在2018年4月召开的全国网络安全和信息化工作会议上,习近平总书记明确提出“加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然”。要做到“关口前移,防患于未然”,就必须以互联网思维应对网络空间安全,以军事战略学方法为指导,明确网络空间防御战略主体、范畴,确定战略目标和方针,并将长远战略细化为行动手段。

一、网络空间安全战略决定因素多元

网络空间安全战略的确定,是由一个国家或国家集团在国际政治中的地位,以及在网络空间的主从态势、经济利益、技术水平和威胁环境等因素决定。由于各国在国际社会的地缘环境、政治诉求、外交关系、网络利益等各不相同,世界各主要国家的网络空间安全战略亦各不相同。

1. 美国谋求现实政治霸权的网络空间延伸

美国在网络空间拥有绝对的先发优势、技术优势和信息霸权地位,这些决定其网络空间安全战略偏重于“预防、威慑、塑造”等。在其出台的系列网络空间安全战略文件中,都强调美国应“引领世界,寻求制定国际网络政策”“打击网络恐怖主义”和“确保美国在信息网络空间的优势地位”等。美国2011年的《国防部网络空间行动战略》和2015年的《国防部网络空间战略》两份重要战略报告都明显提出,美国的网络空间安全战略“首要的是时刻准备保卫美国本土及美国重要利益免遭可造成严重后果的破坏性、毁灭性的网络攻击”,具有极强的攻击性。美国提出的“互联网自由倡议”“网络反导”和“网络战”等概念,都显示出其在网络空间谋求和延伸政治霸权的思维逻辑。

2. 欧盟强调“优先防护”确保自身利益

欧盟网络安全战略强调“防护优先”,主张建设一个公开、安全、有保障的网络空间,强调欧盟在线下所提倡的同等规范制度、法则和价值观也应当适用于网络空间,强调必须注重保护公民的基本权利、个人数据和隐私,追求让每个人都能够访问互联网并且不受阻碍获取信息。2018年5月生效的《网络与信息系统指令》(NISD)和《通用数据保护条例》(GDPR),也充分彰显其网络空间的战略诉求。

3. 俄罗斯采取对抗策略追求“主动安全”

由于地缘政治的利益冲突,俄罗斯网络空间威胁环境更加恶劣,这就决定其必须采取“主动安全”网络空间战略,强调国家要采取全面系统的措施,利用信息和通信技术科技优势,对抗网络风险,防止其被用于实施损害国家主权、破坏国家领土完整,并威胁国际和平、安全和战略稳定性的敌对行为和侵略行动。俄罗斯联邦2016版《信息安全学说》明确,学说旨在保证俄罗斯在“信息领域的国家安全”,加强俄罗斯防御国外网络攻击的能力,并从战略层面防止和遏制与信息科技相关的军事冲突。

4. 更多国家选择“追随”策略应对安全风险

全球大多数国家在享受互联网发展带来巨大利益的同时,对网络空间的安全风险缺少独立的应对能力,只能采取“追随”策略。英国坦承,其国家难以独立检测或抵御互联网带来的系统损坏和数据盗用等巨大风险,唯有“追随”美国的策略,维护自身网络安全,而将自身力量主要聚焦于网络防护和打击网络犯罪方面。日本,也做出同样的选择。此外,其他信息技术和网络应用相对落后的发展中国家,网络安全能力更加薄弱,只能选择加入某些“阵营”,寻求与“同盟者”共同应对网络空间挑战,尽可能地维护自身网络安全。

5.我国选择“关口前移,防患于未然”积极防御战略

我国是独立自主的政治大国,我们的网络安全绝对不能依赖他人,必须走独立自主的发展之路。我国在网络空间拥有巨大的经济利益,国家网络安全技术具有一定水准,但是,网络核心技术受控于人。现实条件决定,必须采取“关口前移,防患于未然”的积极防御战略,采取以国家政府为主体,企业和全社会共同担负网络安全职责的策略,利用国家力量,社会齐心协力,才有可能最大限度的维护自身网络空间安全。习近平总书记关于网络空间安全战略的一系列指示,既是对当前国际政治和国家发展战略的全面权衡,也蕴含了深刻的军事战略学思考。他将现代战争中的“纵深防护”“立体作战”和“积极防御”思想,灵活运用于网络空间防御,为网络空间安全行动指明方向。

二、网络空间安全的战略主体、范畴和方针

采取军事战略学的方法深入细化网络空间安全战略,可将长远战略目标、行动方针和行动手段融为一体,能够最大限度地保证目标的可达性和手段的可操作性。同制定军事战略一样,网络空间安全战略的细化也必须明确战略的主体、范畴、目的和手段等要素。

1. 战略行动主体:国家安全保障体系

习近平总书记关于要确保国家网络安全保障体系的有效范围要覆盖至全部关键信息基础设施的论述,明确我国网络空间安全战略行为的主体是国家安全保障体系,包括《网络安全法》所规定的对关键信息基础设施负有防护责任的政府、企业和社会相关人员等要素。

国家网络安全保障体系集网络控制、数据保障、攻击感知、纵深防御、应急响应和信息管理等于一体,可以最大限度地实现网络和信息的综合防护。

国家网络安全保障体系突出政府主导下企业、用户的有机结合,“要形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局”。绝不可将网络安全责任简单地推卸给网络安全专业防护人员,或者将网络安全防护体系简单地理解为安全网关、防火墙、入侵检测、网关控制等网络安全设备。

2. 战略行动范畴:国家与社会安全相关网络活动

习近平总书记“没有网络安全就没有国家安全,网络安全和信息化是一体之两翼、驱动之双轮,事关国家安全和国家发展、事关广大人民群众工作生活”的论述,即明确了网络安全战略行为的范畴。

我国《国家网络空间安全战略》将战略行为范畴进行了进一步细化,包括:应对危害政治安全的网络渗透、威胁经济安全的网络攻击、侵蚀文化安全的网络有害信息、破坏社会安全的网络恐怖和违法犯罪等网络防护行为,以及为争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权和网络威慑,应对网络空间军备竞赛的网络安全战略行动等。

网络安全与国家政治、经济、文化等密切相关,但是,政治安全、经济安全、文化安全并不属于网络安全战略行为范畴,唯有与国家安全、国家发展、广大人民群众生活紧密相关的网络行为,才属于网络安全战略行为的范畴。那种将所有安全行为都与网络挂钩的无原则泛化,只会冲淡网络安全的主题。

3. 战略行动方针:“关口前移”积极防御

习近平总书记对网络空间安全提出的“防患于未然”的总体要求,是比一般系统可靠、网络可信、信息安全、数据保密等更高的要求。特别是在当前我国网络总体受控于人、安全技术相对落后、核心技术尚不能完全自主的态势下,实现“防患于未然”的战略目标,需要国家、企业和社会付出长期艰苦的努力。

但是,世界上没有攻不破的城堡,没有突破不了的长城,任何系统都存在“阿喀琉斯之踵”的薄弱环节,这是系统本身固有的脆弱性,无论堆砌多少安全防护设备,都无法完全根除。特别是在理论、硬件快速发展的信息技术领域,网络威胁环境日新月异,“被动防守永远无法确保安全”早已成为业界共识。

实现“防患于未然”的总体要求,必须采取“关口前移”的积极防御战略方针。军事上,只有积极防御才能实现敌我力量的消长,转换全局形势,打破敌人进攻,并为自己转入战略进攻创造条件。实行积极防御,不仅要在适当时机进行战略反攻,而且应在战略防御全过程中积极采取攻势行动,使战略防御具有活力。

在网络空间,实施“积极防御”,就必须突破“攻击——响应”型被动防御思想藩篱,贯彻网络空间全网感知、预先设防、主动防护的“积极防御”战略方针,努力做到“关口前移”。实现这一防御思想的转变和防御策略的转型,需要在信息基础理论、网络安全基础理论、智能算法、网络攻击、防御战法等核心技术领域赶上甚至领先于对手,知其所以然,然后,方知其然。

三、实现“关口前移”积极防御的战略行动

军事学上,战略防御的基本原则是实行大立体全纵深防御,防御“关口前移”要以部队投送能力和火力延展能力的提升为前提。同样,贯彻网络空间“关口前移”积极防御战略方针,也必须落实到防护范围扩展、防御模式转变、信息系统全生命周期设计和信息内容安全控制等战略行动上。

1.防护范围由核心涉密信息系统向全部关键信息基础设施扩展

随着国家信息安全保障体系能力的逐步提高,我国已经初步实现从核心涉密网络的设防到国家关键信息基础设施的初步防护,但是,一般信息网络的防护,仍由网络运营者自行负责,特别是对普通用户,其网络安全防护,几乎完全依赖软件防火墙、杀毒软件等简单的个人自我防护,因而存在巨大的网络安全风险。

习近平总书记明确提出,要将国家信息安全保障体系的覆盖范围扩展到所有关键信息基础网络,部署到信息化基础设施和信息系统的“每一个角落”,力求最大化覆盖构成网络的各个组成实体,包括桌面终端、服务器系统、云系统、通信链路、网络设备、安全设备乃至人员等,可有效避免由于存在局部安全盲区或者安全短板而导致整个网络安全防御体系的失效。

物理防御范围的扩大,将实现军事学上由“点防御”向“面防御”过渡,唯有大立体全纵深防御体系,才能灵活有效地支撑“关口前移”,提升网络空间的整体安全能力。

2.防护模式由被动防护向全网感知、积极防御转变

现阶段,我国网络空间安全战略简单的“被动防护”,一般局限于本网内部信息的静态特征识别、固定规则判定,特定关键词过滤和基于备份的简单回卷恢复等基本被动防御手段,攻击检测主要依托公开漏洞库对比,信息控制主要依托网络入口隔离设备。然而,仅仅依靠外部公开的漏洞库、囿于本网信息的感知,仅仅凭借攻击知识的自我积累,无论如何也无法预知何时、何地将遭遇来自外网的何种攻击,这种“盲人瞎马”式的被动防护,永远无法实现“防患于未然”。

对此,习近平总书记明确提出,“要全天候、全方位感知和有效防护”,要直面“谁进来了不知道、是敌是友不知道、干了什么不知道”的现实。因此,只有延伸感知范围,主动采集全网关键安全数据,深入分析、甄别、判断,有效识别外网攻击威胁,才能在外网攻击到来之前,预先实施有效防护,实时对抗网络威胁、有效控制安全风险。

唯有将全网感知、基于情报驱动的实时防护机制和必要的溯源攻击手段有效融合,将攻击威胁感知“关口”前移到全球网络空间,才能实现常态化的预先设防和实时响应,才能将防御行动前移到攻击发起之前,实现网络空间安全“防患于未然”的战略目标。

3.信息系统安全设计向全方位、全生命周期深入

“关口前移”还体现在信息系统安全向硬件、软件、环境和核心技术等各方面的全面延伸。在硬件安全方面,将网络防护由系统先建设、安全改造后进行,向安全系统同步建设,再逐步系统设备、部件元件的安全性设计前移。在软件产品方面,强调软件全生命周期安全设计,从现阶段软件成品的安全性测评,逐渐向代码编写质量控制、算法设计、框架规划、软件创意阶段的前移。在运行环境方面,从现阶段强调应用软件环境检测,逐渐向专用基础支撑环境、数据库支持、操作系统、硬件驱动直至硬件核心设计等关口前移。

习近平总书记指出:“要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现弯道超车”。尽快在核心技术上取得突破,聚焦信息安全关键技术自主可控,逐步摆脱互联网核心技术受制于人的被动局面,才是实现“关口前移”的可行之路。然而,没有雄厚工业实力和坚实理论基础为支持的安全防护,只能是沙砌的城堡、纸画的门神。

唯有筑牢安全理论、设计和生产、运营全方位的安全,才能真正做到“关口前移”,才能实现军事学上围绕核心目标的层层防护,构建“纵深防御”。“打铁还需自己硬”,无论在军事上,还是在网络安全防御上,都是相通的。

4.内容安全把关向信息流通全环节落实

网络是信息的载体,信息内容安全才是网络空间安全的核心。要实现网络信息内容安全,就必须在信息生产、流通和消费等各个环节严格把关,实施全程质量控制。

保障信息内容安全的“关口前移”,首先就是将安全防护意识向信息生产者,也就是信息源和“作者”方向延伸。提高每个信息生产者的网络安全意识,加强网络内容建设,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,这将远远胜过安全网关或网络入口的简单信息过滤和层层封堵。

其次,要提高媒体平台等信息传播者的法制意识和社会责任感,要本着对社会负责、对人民负责的态度,依法加强网络空间治理,坚决制止和打击利用网络鼓吹推翻国家政权、煽动宗教极端主义、宣扬民族分裂思想、教唆暴力恐怖活动的犯罪活动,坚决管控网络欺诈活动、散布色情材料、进行人身攻击及兜售非法物品等言行。

最后,要逐步培养网络用户正确的人生观、世界观和价值观,提高信息鉴别能力和欣赏水平,强调不造谣、不传谣、不信谣是对每个信息消费者的最基本要求。

网络空间是亿万民众共同的精神家园,网络空间乌烟瘴气、生态恶化,不符合人民利益。唯有从源头、渠道和用户诸环节,全面把好信息内容质量关,将网络安全防护与网络舆情引导管控有机结合,全面提高信息内容质量,才能真正实现网络安全由“面防御”向“立体防御”的转变,才能真正建设一个“天朗气清,生态良好”的网络空间。

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。