郭啟全:關鍵信息基礎設施保護的對策措施
責編:mhshi |2017-06-15 10:29:26郭啟全:尊敬的倪院士、吳院士,各位專家,各位會議代表,很高興有這樣一個機會和大家匯報一下、通報一下情況。
5月12日“永恒之藍”勒索病毒人盡皆知。此事件一爆發,5月13日一早就組織國家通報中心,向201個我們國家的重要部委、央企發通報,發預警,提出處置措施。向網站、媒體、中央電視臺,向所有媒體,向全社會發布預警,這是公安部組織全國幾萬網絡警察和上百個信息安全企業共同來阻擊“永恒之藍”對中國的攻擊。
這次攻擊事件給了我們很多啟示:第一物理隔離、邏輯隔離無法防范國家級、有組織的高智能的攻擊;第二有些重要行業部門對內網安全重視不夠,以為把邊界防御好了就可以了。其實不對,這次吃虧比較大的主要是內網;第三我們許多行業部門應急隊伍、應急能力、應急機制都不強,差距很大。因此如果下次再出現大規模的病毒攻擊,我們就有了一定的經驗,有了一定的能力來迅速的做出響應。
既然談關鍵信息基礎設施,作為組織《國家關鍵信息基礎設施條例》制定者之一,我們和有關部門在組織這個事情。首先看看什么是國家關鍵信息基礎設施。《網絡安全法》都有定義,我就不重復了,但是我們要清楚,就是重要基礎網絡、重要系統、數據資源,如果分類的話也就是這幾大類,要體現關鍵。公安機關的職責是什么公安機關有一個警種叫網絡警察,網絡安全保衛部門,是保衛國家網絡空間安全的,這支隊伍是國家網絡空間安全的主力軍。這支隊伍主要的職責是保衛國家關鍵信息基礎設施安全,監督、檢查、指導,打擊危害關鍵信息基礎設施的網絡違法犯罪,《警察法》、《國家27號令》、《網絡安全法》,還有國務院給公安機關的“三定”都有明確的說明,是保衛網絡空間安全的,保衛國家關鍵信息基礎設施安全的。特別是《網絡安全法》第31條規定,關鍵信息基礎設施是在等級保護制度基礎上實行重點保護。
因此,第二點我就要談到國家關鍵信息基礎設施要首先落實等級保護制度,什么叫在等級保護制度基礎上實施重點保護?因為按照《網絡安全法》的要求,關鍵信息基礎設施先要落實國家等級保護制度,因為《網絡安全法》的第21條就說得很清楚,國家實施網絡安全等級保護制度。作為一項基本制度,一項基本國策,我們國家的等級保護制度,在10年前四部委出臺43號文,中央2003年出臺27號文,標志著我們國家等級保護制度進入一個全面實施的時代。現在等級保護已經進入2.0時代,這是一個很重要的標志:第一個標志就是從國務院27號令提升到法的高度;第二看看中央有幾個重要文件,要求我們完善等級保護制度;第三按照習近平總書記的要求,健全完善以保護國家基礎設施為重點的等級保護制度。等級保護制度進入2.0時代,我認為這是有很重要的依據的。
這需要我們大家共同和公安部,和重要行業部門解決什么問題呢?怎么把國家的等級保護制度打造成新時期國家網絡安全的基本制度,基本國策。因此,我們大家要一同構建新的法律政策體系、標準體系、人才技術支撐體系、人才隊伍體系、教育訓練體系和保障體系。吳院士講的體系結構也是體系,一個國家制度也要成體系。因此,這些事情都要靠我們一起去努力,去構造這個制度體系。
等級保護制度進入2.0時代,核心本質的東西主要是三個方面:一是把《網絡安全法》當中以及以前中央有關部委出臺的有關重要的文件當中,網絡運營者要落實這些關鍵措施,納入到這個制度當中去實施。有些措施在《網絡安全法》能找到,有些找不到,比如綜治考核是什么?那個法當中沒有,那是中央文件當中有的。公安部代表中央綜治辦,代表中央考核地方黨委政府網絡安全工作,減2分,就是這個意思;二是把以前沒有過的,10年前你沒聽說過大數據、云計算、物聯網,10年前沒有這些東西,10年之后有這些東西了,要把這些新技術、新應用,包括現在關注的網絡基礎設施重要業務系統和信息,當然現在又有一些新的東西,把這些東西都要納入到等級保護去保護和監管;三是互聯網企業納入到等級保護管理,為什么要保護互聯網企業?大家都知道,互聯網企業的網絡基礎設施、重要業務系統、大的公共服務平臺、大數據,它的安全影響國家安全和社會公共安全。要保護互聯網發展,首先要保護網絡基礎設施安全,這就是我說的等級保護制度的核心內容。
新的歷史時期,等級保護制度進入2.0時代,等級保護制度有它的制度特點,有四個方面可以總結一下:一是全新的國家網絡安全基本制度體系;二是以保護國家關鍵信息基礎設施為重點;三是保護策略發生變化,因為新的制度體系有技術體系,有人才體系,在座的都是專家和人才。因此,要從保護策略、保護方法、產品、技術等方面綜合去布局和考慮,這里面就有變被動防御為主動防御問題,這里面就有可信計算、人工智能、專家系統、IPv6、量子計算等,這些技術體系,怎么變被動防御為主動防御和綜合防御;四是保護對象、保護措施發生變化。
正確處理和理解等級保護制度和關鍵信息基礎設施保護這兩者的關系,這一點非常重要。制度是關鍵信息基礎設施保護的基礎,而關鍵基礎設施是制度保護的重點,二者相輔相成,不能分割。這是我們國家網絡安全最重要的兩個方面,一個是基本制度,一個是保護的重點。制度是普適性的,關鍵基礎設施是一個點,一個面和點的關系。怎么確定國家關鍵信息基礎設施?目前關鍵信息基礎設施只有一個概念,因為關鍵信息基礎設施認定的方法和指南我們還在研究,還沒有出臺。指南都沒有出來,所以關鍵信息基礎設施現在只有一個概念。是不是關鍵信息基礎設施首先要定級,等級保護五個規定動作,把一級系統、二級系統當做關鍵信息基礎設施,是不合適的。既然是關鍵,至少要在國家三級以上的系統當中拎出一部分,三級以上的系統還不全是。如何來確定國家關鍵信息基礎設施,范圍要清楚。那得是在三級以上系統當中拎出一部分,那個子集才是。是不是國家關鍵信息基礎設施?必須要定級,不定級就無法確定是關鍵信息基礎設施。
關鍵信息基礎設施是越多越好還是越少越好?都不對。是最恰當的,把國家最核心的關鍵基礎設施,重要信息系統,大數據資源拎出來,作為重中之重,所以這是一個范圍。必須按照國家等級保護制度的要求去定級。那么這五個規定動作必須做,到公安機關備案,開展等級測評,進行安全檢查和安全建設整改。現在網絡安全法出臺了,但是還有國家安全法,防空法及一些更重要的刑法,這是一個安全體系。看看刑法怎么對網絡運營者,違反網絡安全的要求,發生重大事件和事故,怎么對它處罰,那是三年以下有期徒刑,這才是對國家網絡安全最重要的支撐。關鍵基礎設施的范圍是什么,動作是什么,和這個制度的關系是什么要說清楚。我們有一些重要的思路、思想和理念,是以國家級、有組織的網絡攻擊為標尺,要以國家級的網絡攻擊作為標尺,保護國家關鍵信息基礎設施,誰攻擊你的關鍵信息基礎設施?誰在惦記著它,用什么攻擊?所以要把標尺卡準了,標尺都卡不準,搞什么關鍵信息基礎設施保護?想什么呢?這就是最重要的指導思想。所以我們在制定國家的大政方針,在搞頂層設計的時候,不能不考慮這個問題。如果你的對手你不清楚,你把標尺都卡不準,你的保護能力行嗎?是不行的。因此我們在制定國家的有關條例當中,最重要的幾個指導思想就是這些。把標尺卡準,舉國家之力強化。有三個關鍵詞,保衛、保護和保障,如果僅有保護,一定保護不好,一定保衛不了,一定保護不了,防永遠是防不住的。因此我要先說保衛,國家關鍵信息基礎設施,一定要動用國家武裝力量,軍隊警察去保衛。靠我們國家一起努力,采用各種關鍵基礎設施去保護。不給你人,不給你經費,不給你裝備怎么保護?所以還要有一個保障。因此我們全社會,特別是各級財政、企業、企事業單位要出經費,要給裝備,研發新技術,還要給隊伍,給人,給機構。所以我們說,保衛、保護和保障是我們國家關鍵信息基礎設施安全的三個關鍵詞。
要以等級保護為抓手,以通報為平臺,以情報偵查為突破,以偵查打擊為支撐。因此,要構建網絡社會的偵攻防管控化的綜合防御體系。我們的關鍵基礎設施綜合防御能力、水平和技術要針對最強大的對手去設計、提升和創新,所以防御要專業化、集團化和集約化。全面提升我們的網上行動能力。這個行動能力不是靠一家,靠誰,靠某一個組織,靠某個群體,是靠我們共同的。大家都知道政府、企業、專家,我們一起努力來提升我們的行動能力,這就是我們的情報偵查能力、進攻能力、實時監測能力、技術檢測能力、通報預警能力、應急處置能力、追蹤溯源能力、綜合防御能力、態勢感知能力、固證打擊能力、技術反制能力、數據獲取能力,這些能力都要有。
最后,我說點體會。經過這幾年的實戰,國家重大活動安保和“永恒之藍”的阻擊,我認為網絡安全就是我們全體和我們的對手進行信息對抗、技術對抗、人才對抗。以總書記的一個重要指示作為結束語,5月19日,中央電視臺已經播過了。習近平總書記在接見公安機關英模集體代表的時候講了一句很重要的話,其他的就不重復了。習總書記講:“發展是硬道理”。這是千真萬確的,安全也是硬道理,謝謝大家!
本文由編輯根據現場速記整理發布,速記可能存在不準確之處。
下一篇:瑞星葉超:決戰企業網絡之端