網(wǎng)絡“黑洞”治理需要新手段

文|本刊記者 姜紅德

在過去一年多的時間里，隨著IT及互聯(lián)網(wǎng)行業(yè)的發(fā)展和不斷深入滲透，各種新的網(wǎng)絡安全事件頻頻出現(xiàn)，在這樣的背景下網(wǎng)絡治理也開始呈現(xiàn)出一些新趨勢。

今年3月份，李克強總理在第十二屆全國人大三次會議上所作政府工作報告中，多次提到互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興行業(yè)，并對網(wǎng)絡安全提出了具體的要求，指出“發(fā)展和規(guī)范網(wǎng)絡空間，確保國家安全和公共安全 ”，將矛頭直指信息安全“黑洞”。3月4日，經(jīng)濟參考報一篇題為《信息安全“黑洞門”觸目驚心》的文章引起了巨大的反響。在過去一年多的時間里，隨著IT及互聯(lián)網(wǎng)行業(yè)的發(fā)展和不斷深入滲透，各種新的網(wǎng)絡安全事件頻頻出現(xiàn)，在這樣的背景下網(wǎng)絡治理也開始呈現(xiàn)出一些新趨勢。

網(wǎng)絡安全提案的“新舊”比較

在今年的“兩會”上，有些提案看似眼熟，比如個人信息安全保護立法。早在2014年，互聯(lián)網(wǎng)“大佬”集體就網(wǎng)絡安全、手機安全與個人信息保護話題進行了提案，力推《個人信息保護法》出臺。今年這一提案由于和大數(shù)據(jù)結(jié)合有了一些“新意”。據(jù)了解，全國人大代表、中國電信湖南公司總經(jīng)理廖仁斌在今年的“兩會”上呼吁，大數(shù)據(jù)時代的個人信息安全是一個戰(zhàn)略問題。只有重視好信息安全問題，大數(shù)據(jù)才能成為國家強大的生產(chǎn)力和產(chǎn)業(yè)鏈。為此，他建議加快建設大數(shù)據(jù)時代個人信息安全保護體系。

廖仁斌建議，應該加快國家對大數(shù)據(jù)時代個人信息安全的統(tǒng)一立法工作，規(guī)范政府、企業(yè)、個人等大數(shù)據(jù)產(chǎn)業(yè)鏈參與者的行為準則；在國家層面建立統(tǒng)一的監(jiān)管體系，加強個人信息保護“事前、事中、事后”監(jiān)管；充分發(fā)揮行業(yè)自律，引導各個行業(yè)制定適合本行業(yè)的個人信息保護標準和規(guī)范；推動大數(shù)據(jù)信息安全產(chǎn)業(yè)的發(fā)展；提升公民信息安全防范技術水平和安全保護意識。

由于全球信息安全事件頻發(fā)，IT設備國產(chǎn)化正逐步成為政策導向，浪潮集團董事長孫丕恕等在2014年“兩會”提案中便涉及高端服務器聯(lián)盟、信息安全審查制度等方面。一年后，國內(nèi)的信息安全國產(chǎn)化已經(jīng)初步取得了進展。在今年的“兩會”提案中，九三學社中央就提出了“建立網(wǎng)絡安全的國家隊刻不容緩”的建言。提案指出，目前我國ICT（信息和通信技術）產(chǎn)業(yè)技術能力和競爭力與國外同業(yè)差距較大，因此，有必要成立互聯(lián)網(wǎng)安全“國家隊”來引領發(fā)展。應支持優(yōu)秀的互聯(lián)網(wǎng)安全企業(yè)成為“國家隊”成員，并形成一套可操作的、與國際接軌的、與我國國情相符合的、能夠動態(tài)調(diào)整的措施手段，支持“國家隊”發(fā)展，從而確保我國國民經(jīng)濟安全和可持續(xù)發(fā)展。

除此之外，還有一些提案涉及到當前熱門的網(wǎng)絡安全話題。北京啟明星辰信息技術股份有限公司首席執(zhí)行官嚴望佳作為全國政協(xié)委員，今年的三份提案均涉及網(wǎng)絡安全，而重中之重正是目前的熱點網(wǎng)絡安全審查。嚴望佳認為，審查內(nèi)容不能僅停留在技術層面，要進行全方位審查，才能保證國家重要部門和行業(yè)的信息技術產(chǎn)品和服務的信息安全自主可控。騰訊董事局主席馬化騰也建議在政府工作報告中，除了要重視物理空間的安全以外，還要加強對網(wǎng)絡安全的關注，增強全民網(wǎng)絡安全意識。

對付安全“黑洞”需要新辦法

過去一年來，我國網(wǎng)絡安全的形勢出現(xiàn)了一些新的變化。一方面IT和信息化的發(fā)展已經(jīng)逐漸和我們的工作生活緊密契合，信息化和政府部門、制造業(yè)的結(jié)合，誕生了智慧城市和智能制造這樣全新的生態(tài)環(huán)境和生態(tài)產(chǎn)業(yè)鏈，必然會產(chǎn)生新的需求；另一方面，在云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的迅速發(fā)展背景下，網(wǎng)絡安全已經(jīng)不再局限于過去那種一網(wǎng)一線一終端的要求，而是有了更多新的挑戰(zhàn)，安全“黑洞”帶來的形勢嚴峻。

據(jù)業(yè)內(nèi)專業(yè)的安全公司360估算，目前超過37%的國內(nèi)網(wǎng)站存在漏洞，利用網(wǎng)站漏洞的攻擊以近5倍速度增長，網(wǎng)站信息泄漏的風險越來越大。2014年前11個月，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個，較2013年的91.2萬個增加了80.0%。其中，存在安全漏洞的網(wǎng)站為61.7萬個，占掃描網(wǎng)站總數(shù)的37.6%。其中，存在高危安全漏洞的網(wǎng)站共有27.9萬個，占掃描網(wǎng)站總數(shù)的17.0%。2014年全年，360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次，較2013年1.21億次，增長了約4.8倍。

“2015年隨著國家相關監(jiān)管政策的出臺，預計金融機構、運營商和央企邁入數(shù)據(jù)安全建設的高峰期，而政府行業(yè)用戶由于便民服務需求的緊迫性將緊隨其后、快速啟動?！?/p>

360公司董事長兼CEO周鴻建議，個人信息安全保護要遵循三個基本原則，即以保護用戶信息和數(shù)據(jù)安全為前提，明確用戶對信息數(shù)據(jù)的所有權，明確企業(yè)對信息數(shù)據(jù)的保障義務，并保障用戶在信息交換和使用時的知情權，是互聯(lián)時代保護信息安全的基礎。

2014年以來，我國政府核心部門的網(wǎng)絡安全問題也變得十分棘手，IT產(chǎn)品的自主可控變得極為重要。2014年9月，中國銀監(jiān)會頒發(fā)了《關于應用安全可控信息技術加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見》(39號文件)，提出了到2019年，掌握銀行業(yè)信息化的核心知識和關鍵技術，安全可控信息技術在銀行業(yè)總體達到75%左右的使用率，并且從2015年起，各銀行業(yè)金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加。

在今年“兩會”期間，針對政府核心部門的網(wǎng)絡安全，啟明星辰CEO嚴望佳建議在政府、電信、金融、能源、教育、大型企業(yè)、軍隊軍工、交通、媒體、醫(yī)療衛(wèi)生等關系到國防安全、國計民生的關鍵領域，建立詳細的透明供應鏈登記名錄。依托政府采購，進一步完善供應商、產(chǎn)品市場準入和業(yè)績評估體系，建立詳細的透明供應鏈登記名錄，同時在關鍵基礎設施、敏感部門、政府機構中規(guī)范采購行為。

中國工程院院士倪光南認為落實透明供應鏈登記工作，并推行首席信息安全官制度的建議很有意義，是可行的?！霸陉P鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作，這對屬于政府采購或公共采購范疇的單位，可以歸結(jié)為落實國家的有關法規(guī)，因為如果能真正做到依法采購，也就基本上達到了供應鏈透明的要求”，倪光南如是說。

2015年，可以期待的變化

2014年，有關部門密集出臺了很多與網(wǎng)絡安全相關的措施和政策：從成立中央網(wǎng)絡安全和信息化領導小組到中央機關采購計算機禁止安裝Win8系統(tǒng)、銀監(jiān)會印發(fā)關于應用安全可控信息技術加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見等等。在過去一年我們能看到國家和重點行業(yè)的政策與行動，對信息安全及國產(chǎn)化推進尤為重視。早日實現(xiàn)核心信息技術和產(chǎn)品的自主可控，擺脫受制于人的局面，是信息化建設的關鍵環(huán)節(jié)，也是保護信息安全的重要目標。

縱觀國內(nèi)外的形勢，盡快實現(xiàn)網(wǎng)絡安全立法是一件迫在眉睫的大事。在3月3日下午召開的政協(xié)第十二屆全國委員會第三次會議上，全國政協(xié)副主席齊續(xù)春宣布，網(wǎng)絡安全法已經(jīng)列入相關立法計劃 。

2015年的網(wǎng)絡安全形勢有哪些可以期待的變化？IDC等機構針對2014年我國網(wǎng)絡安全形勢進行分析后，預料在有關部門出臺軍隊、政府、金融等部門的網(wǎng)絡安全的相關規(guī)劃之后，今年針對制造業(yè)、服務行業(yè)等更多領域的網(wǎng)絡安全政策及細則會陸續(xù)出臺，我國的網(wǎng)絡安全的整體戰(zhàn)略規(guī)劃有望在2015年初步形成。

同時，國家整體網(wǎng)絡安全戰(zhàn)略的出臺將促進中國IT市場競爭格局的改變，有技術實力和自主知識產(chǎn)權產(chǎn)品的本土廠商的市場份額將逐步攀升，競爭優(yōu)勢將越來越明顯，國外廠商的市場份額將逐步降低，國產(chǎn)化替代機會凸顯。在未來幾年中，為應對這種狀況，國外廠商與中國公司的合資和合作將日益普遍。這些合作將從過去幾年的貼牌、分銷等簡單模式，走向更深入的層面。

一些有實力的國內(nèi)廠商甚至可以借此機會逐漸擴大影響和規(guī)模。隨著互聯(lián)網(wǎng)業(yè)務的全球化，一些本土云計算服務廠商也在走向全球。目前包括阿里云、百度等在內(nèi)的云計算企業(yè)已經(jīng)開始步入歐美市場，阿里云在今年3月份剛剛宣布在美國成立分支機構，正式宣布進軍海外市場。

另一方面，業(yè)內(nèi)關于信息安全的產(chǎn)品和技術方案的整合也必將成為趨勢之一。隨著各領域優(yōu)勢企業(yè)資金和技術實力的增強,，信息安全亟需形成整合式競爭優(yōu)勢以滿足企業(yè)整體IT建設的需求。以自主技術為基礎，以統(tǒng)一整合為主導，構建完整的信息化解決方案，才能適用目前快速發(fā)展的信息化需求，提升中國信息安全自主可控能力，未來傳統(tǒng)分散的技術將趨于整合，行業(yè)集中度有望持續(xù)增大。

從斯諾登事件，12306“泄密門”到政府網(wǎng)站漏洞，以及不久前?？低暠O(jiān)視器被劫持，越來越多的網(wǎng)絡安全事件已經(jīng)圍繞數(shù)據(jù)安全在展開。數(shù)據(jù)安全主要是解決數(shù)據(jù)級權限管理、數(shù)據(jù)防泄密的問題，也有利于解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)帶來的系統(tǒng)邊界模糊化導致的安全防護難題。2015年隨著國家相關監(jiān)管政策的出臺，預計金融機構、運營商和央企將邁入數(shù)據(jù)安全建設的高峰期，而政府行業(yè)用戶由于便民服務需求的緊迫性將緊隨其后、快速啟動。