• 快捷搜索
  • 全站搜索

提高金融网络安全可控能力的策略

2016-01-28 15:21:40作者:中国人民银行科技司司长 王永红编辑:金融咨询网
在贯彻落实总体国家安全观、提高金融网络安全可控能力过程中,人总行认为应该从需求导向、用户拉动的角度,推广使用安全可控产品,在促进信息产业发展、提高国家网络安全可控能力的基础上提高金融网络安全保障水平。

经多年努力,以国家网络安全保障设施为基础、以金融网络安全谨慎监管框架为指引、以金融机构技术防护为主体的金融网络安全保障体系已基本建立,维护了金融网络安全大局。但和平时期的网络安全局面不代表御敌于网络边界之外的真实安全。在贯彻落实总体国家安全观、提高金融网络安全可控能力过程中,我们认为应用行业的技术创新能力、网络攻防能力虽然有限,但不能无所作为,应该从需求导向、用户拉动的角度,推广使用安全可控产品,降低对少数厂家、少数产品的依赖度,在促进信息产业发展、提高国家网络安全可控能力的基础上提高金融网络安全保障水平。

图片3.jpg

一、提高安全可控能力是建设网络强国的核心

        1.于国家网络安全看待行业网络安全

        维护网络空间主权成为国家安全战略的核心。网络舆论、网络攻击在多个国家的暴力恐怖活动、颜色革命中充当了颠覆工具。2015 年3 月17 日,美国众议院国土安全委员会主席麦考尔公开承认美国曾对朝鲜发动了网络攻击。中国网络空间战略研究所所长秦安认为,美国已经完成发动网络战争的准备,具备了“兵不血刃”的远程打击能力。皮之不存,毛将焉附。没有国家安全,也就不存在行业安全和用户安全。网络安全隐患具有长期隐蔽性、爆发突然性。技术厂家设置产品后门,初衷可能是保护知识产权、提供运维便利,但同样可用于窃取数据和发动猝不及防的网络攻击。随着网络应用不断深入,因网络安全导致电网停电、交通瘫痪、金融紊乱等群体性事件的风险正在上升。传统的信息安全要求实际是面向和平环境建立技术风险治理框架和纵深防御体系,现在的网络安全要求则强调具备在特殊时期防御外部网络攻击、快速恢复正常秩序的能力。

        2. 大力降低网络安全潜在威胁

        减少产品后门威胁。技术产品后门是仅供设置者使用的隐藏功能或渠道,难于发现和封堵,相当于设置者(攻击方)潜伏在对方网络空间的“第五纵队”,也是动摇国家关键信息基础设施的“蚁穴”。2014 年10 月16 日,美国联邦调查局局长詹姆斯·科米(James Comey)公开表示,1994 年《通讯协助法律执行法案》要求电信公司在设备中安装监听后门,新一代通讯公司也应该开放手机加密后门,让美国政府可以监听信息。

        降低单一供应链威胁。这是改变我国面临的安全风险的重要环节。由于对外依存度高,一旦某些国家切断信息产业供应链,终止设备和零配件供应、技术支持服务,将严重威胁应用行业乃至国家安全。2014 年,欧美国家借“乌克兰事件”制裁俄罗斯就是前车之鉴。2015 年4 月9 日,美国商务部发出公告,决定禁止英特尔公司向我国出售“至强”(XEON)芯片,以阻止天河二号系统的计算能力从50 PFLOPS(千万亿次/ 秒)升级到100 PFLOPS。

        3. 发挥应用行业的需求导向、用户拉动作用

        网络安全可控能力与信息产业发展水平相适应。网络大国是数量型要求,核心内容是应用发展水平,主要指标是网络覆盖面、网民数量和网络应用渗透率。网络强国是质量型要求,核心内容是安全可控能力,主要指标是规则制定能力、安全保障能力、网络攻击手段。显然,网络安全可控能力源于人才队伍和产品,信息产业维系、聚集并促进人才队伍和产品的持续发展,是网络安全可控能力可持续发展的基础。

        促进创新驱动发展战略。在国际上普遍认可的创新型国家中,科技创新对经济发展的贡献率在70% 以上,研发投入超过国民生产总值GDP 的2%,技术对外依存度低于20%。我国要在2020 年进入创新型国家行列,就必须打破国外技术和产品的垄断优势,为国内信息产品提供应用场景,为信息产业发展腾出市场空间,应用行业作为用户成为实施创新驱动发展战略不可或缺的角色。

二、建立健全提高网络安全可控能力的操作策略

        站在行业应用、基层实施的角度,需要建立一个正向激励机制,将落实提高网络安全可控能力这一国家战略的要求,转化为行业、机构发展的内生性动力。信息产业的管理端(政府部门)有必要对需求端(应用行业)、供给端(厂家及其代理商)提出明确要求,推动建立一个安全可控的产业生态圈。

        1.将国家战略部署转化为机构发展职责

        提出部门规章。将国家意志、人民意愿转化为法律法规,有利于形成各行业、各机构的行为规范。在立法进程不可控的情况下,可以围绕加强国家关键信息基础设施保护推出部门规章,处理好安全可控与自主可控、国产化与对外开放之间的关系,有利于减少国际的贸易纠纷及“网络安全噪音”。

        把提高安全可控能力列入行业发展策略。提高网络安全可控能力,意味着在一定时期内增加投入、转变技术路线、延缓发展步伐,“安全与发展”在操作层从来都是一对矛盾,科技谈安全、领导要发展的“两张皮”现象并不鲜见。只有从机构年度考核指标、监管指标入手,形成从股东、管理层向科技部门的压力传递链条,才能形成整个机构的“安全发展动力”。

        对使用安全可控产品造成的安全生产事件提高容忍度。客观上说,主管部门、监管部门对安全生产的高度重视是成熟但不一定安全可控产品广泛占领市场的推手。国家有关部门能够明确对使用安全可控产品出现生产事件降低甚至豁免处罚,将大大有助于消除应用行业的畏惧心态,才有可能从技术指标、应用案例等方面降低安全可控产品的准入门槛。

        2. 在操作层实施创新驱动发展战略

        引导代理商推广安全可控产品。非安全可控产品代理商和安全可控产品厂家“同室操戈”,显然不利于信息产业发展。有关部门应立足于创新驱动发展战略,引导厂家积极、主动推广安全可控的产品,并且减少“安全可控产品嵌入非安全可控产品”的现象,在供给侧形成“安全发展合力”。

        建立健全国家检测认证体系。结合国家建立网络安全审查制度,依托专业检测机构、国家重点实验室、国家工程实验室、网络安全队伍建立国家检测认证体系,完善国家设备认证、授权管理和安全审计等网络信任服务手段,发布具有可比性的产品检测指标,公布安全可控产品分类清单,大大提高安全可控产品的识别度,铺平安全可控产品的推广之路。

        明确数据大集中水平较低的行业作为当前推广重点。产品进步、产业发展始终需要一个循序渐进的过程,已实现数据大集中的应用行业对产品功能和性能、配套产品适配性都有较高要求,在这些行业推广使用安全可控产品表面来看似占领了应用制高点,但实则加大了厂家研发和运营成本,并不利于其良性发展。

三、研究和制定整体实施框架

        金融业推进数据大集中,出现了适应高并发交易和海量数据处理的“主机技术体系”,包括以高端服务器和高端存储为代表的硬件产品,以数据库、中间件为代表的基础软件,以及用于灾备的数据同步产品。主机技术体系的各个组成部分高度适配、耦合,在相当长一段时间内,很难于使用体系外的部分或全部产品构建一个同类的技术体系。

        我国信息产业仍处于追赶阶段,提高网络安全可控能力并非是一个简单的“设备替代”工程,需要统筹规划、周密设计、长期推动,稳妥有序开展应用技术体系优化升级,并在实施过程中加强技术风险管理和技术队伍建设,防范出现衍生的技术风险。

        1.确定综合性工作目标

        2014 年以来,我国的金融经济环境面临一系列变化和挑战:一是经济发展处于“三期叠加”(经济增长速度换挡期、结构调整阵痛期、前期刺激政策消化期)阶段,二是中央深化改革领导小组围绕“让市场在金融资源配置中起决定性作用”推进系列市场化改革,三是移动互联网、云计算、大数据、物联网等新技术推广应用,上述变化和挑战在金融信息化领域表现为预算紧缩、需求变化和技术转型,金融机构普遍面临发展压力,“安全发展”不同于“发展优先”,在操作层面将会遇到很大阻力。

        制定短中期发展目标。全面梳理应用技术体系组成部分,分类研究,围绕信息化预算、技术和产品成熟度、系统建设或升级等维度,平衡、权衡安全和发展两方面的要求,研究制定2~3 年、“十三五”期间的工作目标,并取得管理层、董事会的支持,为网络安全保障水平的可持续性提高打下基础。

        突出清单和比例两个控制手段。安全可控产品逐渐走向成熟,应用技术体系的优化升级是一项长期复杂的工程,制定并定期修改产品清单(目录),以及确定安全可控应用比例(产品占比和投资占比),加强问题导向,有利于明确安全可控的发展方向和控制工作进度。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章