肖新光：以全面能力建设导向带动网络安全需求解放

远望智库：与智者同行，为创新加速

专家库 | 人才库 | 企业库 | 项目库 | 投资机构库 | 招商信息库 | 前沿特工队招募

来源：中国信息安全

本文刊登于《中国信息安全》杂志

作者：肖新光

经过近20多年的发展，我国网络信息安全产业在克服各种困难中砥砺前行。从国家逐步完善网络信息安全产业的顶层设计，到各职能部门陆续推出各项政策法规和鼓励措施，再到网络信息安全企业的不懈奋斗，网络信息安全产业的发展为信息化建设提供了基本保障。如今，网络信息安全产业迎来了前所未有的发展机遇，网络信息安全产业的从业者，必将会披荆斩棘在不断化解各种“问题”的路上继续前行。

当前，我国网络安全的顶层设计逐步完善，工作要求明确。全社会对网络安全重要性的认识不断提升。网络安全产业迎来了前所未有的发展机遇，而产业发展的关键在于将战略判断和认识转化为硬性的工作要求，转化为有效的工作落实，从合规检查、应对单点威胁为驱动，走向全面能力建设的模式，充分解放需求。

习近平总书记的系列讲话对网络安全工作效果要求不断提升，为网络安全能力建设指出了方向。2016年的“4·19”讲话要求“全天候全方位感知网络安全态势”，对态势感知提出了增强连续性、抗干扰性和无死角的要求。此后，在2017年的“2·17”讲话中，总书记将工作要求提升为“实现全天候全方位感知和有效防护”，要求改变无效防护的局面，从感知风险的存在，提升至通过有效防护对抗威胁、控制风险，并强调了感知与防护能力必须做到全方位覆盖。在今年的“4·20”讲话中指出要“关口前移”，对落实网络安全防护的方法提出了重要要求，而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。

通过安全监测、防护和处置工作看到的情况是，有大量信息系统还处于“缺感少知或虚假感知”、“缺少防护或无效防护”的状态，距离总书记“全天候全方位感知和有效防护”的工作要求还有相当大的差距，“防患于未然”就更难达成。“物理隔离+好人假定+纸面推演”形成了自我麻痹和虚假安全感，面对勒索蠕虫这样的低层次的非定向攻击，很多重要信息系统内网、关键信息基础设施，出现了大面积感染情况，这样的防护水平显然不能防范有国家和政经集团背景的高级网空威胁行为体的攻击。从安天监测分析的“白象”“绿斑”“海莲花”等高级网空威胁行为体的攻击来看，多数攻击中频繁使用是陈旧漏洞。这种攻击方式能够起到作用，正是防御能力的不足为对手提供了攻击敞口，暴露了长期投入不足、能力建设的驱动力不足导致防护缺失。这种防护缺失并非只是技术先进性不足的结果，而是信息系统在规划建设运维中，未能同步考虑网络安全问题的结果。在架构安全、纵深防御、态势感知与积极防御、威胁情报等层面都存在能力缺失、离散建设和碎片化投入等问题，十分严重。

网络安全能力不能适配保障网络强国的战略目标的实现，是当下严峻的问题和挑战，如能直面问题，迎难而上，则又正是把握信息化跨越式发展的重大历史契机。做好网络安全防护工作需要以客观敌情想定为前提，按照应对敌情的标准进行高线能力建设。一个国家的网络安全防御能力最终是攻击者和窥视者检验的。客观的敌情想定是做好网络安全防御工作的前提。在当前激烈的大国博弈和地缘竞合的背景下，具有国家和其他政经综合背景的高级网空威胁行为体，对我国重要信息系统、基础设施进行入侵渗透，形成远程控制、情报窃取能力，预谋实施干扰、破坏、毁瘫等，已趋于常态化。能否有效防御这一层次的攻击，对于维护我国主权、安全和发展利益，非常重要。

在信息化、网络化发展的初期，我国依靠合规驱动，评估检测等手段，逐步推动了网络安全制度规范、技术环节从无到有，形成了基础及格线要求。在社会发展运行高度依赖信息化的今天，重要信息系统和关键信息基础设施的防护，合规标准如果都不能达成是注定不行的，但是仅仅到达合规要求也是远远不够的。需要深入分析对手，建立完善“敌情想定”，按照应对敌情的高线为标准进行安全能力建设。应以“敌已在内，敌将在内”作为研判的基本前提，充分认清信息资产特点和防护需求，充分考虑供应链、外部信息环境、信息交换、人员社会关系等方面的综合挑战，结合对敌情想定中各攻击、关联方的国家战略、作业意图、攻击能力、作业风格、装备体系等，对标分析，才能有的放矢。只有将重要信息系统和关键信息系统防护目标从符合合规标准，提升到应对“假想敌”的防御水平，才能改变防御缺失的现状，形成真正意义上的有效防护。

“网络安全本质在对抗，对抗本质在攻防两端能力较量。”无论是核心技术突破、产品功能深化，还是产业体系发展，网络领域所有进步和发展，都要转化为防御场景下的实际能力，经历实战检验。从发达国家网络信息安全建设规划发展的经验来看，也经历了从合规导向建设模式到威胁导向建设模式，在21世纪初就已经逐步走入到能力导向建设的模式。

美国国防部2001年《四年防务评估报告》中指出：随着冷战结束，国际形势日益复杂化，已经很难清晰地识别出所有的敌对威胁行为体，因此需要从基于威胁的规划模式转为基于能力的规划模式⋯⋯需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式，演化为全面建设必要的网络安全防御能力并将其有机结合形成网络空间安全综合防御体系的能力导向建设模式。

2002年，美国推出了《联邦信息安全管理法案》（FISMA）。FISMA在充分认识信息安全对于美国经济和国家安全利益重要性的基础上，要求各联邦机构制定并实施适用于本机构的信息安全计划，保障联邦信息和信息系统安全。

在FISMA的牵引拉动下，美国联邦政府的安全预算在IT总花费占比得到提升，并在奥巴马执政期间形成一轮能力建设高潮，在2012年一度占比达到19.5%。

如果希望网络安全形成规模型产业，就必须形成高质量的规模化需求。我国在网络安全法颁布实施、网络安全责任制大力推行的背景下，未来将会迎来网络安全投入建设的高潮。而相关投入能否有效转化为综合防御体系能力，并不能简单地靠增加投入来完成。网络安全即需要资金投入保障，同样也需要能力建设导向。在网络安全投入中，需要推动架构安全、纵深防护、态势感知与积极防御和威胁情报的能力建设的叠加演进，形成示范方法和最优实践。

一方面，要对现有的关键基础设施等提出应对“敌情想定”的更高的防护，另一方面，新兴智慧城市、工业互联网等信息化的增量建设部分，更积极地落实总书记关于“安全与发展同步推进”的工作要求，在信息系统规划、建设、运维的全生命周期中都考虑网络安全问题。在新一轮信息化加速投入，拉动经济社会发展过程中，实现网络安全能力的深度结合与全面覆盖。

网络安全产业发展，需要进一步的市场、金融、财税政策的支持。各行业领域的历史发展经验证明，直接给钱补贴的方式，不是一种最优的模式，而是需要同时激发供给和需求两端。一方面，需要建立优胜劣汰的市场规则，将支持创业发展、技术自主创新的政策对网络安全企业落实到位。另一方面，更需要有利于释放需求，提升政企机构网络安全投入积极性的激活需求侧举措。如能将网络安全建设投入作为企业税前加计扣除，将经济落后区域的网络安全投入纳入中央转移支付项目，就是一种推动需求的策略。

在“一带一路”国家和友好的第三世界国家中打造、提供更多网络安全援外项目，这不仅是推动产业发展，也是中国为保卫网络空间人类命运共同体承担的国际主义义务。

中国网络强国需要网络安全产业能力支撑，网络安全产业则需要规模化发展。“历史只会眷顾坚定者、奋进者、搏击者，而不会等待犹豫者、懈怠者、畏难者。” 战略挑战和战略机遇都摆在中国网络安全产业人面前，我们需要给出自己的答卷。