您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

我国网络安全技术体系的短板

时间:2020-04-07 10:00:07  来源:人民论坛  作者:

作者:北京交通大学研究生院副院长、教授 刘吉强

核心提示:没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全的内涵和表述形式随着信息技术的发展在不断演变,其重要性也越来越凸显。面对网络信息技术的核心短板,我国应树立动态综合的防护理念,推进体制机制创新,加大核心技术投入,构筑主动防御体系,有力维护我国网络信息安全。

【摘要】没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全的内涵和表述形式随着信息技术的发展在不断演变,其重要性也越来越凸显。面对网络信息技术的核心短板,我国应树立动态综合的防护理念,推进体制机制创新,加大核心技术投入,构筑主动防御体系,有力维护我国网络信息安全。

【关键词】网络安全 核心技术 技术短板 【中图分类号】D616 【文献标识码】A

我国网络安全技术发展短板

当前,网络安全已上升到国家战略高度,网络空间已成为继陆海空天后各国争夺的第五空间。由于发展时间较短以及技术障碍等问题,我国网络安全领域的技术深度与发达国家相比差距明显,特别是关键基础设施中的核心技术还没有做到真正的自主可控,短板的存在较为明显,综合而言,主要包括如下四个方面:

第一,核心技术受制于人。以美国为例,美国从1998年开始部署相关的网络安全战略,发展至今已经到达“深入实施阶段”。从全球信息产业方面,美国CPU的产量占全球比重超过90%,系统软件的生产量美国占比约86%,占领了世界各地的大部分市场。核心技术不可控,就会造成无法估量的损失。中国在芯片领域的技术短板,就让“受制于人”充分体现,掌握核心技术势在必行。

第二,体系结构先天不足。如今,互联网技术已深入到各个国家的政治经济中,也渗透到平民百姓的日常生活中。然而,我国在互联网技术中的相关协议和标准技术方面研究成果并不多,话语权较弱。在互联网中扮演了非常重要角色的域名根服务器,13台中的10台设在美国,另外3台分别设在英国、瑞典和日本,也间接受美国控制,这就更增加了网络安全形势的严峻性。我们国家对信息系统实行的等级保护,是开展信息安全保护工作的有效办法,但其主体架构仍然脱胎于美国的信息系统安全等级保护等相关标准。而且在实际系统设计实施中,由于用户自身缺乏安全系统设计能力,无法基于业务流的安全需要进行整体安全体系考虑,导致信息系统功能设计与安全设计脱节,造成先天性安全短板,容易造成被攻击者利用的安全盲点。

第三,主动防御功能缺失。目前国内安全产品已有很大的发展,例如,在防病毒、防火墙、入侵检测IDS 等方面有一定的发展成果,这类产品应用最广,但其安全机制以简单的被动防御为主,难以应对当前更新快、隐蔽性强、更智能化的攻击。主动防御技术在世界上已经发展到了一定的先进水平,我国虽然初步形成了密码方案、芯片、主板、基础支撑软件和可信网络连接等方面的自主创新体系,但与国际先进水平还存在较大差距,也未在国际上形成自己的标准,在专利申报方面比较滞后。

第四,安全管理亟需改善。近年来,重大安全事件频繁发生,安全领域可以说是三分技术、七分管理,大部分安全事件归根结底都与管理相关。安全管理问题主要存在于安全意识和安全技术两方面。在我国等级保护基本要求中,对安全管理进行了细致的分类,但即便按要求制定了管理规范,但是由于人员能力有限和人工管理工作的复杂性,使得规范在执行过程中存在许多问题。工作人员安全意识不足,主要是由于管理层对于增强工作人员安全意识的重要性认知不够。有的管理者认为,一旦部署了相应的安全产品,其系统就是安全的,能够抵挡任何攻击,安全培训较为简单,没有进行针对不同岗位的不同安全点的培训,没有实质性的技术点。管理者的信息安全意识水平不足,没有意识到安全防护是其信息系统运行的基本保障,进而导致安全人员也较少从其自身业务需求和发展需要出发考虑其安全方案,从而导致系统安全性风险。

树立动态综合的防护理念,更好维护网络安全新秩序

首先,推进体制机制创新,加大核心技术投入。在中央网络安全和信息化委员会的统一协调指挥下,大力支持自主可控信息安全产业的发展,特别是针对开发周期长、资金回收慢的核心电子器件、高端通用芯片及基础软件等产品,可以出台政策,为自主可控产品提供市场应用空间,使技术创新、性能提升与产业应用协同发展。不断推动自主可控产品的产业链发展,积极优化产业生态环境,从而有效提高企业在自主可控技术产品研发方面的内生动力。例如,党政军和核心要害系统国产化替代工程由国家出资支持,在替代工程实施中预留出专用资金对所应用自主可控产品的集成适配和优化进行提升完善,弥补直接研发资金缺口。

其次,构筑主动防御体系,加强安全防护能力。主动防御的可信计算技术的重要性已经毋庸置疑。我国的可信计算技术已经发展到了3.0阶段的“主动防御体系”,并在部分领域开展了规模应用。我国科研人员经过长期攻关,取得了很好的创新成果,包括采用国家自主设计的算法和双证书结构的可信计算密码模块(TCM),可以作为自主可控的可信节点植入可信源根,先于CPU启动并对BIOS进行验证的可信平台控制模块(TPCM),采用宿主软件系统+可信软件基的双系统体系结构的可信基础支撑软件框架以及基于三层三元对等的可信连接框架,提高了网络连接的整体可信性、安全性和可管理性。

最后,健全网络安全技术支撑体系,完善新产业标准制定。我国信息安全等级保护政策标准相对滞后,难以满足新技术应用的信息安全需求。例如,当前的云计算、物联网、移动互联网和工业控制系统的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统,开始越来越多地与互联网相连接。因此,我国要建立健全云计算、物联网、移动互联网和工业控制系统等新型信息系统的自主免疫、主动防御的标准和等级保护技术标准,完善实施、定级、测评、管理全过程的技术支持,以达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果。

【参考文献】

①《习近平:自主创新推进网络强国建设 》,人民网,2018年4月21日。

责编/谷漩 美编/李祥峰

来源: 人民论坛



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
中新网12月27日电 据中国网信网消息,近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《...【详细内容】
2021-12-28  Tags: 网络安全  点击:(1)  评论:(0)  加入收藏
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  Tags: 网络安全  点击:(10)  评论:(0)  加入收藏
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  Tags: 网络安全  点击:(29)  评论:(0)  加入收藏
网络安全板块是什么 1、网络安全网络安全是计算机行业中网络、计算、储存外的第四个基础设施。是计算机行业中增速最快的超千亿的板块。2、近几个月来大涨四个原因滴滴事件...【详细内容】
2021-12-08  Tags: 网络安全  点击:(19)  评论:(0)  加入收藏
即使在安全技术取得进步之后,网络犯罪仍在不断增加。据统计,网络犯罪每分钟给企业造成约 290 万美元的损失。主要是因为新技术不断涌现,难以维护安全。随着网络威胁的增加,网络...【详细内容】
2021-11-04  Tags: 网络安全  点击:(40)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13  Tags: 网络安全  点击:(49)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  Tags: 网络安全  点击:(189)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  Tags: 网络安全  点击:(47)  评论:(0)  加入收藏
前言上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客...【详细内容】
2021-08-24  Tags: 网络安全  点击:(122)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  Tags: 网络安全  点击:(72)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(560)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条