網絡安全發展態勢

隨著大數據、物聯網、人工智能（AI）、工業控制系統、衛星通信、移動通信、區塊鏈等技術的發展和應用，能源、交通、通信、金融、醫療等領域與新技術新應用深度融合，越來越多的國家在戰略層面向網絡空間傾斜，圍繞網絡空間的技術對抗、壓制和博弈也不斷加劇，控制網絡空間的信息權和話語權成為新的國家戰略制高點。

國際網絡安全形勢日益嚴峻，高級持續性威脅（APT）攻擊、AI 對抗攻擊、關鍵信息基礎設施攻擊、勒索軟件等各種網絡安全事件造成巨大危害和損失。縱觀當前發展形勢，網絡安全呈現出以下明顯的發展態勢。

1、國家主體的跨空間跨領域威脅不斷加劇

美國于 2015 年 4月發布《網絡空間戰略》，明確提出要提高網絡空間的威懾和進攻能力。2018 年 9月18日發布的《2018 國防部網絡戰略概要》直接將中國、俄羅斯列為“給美國造成戰略威脅的國家”，并強調從軍事、經濟和科技等領域與中俄展開全方位的網絡安全博弈。

該戰略概要還放寬了使用數字武器保護國家的規定，允許軍方和其他機構進行網絡操作。2019 年以來，美國政府部門陸續針對華為、騰訊、字節跳動等我國企業進行打擊和限制，抑制我國信息技術的創新能力，以期獲取網絡空間的競爭優勢和控制權。

2關鍵信息基礎設施和智能設備成為網絡攻擊的焦點

當前，涉及國計民生的大數據平臺、云計算平臺、工業控制系統、物聯網等關鍵信息基礎設施，以及正在步入千家萬戶的智能家電、智能駕駛汽車等，逐漸成為網絡攻擊的重要目標。傳統的關鍵信息基礎設施由于歷史原因，大量關鍵系統的安全防護能力滯后。以工業控制系統為例，為了保證業務的連續性和可靠性，一批老舊系統仍在運行。

當前，各類智能設備的技術更新迅速，產品迭代快，而對應的安全防護技術卻沒有跟上，進一步加劇了網絡安全風險。眾多攻擊者紛紛利用云平臺、物聯網設備作為跳板機或控制端發起網絡攻擊。據不完全統計，利用云平臺對我國境內目標發起的 DDoS 攻擊次數占比已達到 78.8%。

3、復雜攻擊、有組織攻擊成為網絡攻擊的新常態

針對重要行業部門的 APT 攻擊多發頻發。APT 攻擊是高技術手段支撐的、有組織發起的、對重點目標實施的高破壞性、高隱蔽性攻擊，對國家安全、經濟發展、社會穩定和公民組織構成嚴重威脅。

政府部門、金融、電力、通信、交通等基礎設施成為 APT 攻擊的主要目標，攻擊者通過長時間的信息收集、試探、誘導、滲透、植入，結合未知漏洞利用、安全機制繞過、社交工程欺騙等多種技術手段，躲避安全防護機制，最終達到入侵和竊取機密數據、惡意控制目標設施、讓正常運行的設施癱瘓等破壞性目的。

APT 攻擊技術手段是各國情報組織、網絡戰部隊發展的重要能力，也是當前黑產集團獲利的重要工具。隨著未來各國斗爭的日益加劇和我國互聯網經濟的繁榮，我國各類信息系統將成為 APT 攻擊的重要目標，對APT 攻擊的防御將成為常態化需求。

4、基礎系統的安全漏洞仍不容忽視

近年來，操作系統、數據庫等安全受到廣泛重視，安全防護有所加強。但由于其基礎性地位，個別漏洞造成的危害越來越嚴重，基礎系統的安全性問題仍不容忽視。

特別是近年來出現的 Intel 熔斷、幽靈等 CPU 漏洞，Raw Hammer 等存儲硬件漏洞，均可以被軟件方式利用攻擊，危害嚴重，且修復難度很大，給網絡安全帶來嚴峻挑戰。而我國無論是從設計角度避免漏洞、從產品檢測角度發現漏洞，還是從實際使用時防御漏洞，都缺乏相應的理論、技術和產品支撐。

我國在這方面的積累還比較薄弱，但這一問題已經非常嚴峻且現實地擺在我們面前。

我國網絡安全戰略重點

目前，隨著我國5G、物聯網、大數據等廣泛應用，越來越多的傳統行業都在進行數字化轉型，新技術、新業態在帶來新機遇的同時，也暴露出越來越多的網絡安全風險和問題。結合我國的現狀，筆者對我國的網絡安全戰略重點有以下基本判斷。

1、面臨更加嚴峻的國際形勢

從近年來美國對我國的各種遏制、打壓手段來看，無論是公開的制裁還是非公開的各類網絡攻擊，在網絡空間，我們正面臨著日益嚴峻的壓力，這是必須引起正視的現實問題。

2、信息技術廣泛而深入的應用帶來更高的防御需求

我國是信息技術應用大國，互聯網經濟繁榮，這是我國未來發展的重要方向，但也必然對網絡空間安全防御提出更高的要求。可以預見，未來信息技術和產業的繁榮，仍需要技術、市場的高度開放和融合，需要國際社會的廣泛參與。

在這樣的背景下，我們需要持續強化網絡安全能力建設，提升關鍵信息基礎設施安全保障水平，加大數據安全保護力度，開展新技術網絡安全防護，不斷從安全防御、安全治理和安全威懾等方面提升我國網絡安全保障能力和水平，特別是具備與美國等國家的網絡空間對抗的實力，爭奪更大的網絡空間話語權。

3、供應鏈安全成為最大的安全風險

2018 年以來發生的中美貿易戰使我們深刻認識到：核心技術是國之重器，發展核心技術是強國之道。我國對美國等西方國家的制造業及其核心技術高度依賴，供應鏈安全受到嚴重威脅。

在這種大背景下，我們需要確保信息和產品在開放融合的背景下實現供應鏈安全。應該如何布局，如何實現團結一部分朋友，同時形成一定的威懾、制約能力，這是值得深思的問題。

對策措施建議

1、全力打造“獨立自主 + 可控利用”的信息技術產業鏈

考慮到當前網絡空間的對抗形勢，關鍵核心技術自主可控是我們不得不努力的方向。自主可控和安全是兩個不同層面的概念，自主可控為安全提供基礎支撐，主要解決供應鏈安全。自主可控也要開放創新，不能閉門造車、閉關自守，要向全世界提供中國理念、技術、產品、服務和解決方案。自主可控要充分汲取和可控利用世界先進理念、技術、產品、服務和解決方案。

我們要兩手抓，一方面，要獨立自主地創新發展關鍵核心技術，把關鍵核心技術牢牢掌握在自己手里，贏得主動權和制衡權；另一方面，也要加大可控利用國際先進技術和產品的力度與深度。

要以政府引導為主，輔以市場化手段，調動和利用國內各方資源和力量，以保障信息技術產品供應鏈安全為最終目標，傳好實驗室、轉移轉化和產業化三階段九級科技創新鏈之間的接力棒，強化缺失或薄弱的鏈條，打造完整的科技創新鏈。

2、進一步加強產學研用管之間的協調性

我國目前擁有最大的信息技術研發團體，高校、研究所、企業等儲備了大量的研發技術人才。這些年，我國企業的研發實力和研發投入已經在市場上有所展現。高校、研究所的研究水平也有大幅度的提升。

當然，仍存在一些問題，比如，企業對前沿技術探索能力有限、有眾多成果僅停留在研究論文層面。這都是產業和科研團隊的協調問題，如何實現我國當前信息技術人才資源的有效配置，是解決這一問題的核心。

要解決這一問題，我們首先應對這個問題有正確的認識 —— 是發展的一個必然過程——形成一個科學合理的產學研協作機制遠比解決一個具體的技術、產品問題要難。

我們需要逐步探索，既需要管理部門逐步認識、摸索、設計出更合理的管理制度，更需要企業、科研隊伍逐步互相理解、了解定位，找到合作共贏的價值之路。近年來已經出現了企業與科研院所投入增加、合作逐步深入的成功案例，這是一個好的趨勢。

針對現狀，最根本的是要發揮社會主義制度的優越性，集中力量辦大事，加強統籌協調。特別是我們要搞清楚哪些是市場的一般性需求，哪些是國家的戰略性需求，哪些是技術發展的關鍵瓶頸，哪些是技術自身的循環遞進。

對于國家戰略性需求、關鍵性的瓶頸，這些項目要么技術難度大、研發成本高、周期長，要么短期效益不高、市場規模不大、企業不愿意投入，政府應當主動作為、加強引導；而對于一般性技術項目，研發成本低、周期短、短期效益高、回報快，企業投資意愿很強，就應該讓市場自身推動。

我們的國家重大戰略立項應避免被市場需求、輿論導向所左右，避免陷入盲從和急躁的漩渦。對于基礎性研究，由于風險高，離市場比較遠，國家應加大投入，特別注重“建立以信任為前提的頂尖科學家負責制”，在方向規劃上和組織實施中，盡量減少行政干預，尊重科學規律，支持自由研究。（作者：中國科學院院士 馮登國）