院士观点| 冯登国:关键信息基础设施安全保护三大关键能力

 

2021年7月30日,国务院令第745号公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行,2021年8月17日正式对外颁布。该条例的颁布标志着我国网络安全法律法规建设和安全保障工作进入一个新的阶段。《条例》颁布一年以来,各相关部门和有关机构积极推进关键信息基础设施安全保护工作,并取得显著成效。在此,我联盟特邀请行业内数位专家对我国关键信息基础设施安全保护工作发表专家观点并进行系列报道,敬请关注。

文 | 冯登国 中国科学院院士

2021 年 9 月 1 日,我国《关键信息基础设施安全保护条例》正式实施。正值该条例实施一周年之际,我结合我国关键信息基础设施当前面临的严峻安全挑战,谈几点思考——冯登国

1
大力提升关键信息基础设施的弹性安全能力

弹性安全的目标是提升系统或网络的自身生存能力,如果自身难保,那就不可能有效地提供服务,还有什么安全可言。

弹性安全技术已成为网络安全领域的新潮流,可采用弹性认证机制、移动目标防御、棘轮安全机制、拟态防御、可信计算等技术,来实现关键信息基础设施的带菌生存、入侵容忍、内生安全和计算环境可信等。

当然,弹性安全技术也不是万能的,也要辩证地来看待,决不能夸大其作用。我们要真正使得弹性安全技术落地生效,充分发挥其在关键信息基础设施安全保护中的重要作用,不能仅仅停留在口头上,要有检验弹性安全技术发挥效果的手段和方法,从而引导关键信息基础设施安全保护体系向着正确的方向发展。

2

要确实加强关键信息基础设施的数据安全治理能力

当前,数据安全事件层出不穷,总体安全形势不容乐观。仅以数据泄露为例,2020年全球数据泄露事件超过过去15年的总和。
数据安全是数据健康、有序和可持续发展的基石。世界各国对数据安全的认识也从个人隐私保护层面上升到维护国家安全的高度。
从法律层面,构建数据主权相关制度,以控制数据资源流向为核心展开激烈博弈;
从技术层面,打造自主可控的技术体系,实现数据安全利用,充分发挥数据资产价值。
不仅要重视数据的存储和传输安全,也要重视数据的使用安全,更要重视数据的全生命周期安全。我们要重点围绕关键信息基础设施敏感数据的窃取、破解、篡改等攻击活动,确实加强数据安全防护和治理能力。
3
要高度重视新技术应用对关键信息基础设施带来的安全威胁风险评估能力
以人工智能为代表的新技术应用是一把双刃剑。
就人工智能技术而言,一方面,利用它可以有效地提高网络威胁的检测与响应能力,即使在面对持续进化的恶意软件或未知网络威胁时,也能保持较高的检测率;可以克服人性的弱点,抵御以人为突破口的社会工程学攻击。
另一方面,它也能够被攻击者所利用。攻击者利用它可以提升识别和打击目标的精准性,可提升恶意代码的免杀和生存能力,也有助于实现智能化和自动化的网络渗透。
我们要高度重视新技术应用对关键信息基础设施带来的安全隐患和潜在风险,加强安全威胁风险评估,积极采取有效的应对措施,提升关键信息基础设施的对抗能力和防护水平。

专 家 名 片

冯登国,中国科学院院士。长期从事网络与信息安全研究工作,在Theor.Comput.Sci、J.Cryptology、IEEE IT等国外重要期刊和会议上发表论文200多篇,主持研制国际和国家标准20多项,荣获国家科技进步一等奖、国家技术发明二等奖等多项奖励。担任过国家863计划信息安全技术主题专家组组长,国家863计划信息技术领域专家组成员,国家973计划项目首席科学家,国家信息化专家咨询委员会委员等。

(完)