中国互联网协会、国家计算机网络应急处理中心发布的报告显示,2007年我国发生的互联网安全事件比2006年增加了一倍,每年因“黑客”攻击、窃取行为造成的各种损失达76亿元。调查报告还显示,近几年针对国家政府部门、军队和敏感企事业单位的信息骚扰、窃密、扰乱等行为呈大幅度上升趋势,一些失泄密事件对我军信息化建设和军事斗争准备造成一定影响。尤其是国内外敌对势力借助技术优势,疯狂搜寻我军各种情报信息,网上窃密与反窃密、控制与反控制的斗争日益激烈。面对这样的形势,我军信息网络安全工作应该如何积极应对?需要破解哪些难题?本版为此开辟“网络安全在军营”栏目,与大家共同探讨研究这些问题。从本期开始,将首先刊发信息工程大学校长邬江兴院士谈网络安全的一组专访。请广大读者关注并参与讨论。
邬江兴,中国工程院院士。现任解放军信息工程大学校长、教授、博士生导师;担任第三届国家科技奖励委员会委员、“十一五”国家863计划信息领域专家组副组长、新一代宽带无线移动通信国家重大专项实施方案论证委员会主任、军队第三届学位委员会委员、总装科技委兼职委员等学术职务。曾获国家科技进步一等奖等多项科研奖项。
当记者与邬江兴院士聊起网络安全话题时,邬院士首先讲到的是:信息化和信息网络安全是一个辩证统一的矛盾体,相互关联、相互促进、相互制约,推进军队信息化建设又好又快发展,首先应该把信息网络安全提高到战略层次,同步规划、同步升级、同步实施。
网络安全成为信息化的“命门”
记者:作为长期在信息技术领域耕耘的军队科技领军将才,请您谈一谈目前我军信息网络安全的形势?
邬江兴院士(以下简称邬院士):近年来,军队各级对信息网络安全高度重视,出台了一系列强有力的制度措施,保密工作正在实现“三个转变”,即从单纯地“保”转到“保防”结合,确保重点;从只注重抓常规保密转到着力抓信息网络安全;从以行政管理为主转到行政管理与技术防护手段相结合。但是,面对日新月异的网络技术和服务及不断升级的信息安全威胁,我军保密工作正面临着前所未有的挑战,信息网络安全已经成为制约我军信息化建设向纵深发展、可持续发展的“瓶颈”问题。主要表现为:信息网络安全滞后于信息化建设,官兵安全防护意识有待进一步提高,网络安全防护水平和安全体系建设亟待加强。
记者:信息化和信息网络安全相伴而生,但后者往往不能与前者同步发展,您认为造成我军信息网络安全滞后于信息化建设的主要原因是什么?
邬院士:在信息化建设的初级阶段,大家对信息网络的认识建立在朴素应用需求的基础上,通俗地讲就是指:利用网络系统和数据库技术,采取最便捷的方式,选择最优化的路径,付出最小的建设成本,尽快将信息共享机制建立起来,实现互联互通互操作,加快信息流通,大幅度提高工作效率。此外,信息通信技术和基于摩尔定律的信息产业的飞速发展,使得组网、建网的技术门槛及投资门槛越来越低,于是一个“自下而上、大干快上”的全军性网络建设热潮迅速兴起。目前,我军用于作战、训练、政工、后勤、装备等网络都已初具规模,基本达到了“纵向到基层、横向全通联,无网不在,无网不及”的程度。工作效率的提高从一般意义上看来似乎是肯定的。但是,这种缺乏整体规划的建设,必然导致网络建设处于无序状态,大网套小网,小网联大网,烟囱林立,漏洞频出。事实已经证明,基于这种无序状态的“全军运动”,信息化的水平越高,信息网络安全的威胁性就越大。
“三个效应”影响网络安全发展
记者:信息网络安全是一个“体系级”的概念,缺乏顶层设计,不但会影响信息网络系统的整体安全,还会制约信息化建设的进程,其具体影响表现在哪些方面?
邬院士:具体表现为“三个效应”:
一是“首因效应”。由于没有系统规划和建设标准,各单位在网络建设上往往会“以我为中心”,从自有的条件和能力出发,选择较容易的方案、方便快捷的路径,形成本单位在网络化、信息化方面的“先发优势”或具有显示度意义的政绩工程。这种靠主观和经验,而不是靠科学和标准的发展思路,加大了统一管理和有效防护的难度。
二是“和面效应”。由于没有统一的安全升级机制,不少单位对出现的信息网络安全问题,采取“有问题就打补丁,软件硬件一起上”的办法,水多了加面,面多了加水,面团越做越大。这种非体系化的补救措施,使局部信息系统越搞越庞大,越建越复杂,结果是窟窿越堵越多,问题越堵越大,“亡羊”却未能“补牢”。
三是“马太效应”。无序建设是一种非平衡的发展,网络和信息安全问题是“木桶原理”最好的体现,入侵者往往会选择系统中防护最薄弱的地方突破。在一个联通的信息系统内,无论多么微不足道的“伎俩”,只要找准合适的突破点,借助“信任传递”潜规则,系统内所有的信息都将面临威胁,针尖大的洞必然会引入“斗”大的风。
升级网络安全观念最为迫切
记者:面对严峻的形势,邬院士认为我军信息网络安全应该确立什么样的思路,才能做到安全与建设同步,升级与发展跟进?
邬院士:信息安全,通俗地讲就是指:把信息在最合适的时间,送到最合适的地点,交给最合适的人。对比我们对信息化的认识,不难发现“最快捷”不一定“最安全”,“最优”不一定“最好”,“最广泛”不一定“最合适”。信息化和信息网络安全是一个有机的整体,两者相互作用构成了信息系统。对系统而言,信息安全是信息化的限定词,要求信息化建设必须从无序状态向有规划、可管理、体现体系效率的方向发展。信息系统是一个典型的低熵、高治系统,信息系统在无序、随意的状态下,熵值增大,安全威胁不断加剧;同理,系统建设越有序,熵值降低,体系越安全。
目前,最迫切需要升级的是观念。应该树立有序发展理念,在信息网络建设的过程中,加强顶层设计,坚持整体规划,统一标准,统一接口,统一平台;应该树立系统管理意识,坚持统筹兼顾,整体推进,实现思想、组织、技术、管理、文化各个层面的协调发展;应该树立持续发展理念,信息技术的发展会解决过去的安全问题,也会带来新的安全问题,信息网络安全必须有“打持久战”的准备;应该树立综合效益理念,信息化不是自动化,不能只强调个体或局部的方便快捷,没有安全的效率是没有意义的效率,体系的效率才是最高效率,要在信息化建设中注重安全与效率的统一,决不能以安全为代价来提高效率。