鄔江興:網絡安全信息化建設同步發展
開欄的話
中國互聯網協會、國家計算機網絡應急處理中心發布的報告顯示,2007年我國發生的互聯網安全事件比2006年增加了一倍,每年因“黑客”攻擊、竊取行為造成的各種損失達76億元。調查報告還顯示,近幾年針對國家
政府部門、軍隊和敏感企事業單位的信息騷擾、竊密、擾亂等行為呈大幅度上升趨勢,一些失洩密事件對我軍信息化建設和軍事鬥爭準備造成一定影響。尤其是國內外敵對勢力借助技術優勢,瘋狂搜尋我軍各種情報信息,網上竊密與反竊密、控制與反控制的鬥爭日益激烈。面對這樣的形勢,我軍信息網絡安全工作應該如何積極應對?需要破解哪些難題?本版為此開闢“網絡安全在軍營”欄目,與大家共同探討研究這些問題。從本期開始,將首先刊發信息工程大學校長鄔江興院士談網絡安全的一組專訪。請廣大讀者關注並參與討論。
鄔江興,中國工程院院士。現任解放軍信息工程大學校長、教授、博士生導師;擔任第三屆國家科技獎勵委員會委員、“十一五”國家863計劃信息領域專家組副組長、新一代寬帶無線移動通信國家重大專項實施方案論證委員會主任、軍隊第三屆學位委員會委員、總裝科技委兼職委員等學術職務。曾獲國家科技進步一等獎等多項科研獎項。
當記者與鄔江興院士聊起網絡安全話題時,鄔院士首先講到的是:信息化和信息網絡安全是一個辯證統一的矛盾體,相互關聯、相互促進、相互制約,推進軍隊信息化建設又好又快發展,首先應該把信息網絡安全提高到戰略層次,同步規劃、同步升級、同步實施。
網絡安全成為信息化的“命門”
記者:作為長期在信息技術領域耕耘的軍隊科技領軍將纔,請您談一談目前我軍信息網絡安全的形勢?
鄔江興院士(以下簡稱鄔院士):近年來,軍隊各級對信息網絡安全高度重視,出臺了一繫列強有力的制度措施,保密工作正在實現“三個轉變”,即從單純地“保”轉到“保防”結合,確保重點;從隻注重抓常規保密轉到著力抓信息網絡安全;從以行政管理為主轉到行政管理與技術防護手段相結合。但是,面對日新月異的網絡技術和服務及不斷升級的信息安全威脅,我軍保密工作正面臨著前所未有的挑戰,信息網絡安全已經成為制約我軍信息化建設向縱深發展、可持續發展的“瓶頸”問題。主要表現為:信息網絡安全滯後於信息化建設,官兵安全防護意識有待進一步提高,網絡安全防護水平和安全體繫建設亟待加強。
記者:信息化和信息網絡安全相伴而生,但後者往往不能與前者同步發展,您認為造成我軍信息網絡安全滯後於信息化建設的主要原因是什麼?
鄔院士:在信息化建設的初級階段,大家對信息網絡的認識建立在樸素應用需求的基礎上,通俗地講就是指:利用網絡繫統和數據庫技術,采取最便捷的方式,選擇最優化的路徑,付出最小的建設成本,盡快將信息共享機制建立起來,實現互聯互通互操作,加快信息流通,大幅度提高工作效率。此外,信息通信技術和基於摩爾定律的信息產業的飛速發展,使得組網、建網的技術門檻及投資門檻越來越低,於是一個“自下而上、大干快上”的全軍性網絡建設熱潮迅速興起。目前,我軍用於作戰、訓練、政工、後勤、裝備等網絡都已初具規模,基本達到了“縱向到基層、橫向全通聯,無網不在,無網不及”的程度。工作效率的提高從一般意義上看來似乎是肯定的。但是,這種缺乏整體規劃的建設,必然導致網絡建設處於無序狀態,大網套小網,小網聯大網,煙囪林立,漏洞頻出。事實已經證明,基於這種無序狀態的“全軍運動”,信息化的水平越高,信息網絡安全的威脅性就越大。
“三個效應”影響網絡安全發展
記者:信息網絡安全是一個“體繫級”的概念,缺乏頂層設計,不但會影響信息網絡繫統的整體安全,還會制約信息化建設的進程,其具體影響表現在哪些方面?
鄔院士:具體表現為“三個效應”:
一是“首因效應”。由於沒有繫統規劃和建設標準,各單位在網絡建設上往往會“以我為中心”,從自有的條件和能力出發,選擇較容易的方案、方便快捷的路徑,形成本單位在網絡化、信息化方面的“先發優勢”或具有顯示度意義的政績工程。這種靠主觀和經驗,而不是靠科學和標準的發展思路,加大了統一管理和有效防護的難度。
二是“和面效應”。由於沒有統一的安全升級機制,不少單位對出現的信息網絡安全問題,采取“有問題就打補丁,軟件硬件一起上”的辦法,水多了加面,面多了加水,面團越做越大。這種非體繫化的補救措施,使局部信息繫統越搞越龐大,越建越復雜,結果是窟窿越堵越多,問題越堵越大,“亡羊”卻未能“補牢”。
三是“馬太效應”。無序建設是一種非平衡的發展,網絡和信息安全問題是“木桶原理”最好的體現,入侵者往往會選擇繫統中防護最薄弱的地方突破。在一個聯通的信息繫統內,無論多麼微不足道的“伎倆”,隻要找準合適的突破點,借助“信任傳遞”潛規則,繫統內所有的信息都將面臨威脅,針尖大的洞必然會引入“鬥”大的風。
升級網絡安全觀念最為迫切
記者:面對嚴峻的形勢,鄔院士認為我軍信息網絡安全應該確立什麼樣的思路,纔能做到安全與建設同步,升級與發展跟進?
鄔院士:信息安全,通俗地講就是指:把信息在最合適的時間,送到最合適的地點,交給最合適的人。對比我們對信息化的認識,不難發現“最快捷”不一定“最安全”,“最優”不一定“最好”,“最廣泛”不一定“最合適”。信息化和信息網絡安全是一個有機的整體,兩者相互作用構成了信息繫統。對繫統而言,信息安全是信息化的限定詞,要求信息化建設必須從無序狀態向有規劃、可管理、體現體繫效率的方向發展。信息繫統是一個典型的低熵、高治繫統,信息繫統在無序、隨意的狀態下,熵值增大,安全威脅不斷加劇;同理,繫統建設越有序,熵值降低,體繫越安全。
目前,最迫切需要升級的是觀念。應該樹立有序發展理念,在信息網絡建設的過程中,加強頂層設計,堅持整體規劃,統一標準,統一接口,統一平臺;應該樹立繫統管理意識,堅持統籌兼顧,整體推進,實現思想、組織、技術、管理、文化各個層面的協調發展;應該樹立持續發展理念,信息技術的發展會解決過去的安全問題,也會帶來新的安全問題,信息網絡安全必須有“打持久戰”的準備;應該樹立綜合效益理念,信息化不是自動化,不能隻強調個體或局部的方便快捷,沒有安全的效率是沒有意義的效率,體繫的效率纔是最高效率,要在信息化建設中注重安全與效率的統一,決不能以安全為代價來提高效率。
特約通訊員 李楊 鄒宏 記者 張鋒