2015年,我國網絡安全立法取得重大突破,等級保護、標準化等網絡安全基礎工作穩步推進,網絡空間治理行動取得階段性成果,網絡安全産業發展勢頭強勁,網絡安全自主可控技術研發成果豐碩,網絡空間國際合作持續加強,網絡安全形勢整體向好。展望2016年,各國之間的網絡安全合作將進一步提升,全球爆發大規模網絡衝突的風險將進一步增加,中國在網絡空間的影響力將進一步加大,我國網絡安全産業迎來爆髮式增長機遇,網絡安全技術、人才等能力建設將進一步加強。同時,我國也必須處理好網絡安全戰略不明確、網絡信任體系建設滯後、網絡安全基礎能力薄弱、網絡攻防技術能力不足等問題,加強我國網絡安全建設。
一、對2016年形勢的基本判斷
(一)各國之間的網絡安全合作將進一步提升
近年來,世界各國紛紛加強網絡安全領域的戰略合作,以應對複雜多變的網絡安全形勢。5月,中俄簽署國際信息安全合作協議,承諾互不進行駭客攻擊;9月21日,美國和印度發佈聯合公告,加強兩國在網絡安全技術研發、打擊網絡犯罪、互聯網治理等方面的合作;9月25日,中美雙方就建立兩國打擊網絡犯罪及相關事項高級別聯合對話機制、共同繼續制定和推動網絡空間合適的國家行為準則等網絡安全問題達成共識;10月,中英雙方就打擊網絡犯罪問題簽署一項“高級別安全對話”協議,旨在防止以盜竊知識産權或癱瘓系統為目的的網絡攻擊。
2016年,世界各國會進一步加深網絡安全領域的戰略合作,共同應對網絡空間的安全挑戰。
(二)全球爆發大規模網絡衝突的風險將進一步增加
隨著網絡空間地位的日益提升,網絡空間已成為各國家、地區間安全博弈的新戰場。世界各國為確立在網絡空間中的優勢地位,不斷加強網絡空間攻擊能力,國家級網絡衝突爆發的風險不斷增加。一是網絡空間“軍備競賽”持續升級。4月,美陸軍國民警衛隊提出將在未來3年成立10個網絡保護小組,以提升聯邦政府和州政府的網絡防禦能力;6月,美軍公開收購未修補安全漏洞,用於網絡戰,甚至早在5年前美國政府即啟動零日漏洞政策。二是國家間的網絡監控事件不斷上演。6月,維基解密公佈美國國安局絕密文件,披露美國大規模監控法國和德國的資料;8月,維基解密發佈的文件顯示,日本首相安倍晉三以及三菱重工等日本企業成為美國正在監控的目標。三是網絡衝突已經成為現實戰爭的重要組成部分。由於俄羅斯同歐美國家在烏克蘭和敘利亞問題上分歧加劇,俄羅斯發起的網絡攻擊越發頻繁。4月,俄羅斯駭客入侵白宮電腦系統;同月,法國TV5Monde電視網絡疑遭受俄羅斯駭客襲擊而關閉兩天;7月,俄羅斯駭客侵入美國國防系統,攻陷多臺電腦。網絡已成為俄羅斯與北約衝突的第二戰場。四是國際駭客組織的網絡攻擊行為日益猖獗。3月,國際駭客組織“匿名者”聲稱對以色列發動“電子大屠殺”,將以色列從網絡世界抹去;5月,“匿名者”入侵WTO數據庫,波及巴西、中國、法國等多國成員;7月,美國人口普查局的伺服器被“匿名者”攻破,大量數據洩露;9月,ISIS恐怖組織劫持英國政府的機密郵件,英國政府相關的機密信息和皇室家族成員信息可能被暴露。
2016年,各國家、地區的網絡“軍備競賽”將繼續加強,網絡摩擦會不斷增多,大規模網絡衝突爆發的風險將進一步加劇。
(三)中國在網絡空間治理中的影響進一步加大
自美國“棱鏡門”事件曝光以來,國際社會圍繞網絡空間國際規則制定和網絡空間行為規範的呼聲日益高漲,互聯網治理全球化成為必然趨勢,世界各國積極爭取主導權。一方面,ICANN改革方案尚無定論。自美國宣佈放棄ICANN控制權以來,各國家、地區圍繞ICANN改革方案産生諸多爭議,目前仍無定論。美國此舉的目的是架空政府管理許可權,利用技術優勢維持其控制互聯網的能力;歐盟希望借此賦予主權國家政府與其地位相匹配的管理許可權,分享網絡空間的支配權;中國、俄羅斯、印度等新興國家希望打破現有管理體系,將互聯網治理職能納入聯合國主導下的國際電信聯盟。另一方面,我國積極參與國際互聯網治理事務。1月,全球互聯網治理聯盟投票選出20名委員會成員,主要負責議決聯盟重大事項,推動ICANN國際化和全球網絡空間治理進程,中國國家網信辦主任魯煒和阿里巴巴董事局主席馬雲入選;6月,全球互聯網治理聯盟首次全體理事會選舉阿里巴巴董事局主席馬雲等三人為聯盟理事會聯合主席。11月,CNNIC獲得ICANN認證的“第三方註冊服務機構數據託管”資質。同時,在與美、英等國領導人的會談中,習近平總書記也多次闡述中國的全球網絡空間治理理念,積極促進全球網絡空間治理體系變革。
2016年,中國將更積極地參與國際網絡空間治理,在雙邊、多邊以及國際層面大力向世界闡述中國的治理理念,推動全球網絡空間的各行為體求同存異,儘快達成共識。
(四)網絡安全産業迎來爆髮式增長機遇
隨著“互聯網+”行動持續發酵以及國家網絡安全相關政策的不斷出臺,網絡安全的重要性被提升至前所未有的高度,加之網絡安全需求的持續推動,網絡安全産業面臨爆髮式增長機遇。一是産業政策環境不斷改善。7月1日通過的新《國家安全法》首次提出網絡空間主權的概念,並將網絡空間置於國家主權管轄之下;7月6日,我國網絡安全領域基本法《網絡安全法》(草案)正式向社會公開徵求意見,明確國家網絡安全工作的基本原則,為整體推進網絡安全保障體系建設提供法律依據。10月,十八屆五中全會將“網絡強國戰略”納入“十三五”規劃的戰略體系。二是網絡安全産品競爭力逐步提升。華為海思晶片方案擊敗包括高通在內眾多的傳統晶片巨頭,獨家中標賓士第二代車載模組全球項目;擁有全部自主知識産權的華為麒麟晶片,已可以媲美全球最主流的手機晶片,目前累計發貨量已達5000萬,中國在用的4G+手機中,有50%以上採用麒麟晶片;飛騰FT-1500A系列CPU處理器研製成功,已量産上萬片。三是産業呈現快速發展趨勢。據預計,2015年我國網絡安全産業規模增長超過30%,産業規模將突破670億元。
隨著“十三五”規劃的逐步落實,國家網絡安全政策的利好刺激,以及國內網絡安全需求的持續推動,網絡安全産業必將迎來更大的發展契機。
(五)網絡安全自身能力建設將進一步加強
為應對日益複雜的網絡安全形勢,我國從技術研發、人才培養等方面著力加強網絡安全自身能力建設。一是自主可控安全技術研發力度加大。3月,中國電子信息産業集團發佈高密度萬兆交換晶片和高性能伺服器晶片;7月,中國航太科工集團研發的我國第一個涉及上萬台電腦的自主可控安全網絡和信息系統投入試運作,在系統整合、關鍵産品研發、特定領域軟件研製等方面形成完整的國産化産業鏈。二是網絡安全技能大幅提升。3月,在Pwn2Own 2015世界駭客大賽上,中國安全團隊360Vulcan Team僅用時17秒就率先攻破微軟Win8.1系統和最新的IE11瀏覽器,奪得世界冠軍;10月,上海舉辦“極棒2015嘉年華”活動,參賽人員攻破了包括華為、小米、京東等在內的超過40款主流智慧軟硬體。三是網絡安全人才培養步入正軌。7月,國務院學位委員會、教育部決定在“工學”門類下增設“網絡空間安全”一級學科,授予“工學”學位;11月,國務院學位委員會發佈“關於開展增列網絡空間安全一級學科博士學位授權點工作的通知”,決定增列“網絡空間安全”一級學科博士學位授權點。四是企業不斷拓展網絡安全業務。4月,百度收購安全寶,著力加強雲安全實力;6月,阿里巴巴收購翰海源,增強阿裏雲防護體系;啟明星辰在發展傳統網絡安全産品的基礎上,也積極針對數據安全、電磁空間安全、工控安全、雲安全等進行佈局,並與騰訊達成戰略合作,共同推出企業終端安全解決方案——雲子可信網絡防病毒系統。
2016年,我國將繼續加強網絡安全能力建設,深入推進自主可控的安全技術研發,提升網絡安全技能,加大高層次網絡安全人才培養力度。
二、需要關注的幾個問題
(一)缺乏明確的網絡安全戰略,頂層設計仍需細化
2015年,新修訂的《國家安全法》、《網絡安全法》(草案)等多項網絡安全相關法律相繼推出,十八屆五中全會將“網絡強國戰略”納入“十三五”規劃的戰略體系,國家網絡空間安全頂層設計得到明顯加強。然而,我國國家網絡安全戰略尚未明確,國家網絡安全審查制度尚未出臺,網絡安全頂層設計仍需細化。而另一方面,全球已有60多個國家先後出臺網絡安全戰略文件,部分國家甚至根據網絡安全新形勢調整和完善原有戰略。如,美國國防部推出《網絡空間戰略》,作為2011年《網絡空間行動戰略》的替代,明確提出要強化網絡威懾力量的建設;英國政府推出總額6.5億英鎊的“網絡安全戰略”,以整體提升國家的網絡安全水準;日本制定新網絡安全戰略,將重要信息系統與互聯網進行分離。因此,在複雜多變的網絡安全環境中,如何儘快構建適合我國發展的網絡安全戰略,進一步細化網絡安全頂層設計,高效應對我國網絡安全面臨的挑戰,是當前迫切需要解決的問題。
(二)網絡信任體系建設滯後,網絡身份管理亟需加強
我國網絡信任體系建設滯後,網絡身份管理尚有缺漏,難以確保網絡身份真實性、數據保密性,不能有效解決身份盜用等安全問題。一是對網絡可信身份框架缺乏清晰的認識。對於網絡可信身份框架,專家意見尚未達成一致,有些認為,就是要建立全國性的網絡身份識別系統,所有身份憑證均由該系統簽發;有些則認為,就是要實施網絡實名制。對於網絡可信身份框架的具體要素、各方角色和責任、運作機制等,也需要深入研究確定。二是法律法規不完善。目前我國僅有《電子簽名法》可為網絡可信身份提供法律保障,配套法律規範嚴重不足,電子簽名證據法律效力存在認定困難等問題。三是相關保障措施不健全。由於網絡可信身份框架不清晰,我國在網絡可信身份的標準制定、資金投入、組織實施等方面存在不足,網絡可信身份建設明顯滯後。
(三)網絡安全基礎能力薄弱,核心技術國産化困難重重
長期以來,我國IT産業發展過度重視經濟效益,對網絡安全問題認識不足,忽視了在基礎核心技術方面的自主創新,形成了對國外信息技術産品的體系性依賴,網絡安全隱患不斷加大。一是自主核心技術産業發展困境不減。近年來,我國自主核心技術産業取得一定進展,但在技術、産品等方面同國外IT巨頭差距依然較大,産業發展困難重重。7月,Windows 10作業系統強勢發佈,允許盜版的Windows 7/8.1升級,還向其提供“一鍵洗白”的機會。這沉重打擊了以“龍芯+國産作業系統+配套應用軟件”為核心的龍芯産業鏈模式,給全産業鏈的發展帶來嚴重影響。二是部分企業自主可控技術研發動力不足。自主可控技術的研發需要大量人力、物力、財力為保障,國家扶持力度不夠導致部分企業研發動力不足。同時,某些大型跨國企業更傾向於對全球資源整合而非進行自主可控技術研發,並且由於其主要市場都在國外,全力推行國産化,會導致其海外業務受損,這也在一定程度上打擊了企業研發自主可控技術的積極性。三是國産化進程遭遇外部阻力。我國銀監會原計劃推進銀行業IT安全新規,要求向國內銀行出售IT系統設備的企業將源代碼送交銀監會備案,並在中國設立技術研究或服務中心等。對此,美國財政部長雅各布·盧要求中國暫停銀行業網絡安全新規,美國、日本和歐洲的31家商會聯名寫信給中央網信辦,表達“強烈擔憂”。迫於國外政府和企業的巨大壓力,銀監會被迫暫緩實施該規定。
(四)網絡攻防技術能力不足,網絡安全面臨挑戰
當前網絡攻防技術發展日新月異,相對較弱的技術實力將使我國在應對網絡安全威脅方面處於劣勢。一是信息技術安全檢測能力不強。我國對進口技術和産品的檢測主要集中在功能性測試,很少涉及到其技術核心,難以發現産品的安全漏洞和“後門”;缺乏對大數據、雲計算等新興技術網絡安全風險的檢測和評估手段,難以有效應對潛在的安全威脅。二是高級別複雜性威脅應對不力。在APT攻擊檢測和防禦方面,我國技術實力較弱,不能及時發現APT攻擊,無法對其分析取證,難以掌握整個攻擊過程,並缺乏有效的反擊手段;在DDOS攻擊防護方面,國外安全服務提供商採用相應技術手段來分解攻擊,保證每一個單點的處理能力和切換都是可控的,而我國只能靠單點的大頻寬來承受攻擊。三是網絡攻防演練相關技術落後。我國網絡空間安全性試驗與驗證技術的研究還處於起步階段,與國外相比,在大規模網絡復現、靶場資源自動化配置管理、高安全試驗管理、網絡攻防對抗試驗驗證等技術領域還存在較大差距。
三、應採取的對策建議
(一)加快出臺網絡安全戰略,完善頂層設計
一是儘快制定並發佈國家網絡安全戰略,確定我國網絡安全的重大原則和國家立場,明確我國網絡空間建設和發展、保障和治理的重點任務和關鍵舉措,為實現我國的網絡強國戰略保駕護航。二是加強對美等重點國家網絡安全戰略的深入研究,加大網絡安全領域重大問題研究,及時跟蹤國內外網絡安全最新動態,深刻認識可能影響我國網絡安全大局的戰略性、前瞻性問題,進一步加強頂層設計。
(二)建設網絡身份體系,創建可信網絡空間
一是做好網絡身份體系的頂層設計。在充分研究現有技術方案的基礎上,明確國家網絡身份體系框架、各參與方在其中的角色和職責,並制定詳細的網絡身份體系構建路線圖,建立實施機制,明確組織、資金等各方面保障,從法律法規、標準規範、技術研發、試點示範、産業發展等多方面推進網絡身份體系建設。二是按照包容並蓄原則,支持發展多種網絡可信身份技術和服務。加強政府引導,充分發揮企業的積極性,開展電子認證互聯互通等技術産品研發;支持電子認證服務模式和産品形態創新,提升電子認證行業整體服務能力;支持互聯網企業在保護隱私的前提下,開展基於用戶行為的分析,確定行為主體網絡身份真實性,並根據行為對某些關鍵操作進行限制。三是組織開展網絡可信身份法律法規、標準規範制定和應用示範等工作。根據網絡身份體系建設需要,修訂現有法律法規或制定新法,明確網絡身份憑證的法律效力,完善相關配套規定;研究確定網絡身份體系標準框架,加快制定和完善相關標準;投入資金,按計劃開展網絡可信身份相關試點示範,評估示範成效,並逐步大規模推廣應用。
(三)提升核心技術自主研發能力,形成自主可控的網絡安全産業生態體系
一是突破核心技術瓶頸。充分發揮舉國體制優勢,整合現有資金渠道,支持安全晶片、作業系統、應用軟件、安全終端産品等核心技術和關鍵産品研發,實現關鍵技術和産品的技術突破。二是推進國産化替代。在當前我國信息技術産品高度依賴國外的情況下,由政府主導,加強對信息安全技術産品的評估工作,促進信息安全技術産品自主可控程度的提升,同時加快網絡安全審查制度的落地實施,為自主可控産品提供市場應用空間,支持政府部門和重要領域率先採用具有自主知識産權的網絡安全産品和系統,逐步推進國産化替代。三是整合自主網絡安全産業鏈力量。在核心技術産品研發基礎上,聯合産業上下游企業,組建自主技術産品聯合工作組,推進産品整合。
(四)加強網絡攻防能力,構建攻防兼備的安全防禦體系
一是構建國家網絡空間積極防禦協作機制。建設國家網絡空間戰略預警和積極防禦平臺,重點研究威脅發現和態勢感知預警、重大安全事件應急處置和追蹤溯源等協作機制,形成多部門共同參與、相互協作的縱深防禦體系。二是研究各種網絡攻防對抗技術。重點研發針對APT等網絡攻擊的感知、防禦和追溯技術,突破網絡異常流量檢測技術,強化對網絡攻擊的威脅監測、全局感知、預警防護等能力;加強網絡安全漏洞、惡意代碼等核心信息共用,提升對漏洞分析驗證、惡意代碼檢測等核心技術能力;加強對網絡安全海量異構數據的關聯分析和大數據挖掘技術的工程化應用,不斷提升我國網絡安全防禦能力。三是組建國家層面的網絡攻防隊伍。研發重量級的網絡戰攻防武器,形成網絡攻防的反制能力;集中建立國家級開放實驗驗證與演練平臺,積極開展國家級的網絡安全綜合演練工作,並通過舉辦網絡安全競賽和重點領域的攻防演練,檢驗我國應對網絡攻擊的實際能力,在實戰中不斷提升各領域的安全防護水準。四是提高關鍵信息基礎設施的恢復能力。針對重要信息系統或關鍵資源,建立災難備份系統,如建設國家根域名戰備應急備份系統,從而降低互聯網關鍵域名設施受制於人的不可控風險。
(五)深化國際合作,逐步提升網絡空間國際話語權
一是推動建立“多邊、民主、透明”國際互聯網治理體系。在數據跨境流動、個人信息保護、打擊網絡犯罪、關鍵資源管理、網絡空間國際公約制定等方面,與國際社會加強合作,以“相互尊重、相互信任”為原則,以“尊重網絡主權,維護網絡安全”為前提,推動國際社會共同構建“和平、安全、開放、合作”的網絡空間。二是加強網絡安全協商對話。利用互聯網治理論壇、國際電信聯盟、亞太經合組織、上海合作組織、中國-東盟合作框架等雙邊、多邊機制,加強網絡安全協商對話,凝聚合作共識,逐步擴大我國網絡空間的國際影響力和話語權。三是引導和支持企業、研究機構參與國際網絡安全交流等活動。鼓勵我國企業全方位參與國際活動。鼓勵中國國內學術機構,圍繞全球網絡空間新秩序開展跨國研究,從理論上豐富和完善全球網絡空間新秩序的內涵,並加強與國外學術機構的溝通交流。