当前网络安全形势与展望
工业和信息化部电信研究院副院长 刘多
随着信息技术和网络的快速发展,国家安全的边界已经超越地理空间的限制,拓展到信息网络,网络安全成为事关国家安全的重要问题。当前世界主要国家进入网络空间战略集中部署期,国际互联网治理领域出现改革契机,同时网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂。
一、当前网络安全形势与挑战
1、世界各国加速网络安全战略落地部署,网络空间国家间的竞争与合作日趋凸显
近年来,在美国的示范效应作用下,先后有50余国家制定并公布了国家安全战略。当前各国相继进入战略核心内容的集中部署期:美国《2014财年国防预算优先项和选择》中提出整编133支网络部队计划;加拿大《全面数字化国家计划》中提出包括加强网络安全防御能力在内的39项新举措;日本《网络安全基本法案》中规划设立统筹网络安全事务的“网络安全战略总部”。与此同时,围绕网络空间的国际竞争与合作也愈演愈烈。欧盟委员会在2014年2月公报中强调网络空间治理中的政府作用;习近平在巴西会议上第一次提出信息主权,明确“信息主权不容侵犯”的互联网信息安全观。日美第二次网络安全综合对话结束,两国在网络防御领域的合作将进一步强化;中日韩建立网络安全事务磋商机制并举行了第一次会议,探讨共同打击网络犯罪和网络恐怖主义,在互联网应急响应方面的建立合作。
2、国际互联网治理领域迎来新热潮,ICANN全球化成为改革要务
“棱镜门”事件后,世界各国深刻认识到互联网治理权关乎国家网络空间安全和利益,国际社会掀起新一轮互联网治理热潮。巴西互联网大会发表《网络世界多利益攸关方声明》,提出未来互联网治理的“全球原则”和“路线图”。ICANN、IETF、W3C等国际互联网治理主要机构共同签署了“蒙得维得亚”声明,将所有的利益相关者平等参与视为未来互联网治理的发展方向。欧盟委员会题为“欧洲在塑造互联网监管未来中的作用”的报告中提倡建立更为透明和负责,更具包容性的互联网治理模式。当前,在各种治理平台和国际场合,ICANN全球化均成为重要议题。由于基础网络资源的管理分配权与技术标准制定权决定了互联网治理的话语权和主导权,ICANN的机构改革和国际化管理将成为互联网治理格局“重塑”的重要切入点。
3、网络安全威胁层出不穷,网络基础设施隐患重重
当前,木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈。IDC发布的报告显示,2013年APT防御厂商Fireeye发现并识别的独立APT活动共计300余次。全球恶意代码样本数目正以每天可获取300万个的速度增长,云端恶意代码样本已从2005年的40万种增长至目前的60亿种。继“震网”和“棱镜门”事件之后,网络基础设施又遇全球性高危漏洞侵扰,心脏流血漏洞威胁我国境内约3.3万网站服务器,Bash漏洞影响范围遍及全球约5亿台服务器及其他网络设备,基础通信网络和金融、工控等重要信息系统安全面临严峻挑战。
4、智能家居、工业控制系统、车联网等新兴技术产业面临严峻网络安全威胁
随着互联网的不断普及,万物互联下网络攻击正逐步向各类联网终端渗透。以智能家居为代表的联网设备逐步成为网络攻击目标;专门针对工业控制系统的“震网”(Stuxnet)病毒感染了全球超过45000个网络;利用应用程序漏洞能够远程控制智能汽车。网络安全隐患遍布于新兴技术产业的各重要环节,但针对性的安全产品极度稀缺,相关防御技术手段的研发尚处于起步阶段。在新兴技术产业的强劲增长驱动下,网络安全问题的影响范围不断延展,威胁程度日渐加深。
5、顶层统筹全面加强,我国网络安全工作立足新起点施展新作为
2014年,我国成立了中央网络安全和信息化领导小组,统筹协调涉及各个领域的网络安全和信息化重大问题。国务院重组了国家互联网信息办公室,授权其负责全国互联网信息内容管理工作,并负责监督管理执法。工信部发布了《关于加强电信和互联网行业网络安全工作的指导意见》,明确了提升基础设施防护、加强数据保护等八项重点工作,着力完善网络安全保障体系。我国国家网络与信息安全顶层领导力量明显加强,管理体制日趋完善,机构运行日渐高效,工作目标更加细化。
二、我国网络安全趋势与展望
近年来,我国互联网蓬勃发展,网络规模不断扩大,网络应用水平不断提高,成为推动经济发展和社会进步的巨大力量。与此同时,网络和业务发展过程中也出现了许多新情况、新问题、新挑战,尤其是当前网络立法系统性不强、及时性不够和立法规格不高,物联网、云计算、大数据等新技术新应用、数据和用户信息泄露等的网络安全问题日益突出。未来,我国将不断加强网络安全依法管理、科学管理,更加重视新技术新应用安全问题,促进移动互联网应用生态环境优化,加速构建网络安全保障体系,推动网络安全相关技术和产业快速发展。一是国无法不立,网无法不兴,依法治网将成为新常态。党的十八大和十八届四中全会明确提出加强网络法制建设的大政方针,可以预见网络法制建设将迎来一个快步推进的热潮。当前网络安全法已纳入人大立法规划,国家网络安全战略、关键基础设施保护法案、网络安全审查制度等一系列战略法律、制度规则的制定步伐将全面提速。二是物联网、SDN等新技术安全以及数据资产保护、个人信息保护将成为关注新焦点。未来针对新技术产业网络安全问题的跟踪研究将进一步加强,物联网、SDN、工业自动化等新技术安全成为关注重点,伴随新技术新业务发展涌现出的数据跨境流动、用户信息泄露等安全问题将进一步得到重视。三是移动互联网应用安全将呈现新格局。当前,多部门不断出台政策文件、联合开展专项行动,推动移动互联网应用的防篡改和可溯源等安全能力提升。通过移动互联网应用商店、智能终端生产厂商、CA认证机构、网络安全企业等产业链各方的共同努力,移动互联网应用全产业链的安全生态将逐步构建。四是积极主动、综合防范的网络安全保障体系加快构建,网络空间态势感知能力将得到进一步提升。我国将逐步明确网络空间新一代防御设计思路,以网络对抗性防御技术研发为依托,构建“协同预警、有效应急、强化灾备”全网动态感知能力体系,逐步实现网络安全防护从静态、基于威胁的保护向动态、基于风险的防护转变。五是网络安全产业迎来高速发展黄金期。近年来,我国安全产业增长速度不断加快,预计2017年复合年增长率将达到17.4%。增速第一的安全服务领域复合年增长率将达到23.6%,远高于国际平均水平;其中,云安全服务成为新的增长点。当前,我国不断出台扶持政策,为安全产业发展提供了良好环境,预计未来一段时间内,安全产业将持续强劲增长。