1、關于(guny)加強信息安全保障體系建設的思考寧家駿 為推進建設領域電子政務的建設，加強相關技術成果在城市信息化中的交流與應用(yngyng)，進一步提升城鄉建設水平，促進行業產業化發展，深入研討“十二五”數字城市的發展方向和技術要點，住房和城鄉建設部于2010年11月11日-13日在北京召開“第五屆中國數字城市建設技術研討會暨設備博覽會”。以下(yxi)為國家信息中心原首席工程師、現專家委員會主任寧家駿做主題演講：主持人：下面我們有請國家信息中心原首席工程師、現專家委員會主任寧家駿演講，他的演講題目是關于我國新時期加強信息安全保障體系建設的若干思考。寧家駿：大家知道面對國際金融危機，我國的經

2、濟社會持續快速的發展，中國已經成為一枝獨秀這樣的國家。我國信息化步伐加快，在促進經濟發展，調整經濟結構，改造傳統產業和提高人民生活質量等方面發揮了不可替代的重要作用，社會經濟對信息化的以來程度越來越高，同時逐步建設和積累了一批寶貴的信息資產，我國社會主義事業高速發展的成就彰顯了我國社會主義體制的優越性，也引起了國際敵對勢力的關注和猜忌，也使得國際范圍在各個領域的競爭日趨激烈，其中我國信息化的發展也招致了各種勢力的關注和攻擊。隨著信息技術日新月異的發展，近些年來，國家公用基礎設施在信息化應用和要求方面也在進一步提高，在這種情況下大家都看到了信息技術飛速進步帶來的新的安全問題，當前，世界信息化進入

3、斷代發展階段，物聯網在推動網絡空間從計算與通信世界延伸到物理實體世界。聯合國宣稱：盡管互聯網用戶將計以幾十億，然而在物聯網時代，帶來的安全更值得我們關注。隨著新技術的發展對國家的安全可能產生的影響，包括信息安全延伸到生命和財產安全，自己的適應行為擴大骨牌災難效應，感知全球下的社會活動越來越透明，網絡空間理論上都可以分解和癱瘓，大家知道網絡戰爭已經從過去的科學幻想走向現實，美國正式組建了網絡戰爭的司令部，這次我們的規劃建議明確說一定要打贏信息化的網絡戰爭。總的來說，對新的信息時代，大家對于特點和安全，還處在盲人摸象的階段，在這樣的情況下，網絡的空間分割和依賴，正是因為這樣，西方戰略家認為實體空間

4、的大規模毀滅戰爭正在向網絡空間的大規模的癱瘓戰爭轉型，只要把系統搞癱瘓了就勝利了，包括格魯吉亞，伊拉克等等地方都發生過。所以我們國家的信息安全必須看到面臨著日益復雜的尖銳的形式，隨著中國政府的崛起引起國際社會的廣泛關注，面對網絡與信息安全的新形勢、新情況，我國信息安全工作仍然存在一些亟待解決的問題。信息安全已經成為維護國家利益和保障國家安全的重要的戰爭，也代表著國家的根本利益，從信息安全的形式來說，總體來說嚴峻，我們的信息安全網絡事件發生的比例連續三年呈上升的趨勢，我們現在被木馬控制的IP地址將近一萬個，而且有所增加，我們將視網絡控制的手機、主機數量都在增加，而這些問題往往都是我們事先沒有察覺

5、的，比如說一些政府的網站，在被篡改之后沒有發現，因為他們往往沒有在最前面的主頁上進行篡改，有的在欄目當中被篡改，有的被篡改幾個月之后才被發現，這樣的情況我們必須看到，我們必須科學冷靜的分析我國信息安全的形勢，來構建我們的信息安全保障體系，這一點在我們加強數字保障里面也是刻不容緩的，中國作為世界第一網民大國，我們的互聯網帶寬非常高，但是我們不是信息強國，我們在信息技術的核心技術上，自主的可控能力不強，我們的信息化相當多的是買來的，同時我們在信息內容上，為什么我們國家大力發展自己的北斗星，包括的GPS，包括很多的東西，我們沒有真正掌握在自己的手里，而且我們的信息化發展不均衡，在信息安全的建設方面欠

6、帳較多，這是我們國家特有的國情，必須看到。同時還要看到網絡信息安全，特別是引擎與我們國家改革當中的熱點問題相互交錯，我們說信息安全經常直接影響到我們的重要信息系統的正常運轉，包括我們在城市尤為明顯，一旦發生了安全問題，導致了大面積的停電，交通癱瘓和通信的中斷，各個行業的管理失控，不僅嚴重的影響人們的生產生活，造成重大的經濟損失和社會影響。做好動態分析，尋找那些朝著正面和積極方向發展的特征根，盡量減少或者避開那些發生負面影響，引發振蕩的特征根或特征區間。大家知道重要信息都是部門單位或者國家正常運轉不可缺少的部分，在城市里面更是如此，包括我們城市的管理，包括城市的基礎設施的運作，包括我們城市的安全

7、，這些涉及到國家和城市的安全，而重要性由于規模大、設計復雜，涉及的人員多，保障相對困難，而且要達到一定的標準，所以所需要的投入相當大。正因為這樣，我們可以看到，以金融信息為例，我們從八十年代開始，我們的銀行業在全國范圍內建起一大批計算機網絡的系統，實現了業務全過程的電子化，從九十年代開始實現了綜合服務，保險業也一樣，從金融業我們現在已經完全實現了數據的大集中，但是大集中意味著高風險，特別是在我們當前，比如說滬深兩市的股票每天交易量達到3000多億，這種大規模既有好的一面，我們的處理能力每秒幾萬次，但是也必須看到，在這種新的業務面前，我們的安全保障工作并沒有完全的跟上，比如說我們的網絡銀行，電子

8、銀行也屢屢出現詐騙的行為，這樣的系統使得功能、安全保障水平極為關鍵，所以說不是一般的處理任務，而是擴大了整個業務流程的支持，系統安全一旦出現問題，意味著許多的管理工作業務流程完全被中斷，包括股票、銀行一旦發生問題，產生的是社會問題，我們多次看到，有時候銀行的系統暫時出了故障，乘客沒有辦法走和機場的工作人員發生肢體沖突，發生了都是一些很不好的影響的事情。另外我們的信息資源非常重要，現在我們銀行的儲蓄信息多次發生問題，都涉及到信息安全的問題，而且還涉及到很多更多寶貴的信息資源，比如說大家知道，現在銀監會已經正式要求在華設立的法人單位銀行，包括外資銀行必須要把數據中心設立在中國本土，以防止這種在外資

9、銀行開戶的中國客戶的所有的信息資產和信息的業務流向要到國外的數據中心去存儲這樣的現象，也就是我們數據過境的問題。同時我們必須看到，重要的信息系統具有天然的脆弱性，規模大，技術復雜，使得信息保障的難度加大，由于環節多，薄弱環節也多，而且一般都包含著網絡的系統，網絡系統遭受攻擊的可能性遠遠大于簡單的獨立系統，而且重要的信息需要多人，多個部門介入協同工作，除了有意破壞之外，人的失誤也會帶來危害。我們可以看到，在冷戰時期，美國曾經在蘇聯的西伯利亞某天然氣場秘密的植入惡意破壞程序，在使用初期表現正常，在逐漸獲得信任后改變一些程序，使得后來發生的大爆炸，2001年一個澳大利亞的水處理長發生了46次不明原因

10、的控制設備功能異常事件，這個是與水廠有爭執的合約工程師通過無線網絡進行破壞。基礎設施存在的互依賴性導致了災難的骨牌效應，物聯網環境物與物、物之間大量交換控制的信息，遭受攻擊時會產生更加強大的骨牌效應。未來我們的物流，交通運輸，人員目標都可以被跟蹤，在全球的監視之下，在這種情況下信息安全面臨的威脅是不言而喻的，正如我們前面所說的網絡戰的問題，我們認為在數字城市的建設當中必須加強數字安全保障體系的建設，要建立信息安全工作的長效機制，要落實人員到位，同時把信息系統安全貫穿到整個信息安全的全過程，要建立經常性的監督管理制度，同時加強相關的法規的建設和培訓。關于加強新時期數字城市保障體系規劃建設的構想，

11、我們覺得今年是十一五的收官之年，是十二五的規劃之年，我們說今天推進信息化建設的頭等大事，我們搞好規劃，我們做好規劃應該做好信息安全的規劃，把這個規劃作為信息安全保障體系的建設的基本綱領和總體的體現，現在各個部門都在做規劃，作為個人我認為要把信息安全的規劃放在非常重要的位置，在信息安全領域的突出問題，要以公共的基礎設施為支撐，通過重大的工程來明確我們在數字城市建設當中的保障目標，來解決我們數字城市建設中間最關鍵，最緊迫，最現實的重大安全問題。我們必須堅持以科學發展觀為主線，當前我們對信息化的建設，對數字城市的建設，對信息安全保障要不要堅持科學發展是有爭議的，因為有一些同志，包括個別部門的同志提出

12、來我們當前的信息安全工作之所以存在問題是因為你們信息化應用走的腳步太快了，還沒有研究出怎么管理的辦法，這個應用不能夠馬上倉促的上，但是我個人不敢茍同這種觀點，我覺得必須要堅持我們說以發展保安全，同時必須要以安全保發展，在發展中求安全，科學發展觀的觀點把這個工作做好，在信息安全保障體系的總體思路上首先要以發展為第一要務，統籌規劃，統一資源，加強全民的防范意識，我們強調城市也好，國家也好，信息安全必須堅持國家主導，行業參與，同時加入個人守則，我們從小教育小孩要有網絡的道德，下大力氣解決我們自己的自主可控問題，發展我們自己的信息安全產業，同時加強信息安全管理，加強綜合協調，到十二五末期在各地的數字城

13、市建設當中形成較為完善的信息安全保障體系來支持積累用戶，推動城市數字化和信息安全可持續、平穩發展。在當前，要堅持這樣的幾個不能改變，正確處理安全和發展的關系不能改變，堅持能夠管好信息安全的基本判斷不能改變，堅持各部門齊抓共管不能改變，同時按照中央提出的信息保障安全的要素不能改變，最后我們要加強國際合作，搞好安全。所以在當前我們必須要堅持創新，堅持我們的管理創新，技術創新以及我們的集成創新。這里我們特別想強調的就是在信息安全問題，是一個國際化的問題，不能各個方面要積極參與國際安全話語權的參與，互聯網上的標志，我們的信息安全的企業，主管要積極走出去，參與工作，包括在制定標準、規范，包括我們要積極主

14、張開展信息安全多方面的外交，網絡是大家共同的資產，我們就像當前推進減少核軍備一樣，要制定國際網絡安全的公約，保障互聯網，大家有一個共同的安全的環境。同時要加快發展自主的信息安全的產業，所以在這種情況下，我們覺得解決安全問題比較求真務實，立足我們的國情，當前要堅持需求導向，利用主導，同時要以國產替代自主可控為原則，在推進網絡整合和三網融合的過程中建設自己的可信的信息化網絡。同時我們覺得，要搞好安全關鍵是要樹立本質安全的觀念，嚴格說，沒有絕對的安全，只有可控的安全，消除事故的最佳辦法不是建立什么樣的可靠的保護措施，而是在系統設計的時候，我們說作為一個復雜的系統，我們怎么樣尋找安全參數，怎么樣尋找平

15、衡點，這是我們總體設計必須要考慮的，我們總體設計當中考慮的安全可能受到干擾，攻擊，我們提前把這些要素放進去，選擇合適的操作空間，才可以實現對信息安全可治理的目標。也就是這樣，我們要進一步的做好頂層設計，加強新時期數字安全保障工作的總體的協同，制定統一的戰略，特別考慮我們自己的信息安全產業，這幾年在國家發改委，工信部和科技部的大力支持下，我們自己的信息安全的產業已經有了長足的進步，但是我們跟國際相比還有不小的差距，我們說要發展我們的信息安全的企業和產業梯隊，優化產品的結構，我們說建好一個國家的信息安全保障體系，既有產品、平臺、系統，同時要形成安全防護能力，安全監管能力，應急響應的能力，信息對抗的能力，評估的能力和信息保障的能力，由我們的科研、產業系服務體系，技術管理和標準體系。要在目前的情況下更加注重對態勢的理解，早發現一步就可以早解決問題一步，日本已經建成了對地震災害15秒提前預警機制，我聽參加十二五規劃當中他們的嘉賓說，我們能不能學習日本，對我們重大的災害有提前的預警，哪怕10秒，30秒，前震是有很多的預兆的，有10秒就足夠了，這是指的是自然災害。信息安全更需要這樣，只有當我們居安思危，有這樣的危機意識，樹立可以提前預測預警的才可以落實統一指揮，高效機制，發生危機事件的時候有條不紊的應對。在試點取得經驗后，再推廣到數字城市和建