2015年中国网络安全发展形势展望
来源:赛迪网 发布:2015-01-22 阅读:1703
2014年,“斯诺登事件”的持续发酵,为各国调整在网络空间的战略部署提供了巨大动力,推动当前网络空间格局发生重大变革。展望2015年,全球网络空间竞争将更加激烈,世界范围内的网络犯罪和网络攻击行为将愈演愈烈,加上我国自身存在不少安全工作发展的瓶颈,我国网络安全依然面临严峻挑战。
壹对2015年形势的基本判断
(一)全球网络空间军备竞赛的风险不断增加
近几年,随着网络安全威胁的日益常态化、复杂化和高级化,世界各国都在不断加大对网络空间的部署,尤其是“斯诺登事件”的发生,各国更是加快了网络安全军事力量建设的步伐。根据联合国裁军研究所的统计数据,目前全球已有近50个国家建立了网络战部队。近两年,越来越多的国家继续扩大网络战规模,日本自卫队正式成立“网络防卫队”以应对网络风险;美国国防部长查克×哈格尔表示,国防部将继续扩大网络部队规模,计划于2016年增至6000人;韩国军方和情报当局推测称,朝鲜近两年一直在扩编网络战部队,规模约达5900人,另外其黑客数量规模甚至超过美国。同时,各种进攻性网络武器和新型赛博安全威胁技术也正在全球广泛蔓延,例如,韩国正在研发一款类似“震网”病毒的网络武器,以针对朝鲜的核武器计划;以色列科学家们发现了从“空气间隙”网络中提取信息的新方法,也就是在一个未连接到其他任何网络的网络环境中,利用一台已被控制的计算机从网络向手机发送信息,通过无线电发射机进行监控。此外,欧盟网络与信息安全委员会(ENISA)发布的最新报告显示,近两年来各国开展网络演习的频率大幅提高。预计到2015年,各国还将继续保持建立或增设网络部队的势头,并将在研发网络武器和新型对抗技术方面更大人力财力物力,而随着各国对网络演习的愈加重视,全球或地区范围内的网络演习也将不断增多。
(二)各国面临的网络攻击和网络犯罪问题更加严重
随着网络技术和工具的不断发展,网络攻击和网络犯罪已经并将继续困扰全球各国。从近几年发生的网络攻击来看,各国重要信息系统遭受的网络攻击数量剧增。据泰国有关机构称,其国内网络系统遭受攻击的次数不断上升,手机和社交工具的信息安全几乎没有保障;近日,摩根大通银行的电脑系统遭到黑客攻击,导致约8300万家庭和小企业账号的名字、地址、电话号码和电邮地址泄露,成为历史上最大的泄密事件之一。在诸多网络攻击中,尤其是由国家资助或支持的网络攻击正越来越多地被公布于众。例如,阿联酋曾在法国供应的情报卫星中发现了美国提供的后门。而根据斯诺登的爆料,美国国家安全局曾入侵中国华为总部服务器,监控数位中国前任国家领导人和多个政府部门及银行;不久后,斯诺登曝光了美国国家安全局的网络攻击工具“怪物猜想”(Monstermind),据悉,该项目可在无人操作的情况下自动应对来自他国的网络攻击;最近,斯诺登再度披露美国国家安全局最高级别的“核心机密”行动,称NSA在中国、德国、韩国等多个国家派驻间谍,并通过“物理破坏”手段损毁、入侵网络设备。与此同时,网络犯罪活动也在全球肆意蔓延,欧安组织驻比什凯克中心代理负责人约翰·麦格雷戈曾在“网络犯罪及洗钱”国际论坛上透露,当前网络犯罪每年对全球经济造成4000亿美元的损失,严重程度惊人。预计到2015年,全球范围内网络攻击发生的频率越来越高,具有国家背景的网络攻击行为不断增加,网络犯罪给社会民众造成的经济损失将更加严重。
(三)网络安全顶层设计和法律规范进一步加强
随着中央网络安全和信息化领导小组职能的逐步理顺,网络安全顶层设计工作和相关法律法规制定工作将进一步加强。在网络安全形势日新月异和全球各国纷纷加强网络安全顶层设计的驱动下,社会各界均认识到加强网络安全顶层设计工作的迫切性和重要性,研究制定网络安全和信息化发展战略、宏观规划和重大政策已成为中央网络安全和信息化领导小组的重要任务。随着国家网络安全战略的制定出台,国家将对网络安全做出明确的战略部署。与此同时,习近平主席还在中央网络安全和信息化领导小组第一次会议上明确提出,要制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,对重要技术产品和服务提出安全管理要求。为落实会议精神,2014年立法工作计划中已明确提出将制定“网络安全法”,而且外交部发言人也曾在外交部例行会上公开表示中国政府有关部门即将颁布“网络空间安全条例”,预计这些法案和条例将会在2015年陆续出台。另据相关部门透露,《电子商务法》、《未成年人网络保护条例》以及新修订的《互联网新闻信息服务管理规定》也都将于2015年初完成初稿,经征求意见完善后即可生效。
(四)网络安全产业受政策驱动步入高速发展期
在国家相关政策的推动下,信息安全行业发展充满活力,产业增长即将进入快车道。“斯诺登事件”后,国家出台一系列措施,大力推动网络设备国产化进程。在基础安全产业方面,随着《国家集成电路发展推进纲要》的发布,产业投资基金正式设立,在集成电路方面的投资规模将达到数千亿,拉动资金数量则达到数万亿。同时,国家还明确规定政府办公用所有计算机类产品不允许安装Win 8操作系统,赛门铁克和卡巴斯基也因为安全原因被从安全杀毒软件供应商名单中排除,而微软中国位于北京、上海、广州和成都的分公司还首次因为网络安全问题而分别受到国家工商总局的调查。这些措施极大优化了国内信息产业发展环境,促进了网络安全产业的快速增长。据初步统计,2014年一季度,网络安全规模增长幅度接近25%,四季度产业增长速度仍保持在30%左右,全年增长率约为26%,市场规模达到550亿左右。相关产业链上的国内公司也充分享受到了行业快速成长带来的红利。中国电信发布《2014年度IT设备集中采购PC服务器部分》招标公告显示,中国服务器第一品牌浪潮获得大规模采购份额,总金额近亿元。预计到2015年,产业利好政策还将不断出台,产业将持续高速发展。在国家利好政策的刺激下,启明星辰、卫士通、蓝盾股份等相关企业信心大振,会纷纷调整自身业务,争获政策红利。
(五)互联网信息治理有效推动清朗网络空间的构建
在打击网络谣言专项行动的基础上,有关部门将继续集中精力对网络谣言和淫秽色情等有害信息进行“大清理”。2014年,面对“昆明暴恐”案和“马航客机失联”事件后大量不实信息在网上传播、山西网民扬言炸天安门等网络谣言肆意泛滥的现象,公安部出重拳惩治。同时,还在全国开展了“扫黄打非·净网2014”专项行动,依法查处淫秽色情网站422家,关闭相关频道、栏目360个和微博、博客、微信、论坛等各类账号4800多个,删除涉黄信息30余万条。国家互联网信息办公室也曾联合工业和信息化部、公安部,在全国范围内开展为期一个月移动即时通信工具专项治理行动,重点整治具有传播和社会动员功能的公众账号,严厉打击利用移动即时工具传播谣言、暴力、恐怖、欺诈、色情信息等违法违规行为。在中央网络安全和信息化领导小组第一次会议上,习近平主席明确提出,做好网上舆论工作是一项长期任务,要使网络空间清朗起来。2015年,打造清朗网络空间依然任重而道远,预计相关部门会继续加大力度打击网络谣言和网络色情,开展各类专项清理行动。
贰需要关注的几个问题
(一)网络安全攻防能力不足,难以有效抵御外部风险
目前,国家尚未形成统一的网络安全防御体系,在抵御重要网络威胁、应急重要网络事件时,速度远远落后于其他国家。2014年,“心脏出血”漏洞以其超强破坏力在网络安全业界引发了广泛担忧。从近期一份有关“从应对‘心脏出血’漏洞看各国攻防能力”的研究成果显示,我国在网络空间上的重要资产数量远低于其他国家,但在漏洞修复趋势和危机应急反应能力方面,全球排名仅占102位,与我国的网络大国地位极不相称。这为我国的攻防能力建设敲响了警钟。近几年,我国国家基础信息网络和重要信息系统因技术故障、系统缺陷等发生断网和停运,以及因遭受攻击篡改和漏洞利用等发生重要敏感信息泄露的安全事件时有发生,网络攻击的溯源能力、网络攻击对抗能力以及大规模网络攻击的抗打击能力等明显不足,现有的等级保护、风险评估等评估和防护工作在新技术新产品新应用的安全漏洞和隐患发现能力上还存在很大缺陷。在当前各国都花大力气加强网络攻防建设的背景下,我国迫切需要在相关能力提升方面投入更多精力。
(二)网络安全法制建设滞后,难以适应新发展形势
中央网络安全和信息化领导小组第一次会议明确提出要加快网络空间法制建设,2015年网络安全法律规范必将迈上新台阶。但是,在哪些领域迫切需要网络安全立法以及如何通过立法加以规范方面,我国仍然存在不少盲区。2014年,美国司法部以网络窃密为由起诉中国军人,在两国乃至全球范围内都掀起了不小的波澜。联系美国近年来多次借网络窃密指责中国,这个案例标志着美国已经将打击网络窃密上升到法律高度,未来极可能在本国法律下对网络窃密采取行动,而且美国也已经建立了《经济间谍法》、《计算机欺诈与滥用法》等法律构成的相对完备的反网络窃密法律体系,相比而言,我国有关网络窃密的法律建设远远落后,难以对类似起诉形成反制。与之类似,随着近两年网络安全形势的飞快变化和新威胁的层出不穷,信息数据跨境流动、移动互联网时代网络数据和隐私保护、高级可持续性威胁背景下重要信息系统保护、政府信息安全管理、信息技术产品的安全审查、网络犯罪电子证据取证程序等方面都迫切需要立法进行规范,但我国相关领域均存在空白,即便部分现有法律法规涉及相关问题,但由于未随着时代变迁和修订,也存在着明显的缺陷和漏洞,也无法适应网络安全发展新形势衍生的新要求。
(三)网络安全产业基础薄弱,高速发展依然受限
从2014年整体情况来看,我国网络安全产业虽然迎来了高速发展机遇期,但由于自身根基不牢、基础薄弱,总体来看发展依然比较缓慢。其中比较突出的问题表现为,一方面,我国在信息技术方面起步较晚,核心技术一直受制于西方国家,面临西方国家的高科技禁运、知识产权等限制,重要信息系统和基础信息网络大量使用国外基础软件以及核心关键设备,而西方国家借助市场占有率、事实性标准等构建技术壁垒,以维持其产业领先优势,我国企业难以与跨国企业进行竞争,没有形成自主产业良性循环的发展环境;另一方面,我国在发展操作系统、芯片等核心技术方面存在不同的方向和路线,难以实现统一,弱化了我国集中力量办大事的优势,而且当前对网络安全产业监管过于严格,这种管理已经影响到行业的健康发展。以网络安全产品强制认证制度为例,企业每出一款新产品必须按认证目录通过相关部门检测后才能上市,如公安部发布第二代防火墙标准于本季度开始实施,这一标准很可能成为强制认证的标准,但在民用市场,这种认证非但不能提升安全性,反而还会影响企业的积极性。正因为存在这些制约因素,我国网络安全产业发展难以避免地受到限制,2015年要实现网络安全产业的快速发展,需要重点解决上述两方面问题。
(四)网络安全优秀人才匮乏,支撑力量仍显薄弱
中央网络安全和信息化领导小组第一次会议上,习近平主席明确提出“要建设一支政治强、业务精、作风好的强大队伍,培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队”。但是,由于多年来对网络安全人才队伍建设关注程度不够,采取措施有限,导致我国人才建设面临诸多短板,如国家缺乏网络安全人才系统发展规划;缺乏既具备扎实信息安全基础理论,又拥有全球视野、战略思维、前瞻眼光、创新意识的高层次领军人才;网络安全学科设置不科学导致网络安全人才供需严重不平衡,供给远远不能满足当前需求等。尤其是近两年,由于人才待遇和薪酬激励机制不合理造成人才流失严重,优秀的网络安全人才或流失海外,或成为黑客和网络犯罪分子,严重制约了我国网络安全人才队伍建设,在未来的人才建设工作中应予以重点关注。
叁应采取的对策建议
(一)着力提升网络安全积极防御能力
一是建立网络空间战略预警平台。建设国家网络空间战略预警平台,实现对网络空间的全局感知、精确预警、准确溯源、有效反制,提升对国家级、有组织网络攻击威胁的发现能力。二是是完善信息安全应急处置体系。建立跨部门、跨行业的应急处置体系,提高国家对信息安全事件的处置能力。三是提升网络攻防能力。研究各种网络攻防对抗技术,尤其是加强对新技术新应用的攻防技术研究。建设国家网络空间攻防实验环境,尝试开展多种形式的网络空间防御演练,提高防御能力。四是整合现有技术手段和信息资源,集合军队、情报、公安等部门力量,形成国家网络空间积极防御协作机制,建立网络打击、网络情报和网络公共防护为一体的防御体系,逐步提升网络威慑、网络情报和网络公共防护能力。
(二)完善网络安全法律法规建设
一是健全我国网络安全法律体系。适应新形势变化,研究新形势对法律法规提出的新需求,以此为基础制定新的网络安全法律,尤其在网络犯罪、信息资源保护使用、信息资源和数据的跨国流动等方面加强立法,规范网络空间主体的权利和义务,明确相关主体应当承担的法律责任和义务,逐步构建起相对完备的网络安全法律框架。二是明确危害网络安全的法律责任。信息技术和应用的发展带来了大量管理“漏洞”,如一些网络运营商将收集的信息进行大数据分析并销售给他人,给用户带来巨大安全隐患。但是我国目前没有相应的刑法罪名应对,在网络安全立法中,有必要对危害国家和公共网络安全的行为明确法律责任,为追究违法者创造法律条件。三是推动我国网络安全行业自律建设。针对行业中企业侵害个人隐私、开展恶意竞争等受到广泛关注的问题,加强行业管理规范和行业自律准则的制定和实施,规范信息安全企业的行为。
(三)优化自主网络安全产业发展环境
一是营造公平竞争的市场环境,为企业提供有利于成长的市场空间。在事关国家安全和核心利益的重要领域,坚持安全优先的原则,大力推进行国产化替代。完善反垄断法、知识产权保护等法律,严格规范不正当竞争行为,严厉打击滥用市场支配地位的企业,消除国外大型跨国公司在国内的“超国民待遇”。二是推进国产化替代,整合自主网络安全产业链。在当前我国信息技术产品高度依赖国外的情况下,加快实施可信计算应用示范工程,并有序推进国产化替代,支持政府部门和重要领域率先采用具有自主知识产权的安全产品和系统。在核心技术产品研发基础上,联合产业上下游企业,组建自主技术产品联合工作组,带动从基础产品到应用产品和服务的具有完全自主知识产权的产业发展。三是提升自主企业应对国际竞争的能力,以资本为纽带推动资源整合,充分发挥行业协会、产业联盟和政府机构的作用,建立“专利共享池”,从而减少自主企业在国际竞争中的压力.
(四)加快网络安全人才队伍培养
一是开展网络安全人才系统规划。加强网络安全人才培养工作的顶层设计,制定我国网络安全人才系统规划,各部门配合实施网络安全人才系统规划,并推进各项人才工作的顺利进行,从国家高度统一部署,协调资源,加强我国网络安全人才建设。二是健全信息安全人才培养机制。完善以普通高等教育为主,职业高等教育、社会培训、用人单位培养为辅的信息安全人才培养体系,加大网络安全专业人才和复合型人才培养力度。三是推进信息安全领军人才建设。在基金委、科技部、工信部等网络安全领域的重大研究计划中,将领军人才与科研计划挂钩。建立领军人才政府特殊津贴制度如医疗保障、休假制度等,设立领军人才专项资金,建立针对领军人才的科学合理的绩效考核制度和薪酬制度。有计划有重点地选送优秀人才到境外著名研究机构和高校研修深造、开展科研合作等活动,提高其科研素养和科研能力。
