【专题报告】2016年中国网络安全发展的关键问题及对策建议
2016年形势的基本判断
(一)各国之间的网络安全合作将进一步提升
近年来,世界各国纷纷加强网络安全领域的战略合作,以应对复杂多变的网络安全形势。5月,中俄签署国际信息安全合作协议,承诺互不进行黑客攻击;9月21日,美国和印度发布联合公告,加强两国在网络安全技术研发、打击网络犯罪、互联网治理等方面的合作;9月25日,中美双方就建立两国打击网络犯罪及相关事项高级别联合对话机制、共同继续制定和推动网络空间合适的国家行为准则等网络安全问题达成共识;10月,中英双方就打击网络犯罪问题签署一项“高级别安全对话”协议,旨在防止以盗窃知识产权或瘫痪系统为目的的网络攻击。
2016年,世界各国会进一步加深网络安全领域的战略合作,共同应对网络空间的安全挑战。
(二)全球爆发大规模网络冲突的风险将进一步增加
随着网络空间地位的日益提升,网络空间已成为各国家、地区间安全博弈的新战场。世界各国为确立在网络空间中的优势地位,不断加强网络空间攻击能力,国家级网络冲突爆发的风险不断增加。一是网络空间“军备竞赛”持续升级。4月,美陆军国民警卫队提出将在未来3年成立10个网络保护小组,以提升联邦政府和州政府的网络防御能力;6月,美军公开收购未修补安全漏洞,用于网络战,甚至早在5年前美国政府即启动零日漏洞政策。二是国家间的网络监控事件不断上演。6月,维基解密公布美国国安局绝密文件,披露美国大规模监控法国和德国的资料;8月,维基解密发布的文件显示,日本首相安倍晋三以及三菱重工等日本企业成为美国正在监控的目标。三是网络冲突已经成为现实战争的重要组成部分。由于俄罗斯同欧美国家在乌克兰和叙利亚问题上分歧加剧,俄罗斯发起的网络攻击越发频繁。4月,俄罗斯黑客入侵白宫计算机系统;同月,法国TV5Monde电视网络疑遭受俄罗斯黑客袭击而关闭两天;7月,俄罗斯黑客侵入美国国防系统,攻陷多台电脑。网络已成为俄罗斯与北约冲突的第二战场。四是国际黑客组织的网络攻击行为日益猖獗。3月,国际黑客组织“匿名者”声称对以色列发动“电子大屠杀”,将以色列从网络世界抹去;5月,“匿名者”入侵WTO数据库,波及巴西、中国、法国等多国成员;7月,美国人口普查局的服务器被“匿名者”攻破,大量数据泄露;9月,ISIS恐怖组织劫持英国政府的机密邮件,英国政府相关的机密信息和皇室家族成员信息可能被暴露。
2016年,世界各国家、地区的网络“军备竞赛”将继续加强,网络摩擦会不断增多,大规模网络冲突爆发的风险将进一步加剧。
(三)中国在网络空间治理中的影响进一步加大
自美国“棱镜门”事件曝光以来,国际社会围绕网络空间国际规则制定和网络空间行为规范的呼声日益高涨,互联网治理全球化成为必然趋势,世界各国积极争取主导权。一方面,ICANN改革方案尚无定论。自美国宣布放弃ICANN控制权以来,各国家、地区围绕ICANN改革方案产生诸多争议,目前仍无定论。美国此举的目的是架空政府管理权限,利用技术优势维持其控制互联网的能力;欧盟希望借此赋予主权国家政府与其地位相匹配的管理权限,分享网络空间的支配权;中国、俄罗斯、印度等新兴国家希望打破现有管理体系,将互联网治理职能纳入联合国主导下的国际电信联盟。另一方面,我国积极参与国际互联网治理事务。1月,全球互联网治理联盟投票选出20名委员会成员,主要负责议决联盟重大事项,推动ICANN国际化和全球网络空间治理进程,中国国家网信办主任鲁炜和阿里巴巴董事局主席马云入选;6月,全球互联网治理联盟首次全体理事会选举阿里巴巴董事局主席马云等三人为联盟理事会联合主席。11月,CNNIC获得ICANN认证的“第三方注册服务机构数据托管”资质。同时,在与美、英等国领导人的会谈中,习近平总书记也多次阐述中国的全球网络空间治理理念,积极促进全球网络空间治理体系变革。
2016年,中国将更积极地参与国际网络空间治理,在双边、多边以及国际层面大力向世界阐述中国的治理理念,推动全球网络空间的各行为体求同存异,尽快达成共识。
(四)网络安全产业迎来爆发式增长机遇
随着“互联网+”行动持续发酵以及国家网络安全相关政策的不断出台,网络安全的重要性被提升至前所未有的高度,加之网络安全需求的持续推动,网络安全产业面临爆发式增长机遇。一是产业政策环境不断改善。7月1日通过的新《国家安全法》首次提出网络空间主权的概念,并将网络空间置于国家主权管辖之下;7月6日,我国网络安全领域基本法《网络安全法》(草案)正式向社会公开征求意见,明确国家网络安全工作的基本原则,为整体推进网络安全保障体系建设提供法律依据。10月,十八届五中全会将“网络强国战略”纳入“十三五”规划的战略体系。二是网络安全产品竞争力逐步提升。华为海思芯片方案击败包括高通在内众多的传统芯片巨头,独家中标奔驰第二代车载模块全球项目;拥有全部自主知识产权的华为麒麟芯片,已可以媲美全球最主流的手机芯片,目前累计发货量已达5000万,中国在用的4G+手机中,有50%以上采用麒麟芯片;飞腾FT-1500A系列CPU处理器研制成功,已量产上万片。三是产业呈现快速发展趋势。据预计,2015年我国网络安全产业规模增长超过30%,产业规模将突破670亿元。
随着“十三五”规划的逐步落实,国家网络安全政策的利好刺激,以及国内网络安全需求的持续推动,网络安全产业必将迎来更大的发展契机。
(五)网络安全自身能力建设将进一步加强
为应对日益复杂的网络安全形势,我国从技术研发、人才培养等方面着力加强网络安全自身能力建设。一是自主可控安全技术研发力度加大。3月,中国电子信息产业集团发布高密度万兆交换芯片和高性能服务器芯片;7月,中国航天科工集团研发的我国第一个涉及上万台计算机的自主可控安全网络和信息系统投入试运行,在系统集成、关键产品研发、特定领域软件研制等方面形成完整的国产化产业链。二是网络安全技能大幅提升。3月,在Pwn2Own 2015世界黑客大赛上,中国安全团队360Vulcan Team仅用时17秒就率先攻破微软Win8.1系统和最新的IE11浏览器,夺得世界冠军;10月,上海举办“极棒2015嘉年华”活动,参赛人员攻破了包括华为、小米、京东等在内的超过40款主流智能软硬件。三是网络安全人才培养步入正轨。7月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,授予“工学”学位;11月,国务院学位委员会发布“关于开展增列网络空间安全一级学科博士学位授权点工作的通知”,决定增列“网络空间安全”一级学科博士学位授权点。四是企业不断拓展网络安全业务。4月,百度收购安全宝,着力加强云安全实力;6月,阿里巴巴收购翰海源,增强阿里云防护体系;启明星辰在发展传统网络安全产品的基础上,也积极针对数据安全、电磁空间安全、工控安全、云安全等进行布局,并与腾讯达成战略合作,共同推出企业终端安全解决方案——云子可信网络防病毒系统。
2016年,我国将继续加强网络安全能力建设,深入推进自主可控的安全技术研发,提升网络安全技能,加大高层次网络安全人才培养力度。
2016年中国网络安全发展需要关注的几个问题
(一)缺乏明确的网络安全战略,顶层设计仍需细化
2015年,新修订的《国家安全法》、《网络安全法》(草案)等多项网络安全相关法律相继推出,十八届五中全会将“网络强国战略”纳入“十三五”规划的战略体系,国家网络空间安全顶层设计得到明显加强。然而,我国国家网络安全战略尚未明确,国家网络安全审查制度尚未出台,网络安全顶层设计仍需细化。而另一方面,全球已有60多个国家先后出台网络安全战略文件,部分国家甚至根据网络安全新形势调整和完善原有战略。如,美国国防部推出《网络空间战略》,作为2011年《网络空间行动战略》的替代,明确提出要强化网络威慑力量的建设;英国政府推出总额6.5亿英镑的“网络安全战略”,以整体提升国家的网络安全水平;日本制定新网络安全战略,将重要信息系统与互联网进行分离。因此,在复杂多变的网络安全环境中,如何尽快构建适合我国发展的网络安全战略,进一步细化网络安全顶层设计,高效应对我国网络安全面临的挑战,是当前迫切需要解决的问题。
(二)网络信任体系建设滞后,网络身份管理亟需加强
我国网络信任体系建设滞后,网络身份管理尚有缺漏,难以确保网络身份真实性、数据保密性,不能有效解决身份盗用等安全问题。一是对网络可信身份框架缺乏清晰的认识。对于网络可信身份框架,专家意见尚未达成一致,有些认为,就是要建立全国性的网络身份识别系统,所有身份凭证均由该系统签发;有些则认为,就是要实施网络实名制。对于网络可信身份框架的具体要素、各方角色和责任、运作机制等,也需要深入研究确定。二是法律法规不完善。目前我国仅有《电子签名法》可为网络可信身份提供法律保障,配套法律规范严重不足,电子签名证据法律效力存在认定困难等问题。三是相关保障措施不健全。由于网络可信身份框架不清晰,我国在网络可信身份的标准制定、资金投入、组织实施等方面存在不足,网络可信身份建设明显滞后。
(三)网络安全基础能力薄弱,核心技术国产化困难重重
长期以来,我国IT产业发展过度重视经济效益,对网络安全问题认识不足,忽视了在基础核心技术方面的自主创新,形成了对国外信息技术产品的体系性依赖,网络安全隐患不断加大。一是自主核心技术产业发展困境不减。近年来,我国自主核心技术产业取得一定进展,但在技术、产品等方面同国外IT巨头差距依然较大,产业发展困难重重。7月,Windows 10操作系统强势发布,允许盗版的Windows 7/8.1升级,还向其提供“一键洗白”的机会。这沉重打击了以“龙芯+国产操作系统+配套应用软件”为核心的龙芯产业链模式,给全产业链的发展带来严重影响。二是部分企业自主可控技术研发动力不足。自主可控技术的研发需要大量人力、物力、财力为保障,国家扶持力度不够导致部分企业研发动力不足。同时,某些大型跨国企业更倾向于对全球资源整合而非进行自主可控技术研发,并且由于其主要市场都在国外,全力推行国产化,会导致其海外业务受损,这也在一定程度上打击了企业研发自主可控技术的积极性。三是国产化进程遭遇外部阻力。我国银监会原计划推进银行业IT安全新规,要求向国内银行出售IT系统设备的企业将源代码送交银监会备案,并在中国设立技术研究或服务中心等。对此,美国财政部长雅各布·卢要求中国暂停银行业网络安全新规,美国、日本和欧洲的31家商会联名写信给中央网信办,表达“强烈担忧”。迫于国外政府和企业的巨大压力,银监会被迫暂缓实施该规定。
(四)网络攻防技术能力不足,网络安全面临挑战
当前网络攻防技术发展日新月异,相对较弱的技术实力将使我国在应对网络安全威胁方面处于劣势。一是信息技术安全检测能力不强。我国对进口技术和产品的检测主要集中在功能性测试,很少涉及到其技术核心,难以发现产品的安全漏洞和“后门”;缺乏对大数据、云计算等新兴技术网络安全风险的检测和评估手段,难以有效应对潜在的安全威胁。二是高级别复杂性威胁应对不力。在APT攻击检测和防御方面,我国技术实力较弱,不能及时发现APT攻击,无法对其分析取证,难以掌握整个攻击过程,并缺乏有效的反击手段;在DDOS攻击防护方面,国外安全服务提供商采用相应技术手段来分解攻击,保证每一个单点的处理能力和切换都是可控的,而我国只能靠单点的大带宽来承受攻击。三是网络攻防演练相关技术落后。我国网络空间安全性试验与验证技术的研究还处于起步阶段,与国外相比,在大规模网络复现、靶场资源自动化配置管理、高安全试验管理、网络攻防对抗试验验证等技术领域还存在较大差距。
2016年中国网络安全发展的对策建议
(一)加快出台网络安全战略,完善网络安全顶层设计
一是尽快制定并发布国家网络安全战略,确定我国网络安全的重大原则和国家立场,明确我国网络空间建设和发展、保障和治理的重点任务和关键举措,为实现我国的网络强国战略保驾护航。二是加强对美等重点国家网络安全战略的深入研究,加大网络安全领域重大问题研究,及时跟踪国内外网络安全最新动态,深刻认识可能影响我国网络安全大局的战略性、前瞻性问题,进一步加强顶层设计。
(二)建设网络身份体系,创建可信网络空间
一是做好网络身份体系的顶层设计。在充分研究现有技术方案的基础上,明确国家网络身份体系框架、各参与方在其中的角色和职责,并制定详细的网络身份体系构建路线图,建立实施机制,明确组织、资金等各方面保障,从法律法规、标准规范、技术研发、试点示范、产业发展等多方面推进网络身份体系建设。二是按照包容并蓄原则,支持发展多种网络可信身份技术和服务。加强政府引导,充分发挥企业的积极性,开展电子认证互联互通等技术产品研发;支持电子认证服务模式和产品形态创新,提升电子认证行业整体服务能力;支持互联网企业在保护隐私的前提下,开展基于用户行为的分析,确定行为主体网络身份真实性,并根据行为对某些关键操作进行限制。三是组织开展网络可信身份法律法规、标准规范制定和应用示范等工作。根据网络身份体系建设需要,修订现有法律法规或制定新法,明确网络身份凭证的法律效力,完善相关配套规定;研究确定网络身份体系标准框架,加快制定和完善相关标准;投入资金,按计划开展网络可信身份相关试点示范,评估示范成效,并逐步大规模推广应用。
(三)提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系
一是突破核心技术瓶颈。充分发挥举国体制优势,整合现有资金渠道,支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发,实现关键技术和产品的技术突破。二是推进国产化替代。在当前我国信息技术产品高度依赖国外的情况下,由政府主导,加强对信息安全技术产品的评估工作,促进信息安全技术产品自主可控程度的提升,同时加快网络安全审查制度的落地实施,为自主可控产品提供市场应用空间,支持政府部门和重要领域率先采用具有自主知识产权的网络安全产品和系统,逐步推进国产化替代。三是整合自主网络安全产业链力量。在核心技术产品研发基础上,联合产业上下游企业,组建自主技术产品联合工作组,推进产品整合。
(四)加强网络攻防能力,构建攻防兼备的网络安全防御体系
一是构建国家网络空间积极防御协作机制。建设国家网络空间战略预警和积极防御平台,重点研究威胁发现和态势感知预警、重大安全事件应急处置和追踪溯源等协作机制,形成多部门共同参与、相互协作的纵深防御体系。二是研究各种网络攻防对抗技术。重点研发针对APT等网络攻击的感知、防御和追溯技术,突破网络异常流量检测技术,强化对网络攻击的威胁监测、全局感知、预警防护等能力;加强网络安全漏洞、恶意代码等核心信息共享,提升对漏洞分析验证、恶意代码检测等核心技术能力;加强对网络安全海量异构数据的关联分析和大数据挖掘技术的工程化应用,不断提升我国网络安全防御能力。三是组建国家层面的网络攻防队伍。研发重量级的网络战攻防武器,形成网络攻防的反制能力;集中建立国家级开放实验验证与演练平台,积极开展国家级的网络安全综合演练工作,并通过举办网络安全竞赛和重点领域的攻防演练,检验我国应对网络攻击的实际能力,在实战中不断提升各领域的安全防护水平。四是提高关键信息基础设施的恢复能力。针对重要信息系统或关键资源,建立灾难备份系统,如建设国家根域名战备应急备份系统,从而降低互联网关键域名设施受制于人的不可控风险。
(五)深化网络空间国际合作,逐步提升网络空间国际话语权
一是推动建立“多边、民主、透明”国际互联网治理体系。在数据跨境流动、个人信息保护、打击网络犯罪、关键资源管理、网络空间国际公约制定等方面,与国际社会加强合作,以“相互尊重、相互信任”为原则,以“尊重网络主权,维护网络安全”为前提,推动国际社会共同构建“和平、安全、开放、合作”的网络空间。二是加强网络安全协商对话。利用互联网治理论坛、国际电信联盟、亚太经合组织、上海合作组织、中国-东盟合作框架等双边、多边机制,加强网络安全协商对话,凝聚合作共识,逐步扩大我国网络空间的国际影响力和话语权。三是引导和支持企业、研究机构参与国际网络安全交流等活动。鼓励我国企业全方位参与国际活动。鼓励中国国内学术机构,围绕全球网络空间新秩序开展跨国研究,从理论上丰富和完善全球网络空间新秩序的内涵,并加强与国外学术机构的沟通交流。
【重磅推荐】“战略前沿技术”2015年全部历史文章已整理完毕,请回复“2015”或点击自定义菜单中的历史文章“2015文章全收录”查阅!