一、从信息系统安全风险评估的三个维度剖析互联网空间安全面临的新变化、新形势和新挑战

  习在“4.19讲话”中精确指出：“没有网络安全就没有国家安全”，“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系。” “金融、能源、电力、通信、交通等领域的关键信息基础设施是经济运行的神经中枢，是网络安全的重中之重”，“我们一定要深入研究，采取比较有效措施，切实做好国家关键信息基础设施安全防护。”深入落实国家最高领导人接地气的重要指示，要选择科学的路径，形成具有执行力的有效方法。透过纷繁复杂的网络安全现象，我们从资产、脆弱性和威胁三个核心要素分析网络安全面临的新变化、新形势和新挑战。

  我国慢慢的变成了网络大国，信息系统慢慢的变成了国计民生和大多数行业赖以生存的生产工具，“刀耕火种”的时代一去不复返了。信息化建设形成了数以万亿计的信息资产软硬件，信息系统运行又产生了不可计数的数据资产，互联网空间的资产成为了个人、社会和企业的核心资产。同时，随着云计算、大数据、移动互联网、人工智能等新技术的快速发展和普及应用，数据资产快速泛在化，传统安全防御边界被打破，信息资产安全面临前所未有的威胁。

  脆弱性与信息系统与生俱来，共生共存，所有信息设备和系统都存在难以避免的脆弱性。随着信息化进入新时代，信息系统的复杂度和关联度远超过往，不仅系统自身的技术脆弱性不断的提高，人为失误等社会工程因素也在不断叠加、相互作用。当今社会，信息系统无处不在，受攻击面也同步扩张。信息系统的脆弱性最终都转化为网络安全的综合风险，使得传统的单点防护模式难以适应甚至失去作用。

  互联网空间军事化加剧，美国133支网络战部队在去年部署到位，美国海军、陆军最近纷纷宣布具备综合性网络战能力，网络攻击能力正在全方位融入传统战场。与此同时，互联网空间、犯罪集团乃至国家层面的全球网络攻击势力不断成长，以高级持续性威胁（APT）、勒索病毒等、数据黑产等以新一代攻击技术为支撑的网络安全事件频繁发作说明，网络攻击从过去单纯的炫耀技术，快速向有组织、长期持续且极具针对性的谋取商业利益和经济利益，甚至军事利益和政治利益转变。

  从以上三个维度分析来看，网络安全面临前所未有的新挑战，任何关键信息基础设施运营单位自身力量，都已经难以独自应对这种全方位的综合风险。创新模式、突破瓶颈、军民融合、共同应对，军地携手维护网络空间安全和发展慢慢的变成了必由之路。

  二、看清互联网空间安全的新力量、新机理、新目标，聚焦关键信息基础设施安全主体问题，形成军民合力

  我国关键信息基础设施的网络信息安全关乎党的执政之基、国家的经济发展，是国家安全的命门所在，是潜在网络战的主战场，是国家必须要重点保护的对象。关键信息基础设施建设之初，并未格外的重视网络安全，形成信息化和网络安全分离的态势。习强调“没有网络安全就没有国家安全”，提出网络强国号召之后，在中央的有力推动下，这种局面在某些特定的程度上有了很大转变。但由于历史跨度长、涉及范围宽，关键信息基础设施目前还不完全具备应对新挑战的相应保障能力，主要存在以下四个突出问题。

  从职能任务来看，网络国防力量负责可能的网络战冲突，网络治理力量负责网络违法犯罪处置，而关键信息基础设施的日常与应急网络安全保障还停留在“工人纠察队”模式，满足于“合规性”的基本门槛要求，平时“得过且过”，重大活动期间突击保障，难以协同防御，缺乏专业保安队伍支撑。

  我国虽然网络安全公司数众多，但长期被产业“小、散、乱”所困扰，在关键信息基础设施建设和运营过程中，大多扮演着“供应商”的角色，以“产品交付”的模式开展业务，“做完项目就走”，传统的安全服务实际上也是以项目方式提供，“重建设，轻运维”，将网络安全保障最关键的安全运维环节留给了运营单位自己去消化，业界尚缺乏持续全面提供网络安全运维服务保障的业务模式。

  （三）网络安全防御体系“感而不知”，对攻击目标、手段和结果某些特定的程度上“掩耳盗铃”

  我国网络安全产业正在慢慢地发展壮大，由于互联网空间瞬息万变，攻防技术一直在升级等多种主客观原因，我国尚未形成具有整体协同能力的防御体系。对手是否来过不清楚、威胁在哪不知道的情况在关键信息基础设施防护中都会存在。以传统老三样进行局部静态的自我防护为主，导致对新型威胁不敏感甚至难以有效及时有效地发现，对网络安全的整体性、动态性、开放性、相对性和共同性认识严重不足，传统防御体系“感而不知、掩耳盗铃”的现实状况，慢慢的变成了我国关键信息基础设施防护的重大瓶颈。

  （四）重网络基础设施安全，轻信息系统安全；重业务应用，轻信息数据；重防护形式，轻安全本质

  关键信息基础设施安全体系中，关注基础网络层面安全防护手段较多，关注信息系统和数据安全较少；重视业务系统建设与运行保障，对系统运行中收集和产生的重要数据缺乏有效保护；重视“合规性”防护和测评，对大量关系本质安全的风险控制投入不足。

  网络空间的重要特征是“全球一网”，军民一体化，因此，网络安全军事力量和地方力量必将统筹联合，一同面对，需要将军民融合携手解决关键信息基础设施安全防护作为基本思想，以解决重点问题为抓手，谋求从根本上解决国家关键信息基础设施面临的综合性安全风险。

  三、明确互联网空间安全的新需求、新能力、新格局，构建全方位、全天候、全过程、全覆盖的体系化的军民融合整体保障体系

  进入中国特色社会主义新时代，开启伟大斗争、建设伟大工程、推动伟大事业、实现伟大梦想，就必须以关键信息基础设施为核心目标，维护互联网空间国家主权，安全和发展利益，必然对网络安全和产业高质量发展提出更加高的要求和更多需求。树立正确的网络安全观，从国际国内重大网络信息安全事件和技术发展的新趋势看，采取实时监测安全威胁、动态主动调整防护策略、安全事件快速应急处置等综合手段来应对日益严峻的网络安全威胁，构建全方位、全天候、全过程、全覆盖的体系化整体保障能力已成为确保关键信息基础设施网络安全的必然趋势。网络安全产业一定要采取军民融合的方式，创新模式，担当责任，构建全方位、全天候、全过程、全覆盖的军民融合整体保障体系。

  （一）开展整体保障服务，建立网络安全专业保安创新模式，从组织形式上解决力量缺乏的问题

  关键信息基础设施网络安全防护模式由“工人纠察队”式自我防护模式转变为可信的“专业保安队”服务模式，从采购产品向采购“安全目标”转变，将网络安全规划、安全评估、安全设计、建设实施、安全运维、安全培训及人才教育培训等全生命周期安全保障过程统一纳入到安全服务范畴，可采用建立军民联合的网络预备役力量的创新模式，综合兼顾各方能力水平、利益诉求、职责任务，以网络预备役为组织方式，以重点项目为工作牵引，以军地攻防演练为检验方式，开展整体保障服务，建立一支可持续发展壮大的国家关键信息基础设施安全保障专业队伍。

  （二）加强合作，建立面向整体保障的网络安全产业联盟，以武器装备协同攻关模式持续提升技术、产品与服务水平

  在《网络安全法》、关键信息基础设施保护条例、网络安全等级保护制度等法律和法规的指引下，以保障关键信息基础设施整体安全为目标，着力应对国家层面的网络安全风险，将关键信息基础设施持续健康运行和数据资产的可靠保护纳入互联网空间国防力量的保护范畴。通过产业联盟，聚集产业优势资源和力量，博采众长，在整个网络安全行业突出国家关键信息基础设施这个重点目标，并将网络安全产品和服务的研发、检测、运行纳入优化的军队武器装备采购系列，逐步通过军队层面高强度的攻防测试，实现国家安全信息基础设施的全面安全，达到攻击可防御、行为可检测、攻击可溯源、威胁可预警、事件可处置等网络安全工作的目标，推动关键信息基础设施网络安全从单一防护向体系化防御、从被动防护向主动防御，从局部静态防护向整体动态防御的根本性转变。

  （三）坚持自主创新，提升监测、预警、防御及快速响应能力，以综合施策、整体防御和协同能力应对综合性风险

  习指出：“知己知彼，才能百战不殆。没有意识到风险是最大的风险”，“感知网络安全态势是最基本最基础的工作”。要实现整体安全，必须加强技术升级换代，聚焦核心技术突破，在基础性技术、前沿性技术、颠覆性技术投入研发方面花大力气，尽早实现关键信息基础设施网络安全装备自主创新。大力推进军民融合，协同攻关，突破网络安全态势感知，预警监测的核心关键技术，尽早尽全面地积累网络安全态势数据和情报，抵达安全威胁早发现、早预防、早处置、早加固，防患于未然，全方面提高网络安全防御的主动性。

  （四）加强密码技术应用，以核心技术和关键手段保障关键信息基础设施数据资产安全

  密码技术是互联网空间安全的核心技术之一，是保障信息数据安全的最后一道防线，也是最本质和最有效的数据安全防护手段。同时，密码也是网络进攻的有力武器（勒索病毒正是将密码作为武器使用）。我国在密码技术方面具有深厚的积淀和国际领先水平。要着力解决数据资产“裸奔”、“裸睡”的严峻局面，亟待全方位加大密码技术的应用，保障国家、军队、企业乃至个人等多个层面的数据资产安全。充分借鉴军队从装备保障向数据保障进行变革的有效经验，通过军民融合的方式，联合网络安全企业，尽快推广到国家关键基础设施防护体系，为全方位提升保障能力提供核心技术和核心手段。（作者系卫士通信息产业股份有限公司高级副总裁）