自主可控是增强网络安全的前提

　　网络安全的概念与传统安全概念有很大差别。倪光南指出，传统安全往往可以度量、预测，态势较少变化，而网络安全、信息安全取决于对抗情况，往往难以度量、预测、态势快速变化。
　　对于传统安全而言，选取技术、产品和服务等等，主要依据性价比。但对于网络安全、信息安全而言，因为存在着攻防两方，所以信息关键核心技术设备和服务的选取首先是考察能否自主可控，这一要求往往比性价比更重要。倪光南表示，自主可控是保障网络安全、信息安全的前提。能自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞，对此，倪光南指出四方面重点。
　　知识产权自主可控。目前国家一些计划对所支持的项目，要求首先通过知识产权风险评估，才能给予立项，这是非常必要的。标准的自主可控似可归入这一范畴。
　　技术能力自主可控。技术能力自主可控，意味着要有足够规模的、能真正掌握该技术的科技队伍。。
　　发展自主可控。即着眼于今后相当长的时期，相关技术和产业都能不受制约地发展。倪光南特别强调，如果某项技术在短期内效益较好但从长期看做不到自主可控，也是不可取的。
　　对于开源软件的自主可控，有其特殊性。目前情况下，运用开源软件进行开放创新、协同创新，是世界潮流，应予以鼓励;同时也需注意，为了达到技术能力的自主可控，倪光南主张至少应充分了解开源软件，进一步要求科技人员融入开源社区，开放、协同创新。如果这些方面都做好了，那么，正确运用开源软件往往能以较小的代价、较短的时间达到知识产权、技术能力和发展的自主可控。
　　打造立体移动安全生态体系

　　智能手机作为当前用户规模最大、增长速度最快的移动终端，已经成为移动安全领域最主要的攻击对象和威胁来源。
　　移动安全风险涉及产业链各环节。史文勇介绍，在移动通信层，恶意程序和恶意网站随时有可能窃取用户个人隐私信息，诈骗短信、电话以及手机病毒是电信诈骗最常见的手段。在移动应用层，消费者、开发者、应用商店、垂直类专用应用等都已成为不法分子攻击的对象。在移动网络层，公共或免费WiFi可能潜伏安全陷阱。
　　移动安全包括三大层面，终端层、网络层以及业务层。终端层作为移动安全基础层，包括硬件芯片、操作系统和应用。史文勇认为，目前，在硬件芯片和终端应用方面我国已经有了成熟的技术，操作系统方面略有欠缺。
　　移动互联网环境的复杂性决定了任何一家企业都无法单独承担安全的重大责任，因此要建立立体的移动安全生态体系。对政府而言，需要促进标准、规范立法，加强安全监管;对安全厂商、服务商而言，需要整合优秀服务资源，提供安全可靠的应用业务;对电信运营商而言，需要通过用户、大数据资源等优势资源，整合产业技术实力，加强基础设施建设;对设备商而言，需要开展基于硬件设备的安全解决方案，提高自主可控性。同时，研发国产自主可控的移动操作系统也成为移动安全迫在眉睫关键性问题。
　　“产学研用管”合力

　　信息安全不但涉及个人隐私，团体利益，更涉及到社会稳定、经济安全、国家安全，是威胁人类和平发展的重大问题。
　　为应对空前严峻的信息安全态势，我国成立了中央网络安全和信息化领导小组及国家安全委员会，信息安全纳入大安全的概念下谋篇布局，使我国的信息安全保障工作步入历史的新阶段。
　　赵战生表示，要总体布局，统筹各方，就需要运用举国体制，就需要梳理信息安全保障的角色与责任。“产”、“学”、“研”、“用”、“管”是信息安全保障工作中五位一体、不可或缺的角色链和责任链主体。调动一切积极因素，各扮其角，各司其职，信息安全保障工作才有望立于不败之地。
　　产业发达才能提供能力。信息安全产业是生成规范化、规模化信息安全保障技术产品能力的实力集团。我国的信息安全产业已经有了初步的基础，但是，提供信息安全保障的综合能力不强，要提高综合能力仅靠产业的现有实力是不够的，需要大家形成合作态势，把指头攥成拳头。结成产业战略联盟是攥拳的好方法。如何深化是需要探索的新问题。真正的联盟需要把责任担当在一起，把利益捆绑在一起，把安全功能综合在一起，制定出阶段性的发展目标，从国家的现实需求出发，持之以恒的向核心高端技术产品和服务攻关攀登，成功必定出现在再坚持一下的努力之中。
　　学以致用，人才为本。“学”是院校，是信息安全技术和管理人才培养的基地。信息安全的纵深防御，根本在于依靠有能力的人选择实施信息安全控制技术和落实风险管理。产学研用管都需要技术人才、管理人才。保障信息安全，教育为先，人才为本。
　　研发奠定基础，创新攀登高峰。信息安全科学研究的理论创新，技术突破，为今天的信息安全保障奠定科学技术基础，为明天的信息安全保障进行探索。我国的商用密码工作从无到有，逐步走上科学、开放、规范的道路。但密码的保密和安全保障能力受到计算能力、破译能力快速提高的威胁，必须与时俱进，不断深化研究。同时，由于密码的敏感性，必须自主可控的推动研究开发和应用。发达国家的信息化和信息安全保障是在拥有“芯”、“魂”的自主技术制高点的情况下展开的。他们具备在系统内核、宽带高速的信息技术高端开发网络信息系统的应用的能力，增强信息安全保障。不补上“缺芯少魂”的课，我们就不能从根本上实现自主可控。
　　用为先，需求牵全局，有效才落地。用户的信息安全需求看似显然，但并非显见，自在，自为。他们需要从信息安全意识的启蒙中觉悟、觉醒。其需求需要有先知先觉者担当提炼、提升的任务。国际上相关的信息安全联盟、专业协会、标准化组织，不断地汇集、研究、总结来自用户的实践经验，将成功的经验纳入指南、标准，这是从用户体验中获取知识，探索规律，推而广之的有效做法。
　　管托底，战略产生推动力。“管”是政府信息安全保障的相关管理部门的职责和任务。体现在以国家意志提出信息安全保障的战略;制定信息安全保障的政策、法规、标准;做出信息安全保障的各种制度化安排;调动国力，保证和优化信息安全保障的资源配置;组织国家级信息安全保障工程的实施;组织检查评估信息安全保障的状况。我国的信息安全战略尚未出台。信息安全保障工作依靠政策性文件来推动,但战略的缺失必将影响信息安全保障工作的推动力。
　　网络强国：从被动跟进向主导引领
　　今年3月由中国专家主导的国际标准组织ISO/IEC未来网络问题陈述与建议第五部分安全技术报告提案，已经通过国际标准组织最后一轮投票即将发布。霍治利认为，中国主导的未来网络安全技术报告具有非常重要的战略意义，可以作为创新我国信息服务核心技术，创建网络强国非常稀缺的抓手，为全面发展信息经济服务。
　　对于具体运作实施要点，霍治利给出三点建议。
　　一是筹建虚拟未来网络开放研究国家实验室。
　　按照虚拟化组织的运作方式，由国家互联网信息办公室牵头，整合中国通信标准化协会、全国信息安全标准化技术委员会、全国地理信息标准化技术委员会等组织，构建虚拟化未来网络开放国家实验室，隶属中央网络安全和信息化领导小组指导管理，对内吸引国内经济、文化、医疗、教育、科技、金融等行业参与，联合新闻、图书、情报、档案等互联网信息服务业，立足中国信息服务产业的规模，用信息共享服务利益驱动机制，改变国内信息服务产业链条块分割与信息“孤岛”状态。
　　对外立足中国主导的未来网络信息安全技术报告，吸引国外大企业参与研究未来网络信息安全技术国际标准。
　　二是集成古今中外哲理思想进行聚龙点睛。
　　按照未来网络安全技术报告提出的先验证后通信新机制，把社会科学、信息哲学、信息科学、网络编码理论，内容中心网络技术多环节聚合成一条巨龙，用华夏天、地、人、物四元生态时空观，“方以聚类，物以群分”哲理思想，汉字抽象笔画符号、围棋全息网格、中医自适应机理、音乐随机变化结构、算盘多进制计算思变逻辑方法进行聚龙点睛，为巨龙增加神力，构建产业链大数据四维空间多粒度扁平化全息网格结构，培育互联网、云计算、物联网、大数据、移动互联网生产性服务新业态，让巨龙腾云驾雾。
　　三是整合各方研究力量干大事。
　　整合南京、中科院、电信研究院、北京交通大学未来网络研究力量，依据国家各部门推进云计算、物联网、大数据、智能城市与信息惠民、信息消费、生产性服务业方面的扶持政策，按照国家科技计划改革方案，依托中国主导的未来网络安全技术报告，申报国家科技重大专项支持，主动争取国家政策扶持，围绕人口、财产、物品、金融不同对象网络信息安全服务需求，构建跨区域、跨行业、跨部门产业链大数据在线信息共享服务商业模式，用利益机制推进未来网络安全技术报告落地结果。
　　构建互联网治理体系

　　没有信息化就没有现代化，没有网络安全就没有国家安全。徐云峰表示，网络安全已不再是单纯的技术安全，涉及政治、外交、经济、军事、文化各领域，包括技术、管理、法律、标准、伦理等各方面，已成为国家战略，事关国家核心利益。近年来，越来越多的国家认识到网络安全对维护国家主权的重要性。尽管由于各国国情、历史文化背景和互联网发展程度相差各异，治理模式、措施和策略也不尽相同，但加强网络空间治理的愿望是一致的。
　　徐云峰在分析当前形势的基础上提出，我国还存在以下短板问题。
　　话语权不力。一是宣扬西方思想的英文网站占互联网80%以上，“中国好声音”、“中华正能量”网上仍很弱;二是我国网络第一大用户国的地位没有得到全面正视和尊重;三是借助互联网推介我国形象和文化输出力不足;四是参与全球全网决策、规划时，我国还是运动员，不是裁判员。
　　基本功不实。一是基础设施、技术和标准受制于人;二是我依法管网治网措施易被他人歪曲误解;三是我自身安全意识薄弱、机制不顺、行业壁垒、人才偏科和队伍参差参差;四是国家投入不足、合力不够、对策不多、成果不丰。
　　国际化不足。一是网络治理上缺乏一览全网、网罗天下的视野和气魄;二是国际舞台上缺乏主动建言、积极献策的机会和条件;三是国际事务中缺乏立足中国、福泽全球的方案和团队;四是人才培养时缺乏国际合作、深度交流的平台和氛围。
　　法治化不强。一是国家法治体系和环境有待完善;二是网民法治思维和观念有待加强;三是现有法律、制度缺乏兼容性和可操作性;四是立法、司法和执法亟待国际协同协作。
　　因此，徐云峰建议，建立新的国际互联网治理体系必须要“共同参与、共享成果、共建标准、共治秩序、共赢天下”，建议从国家层面制定参与互联网国际治理体系的总体战略和具体部署。一是网域有大小，网民无尊卑。人人享有平等参与权，应共同上网、建网和管网;二是投入有先后，科技应分享。所有成果属于全人类，须共享一切科技和文明;三是横向有类别，纵向分层次。统一全网标准化，要公开、合作和合理;四是三分凭技术，七分靠管理。建立互联网治理新秩序，须国际协作、协调和协同;五是和平是主题，发展是趋势。真诚友爱赢天下，要互信、互助和互利。
　　加强移动应用产品供应链安全审查

　　智能手机应用安全问题已备受专家和安全机构的关注。李京春表示，移动智能应用开发是一个较新的领域，在管理层面上，相关法律法规滞后，行业对移动智能安全相关的风险认识不足，过分重视超前概念和业务而忽视基础安全设施;在技术层面，移动应用开发组织没有将信息安全列入软件全生命周期，复杂业务逻辑处理不当，对集成功能模块把关不严格，甚至个别开发者为某些商业利益故意收集信息等。
　　因此，李京春建议，应加快做好我国智能终端市场的安全管控，要采取有效措施，加快APP应用产品供应链安全审查。
　　首先，形成APP应用程序准入制度。通过专业的国家APP应用程序检测机构，对即将发布的应用程序进行恶意代码、隐蔽功能等安全审查。对各大应用平台的APP运用技术手段进行抽查，发现发布了未审查通过签名的APP，将勒令下架未审查APP，并处以一定的处罚。

　　其次，加强对智能手机应用发布平台的网络安全审查。要求应用发布平台对其发布的应用安全负责，并要求应用平台商有效管理平台上的应用程序。通过立法、第三方测评、设立权威应用发布平台等行政与市场化结合等手段，促使应用发布平台运用技术、管理、服务等手段，管理好自己平台上的应用程序，承诺自身平台应用安全性，并对此负责。

转自：通信产业网