發展數字經濟亟待加強關鍵信息基礎設施保護

李 陽 呂 欣 鮑旭華

1(國家信息中心博士后科研工作站 北京 100045) 2 (360企業安全集團戰略研究部 北京 100035)

(liyang_cas@163.com)

1 關鍵信息基礎設施對數字經濟發展具有重要作用

1.1 數字經濟概述

1) 數字經濟的相關概念

數字經濟的概念最早由美國人唐·塔普斯科特于1995年在其著作《數字經濟》中提出.2016年G20杭州峰會發布的《二十國數字經濟發展與合作倡議》認為[1]，數字經濟是指以數字化的知識和信息作為關鍵生產要素、以現代信息網絡作為重要載體、以信息通信技術(ICT)的有效使用作為效率提升和經濟結構優化的重要推動力的一系列經濟活動.

2) 數據驅動下的數字經濟

在信息化時代，互聯網+、大數據、云計算、物聯網等信息技術的迅速發展，推動人、機、物的互聯互通，數據量呈現爆發式增長，數據流成為驅動經濟發展的關鍵生產要素.以信息數字技術為核心的數字經濟正在成為新的經濟增長點，促進了信息技術與傳統產業的深度融合，加速了經濟結構的調整與傳統產業升級，推動了供給側結構性改革[2].

1.2 關鍵信息基礎設施對數字經濟產生重大影響

1) 關鍵信息基礎設施作為神經中樞，有力支撐數字經濟的穩定運行

2016年《中華人民共和國網絡安全法》規定[3]，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護.

習總書記指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞.”在互聯網時代，關鍵信息基礎設施逐漸向網絡化、泛在化、智能化發展，作為承載經濟社會運行的重要平臺，承載著國家經濟社會的重要業務和功能，有力支撐數字經濟的穩定運行.

2) 關鍵信息基礎設施頻繁遭受攻擊，嚴重危害數字經濟的健康發展

關鍵信息基礎設施一旦遭遇破壞或襲擊，不僅可能導致大規模的人員傷亡和財產損失，甚至可能威脅相關產業的生命.習總書記指出：“不出問題則已，一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力.”隨著信息技術的高速發展，針對關鍵信息基礎設施的新型攻擊技術手段也層出不窮，網絡攻擊事件頻發，給信息化時代數字經濟的發展帶來了嚴重危害.

例如，2010年伊朗布什爾核電站遭到“震網”病毒攻擊，造成核電站故障；2015年烏克蘭電力部門遭受到惡意代碼的持續攻擊，導致約22.5萬名用戶電力中斷；2016和2017年，金融關鍵信息基礎設施成為網絡攻擊主要目標，大量針對金融機構的攻擊給全球各國的金融機構造成了巨大的財產損失，多國銀行損失慘重等等.華盛頓戰略和國際研究中心發布的報告指出，每年計算機網絡犯罪活動給世界經濟帶來的損失超過4 450億美元[4].

2 關鍵信息基礎設施網絡安全面臨嚴峻挑戰

當前，云計算、移動互聯網、物聯網、大數據等新一代信息技術的廣泛應用，關鍵信息基礎設施從孤立到全面的互聯互通、從有線邊界到移動互聯，這種立體、交互、共享的互聯網應用打破了傳統的網絡安全邊界，網絡攻擊威脅正日益向各個領域滲透，網絡安全事件頻發，關鍵信息基礎設施面臨嚴峻挑戰.

2.1 面臨的網絡安全攻擊

1) 網絡攻擊方式的非對稱性

攻擊方式的非對稱性主要體現在低成本的攻擊投入、高收益的攻擊效果.第一，網絡黑客產業的分工全面、細化、專業，為實施攻擊提供了組織條件；第二，攻擊技術快速發展，破壞力越來越大，一個黑客或小規模的黑客組織就有可能對關鍵信息基礎設施開展網絡攻擊.例如2016年9月份席卷美國、德國的DDOS斷網事件、2017年5月肆虐全球的勒索病毒攻擊事件等等.

2) 網絡攻擊過程的持續演進

攻擊過程的持續演進性主要體現在網絡攻擊行為上，或稱之為高級持續威脅.第一，行動組織復雜，持續時間長，難以事前確認攻擊行為和攻擊目標；第二，基于未公開漏洞和定制化工具作為攻擊手段，難以檢測查殺.例如：2010年伊朗核電站震網病毒的一系列持續滲透，為最終攻擊作了充分準備；2016年10月的美國DDOS攻擊事件，前期過程同樣持續了很長時間，然后才發起了2個階段的攻擊，造成了大面積斷網.

3) 網絡攻擊范圍的級聯擴大

近年來，信息技術高速發展，云計算、大數據、人工智能等技術的廣泛應用，尤其是互聯網+與各個行業的深度融合，關鍵信息基礎設施彼此間的依賴性變得更強，一旦遭遇到網絡攻擊，級聯地影響到了整個網絡系統.2013—2016年美國雅虎公司被持續攻擊導致全球約10億用戶信息泄露；2016年10月DDOS導致美、德2國發生全國大面積斷網；2017年5月勒索病毒肆虐全球100多個國家[5]，包括醫療網、教育網、鐵路網和政府網等關鍵信息基礎設施.

2.2 當前的網絡安全防御

1) 網絡保障水平缺乏整體評價

當前，隨著信息化技術的廣泛融合，我國經濟社會的各個行業都普遍推動了信息化、網絡化、數據化的進程,傳統的網絡安全邊界被打破.各行各業相繼出臺了一系列的網絡安全保障措施，大都立足于單維的標準、局部的性能、傳統的邊界等，已有的度量方法均指向了網絡系統安全的某個側面，并沒有系統解決網絡系統安全度量的理論、方法問題，無法應對當前多維度網絡攻擊的現實威脅，難以從整體上評估安全態勢、發現關鍵問題.

2) 網絡威脅信息孤立流動乏力

隨著政府數據開放共享進程的推進，網絡安全威脅信息也亟待共享整合，促進數據流動，加強關聯挖掘.但是對于網絡安全威脅信息而言，在共享的力度上存在著部門利益、行業利益、本位思想等現象，導致了網絡安全威脅信息成為數據孤島，關聯信息無法流動；在共享的方法上缺乏統一的信息標準、交換平臺、網絡支撐等，使得網絡安全威脅信息成為低價值數據，無法進行高價值對接.

3) 部分關鍵核心技術受制于人

我國信息產業核心基礎能力薄弱，部分關鍵核心技術和設備受制于他國，一些關鍵信息基礎設施存在系統受控、信息泄露、發現滯后等隱患，安全防護能力較弱，應對網絡威脅的能力不足.例如：2016年10月份數據顯示，中國集成電路(也稱芯片)的進口金額高達11 908億人民幣，接近同期中國原油進口金額的2倍[6]；2017年5月肆虐我國的勒索病毒事件利用的是Windows系統漏洞,這些凸顯了國內的網絡安全窘境，即從PC互聯網到移動互聯網均無自主操作系統[7].

3 加強關鍵信息基礎設施保護的有關建議

習總書記指出，關鍵信息基礎設施是網絡安全的重中之重，要加快構建關鍵信息基礎設施安全保障體系.當前，面對復雜嚴峻的網絡安全形勢，要樹立積極防御的意識，加強國家關鍵信息基礎設施安全防護，維護經濟社會的網絡安全，助力數字經濟健康發展，對此提出以下有關建議：

1) 建立網絡安全統籌評估，找準問題突破力

立足網絡安全是整體而非局部的原則，建立關鍵信息基礎設施安全保障的統籌評估，以整體視角發現網絡安全問題，成為關鍵所在.第一，研制國家關鍵信息基礎設施網絡安全保障評價指標，對關鍵信息基礎設施網絡安全的建設、運行、態勢進行分類統籌，做到重點覆蓋；第二，建立專家評估機制與指標試點機制，逐步完善指標體系的科學性與可操作性；第三，與國家主管部門的實際工作進行對接，整合評價保障工作，準確研判網絡安全形勢，支撐統籌決策，找準安全問題的突破力.

2) 加大網絡威脅態勢感知，加強安全預警力

樹立立體、開放、動態、縱深的網絡安全感知理念，建立多維感知系統，支撐預先施策.第一，建立主動常態的感知系統，對國際環境下的網絡攻擊威脅進行預先跟蹤，及時防御；第二，建立定向溯源的感知系統，對國家認定的關鍵信息基礎設施進行溯源探測，有效應對；第三，建立終端協同的感知系統，構建面向廣大互聯終端用戶的云端攻擊威脅庫，形成對關鍵信息基礎設施的協同支撐，逐步形成立體感知體系，切實加強預警力.

3) 構建威脅情報共享平臺，夯實突發應對力

建立“協同聯動”的網絡威脅情報共享平臺，集成多源信息、推進數據流動.第一，整合多源多模的網絡安全威脅信息，通過共享制度與技術保障并行，逐級整合關鍵信息基礎設施的監管、運營、市場、科研等等機構的網絡安全威脅信息，分類建立國家級與行業級的威脅情報中心；第二，建立面向安全大數據的治理平臺，采用大數據計算技術，通過數據處理、關聯分析、溯源查痕、可視化交互等流程，推進數據的綜合集成，提高精準研判的時效性；第三，建立部門協同聯動機制，及時將已發生的安全事件及消減方案、未發生的隱患信息及安全態勢通報給有關部門，加強多部門的數據流動與協同聯動，夯實突發應對力.

4) 推進核心技術國產進程，提高安全可控力

推進關鍵信息基礎設施的產業體系建設，提升核心技術的自主創新、安全可控能力.第一，著力突破關鍵共性技術，逐級打通關鍵信息基礎設施產業技術鏈的現代工程技術、顛覆性技術、前沿引領技術等核心環節，構建自主創新的良性結構；第二，堅持政府政策引導行業骨干主導的原則，發揮高等院校、科研院所的基礎作用支撐，形成政產學研的協同創新體系，建立關鍵信息基礎設施的開放型產業生態體系；第三，要嚴格執行網絡產品和服務安全審查辦法，在應用端加大關鍵信息基礎設施的網絡安全審查力度，提高安全可控力.

參考文獻

[1]二十國集團數字經濟發展與合作倡議[EB/OL]. (2016-09-29) [2018-04-15]. http://www.cac.gov.cn/2016-09/29/c_1119648520.htm

[2]騰訊研究院. 工信部電子科學技術情報研究所.數字經濟白皮書[R/OL]. [2017-03-07]. http://www.sohu.com/a/128141964_483389

[3]中華人民共和國網絡安全法[EB/OL]. (2016-11-07) [2018-04-15]. http://www.npc.gov.cn /npc/xinwen/2016-11/07/content_2001605.htm

[4]美智庫. 網絡犯罪每年造成4450億美元損失[EB/OL]. (2014-06-10) [2018-04-15]. http://www.chinanews.com/gj/2014/06-10/6264059.shtml

[5]李亞紅, 王思北, 高亢. 勒索病毒仍在傳播 國內大量企業內網感染[EB/OL]. (2017-05-15) [2018-04-15]. http://news.sina.com.cn/c/2017-05-15/doc-ifyfekhi7781542.shtml

[6]集成電路望成出口新動力 國產化進程將加速[EB/OL]. (2017-01-24) [2018-04-15]. http://jjckb.xinhuanet.com/2017-01/24/c_136009408.htm

[7]勒索病毒提了個醒, 自主掌握操作系統有多重要[EB/OL]. (2017-05-14) [2018-04-15]. http://it.sohu.com/20170514/n492970346.shtml