鄔江興：網絡安全信息化建設同步發展
 
 
開欄的話

中國互聯網協會、國家計算機網絡應急處理中心發布的報告顯示，2007年我國發生的互聯網安全事件比2006年增加了一倍，每年因“黑客”攻擊、竊取行為造成的各種損失達76億元。調查報告還顯示，近幾年針對國家
政府部門、軍隊和敏感企事業單位的信息騷擾、竊密、擾亂等行為呈大幅度上升趨勢，一些失洩密事件對我軍信息化建設和軍事鬥爭準備造成一定影響。尤其是國內外敵對勢力借助技術優勢，瘋狂搜尋我軍各種情報信息，網上竊密與反竊密、控制與反控制的鬥爭日益激烈。面對這樣的形勢，我軍信息網絡安全工作應該如何積極應對？需要破解哪些難題？本版為此開闢“網絡安全在軍營”欄目，與大家共同探討研究這些問題。從本期開始，將首先刊發信息工程大學校長鄔江興院士談網絡安全的一組專訪。請廣大讀者關注並參與討論。

鄔江興，中國工程院院士。現任解放軍信息工程大學校長、教授、博士生導師；擔任第三屆國家科技獎勵委員會委員、“十一五”國家863計劃信息領域專家組副組長、新一代寬帶無線移動通信國家重大專項實施方案論證委員會主任、軍隊第三屆學位委員會委員、總裝科技委兼職委員等學術職務。曾獲國家科技進步一等獎等多項科研獎項。

當記者與鄔江興院士聊起網絡安全話題時，鄔院士首先講到的是：信息化和信息網絡安全是一個辯證統一的矛盾體，相互關聯、相互促進、相互制約，推進軍隊信息化建設又好又快發展，首先應該把信息網絡安全提高到戰略層次，同步規劃、同步升級、同步實施。

網絡安全成為信息化的“命門”

記者：作為長期在信息技術領域耕耘的軍隊科技領軍將纔，請您談一談目前我軍信息網絡安全的形勢？

鄔江興院士（以下簡稱鄔院士）：近年來，軍隊各級對信息網絡安全高度重視，出臺了一繫列強有力的制度措施，保密工作正在實現“三個轉變”，即從單純地“保”轉到“保防”結合，確保重點；從隻注重抓常規保密轉到著力抓信息網絡安全；從以行政管理為主轉到行政管理與技術防護手段相結合。但是，面對日新月異的網絡技術和服務及不斷升級的信息安全威脅，我軍保密工作正面臨著前所未有的挑戰，信息網絡安全已經成為制約我軍信息化建設向縱深發展、可持續發展的“瓶頸”問題。主要表現為：信息網絡安全滯後於信息化建設，官兵安全防護意識有待進一步提高，網絡安全防護水平和安全體繫建設亟待加強。

記者：信息化和信息網絡安全相伴而生，但後者往往不能與前者同步發展，您認為造成我軍信息網絡安全滯後於信息化建設的主要原因是什麼？

鄔院士：在信息化建設的初級階段，大家對信息網絡的認識建立在樸素應用需求的基礎上，通俗地講就是指：利用網絡繫統和數據庫技術，采取最便捷的方式，選擇最優化的路徑，付出最小的建設成本，盡快將信息共享機制建立起來，實現互聯互通互操作，加快信息流通，大幅度提高工作效率。此外，信息通信技術和基於摩爾定律的信息產業的飛速發展，使得組網、建網的技術門檻及投資門檻越來越低，於是一個“自下而上、大干快上”的全軍性網絡建設熱潮迅速興起。目前，我軍用於作戰、訓練、政工、後勤、裝備等網絡都已初具規模，基本達到了“縱向到基層、橫向全通聯，無網不在，無網不及”的程度。工作效率的提高從一般意義上看來似乎是肯定的。但是，這種缺乏整體規劃的建設，必然導致網絡建設處於無序狀態，大網套小網，小網聯大網，煙囪林立，漏洞頻出。事實已經證明，基於這種無序狀態的“全軍運動”，信息化的水平越高，信息網絡安全的威脅性就越大。

“三個效應”影響網絡安全發展

記者：信息網絡安全是一個“體繫級”的概念，缺乏頂層設計，不但會影響信息網絡繫統的整體安全，還會制約信息化建設的進程，其具體影響表現在哪些方面？

鄔院士：具體表現為“三個效應”：

一是“首因效應”。由於沒有繫統規劃和建設標準，各單位在網絡建設上往往會“以我為中心”，從自有的條件和能力出發，選擇較容易的方案、方便快捷的路徑，形成本單位在網絡化、信息化方面的“先發優勢”或具有顯示度意義的政績工程。這種靠主觀和經驗，而不是靠科學和標準的發展思路，加大了統一管理和有效防護的難度。

二是“和面效應”。由於沒有統一的安全升級機制，不少單位對出現的信息網絡安全問題，采取“有問題就打補丁，軟件硬件一起上”的辦法，水多了加面，面多了加水，面團越做越大。這種非體繫化的補救措施，使局部信息繫統越搞越龐大，越建越復雜，結果是窟窿越堵越多，問題越堵越大，“亡羊”卻未能“補牢”。

三是“馬太效應”。無序建設是一種非平衡的發展，網絡和信息安全問題是“木桶原理”最好的體現，入侵者往往會選擇繫統中防護最薄弱的地方突破。在一個聯通的信息繫統內，無論多麼微不足道的“伎倆”，隻要找準合適的突破點，借助“信任傳遞”潛規則，繫統內所有的信息都將面臨威脅，針尖大的洞必然會引入“鬥”大的風。

升級網絡安全觀念最為迫切

記者：面對嚴峻的形勢，鄔院士認為我軍信息網絡安全應該確立什麼樣的思路，纔能做到安全與建設同步，升級與發展跟進？

鄔院士：信息安全，通俗地講就是指：把信息在最合適的時間，送到最合適的地點，交給最合適的人。對比我們對信息化的認識，不難發現“最快捷”不一定“最安全”，“最優”不一定“最好”，“最廣泛”不一定“最合適”。信息化和信息網絡安全是一個有機的整體，兩者相互作用構成了信息繫統。對繫統而言，信息安全是信息化的限定詞，要求信息化建設必須從無序狀態向有規劃、可管理、體現體繫效率的方向發展。信息繫統是一個典型的低熵、高治繫統，信息繫統在無序、隨意的狀態下，熵值增大，安全威脅不斷加劇；同理，繫統建設越有序，熵值降低，體繫越安全。

目前，最迫切需要升級的是觀念。應該樹立有序發展理念，在信息網絡建設的過程中，加強頂層設計，堅持整體規劃，統一標準，統一接口，統一平臺；應該樹立繫統管理意識，堅持統籌兼顧，整體推進，實現思想、組織、技術、管理、文化各個層面的協調發展；應該樹立持續發展理念，信息技術的發展會解決過去的安全問題，也會帶來新的安全問題，信息網絡安全必須有“打持久戰”的準備；應該樹立綜合效益理念，信息化不是自動化，不能隻強調個體或局部的方便快捷，沒有安全的效率是沒有意義的效率，體繫的效率纔是最高效率，要在信息化建設中注重安全與效率的統一，決不能以安全為代價來提高效率。

特約通訊員 李楊 鄒宏 記者 張鋒