进网络安全行业群
网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。2014年2月27日,习近平主持召开中央网络安全和信息化领导小组第一次会议时强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署,统一推进、统一实施。近年来全球网络安全事件频发,对通信、政府机构、能源、交通、科技等多个关键领域造成严重影响,暴露了当前网络安全防护体系的脆弱性,也凸显了网络安全威胁影响范围不断扩大、破坏性显著增强、以及政治化程度日益加深的趋势。随着攻击技术的演进,网络安全事件的破坏力逐渐提升,超越了传统的数据泄露和系统中断,开始对关键基础设施乃至物理设备产生直接破坏,导致不可估量的经济损失与社会动荡。网络空间已成为国家间战略竞争的新前沿,网络攻击愈发成为国家博弈和政治对抗的工具,网络安全问题的复杂性和严重性持续上升。
由于数字产品“代码未写、漏洞已出”的“基因缺陷”,“制造商选择性的忽视(无视)数字产品设计中的网络安全问题”、“补丁摞补丁、反复踩坑的恶性循环”是数字世界的“两大顽疾”。同时,制造端长期缺乏安全责任,产品安全质量难以保障,进一步使高度互联的数字化社会暴露在系统级风险之下,同质化产品一旦发生单点失效,极易引发大规模共模故障,导致上层服务全面崩溃。对于规模庞大、结构复杂的数字基础设施,关键节点或服务的安全缺陷一旦被利用,往往会通过二阶、三阶效应造成多米诺式的系统性安全事件,使脆弱的数字社会面临严峻威胁。近年来,为了应对日益严峻的网络安全风险,欧美各国不约而同地提出网络安全应进行范式转变,“强化数字产品制造侧网络安全责任和监管”“建立可防御且富有弹性的数字生态系统”,并上升为其统筹网络空间“发展与安全”的战略设计,敦促网络安全责任从用户侧向制造侧转移,动员全社会资源以“网络弹性工程”为抓手加强制造侧设计安全,强调数字产品制造商从数字产品全生命周期的初始设计阶段就有意识地确保网络安全是产品开发的关键方面。
当前美欧网络安全的相关政策法规和战略规划,一方面是出于扭转数字社会日益严峻安全形势之需要,另一方面也是对传统数字生态系统底层驱动范式的变革,美欧大力实施的制造侧设计安全路线仍然建立在各种先验知识库完备性和实时性基础上,强调“打倒可恢复”的网络弹性,仍然跳不出补丁摞补丁恶性循环,虽然能够在某种程度上缓解当前网络空间安全风险,但无法从根本上解决数字化社会的系统级风险。显而易见,只有走不依赖先验知识的网络韧性设计范式,达成“攻而不倒”的网络韧性目标,才可能从根本上实现数字生态系统底层驱动范式转型。
本蓝皮书首先介绍了网络安全威胁事件的现状及趋势,总结了网络安全威胁愈演愈烈的原因。其次,深入分析当前网络安全战略与技术的发展现状和未来趋势,全面评估全球网络安全格局的变化,重点识别我国在这一领域的先发技术优势。最后,客观分析我国网络安全领域面临的挑战和不足,通过深入探讨如何利用我国优势技术推动网络安全责任从用户侧向制造侧转移,如何构建中国特色数字产品安全监管体系,我们期望能够为建立全面的网络安全责任和质量控制体系提供有力支撑,为筑牢数字生态系统基座“根骨”,提出一条领先欧美的数字中国建设新路径。
| 来源:邬江兴、季新生等,网络安全战略与技术发展趋势,紫金山实验室,2024 年11月
