当前,我国关键信息基础设施同样面临来自不同层面上的安全威胁。首先,由于网络空间的开放性和互联互通,既有少数国家层面的有组织、有计划的入侵攻击和窃密,也有黑客个人的网络攻击,还有犯罪团伙、商业间谍、邪教组织、恐怖分子等有组织行为,给我国的关键信息基础设施带来巨大的风险。其次,由于我国许多基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,关键信息基础设施安全防护能力较弱,一些“命门”受制于人,应对网络威胁的能力整体不足,无法抵御大规模、有组织的网络攻击。目前,在涉及政府、能源、通信、海关、金融、交通、医疗等国家关键信息基础设施的建设和运营过程中,频频出现外国品牌的影子,这无疑对我国的网络与信息安全构成严重威胁。习近平对此有着深刻认识,他指出:“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”
三、加快构建关键信息基础设施安全保障体系
关键信息基础设施已经被视为国家的重要战略资源,关键信息基础设施安全成为事关国家安全的战略事项,我国构建关键信息基础设施安全保障体系已迫在眉睫。习近平指出:“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”他强调,要“加快构建关键信息基础设施安全保障体系”。
党的十八大以来,在中央网络安全和信息化领导小组的统筹领导下,我国大力加强关键信息基础设施安全,防范能力不断提升。2014年工业和信息化部发布了《关于加强电信和互联网行业网络安全工作的指导意见》,将深化网络基础设施和业务系统安全防护作为网络安全工作重点之一。2015年,我国出台《中华人民共和国网络安全法(草案)》,并设置专节对关键信息基础设施的运行安全作出规定,对关键信息基础设施保护提出了具体措施要求,对建设、采购、评估、预警、事件响应等多个环节的安全问题,分别规定了各相关方在关键信息基础设施安全保护方面的责任与义务。2015年7月施行的《中华人民共和国国家安全法》对关键信息基础设施自主可控也提出了明确要求,对网络攻击等犯罪活动加大了打击力度,以“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。2016年3月印发的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》,针对当前我国关键信息基础设施面临的严峻形势,坚持问题导向,全面部署了未来5年保障关键信息系统安全的重点任务。
然而,随着越来越多的关键基础设施信息系统联网,网络攻击工具与服务日益商品化,不法分子的网络技术应用能力也在不断提升,我国关键信息基础设施的安全挑战日益严峻。监测显示,2015年我国政府网站被入侵次数为21674次,较2014年增长36.7%。“聪者听于无声,明者见于未形”。在我们关键技术还比较薄弱的情况下,加强我国网络安全工作,一方面要充分发挥我国社会主义制度的优越性,定期开展关键信息基础设施网络安全检查。从关键信息基础设施网络安全风险“可发现”入手,准确掌握我国关键信息基础设施网络安全态势信息。习近平指出:“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。”他还强调:“感知网络安全态势是最基本最基础的工作。”另一方面,我们要加强关键信息基础设施安全防护技术研究和应用,尽快突破核心技术,将“命门”掌控在自己手里。习近平指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”他形象地说:“人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。”我们要建立安全信息资源共享机制,建立集“监测发现、情报侦察、快速处置、追踪溯源、安全防范、精确打击”为一体的国家关键信息基础设施安全保卫体系。要实质性推进实现政府部门、科研机构、运营单位、厂商和安全企业等各方之间的网络安全信息共享。习近平指出:“要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。”
习近平指出:“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”
