共筑網絡安全堤壩

網絡安全，我們看不見也摸不著，但在當今這個信息社會中卻又無處不在。在首屆國家網絡安全宣傳周的現場，當記者隨機向在場觀眾問起“網絡安全的重要性”時，幾乎所有的現場觀眾都回答說“非常重要”;“不少人一直認為網絡安全就是電腦殺下毒，不過通過這次宣傳周活動，人們應該改變原來的想法。以后不僅要注意對個人隱私的保護，防止手機被安裝亂七八糟的APP，而且在工作中會嚴格遵守安全規章制度。”來北京旅游的盧先生向記者表示，“其實，網絡安全就在我們每個人的身邊。”

事實也正如盧先生所言，網絡安全早就已經不只是虛擬空間里的事情，而是與你和我的現實生活都息息相關，而且它不僅僅影響普通人的生活，而是也事關國家安全，去年爆出的棱鏡門事件就是最好的例證。從這個意義上說，構建一個安全、健康、和諧的網絡環境已經是勢在必行，日前舉行的首屆國家網絡安全宣傳周正是在這一背景下舉行的。

網絡安全周喚起全民安全意識

2014年11月24日至30日，由中央網絡安全和信息化領導小組辦公室（下文簡稱“中央網信辦”）會同中央機構編制委員會辦公室、教育部、科技部、工業和信息化部、公安部、中國人民銀行、新聞出版廣電總局等部門聯合主辦，工業和信息化部電子情報所、計世傳媒集團承辦的首屆國家網絡安全宣傳周在北京中華世紀壇舉行。根據統計，在本次宣傳周上設置的網絡安全互動體驗展在7天之內迎接了近5萬3千人次的觀眾;本次宣傳周舉辦期間制作的94部網絡安全公益短片，在7天之內通過樓宇廣告及公交、地鐵屏幕總計播出了近17萬次。據悉，國家網絡安全宣傳周將定于每年11月的最后一周舉行。

本次宣傳周活動從國家層面喚醒了每一個人網絡安全的意識。實際上，近年來國際上頻繁發生的網絡安全事件，早已經將網絡安全上升到了關系公眾財產和國防的重要地位。其中，最為“臭名昭著”的就是2010年“震網”病毒對伊朗布什爾核電站的攻擊事件。在這一前提下，宣傳周活動意圖提高公眾對網絡安全的認知程度，將網絡安全作為“國家話題”和“公眾話題”長期延續下去。

眾所周知，目前網絡安全已經上升到國家層面，不僅成立中央網絡安全和信息化領導小組，而且中共中央總書記、國家主席、中央軍委主席習近平親任小組長。在2014年2月中央網信辦第一次會議上，習近平強調了網絡安全的重要性。他指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。

中共中央政治局常委、中央書記處書記、中央網絡安全和信息化領導小組副組長劉云山在安全周啟動儀式上發表講話時表示，網絡安全、網絡發展相輔相成，離開了安全堤壩，網絡就不可能健康發展、持續發展。依法維護網絡安全，是全面推進依法治國的重要內容。

他強調，維護網絡安全就是維護每個網民、每個公民自身的安全，設立國家網絡安全宣傳周就是順應社會期盼，推動形成共建網絡安全、共享網絡文明的良好環境。。

本次大會的主辦方，中央網信辦相關負責人在談到信息安全周活動時對記者表示：“這次網絡安全宣傳周實現了網絡安全宣傳從概念到理念的跨越，下一步的任務是如何讓理念付諸行動。要總結出更多可供百姓在實踐中借鑒的行為準則和指引，今后的網絡安全宣傳工作任重道遠。”中央網信辦相關負責人強調，“只要是從人民的利益出發，這項工作就能持續、永久地開展下去，它本身就具有頑強的生命力。”

掌握核心技術

解決網絡安全問題的一個關鍵是我們需要擁有自己的核心技術。由于IT技術最早源于美國，美國占有先發優勢，其在一些基礎產品上，比如操作系統、數據庫、中間件、處理器芯片等已經形成了事實上的壟斷。盡管這些年來國家對基礎領域高度重視，我們在國產操作系統、數據庫、芯片上都有所建樹，然而一直難以撼動美國的領先地位。

前車之鑒，今天我們需要高度重視對核心技術的掌握，特別是對于一些新興領域從一開始我們就要把掌握核心技術作為重中之重。比如，在互聯網領域，我們擁有龐大的用戶群，這為技術創新提供了非常好的土壤。

可喜的是，今天擁有自己的核心技術已經成為業界共識。在首屆網絡安全宣傳周展會上，我們也看到一大批本土企業正在積極研發自己的核心技術。東方博盾（北京）科技有限公司在安全周上就展出了其3Gweb生物自防御Web平臺，被稱為是不可篡改、不可掛馬、防刷庫的第三代Web服務器。據介紹，3Gweb問世后獲得了INTEROP最佳獎，并獲得了多家權威機構的認證。

“進入新世紀以來，我們面對的互聯網環境變得空前險惡。”東方博盾（北京）科技有限公司董事長、首席科學家高振宇博士說，現在普遍使用的第二代Web服務器卻含有致命的安全漏洞，不可信、可篡改、可掛馬，而東方博盾推出的是可提供高可信、抗攻擊和軟硬件一體化的Web平臺，特別是能抵御“未知攻擊”。

同樣，信諾瑞得展出的WiseGrid慧敏系列應用交付網關也很有自己的特色。信諾瑞得集團總裁吳若松介紹說，這是一種可將數據中心網絡轉變為敏捷的新型應用交付基礎架構，它在用戶和數據中心之間創建了一個數據中心虛擬化層，部署在數據中心邊界的戰略控制點，確保數據中心的安全可控，并對數據中心進行優化和負載均衡。

在此次體驗展上，我們還看到了我國的互聯網巨頭們紛紛發力安全，比如百度、360、阿里、騰訊等，它們將其掌握大數據融入安全解決方案之中形成了獨特的技術優勢。據百度展臺工作人員介紹，目前百度在手機、PC、云端三位一體構筑了完整的安全生態體系，形成聯動。手機端的百度手機衛士提供了“泛安全”的全面支持;PC端的百度殺毒和百度衛士讓電腦更安全同時電腦的速度更快;云端安全技術則讓網站的速度更快，讓用戶找到最短的上網路徑。除了技術外，百度安全在安全生態上通過信譽V等體系的建設，做到了從端到端的安全保障。

自主可控

毋容置疑，現在的IT世界還是歐美主導，我們用到的很多IT產品都并非國產。在這一背景之下，如何保證安全？“自主可控”因此被提了出來，不少企業，特別是一些大型國有企業更是身體力行，開始按照這一基本原則來構建自己的IT系統。

中國工商銀行信息科技部副總經理毛宇星表示，工商銀行很早就在進行國產化與自主可控的相關工作，并卓有成效。比如，工商銀行在架構上強調“異構多點、分層分級部署管理”來實現國產化的進程，目前在服務器層面，工商銀行已經有65%以上全部實現了國產化。“根據不同的產業屬性，有選擇性地劃定優先級，根據產業成熟度逐步推進自主可控。”毛宇星告訴本報記者。

他提醒說提高國產化率不完全等于自主可控。“可控是目標，手段有多種。國產化只是手段之一。”他表示，“工商銀行在力主國產化的同時，也在強調自主研發，利用開源來實現自主可控。”毛宇星說，在銀行IT系統建設中金融產品應用、業務IT系統要100%實現自主可控是一個漫長的過程，需要進行不斷地應用探索。

對于自主可控，郵儲銀行的做法是：對設備和軟件的選型按照應用需求有多種選擇，其所使用的技術在二次開發時是可控的。據郵儲銀行信息科技部總經理、副總工程師汪航介紹，郵儲銀行已經采用小型機集群的形式替代了沒有更多廠商選擇的大型機，而在小型機集群上運行核心業務系統，各項指標都達到或超過上一代業務系統。目前，郵儲銀行有31個省的銀行已采用了小型機集群。同時，郵儲銀行還使用PC服務器集群替代小型機支持關鍵業務，正是PC服務器集群保障了郵儲銀行跨行交易成功率連續三年在各家銀行中排名第一。汪航說，在系統建設中，郵儲銀行還積極支持國產化。

“對于國產設備，只有我們積極使用，才能更快發展起來。”汪航介紹說，浪潮K1系統問世后，郵儲銀行就開展國產小型機試點工作。

“國產化在其中的作用，不僅是個人和企業的信息安全，甚至是整個信息安全發展國家戰略中的基礎。”北信源首席戰略官胡建斌在接受記者采訪時表示。

他強調說，國產化除了設備本身以外，更要強調操作系統的自主與國產。“自主意味著要自主研制，這中間包括了軟件、硬件、操作系統以及上層的應用等。目前，我們在自主操作系統上研制的終端安全管理已經成型，現在也通過了國家相關部門的檢測和認證。”他說。

堅持開放

今天，自主可控已經被我國很多企業作為一項安全原則在貫徹，但是，業內專家指出不能因為自主可控就走向了另一個極端——盲目排斥國外的品牌。

互聯網實驗室董事長方興東認為，國家和企業在網絡安全戰略上應堅持開放和國際化的原則，而不是封閉和人為保護。對“自主可控、國產替代”，方興東認為應該分級執行，而不要一刀切，即對于那些真正核心和關鍵的系統要堅持國產化，而對于一般系統則還是要堅持開放。

“主旋律應該是開放，我們應該制定一些公開透明的政策而不是簡單地限制國外的產品和技術，安全是為了更好的開放。”方興東說，“越來越多的中國企業正在走向國際市場，我們也需要為它們走出國門創造條件，同時只有開放我們才能接納更多先進的技術。”

事實上，國外企業對“自主可控”還是持支持態度的。據同時負責韓國和中國市場的Check point北亞區總裁羅杉介紹，韓國也有類似支持國產化的政策。“我們認為自主可控對Check Point而言不是什么挑戰。事實上，國家對安全的重視有利于壯大這個市場，也促使我們不斷提升自己的能力。過去，我們的主要收入是硬件產品的銷售，這很容易受到政策影響的。現在我們在逐漸向軟件銷售轉型，近年來，我們軟件銷售收入增長在20%以上。同時，還在從事一些安全咨詢的業務。”他表示，Check Point現在一方面更為重視本地化和本土研發，同時也要不但提升自己的服務能力。

記者注意到，在安全市場以及整個IT市場，國外廠商的技術實力還是有目共睹的。在此次體驗展中一些國外知名企業也利用此次機會充分展示其技術的領先性。IBM就全方位展示了融合數據分析與全新洞察的信息安全解決方案，并在智慧城市、金融、企業安全架構等諸多領域充分展示了IBM在保護數據信息安全方面所擁有的智能、集成、專業的強大實力。IBM表示，企業與組織應當通過三方面提升自身的信息安全管控能力：使用分析和洞察實現智慧防御;利用云計算及移動技術提升安全性;打造集成的安全管理模式。

趨勢科技（中國區）業務發展總監童寧在接受記者采訪時也表示，一直以來趨勢科技就在致力于將全球化的經驗、技術與中國的實際情況相結合，以有效保證用戶的數據安全。在這方面，趨勢科技長期以來都在與中國的相關政府機構、組織合作，互通有無，將重要的信息進行共享。對于突發事件，趨勢科技會提供第一時間的支持與協助。長期的合作與交流，使得趨勢科技成功參與了包括北京奧運會、南京青奧會、2014年APEC會議等在內的多項大型活動的網絡安全保證工作。

值得一提的是，在國際上自主可控、國產化也是很多國家通行的一個做法，也被廣泛認可。比如，在歐洲（比如英國和德國）都有相對規范、透明的制度，會要求國外企業把代碼開放到一定程度，這一點值得我們借鑒。

技術與管理相結合

網絡安全不僅僅是技術，人也是其中非常重要的因素。因此，網絡安全一定是技術與管理的結合，并且首先要提高安全意識，再配以完善的管理制度和工作流程。這一點在采訪過程中被采訪對象屢屢提及。

實際上，今天很多安全問題就是出在使用者安全意識薄弱上，一次不經意地下載或者手機接入無線網等都可能帶來嚴重后果。在接受記者采訪時，獵豹移動反病毒工程師李鐵軍就提到手機所面臨的安全風險遠遠高于PC或筆記本電腦，公眾必須提高安全意識。他介紹說，在手機應用中，目前Wi-Fi連接就存在非常大的安全風險，特別是隨意連接無線網、蹭網等行為，不法分子往往利用無線網“釣魚”，實施犯罪，而目前手機用戶在這方面的安全意識極度缺乏，非常危險。

李鐵軍的感受來自他的工作經歷。據悉，目前獵豹移動已成為Google Play平臺全球最大的安卓工具開發商，同時也是中國第二大互聯網及移動互聯網安全公司。截止到今年6月，獵豹移動全球移動用戶安裝總量達到6.62億，活躍用戶超過3億。

啟明星辰首席戰略官潘柱廷也建議，用戶應該培養良好的安全習慣，這樣很多網絡安全問題就可以消弭在對于自己系統的自我保健中。比如，日常的檢查（包括漏洞檢查、病毒和木馬的查殺、垃圾的清理等）。另外，用戶要了解一些保護自己手機和PC機的基本常識，會用一些基本工具，比如殺毒軟件、APP管理軟件等。

實際上，用戶安全意識的薄弱對于企業級應用也是一個很大的威脅，為此很多企業也在加強對用戶行為的管理和規范。中國工商銀行信息科技部副總經理毛宇星表示，在安全方面銀行需要做到完全的零風險，因此銀行有著嚴格的問責制度，管理是非常必要的。“銀行的風險管理文化是比較嚴謹的。”他表示。通過多年的實踐，工商銀行已經建立起來了嚴格的風險文化，這使得其成為國內銀行業第一家研究私有云平臺的企業。

作為一家在網絡領域耕耘多年的民族品牌，銳捷網絡在網絡安全方面自然有其獨特的優勢，銳捷網絡產品和解決方案市場部安全產品總監王福光表示，銳捷網絡在做安全產品時是從用戶的角度想問題，以用戶為中心，同時深入到用戶應用現場，了解用戶需求，并將技術與管理結合起來。

遠望電子提出的“體系化技術支撐下的安全管理之道”也正是從人和管理的角度來確保系統安全。浙江遠望電子有限公司董事長傅如毅解釋說，這一管理之道概括來說，就是以“信息網絡安全管理技術支撐平臺”為依托載體，構建政府和企事業單位的“人、技術、管理”相互融合、完善、嚴密的信息安全管理體系，有效提升領導者、管理者、使用者的安全意識和管理方法、技能水平，做到“目標明確、決策科學;規劃合理、實施有序;檢查及時、監測有效;職責清晰、處置高效”，確保信息安全風險最小化，確保風險、事件產生的危害最小化。

“從組織流程上進行規范而不僅僅是技術手段，這才能確保整體安全。”傅如毅說。浙江遠望電子有限公司是一家從事信息與網絡安全管理服務研究和支撐安全管理的監測分析類技術研發的安全廠商，其產品在全國24個省市的公安系統都有部署，其中11個省是全省性的部署。

壯大我國的安全產業

解決網絡安全的最終出路是要壯大我們的安全產業乃至整個IT產業。這一點在國家之間的網絡攻防時體現得非常明顯。近幾年，隨著網絡安全被眾多國家上升到國家安全的層面，國與國之間的網絡攻防戰就時有發生。應對這樣的挑戰，我們需要在安全領域有強大的技術實力作為后盾，這是需要一批高水準的安全廠商來做技術保障，這批高技術水準的安全廠商只能誕生于一個強大的安全產業之中。

“要成為網絡強國的一個基本要求是不能受制于人。”方興東在接受本報記者采訪時表示，這有四個方面的要求：產業發展上要有自己的核心技術;基礎設施（比如電力）要能提高有效的安全保證;在國防上要守得住，必要時也能攻得出去;要有相對完整的治理能力，不僅對內（掌控大局能力）還要能對外（在規則制定上要有話語權）。這些都是需要一個強大的安全產業來提供保證。

安天實驗室首席技術架構師肖新光也提出了類似的觀點。

“在開放的網絡空間，國家需要參與競爭，需要可靠的關鍵卡位防御能力，這需要獨立的安全廠商的幫助。”肖新光告訴記者，“比如，對他國向我國發起的網絡攻擊，我們只有快速進行捕獲、關聯分析和取證溯源，持續形成分析案例，才能在網絡安全規則的話語權博弈中贏得主動。這是對我國安全技術水平的考驗。”

當然，從根本上說網絡安全廠商還是根植于整個IT行業，只有整個IT產業壯大了，才會培育出強大的安全廠商，為我們的網絡提供可靠的保障。因此，最終還是要回歸到IT產業本身，要引導和培育我們的IT產業使之成長壯大。

值得高興的是，隨著國家對網絡安全的高度重視，中國的安全企業迎來一個發展良機。浙江遠望電子有限公司董事長傅如毅就明顯感受到了這一變化。傅如毅介紹說今年公司的業務量比去年上升了50%以上。“過去，安全往往要讓位于業務系統，安全方面的預算常常被業務系統擠占。如今，由于國家層面高度重視，安全方面的預算明顯增加，也有了保障。”傅如毅表示。

作為在網絡安全領域摸爬滾打多年的老將，北信源首席戰略官胡建斌對這個領域多年來的發展看在眼里。他表示，在十幾年以前，網絡安全是一個非常小眾的市場。不過，隨著網絡安全被提升到國家層面以后，這一領域出現了翻天覆地的變化。

在采訪過程中，我們也強烈地感受到安全產業受政策利好的刺激而激發出來的動力以及各個安全廠商對未來的期望。在此我們也希望借助這個勢頭我國也能壯大自己的安全產業，形成一批可以和國際巨頭比肩的企業，這既是維護國內網絡秩序、確保個人和企業網絡安全的需要更是國防的需要。