实现两翼齐飞、双轮驱动。
三是网络安全投入的行业和区域能力失衡。网络安全规划缺少从综合战略风险和地缘安全风险视角的全局度量衡,投入受到行业、地域发展水平约束较大,网络安全投入水平与能力的行业差和地域差日趋明显,导致国家战略安全能力布局失衡,难以针对性应对地缘安全风险。
三、建议
针对上述问题,需要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,贯彻落实习近平总书记关于网络强国的重要思想,及时按照新的发展目标和新的风险挑战,打破惯性沿袭,因时而变、因需而变。
一是完善总体国家安全综合研判机制,提升网络空间安全在其中的权重占比。要深入研究各种传统安全和非传统安全的传递演化关系,将地缘安全风险、重大社会风险与网络安全风险态势分析研判深度结合,并结合相关行业、区域的重要信息系统、关键信息基础设施的实际防护水平与发展规划,定位防御盲点、发现重大短板、确定投入重点,保障和优化资源投入。
二是把握十四五规划和实施机遇,全力推动网络安全的需求侧改革。2020年12月11日召开的中共中央政治局会议提出,“要扭住供给侧结构性改革,同时注重需求侧改革”。建议针对央企网络安全工作,在网络安全党组责任制和“谁建设、谁负责”的基本原则上,推动重点央企网络安全工作考核办法实施,加大对战略应急保障能力建设、服务国家安全、社会治理支撑贡献方面的考核力度,形成弹性的能力层次,推动投入增量产生。对数字化安全转型发布规划指南,进行安全示范样例引导。让安全投入有的放矢,既为构建双循环提供网络安全保障,也高质量创造内循环增量。
三是针对性投入弥补行业和区域的能力短板。利用国有资本金预算和投资基金的多渠道带动作用,以及财政转移支付等机制,加大重点工程分布建设倾斜、对重大风险短板进行集中投入,快速改善东北、西南边疆等既处于地缘安全热点,经济又欠发达地区的网络安全防护水平。