強化網(wǎng)絡安全評測能力為國家安全保駕護航

■ 中國電子信息產(chǎn)業(yè)發(fā)展研究院院長 張立

近年來，國內(nèi)外網(wǎng)絡安全事件頻發(fā)，網(wǎng)絡入侵、數(shù)據(jù)泄露問題凸顯，網(wǎng)絡安全成為國家安全的重要組成。習近平總書記指出，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進”，“沒有網(wǎng)絡安全就沒有國家安全”。黨的十九大作出戰(zhàn)略部署，要求建立網(wǎng)絡綜合治理體系，營造清朗的網(wǎng)絡空間。中國電子信息產(chǎn)業(yè)發(fā)展研究院認真貫徹落實習近平總書記系列講話精神和黨中央決策部署，著力強化網(wǎng)絡安全評測能力，為推進網(wǎng)絡強國建設、提升國家安全保障能力保駕護航。

一、網(wǎng)絡安全在國家安全中的重要性不斷凸顯

保障網(wǎng)絡安全，成為維護國家安全的重要內(nèi)容。

當前，國際形勢日益錯綜復雜，各種形式的網(wǎng)絡攻擊頻繁出現(xiàn)，部分攻擊事件給國家安全造成重大威脅。例如，2018 年，伊朗遭到網(wǎng)絡攻擊，國內(nèi)互聯(lián)網(wǎng)出現(xiàn)短暫中斷；2019 年，委內(nèi)瑞拉因網(wǎng)絡攻擊導致兩次大規(guī)模停電。我國大量政企機構網(wǎng)站、郵箱系統(tǒng)、物聯(lián)網(wǎng)和工控設備、域名系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)等，近年來多次遭遇勒索病毒、APT、大規(guī)模DDoS 攻擊等，造成網(wǎng)站篡改、系統(tǒng)癱瘓、數(shù)據(jù)泄露等嚴重后果。

在新冠疫情防控期間，我國也遭遇到數(shù)據(jù)安全、個人信息保護方面的攻擊。當前，我國正處于產(chǎn)業(yè)升級、經(jīng)濟轉(zhuǎn)型的重要時期，網(wǎng)絡在社會發(fā)展和國家治理中發(fā)揮越來越重要的作用，保障網(wǎng)絡安全對我國社會經(jīng)濟穩(wěn)定發(fā)展至關重要。

保障信息基礎設施安全，成為筑牢“新基建”的重要基石。

近年來，國家高度重視新型基礎設施建設，并要求加快進度?！靶禄ā钡闹攸c在于新，特點在于通過新一代信息網(wǎng)絡、數(shù)據(jù)中心等，形成數(shù)字化、網(wǎng)絡化的新型基礎設施，并結合運用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等信息技術，將各行各業(yè)緊密關聯(lián)，從而發(fā)揮乘數(shù)效應，催化產(chǎn)業(yè)融合發(fā)展。在此背景下，網(wǎng)絡等信息基礎設施成為“新基建”的重要基礎。一旦網(wǎng)絡安全出現(xiàn)問題，就會影響“新基建”的建設和運營。保障信息基礎設施安全，成為了筑牢“新基建”根基的關鍵所在。

保障數(shù)據(jù)要素安全，成為暢通社會經(jīng)濟血液循環(huán)的重要保證。

近日，中共中央、國務院下發(fā)《關于構建更加完善的要素市場化配置體制機制的意見》，提出“加快培育數(shù)據(jù)要素市場”，表明隨著社會經(jīng)濟不斷發(fā)展，數(shù)據(jù)作為重要的新型生產(chǎn)要素，成為社會經(jīng)濟發(fā)展血液的關鍵組成部分。

隨著智慧城市、物聯(lián)網(wǎng)、云計算、智能化設備等的高度發(fā)展，海量數(shù)據(jù)的高效處理和順暢流動將極大地降低社會交易成本，提高資源優(yōu)化配置效率，提高產(chǎn)品、企業(yè)、產(chǎn)業(yè)附加值，推動社會生產(chǎn)力快速發(fā)展。

數(shù)據(jù)要素的流動深度依賴網(wǎng)絡，數(shù)據(jù)安全深度依賴網(wǎng)絡安全，保證網(wǎng)絡安全，防止數(shù)據(jù)篡改、泄露、損毀、濫用，促進數(shù)據(jù)高質(zhì)量處理利用，是數(shù)據(jù)要素合理暢通有序流動的前提，是社會經(jīng)濟血液循環(huán)暢通的重要保證。

二、發(fā)揮綜合評測實力，有力支撐網(wǎng)絡安全保障

主動擔當作為，發(fā)揮政府支撐與網(wǎng)絡安全治理主觀能動性。

中國電子信息產(chǎn)業(yè)發(fā)展研究院以下屬中國軟件評測中心為主體，支撐多個國家部委，承擔了多項國際國內(nèi)重大活動網(wǎng)絡安全保障任務，為活動的圓滿舉辦貢獻力量；承擔國家重點信息系統(tǒng)的網(wǎng)絡安全風險評估、網(wǎng)絡產(chǎn)品和服務安全審查等任務，督促相關機構提升安全能力，引導產(chǎn)業(yè)向安全可控方向發(fā)展。

支撐工信部網(wǎng)安局開展通信行業(yè)年度網(wǎng)絡安全檢查和對電信運營商、工控系統(tǒng)及移動APP 的遠程檢測工作，完成對全國各省電信運營商數(shù)百個網(wǎng)絡單元和數(shù)十個重點互聯(lián)網(wǎng)企業(yè)的現(xiàn)場檢查任務，并持續(xù)開展遠程檢測，有力促進了行業(yè)網(wǎng)絡安全防護水平不斷提升。

輸出專業(yè)技術，通過網(wǎng)絡安全行業(yè)的檢測、評估、認證、咨詢等服務，助力國家安全產(chǎn)業(yè)發(fā)展。

中國電子信息產(chǎn)業(yè)發(fā)展研究院指導中國軟件評測中心，針對行業(yè)網(wǎng)絡安全保護、關鍵信息基礎設施保護、“網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品”安全認證與檢測評估制度的貫徹落實，積極開展公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域的信息系統(tǒng)網(wǎng)絡安全測評、信息安全風險評估、網(wǎng)絡滲透測試，通過安全技術輸出引導企業(yè)信息系統(tǒng)建設向規(guī)范化方向發(fā)展，作為第三方測評機構助力國家安全產(chǎn)業(yè)發(fā)展。

開展網(wǎng)絡安全重大科研課題探索，營造健康向上的網(wǎng)絡安全產(chǎn)業(yè)生態(tài)。

中國電子信息產(chǎn)業(yè)發(fā)展研究院及中國軟件評測中心，先后承擔國家重點研發(fā)計劃“網(wǎng)絡空間安全”專項、工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程等多項重大研究課題，在工業(yè)及電信行業(yè)安全標準、安全仿真測試平臺、網(wǎng)絡安全測評服務公共平臺、網(wǎng)絡安全監(jiān)測分析、技術應用及產(chǎn)業(yè)化推廣等方面取得長足進展，實現(xiàn)對新技術的融合與傳統(tǒng)技術的迭代。通過重大課題聯(lián)合產(chǎn)、學、研、用產(chǎn)業(yè)鏈條中的機構，調(diào)動各行業(yè)資源，充分發(fā)揮不同機構技術優(yōu)勢，促進產(chǎn)業(yè)協(xié)同創(chuàng)新，營造健康向上的網(wǎng)絡安全產(chǎn)業(yè)生態(tài)。

三、強化評測支撐力量，為國家網(wǎng)絡安全保駕護航

網(wǎng)絡安全保障是一項復雜的系統(tǒng)性工程。建立完善的國家網(wǎng)絡安全綜合保障體系包含立法、標準制定、產(chǎn)業(yè)發(fā)展與培育、數(shù)據(jù)安全治理、安全人才聚集等多方面內(nèi)容。

中國電子信息產(chǎn)業(yè)發(fā)展研究院將繼續(xù)以中國軟件評測中心為主要力量，提高政治站位，強化責任擔當，充分發(fā)揮“國家級平臺、全科型團隊”的作用，不斷提升網(wǎng)絡安全技術檢測能力，為國家網(wǎng)絡安全戰(zhàn)略提供有力支撐。

強化新技術新業(yè)態(tài)下的安全評測和監(jiān)測能力建設，提升網(wǎng)絡安全防護水平。

提升網(wǎng)絡與信息安全保護能力，實現(xiàn)網(wǎng)絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)的常態(tài)化安全檢查與保護。著眼于“新基建”戰(zhàn)略規(guī)劃，尤其是5G、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心與云平臺等新技術場景下的網(wǎng)絡空間安全基礎理論和關鍵技術，不斷完善網(wǎng)絡空間安全測評技術體系，推動相關領域網(wǎng)絡安全防護水平提升。

面向關鍵信息基礎設施領域提供全方位服務，站好兩化深度融合的安全崗。

針對關鍵信息基礎設施運營者提供安全保護技術咨詢服務，進行標準宣貫與條款解讀，開展安全制度、安全技術和安全意識培訓。協(xié)助大型央企、國企等企業(yè)建立完善的安全制度和安全運行管理體系。

針對工業(yè)互聯(lián)網(wǎng)關鍵信息基礎設施，研究可行的網(wǎng)絡安全防護策略與風險評估方案，尤其針對無法進行漏洞掃描和滲透測試、正在運行的系統(tǒng)無法停工以備檢查、檢查出問題項但不具備整改條件等較難處理的情況尋求可行的解決途徑，搭建網(wǎng)絡信息安全技術監(jiān)控平臺或網(wǎng)絡安全測評公共服務平臺，實現(xiàn)信息安全的監(jiān)控、預警、分析、研判。

強化行業(yè)監(jiān)管，豐富安全服務，推進數(shù)據(jù)安全保護與軟件安全評測工作。

積極開展合規(guī)性評估、數(shù)據(jù)安全風險評估、APP 違法違規(guī)檢測等數(shù)據(jù)安全測評，配合監(jiān)管部門網(wǎng)絡數(shù)據(jù)安全監(jiān)督執(zhí)法。除此之外開展開源軟件安全測評，通過源代碼安全審查、白盒分析、風險評估及威脅分析、漏洞掃描、滲透測試、基線核查等方式對產(chǎn)業(yè)急需、有市場呼聲的軟件產(chǎn)品開展測試。

強化能力整合和輸出，構造網(wǎng)絡安全生態(tài)圈。

依托已有的重點實驗室、安全測試和檢驗平臺等，建設滲透測試、眾測等新平臺，以我為主，整合合作伙伴的各項安全能力，向其他測評機構輸出滲透測試、合規(guī)性檢測等測評能力，通過眾測聚集安全公司、白帽子等零散安全能力，形成能力放大器。發(fā)揮行業(yè)影響力和號召力，吸引一批業(yè)界合作機構，構造完善的網(wǎng)絡安全測評生態(tài)圈，形成良性生態(tài)循環(huán)和強大造血能力。