为推进建设领域电子政务的建设,加强相关技术成果在城市信息化中的交流与应用,进一步提升城乡建设水平,促进行业产业化发展,深入研讨“十二五”数字城市的发展方向和技术要点,住房和城乡建设部于2010年11月11日-13日在北京召开“第五届中国数字城市建设技术研讨会暨设备博览会”。
以下为国家信息中心原首席工程师、现专家委员会主任宁家骏做主题演讲:
主持人:下面我们有请国家信息中心原首席工程师、现专家委员会主任宁家骏演讲,他的演讲题目是关于我国新时期加强信息安全保障体系建设的若干思考。
宁家骏:大家知道面对国际金融危机,我国的经济社会持续快速的发展,中国已经成为一枝独秀这样的国家。我国信息化步伐加快,在促进经济发展,调整经济结构,改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用,社会经济对信息化的以来程度越来越高,同时逐步建设和积累了一批宝贵的信息资产,我国社会主义事业高速发展的成就彰显了我国社会主义体制的优越性,也引起了国际敌对势力的关注和猜忌,也使得国际范围在各个领域的竞争日趋激烈,其中我国信息化的发展也招致了各种势力的关注和攻击。随着信息技术日新月异的发展,近些年来,国家公用基础设施在信息化应用和要求方面也在进一步提高,在这种情况下大家都看到了信息技术飞速进步带来的新的安全问题,当前,世界信息化进入断代发展阶段,物联网在推动网络空间从计算与通信世界延伸到物理实体世界。联合国宣称:尽管互联网用户将计以几十亿,然而在物联网时代,带来的安全更值得我们关注。
随着新技术的发展对国家的安全可能产生的影响,包括信息安全延伸到生命和财产安全,自己的适应行为扩大骨牌灾难效应,感知全球下的社会活动越来越透明,网络空间理论上都可以分解和瘫痪,大家知道网络战争已经从过去的科学幻想走向现实,美国正式组建了网络战争的司令部,这次我们的规划建议明确说一定要打赢信息化的网络战争。
总的来说,对新的信息时代,大家对于特点和安全,还处在盲人摸象的阶段,在这样的情况下,网络的空间分割和依赖,正是因为这样,西方战略家认为实体空间的大规模毁灭战争正在向网络空间的大规模的瘫痪战争转型,只要把系统搞瘫痪了就胜利了,包括格鲁吉亚,伊拉克等等地方都发生过。所以我们国家的信息安全必须看到面临着日益复杂的尖锐的形式,随着中国政府的崛起引起国际社会的广泛关注,面对网络与信息安全的新形势、新情况,我国信息安全工作仍然存在一些亟待解决的问题。信息安全已经成为维护国家利益和保障国家安全的重要的战争,也代表着国家的根本利益,从信息安全的形式来说,总体来说严峻,我们的信息安全网络事件发生的比例连续三年呈上升的趋势,我们现在被木马控制的IP地址将近一万个,而且有所增加,我们将视网络控制的手机、主机数量都在增加,而这些问题往往都是我们事先没有察觉的,比如说一些政府的网站,在被篡改之后没有发现,因为他们往往没有在最前面的主页上进行篡改,有的在栏目当中被篡改,有的被篡改几个月之后才被发现,这样的情况我们必须看到,我们必须科学冷静的分析我国信息安全的形势,来构建我们的信息安全保障体系,这一点在我们加强数字保障里面也是刻不容缓的,中国作为世界第一网民大国,我们的互联网带宽非常高,但是我们不是信息强国,我们在信息技术的核心技术上,自主的可控能力不强,我们的信息化相当多的是买来的,同时我们在信息内容上,为什么我们国家大力发展自己的北斗星,包括的GPS,包括很多的东西,我们没有真正掌握在自己的手里,而且我们的信息化发展不均衡,在信息安全的建设方面欠帐较多,这是我们国家特有的国情,必须看到。同时还要看到网络信息安全,特别是引擎与我们国家改革当中的热点问题相互交错,我们说信息安全经常直接影响到我们的重要信息系统的正常运转,包括我们在城市尤为明显,一旦发生了安全问题,导致了大面积的停电,交通瘫痪和通信的中断,各个行业的管理失控,不仅严重的影响人们的生产生活,造成重大的经济损失和社会影响。做好动态分析,寻找那些朝着正面和积极方向发展的特征根,尽量减少或者避开那些发生负面影响,引发振荡的特征根或特征区间。
大家知道重要信息都是部门单位或者国家正常运转不可缺少的部分,在城市里面更是如此,包括我们城市的管理,包括城市的基础设施的运作,包括我们城市的安全,这些涉及到国家和城市的安全,而重要性由于规模大、设计复杂,涉及的人员多,保障相对困难,而且要达到一定的标准,所以所需要的投入相当大。正因为这样,我们可以看到,以金融信息为例,我们从八十年代开始,我们的银行业在全国范围内建起一大批计算机网络的系统,实现了业务全过程的电子化,从九十年代开始实现了综合服务,保险业也一样,从金融业我们现在已经完全实现了数据的大集中,但是大集中意味着高风险,特别是在我们当前,比如说沪深两市的股票每天交易量达到3000多亿,这种大规模既有好的一面,我们的处理能力每秒几万次,但是也必须看到,在这种新的业务面前,我们的安全保障工作并没有完全的跟上,比如说我们的网络银行,电子银行也屡屡出现诈骗的行为,这样的系统使得功能、安全保障水平极为关键,所以说不是一般的处理任务,而是扩大了整个业务流程的支持,系统安全一旦出现问题,意味着许多的管理工作业务流程完全被中断,包括股票、银行一旦发生问题,产生的是社会问题,我们多次看到,有时候银行的系统暂时出了故障,乘客没有办法走和机场的工作人员发生肢体冲突,发生了都是一些很不好的影响的事情。另外我们的信息资源非常重要,现在我们银行的储蓄信息多次发生问题,都涉及到信息安全的问题,而且还涉及到很多更多宝贵的信息资源,比如说大家知道,现在银监会已经正式要求在华设立的法人单位银行,包括外资银行必须要把数据中心设立在中国本土,以防止这种在外资银行开户的中国客户的所有的信息资产和信息的业务流向要到国外的数据中心去存储这样的现象,也就是我们数据过境的问题。
同时我们必须看到,重要的信息系统具有天然的脆弱性,规模大,技术复杂,使得信息保障的难度加大,由于环节多,薄弱环节也多,而且一般都包含着网络的系统,网络系统遭受攻击的可能性远远大于简单的独立系统,而且重要的信息需要多人,多个部门介入协同工作,除了有意破坏之外,人的失误也会带来危害。
我们可以看到,在冷战时期,美国曾经在苏联的西伯利亚某天然气场秘密的植入恶意破坏程序,在使用初期表现正常,在逐渐获得信任后改变一些程序,使得后来发生的大爆炸,2001年一个澳大利亚的水处理长发生了46次不明原因的控制设备功能异常事件,这个是与水厂有争执的合约工程师通过无线网络进行破坏。
基础设施存在的互依赖性导致了灾难的骨牌效应,物联网环境物与物、物之间大量交换控制的信息,遭受攻击时会产生更加强大的骨牌效应。未来我们的物流,交通运输,人员目标都可以被跟踪,在全球的监视之下,在这种情况下信息安全面临的威胁是不言而喻的,正如我们前面所说的网络战的问题,我们认为在数字城市的建设当中必须加强数字安全保障体系的建设,要建立信息安全工作的长效机制,要落实人员到位,同时把信息系统安全贯穿到整个信息安全的全过程,要建立经常性的监督管理制度,同时加强相关的法规的建设和培训。
关于加强新时期数字城市保障体系规划建设的构想,我们觉得今年是十一五的收官之年,是十二五的规划之年,我们说今天推进信息化建设的头等大事,我们搞好规划,我们做好规划应该做好信息安全的规划,把这个规划作为信息安全保障体系的建设的基本纲领和总体的体现,现在各个部门都在做规划,作为个人我认为要把信息安全的规划放在非常重要的位置,在信息安全领域的突出问题,要以公共的基础设施为支撑,通过重大的工程来明确我们在数字城市建设当中的保障目标,来解决我们数字城市建设中间最关键,最紧迫,最现实的重大安全问题。
我们必须坚持以科学发展观为主线,当前我们对信息化的建设,对数字城市的建设,对信息安全保障要不要坚持科学发展是有争议的,因为有一些同志,包括个别部门的同志提出来我们当前的信息安全工作之所以存在问题是因为你们信息化应用走的脚步太快了,还没有研究出怎么管理的办法,这个应用不能够马上仓促的上,但是我个人不敢苟同这种观点,我觉得必须要坚持我们说以发展保安全,同时必须要以安全保发展,在发展中求安全,科学发展观的观点把这个工作做好,在信息安全保障体系的总体思路上首先要以发展为第一要务,统筹规划,统一资源,加强全民的防范意识,我们强调城市也好,国家也好,信息安全必须坚持国家主导,行业参与,同时加入个人守则,我们从小教育小孩要有网络的道德,下大力气解决我们自己的自主可控问题,发展我们自己的信息安全产业,同时加强信息安全管理,加强综合协调,到十二五末期在各地的数字城市建设当中形成较为完善的信息安全保障体系来支持积累用户,推动城市数字化和信息安全可持续、平稳发展。
在当前,要坚持这样的几个不能改变,正确处理安全和发展的关系不能改变,坚持能够管好信息安全的基本判断不能改变,坚持各部门齐抓共管不能改变,同时按照中央提出的信息保障安全的要素不能改变,最后我们要加强国际合作,搞好安全。所以在当前我们必须要坚持创新,坚持我们的管理创新,技术创新以及我们的集成创新。
这里我们特别想强调的就是在信息安全问题,是一个国际化的问题,不能各个方面要积极参与国际安全话语权的参与,互联网上的标志,我们的信息安全的企业,主管要积极走出去,参与工作,包括在制定标准、规范,包括我们要积极主张开展信息安全多方面的外交,网络是大家共同的资产,我们就像当前推进减少核军备一样,要制定国际网络安全的公约,保障互联网,大家有一个共同的安全的环境。
同时要加快发展自主的信息安全的产业,所以在这种情况下,我们觉得解决安全问题比较求真务实,立足我们的国情,当前要坚持需求导向,利用主导,同时要以国产替代自主可控为原则,在推进网络整合和三网融合的过程中建设自己的可信的信息化网络。
同时我们觉得,要搞好安全关键是要树立本质安全的观念,严格说,没有绝对的安全,只有可控的安全,消除事故的最佳办法不是建立什么样的可靠的保护措施,而是在系统设计的时候,我们说作为一个复杂的系统,我们怎么样寻找安全参数,怎么样寻找平衡点,这是我们总体设计必须要考虑的,我们总体设计当中考虑的安全可能受到干扰,攻击,我们提前把这些要素放进去,选择合适的操作空间,才可以实现对信息安全可治理的目标。
也就是这样,我们要进一步的做好顶层设计,加强新时期数字安全保障工作的总体的协同,制定统一的战略,特别考虑我们自己的信息安全产业,这几年在国家发改委,工信部和科技部的大力支持下,我们自己的信息安全的产业已经有了长足的进步,但是我们跟国际相比还有不小的差距,我们说要发展我们的信息安全的企业和产业梯队,优化产品的结构,我们说建好一个国家的信息安全保障体系,既有产品、平台、系统,同时要形成安全防护能力,安全监管能力,应急响应的能力,信息对抗的能力,评估的能力和信息保障的能力,由我们的科研、产业系服务体系,技术管理和标准体系。
要在目前的情况下更加注重对态势的理解,早发现一步就可以早解决问题一步,日本已经建成了对地震灾害15秒提前预警机制,我听参加十二五规划当中他们的嘉宾说,我们能不能学习日本,对我们重大的灾害有提前的预警,哪怕10秒,30秒,前震是有很多的预兆的,有10秒就足够了,这是指的是自然灾害。
信息安全更需要这样,只有当我们居安思危,有这样的危机意识,树立可以提前预测预警的才可以落实统一指挥,高效机制,发生危机事件的时候有条不紊的应对。在试点取得经验后,再推广到数字城市和建设中涉及推讯、信息、能源、公共服务和运输等关系国计民生的部门,在国家层面形成对网络安全态势的前瞻性全局掌控能力,有效应对网络空间中的恐怖主义和有组织犯罪等安全威胁,谢谢大家!