當前網絡安全形勢與展望
工業和信息化部電信研究院副院長 劉多
隨著信息技術和網絡的快速發展,國家安全的邊界已經超越地理空間的限制,拓展到資訊網絡,網絡安全成為事關國家安全的重要問題。當前世界主要國家進入網絡空間戰略集中部署期,國際互聯網治理領域出現改革契機,同時網絡安全威脅的范圍和內容不斷擴大和演化,網絡安全形勢與挑戰日益嚴峻復雜。
一、當前網絡安全形勢與挑戰
1、世界各國加速網絡安全戰略落地部署,網絡空間國家間的競爭與合作日趨凸顯
近年來,在美國的示范效應作用下,先後有50余國家制定並公布了國家安全戰略。當前各國相繼進入戰略核心內容的集中部署期:美國《2014財年國防預算優先項和選擇》中提出整編133支網絡部隊計劃;加拿大《全面數字化國家計劃》中提出包括加強網絡安全防禦能力在內的39項新舉措;日本《網絡安全基本法案》中規劃設立統籌網絡安全事務的“網絡安全戰略總部”。與此同時,圍繞網絡空間的國際競爭與合作也愈演愈烈。歐盟委員會在2014年2月公報中強調網絡空間治理中的政府作用;習近平在巴西會議上第一次提出資訊主權,明確“資訊主權不容侵犯”的互聯網信息安全觀。日美第二次網絡安全綜合對話結束,兩國在網絡防禦領域的合作將進一步強化;中日韓建立網絡安全事務磋商機制並舉行了第一次會議,探討共同打擊網絡犯罪和網絡恐怖主義,在互聯網應急響應方面的建立合作。
2、國際互聯網治理領域迎來新熱潮,ICANN全球化成為改革要務
“棱鏡門”事件後,世界各國深刻認識到互聯網治理權關乎國家網絡空間安全和利益,國際社會掀起新一輪互聯網治理熱潮。巴西互聯網大會發表《網絡世界多利益攸關方聲明》,提出未來互聯網治理的“全球原則”和“路線圖”。ICANN、IETF、W3C等國際互聯網治理主要機構共同簽署了“蒙得維得亞”聲明,將所有的利益相關者平等參與視為未來互聯網治理的發展方向。歐盟委員會題為“歐洲在塑造互聯網監管未來中的作用”的報告中提倡建立更為透明和負責,更具包容性的互聯網治理模式。當前,在各種治理平臺和國際場合,ICANN全球化均成為重要議題。由于基礎網絡資源的管理分配權與技術標準制定權決定了互聯網治理的話語權和主導權,ICANN的機構改革和國際化管理將成為互聯網治理格局“重塑”的重要切入點。
3、網絡安全威脅層出不窮,網絡基礎設施隱患重重
當前,木馬僵屍網絡、釣魚網站等非傳統網絡安全威脅有增無減,分布式拒絕服務(DDOS攻擊)、高級持續威脅(APT攻擊)等新型網絡攻擊愈演愈烈。IDC發布的報告顯示,2013年APT防禦廠商Fireeye發現並識別的獨立APT活動共計300余次。全球惡意代碼樣本數目正以每天可獲取300萬個的速度增長,雲端惡意代碼樣本已從2005年的40萬種增長至目前的60億種。繼“震網”和“棱鏡門”事件之後,網絡基礎設施又遇全球性高危漏洞侵擾,心臟流血漏洞威脅我國境內約3.3萬網站伺服器,Bash漏洞影響范圍遍及全球約5億臺伺服器及其他網絡設備,基礎通信網絡和金融、工控等重要資訊係統安全面臨嚴峻挑戰。
4、智能家居、工業控制係統、車聯網等新興技術産業面臨嚴峻網絡安全威脅
隨著互聯網的不斷普及,萬物互聯下網絡攻擊正逐步向各類聯網終端滲透。以智能家居為代表的聯網設備逐步成為網絡攻擊目標;專門針對工業控制係統的“震網”(Stuxnet)病毒感染了全球超過45000個網絡;利用應用程式漏洞能夠遠端控制智能汽車。網絡安全隱患遍布于新興技術産業的各重要環節,但針對性的安全産品極度稀缺,相關防禦技術手段的研發尚處于起步階段。在新興技術産業的強勁增長驅動下,網絡安全問題的影響范圍不斷延展,威脅程度日漸加深。
5、頂層統籌全面加強,我國網絡安全工作立足新起點施展新作為
2014年,我國成立了中央網絡安全和信息化領導小組,統籌協調涉及各個領域的網絡安全和信息化重大問題。國務院重組了國家互聯網資訊辦公室,授權其負責全國互聯網資訊內容管理工作,並負責監督管理執法。工信部發布了《關于加強電信和互聯網行業網絡安全工作的指導意見》,明確了提升基礎設施防護、加強數據保護等八項重點工作,著力完善網絡安全保障體係。我國國家網絡與信息安全頂層領導力量明顯加強,管理體制日趨完善,機構運作日漸高效,工作目標更加細化。
二、我國網絡安全趨勢與展望
近年來,我國互聯網蓬勃發展,網絡規模不斷擴大,網絡應用水準不斷提高,成為推動經濟發展和社會進步的巨大力量。與此同時,網絡和業務發展過程中也出現了許多新情況、新問題、新挑戰,尤其是當前網絡立法係統性不強、及時性不夠和立法規格不高,物聯網、雲計算、大數據等新技術新應用、數據和用戶資訊泄露等的網絡安全問題日益突出。未來,我國將不斷加強網絡安全依法管理、科學管理,更加重視新技術新應用安全問題,促進移動互聯網應用生態環境優化,加速構建網絡安全保障體係,推動網絡安全相關技術和産業快速發展。一是國無法不立,網無法不興,依法治網將成為新常態。黨的十八大和十八屆四中全會明確提出加強網絡法制建設的大政方針,可以預見網絡法制建設將迎來一個快步推進的熱潮。當前網絡安全法已納入人大立法規劃,國家網絡安全戰略、關鍵基礎設施保護法案、網絡安全審查制度等一係列戰略法律、制度規則的制定步伐將全面提速。二是物聯網、SDN等新技術安全以及數據資産保護、個人資訊保護將成為關注新焦點。未來針對新技術産業網絡安全問題的跟蹤研究將進一步加強,物聯網、SDN、工業自動化等新技術安全成為關注重點,伴隨新技術新業務發展涌現出的數據跨境流動、用戶資訊泄露等安全問題將進一步得到重視。三是移動互聯網應用安全將呈現新格局。當前,多部門不斷出臺政策文件、聯合開展專項行動,推動移動互聯網應用的防篡改和可溯源等安全能力提升。通過移動互聯網應用商店、智能終端生産廠商、CA認證機構、網絡安全企業等産業鏈各方的共同努力,移動互聯網應用全産業鏈的安全生態將逐步構建。四是積極主動、綜合防范的網絡安全保障體係加快構建,網絡空間態勢感知能力將得到進一步提升。我國將逐步明確網絡空間新一代防禦設計思路,以網絡對抗性防禦技術研發為依托,構建“協同預警、有效應急、強化災備”全網動態感知能力體係,逐步實現網絡安全防護從靜態、基于威脅的保護向動態、基于風險的防護轉變。五是網絡安全産業迎來高速發展黃金期。近年來,我國安全産業增長速度不斷加快,預計2017年復合年增長率將達到17.4%。增速第一的安全服務領域復合年增長率將達到23.6%,遠高于國際平均水準;其中,雲安全服務成為新的增長點。當前,我國不斷出臺扶持政策,為安全産業發展提供了良好環境,預計未來一段時間內,安全産業將持續強勁增長。
