徐冰 背后的故事:中国工程院院士沈昌祥谈美国信息安全保障

中国工程院院士沈昌祥（腾讯科技摄）

腾讯科技讯 10月22日消息，2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”，腾讯科技作为独家网络支持媒体对大会进行了全程直播。

22日会议第一天，中国工程院院士沈昌祥会上在谈美国信息安全保障时表示，美国是将网络空间安全由“政策”、“计划”提升到了国家战略，我们也应充分认识信息安全的国家战略地位。

会上，沈昌祥院士详细的介绍了美国的信息安全保障情况。结合国内环境，沈昌祥院士也给出了五点启示：

1、充分认识信息安全国家战略地位，全面落实27号文件各项工作，加快信息安全保障体系建设。应总结评估27号文件贯彻落实情况，提出新的战略对策。

2、加强国家信息安全统一领导和协调，既要各职能部门做好本职工作，更要相互配合。国家必须统一领导和协调。国家应恢复国家网络与信息安全协调小组和办公室。

3、加快推进信息安全等级保护，从整体提高信息安全保障能力。技术与管理并重，控制源头，内外兼防，克服盲目封堵、打补丁的被动局面。

4、加强以密码技术为基础的信息安全防护和网络信任体系的建设。加大研发投入，从基础技术上做到自主创新、自主可控。加快制定信息安全国家标准，加大力度推进可信计算技术等核心产业发展。

5、加快人才培养，增强全民安全意识。确定信息安全人才教育和培训体系。信息安全应列为一级学科，培养各级专门人才，同时开展社会化的培训和普及教育。

只有这样，才能使我国的网络安全做得越来越好。（文/郭晓峰）

以下是中国工程院院士沈昌祥发言实录：

主持人杜跃进：谢谢王局长，工信部一直对年会非常支持，包括其他部委也是非常地支持。我们这个单位一直试图做成企业和政府之间沟通的桥梁之一，当然还有很多桥梁，其中一个重要的桥梁就是年会。年会不但为技术人员提供一个交流平台，而且为企业和政府之间提供交流平台。

王局长的讲话表达了工信部对我们工作的看法，王局长讲到非传统安全，她在多次场合也说过，我们面临怎样“适应”新的形势问题，她还提到国际合作，东盟的朋友来参加我们的年会，我们和东盟朋友的沟通已经成为常态化的机制，也是多年以前开始努力促进国际化的合作，目标是为了共同保护网络安全。

下一个报告非常荣幸地邀请到著名的网络安全专家，中国工程院沈昌祥院士为大家做专题报告。请其他嘉宾到听众席前台就坐，欢迎沈院士做报告，如果在座的哪位没听过沈院士的报告，就需要多学习了。让我们再次以热烈的掌声欢迎沈院士为我们做报告！

沈昌祥：各位领导、各位来宾，同志们、朋友们：

十一年以前，我们就开始对美国的信息安全保障进行跟踪、学习，我们对美国的信息安全保障问题很重视，用科学发展的态度不断更新，不断提高。下面，我想给大家介绍几个问题。

一、美国将网络空间安全由“政策”、“计划”提升到国家战略。

美国将网络安全列入国家计划开始规划，还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策，同时发现了很多的网络安全问题。

1998年5月，克林顿政府发布了第63号总统令（PDD63）：《克林顿政府对关键基础设施保护的政策》，成为直至现在没有政府建设网络空间安全的指导性文件。

2000年1月，克林顿政府发布了《信息系统保护国家计划V1.0》，提出了没有政府在21世纪之初若干年的网络空间安全发展规划。

2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令《信息时代的关键基础设施保护》，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。

委员会成立以后，系统地总结了美国的信息网络安全问题，提出了无数个问题向国民广泛征求意见。征求意见以后，马上颁布了《保护网络空间的国家战略》，这个《战略》很有意思，主要从系统角度加以分辨保护，提出分为五级：第一级 家庭用户与小型商业；第二级：大型企业；第三级：关键部门；第四级：国家的优先任务；第五级全球。

2003年2月，在征求国民意见的基础上，发布了《保护网络空间的国家战略》的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越。

新的《保护网络空间的国家战略》提出了三大战略目标：

一是预防美国的关键基础设施遭到信息网络攻击；

二是减少国家对信息网络攻击的脆弱性；

三是减少国家在信息网络攻击中遭受的破坏，减少恢复时间。

五项重点任务：

一是国家网络空间安全响应系统；

二是国家网络空间威胁和脆弱性减少项目；

三是国家网络空间安全意识和培训项目；

四是国家网络空间安全保护政府网络空间的安全；

五是国家安全和国际网络空间安全合作。

2005年4月14日，美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全：迫在眉睫的危机》的紧急报告，对美国2003年的信息安全战略提出不同看法，指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元，而安全问题没有解决，仍是漏洞百出。（他们认为是不能用的）

当时，提出了四个问题和建议：

1、政府对民间网络空间安全研究的资助不够，建议每年拨NSF九千万美金；

2、网络空间安全基础性研究团体规模小，七年时间团体规模扩大一倍；

3、安全研究成果的成功转化不够，政府加强在技术转让方面与企业的合作；

4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源；

5、建议成立“重要信息基础设施保护跨部门工作组”。

2006年4月，信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划（CSIA）》确定了14个技术优先研究领域，13个重要投入领域。

为改变无穷无尽打补丁的封堵防御策略，从体系整体上解决问题，提出了十个优先研究项目，包括：认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。

美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全，提出加强网络空间安全研究作为未来重点发展的作战力量之一。

报告指出，网络不仅是一种企业资产，还应作为一种武装系统加以保护，如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击，报告重点提出了“设计、运行和保护网络”，确保联合作战的需求。

美国总统签署命令，扩大网络监控范围。

美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令，以防御对联邦政府计算机系统日益增多的攻击，这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金，资金将列入2009年财政预算中。

国土安全局将收集和监控入侵的数据，配置防御攻击和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。

二、美国网络空间安全当前的战略

网络空间指全球互联的数字信息，也是对通信技术设施的总称，称为四大空间以外的第五空间。

布什总统在信息安全上弄得焦头烂额，他的任期快到了，也解决不了问题，他希望下一届总统解决这个问题。因此，就成立了《第44届总统网络空间安全委员会》，经过一年半的工作，形成了《提交第44届总统的保护网络空间安全的报告》。

报告引言：暗战，以二战时期“阿尔发和英格玛”事件为警示，提出：网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一，美国处于英格玛被破境地。

报告认为，过去20年来，美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益，但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击，削弱了美国力量，使国家处于风险之中。

报告提出了十二项、25条建议，分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。

尤其是第一条，建议设定一条基本原则，即网络空间是国家一项关键资产，美国将动用国家力量的所有工具对其施以保护，以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。

报告认为：仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分，在此基础上制定出保护网络空间的最低标准，以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。

提出12项建议：

1、制定一项全面的网络空间国家安全战略

2、构建网络空间安全机构

3、与私营部门的合作伙伴关系

4、网络安全法规

5、保护工业控制系统和SCADA（监督、控制和数据采集系统）的安全

6、通过采购规则提高安全性

7、身份管理

8、法律法规现代化

9、修订联邦网络空间安全管理法案

10、消除民用系统与国家安全系统的区别

11、网络教育和劳动力发展培训

12、网络空间安全研发

（二）奥巴马政府的战略举措

2008年12月，为了加深奥巴马政府对信息安全现状的认识，美国开展了为期2天的“模拟网络战”，总计有230名来自军方、政府和企业的代表参与了这次演习活动。

演习结果认为，美国在网络攻击前抵抗能力很差，这为奥巴马政府敲响了警钟。

2009年5月26日，发布《总统关于白宫国土安全和反恐组织的声明》，宣布一种将增强国家安全和国家保障的新方法。

主要决定重点解决机构问题

对白宫官员进行全面整合，以支持国家和国土安全。成立“国家安全参谋部”，由国家安全协调官领导，统一支持国土安全委员会和国家安全委员会。

在国家安全参谋部中新增人员和职务，用以处理21世纪所面临的新挑战，包括网络安全、大规模杀伤性武器、恐怖主义，跨国界安全，信息共享和弹性政策，这些人员和职务具有对事件进行预防和响应的职能。

2009年2月9日，奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。

经过几个月的工作，2009年5月29日，奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告，并发表重要讲话。

奥巴马在演讲词中强调，美国21世纪的经济繁荣将依赖于网络空间安全。

他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”，并宣布“从现在起，我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”

报告全长76页，除前言、内容提要、简介外，正文包括6个章节，分别是：

1、加强顶层领导。通过以下事项来加强对网络空间安全的领导：设立一个总统的网络空间安全政策官员和支持机构；审查法律和政策；加强联邦对网络空间安全的领导力，强化对联邦的问责制；提升州、地方和部落政府的领导力。

2、建立数字国家的能力。提升公众的网络安全意识，加强网络安全教育，扩大联邦信息技术队伍，使网络安全成为各级政府领导人的一种责任。

3、共担网络安全责任。改进私营部门和政府的合作关系，评估公私合作中存在的潜在障碍，与国际社会有效合作。

4、建立有效的信息共享和应急响应机制。建立事件响应框架，加强事件响应方面的信息共享，提高所有基础设施的安全性。

5、鼓励创新。通过创新来解决网络空间安全问题，制定全面、协调并面向新一代技术的研发框架，建立国家的身份管理战略，将全球化政策与供应链安全综合考虑，保持国家安全/应急战备能力。

6、行动计划。提出了近期行动计划10项和中期行动计划14项。

报告强调：

1、国家现在处于一个十字路口；

2、现状已不能再接受；

3、必须从今天开始全国性的网络空间安全对话；

4、如果孤立地工作美国不可能成功地确保网络空间的安全；

5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色；

6、与私营部门合作，必须定义下一代基础设施的性能和安全目标；

7、白宫必须领导前进的道路。

三 、思考与启示

1、充分认识信息安全国家战略地位，全面落实27号文件各项工作，加快信息安全保障体系建设。应总结评估27号文件贯彻落实情况，提出新的战略对策。

2、加强国家信息安全统一领导和协调，既要各职能部门做好本职工作，更要相互配合。国家必须统一领导和协调。国家应恢复国家网络与信息安全协调小组和办公室。

3、加快推进信息安全等级保护，从整体提高信息安全保障能力。技术与管理并重，控制源头，内外兼防，克服盲目封堵、打补丁的被动局面。

4、加强以密码技术为基础的信息安全防护和网络信任体系的建设。加大研发投入，从基础技术上做到自主创新、自主可控。加快制定信息安全国家标准，加大力度推进可信计算技术等核心产业发展。

5、加快人才培养，增强全民安全意识。确定信息安全人才教育和培训体系。信息安全应列为一级学科，培养各级专门人才，同时开展社会化的培训和普及教育。

只有这样，才能使我国的网络安全做得越来越好，我讲这么多，谢谢大家！

主持人杜跃进：

谢谢沈院士的报告，美国的经验一直是我们要学习的重点经验之一，沈院士也提到，其实中国在很多领域里面曾经也是走在前面的，但他山之石可以攻御。美国是我们学习的经验和榜样，但不一定他就是对的，美国人也在摸索，也没有成熟的经验，也在不断地调整。但是，如果大家在美国生活一段，出国可能感觉不到我们和美国的差距，但生活一段时间之后，就会发现我们和美国还有很大的差距，也就是美国为什么面对网络安全问题比我们更加紧迫。我们也希望有一天走在世界上带来非常多的便利，但我们也要面临美国同样面临的问题，如果到那天再去做补救就来不及了。

上午第一阶段的报告到此为止，下面是20分钟的茶休，在西西里厅有一个“中国网络安全回顾板的展板”，也欢迎各位到那里参观，还有精美的礼品赠送。现在休会，谢谢大家！