2012年,国际信息安全形势十分复杂,美国、日本、韩国、印度等国纷纷加强网络空间部署,组建网络攻击力量,发展网络攻击能力。展望2013年,全球网络空间战略部署将加快,网络空间安全局势将更加严峻,爆发国家间网络冲突的可能性进一步加大,这给我国信息安全带来严峻挑战。
一、对2013年形势的基本判断
(一)世界各国纷纷加强网络战备,网络空间剑拔驽张
当前,网络空间已经上升为与海、陆、空、太空并列的第五空间,世界各国都高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力。首先,世界各国都在加快组建网络部队,已经有美国、俄罗斯、以色列、伊朗、韩国等40多个国家成立了网络部队,并逐步扩大网络部队的规模。例如,美国网络部队总人数已经达到7万人以上,俄罗斯网络战部队规模达7000人,以色列国防军网络部队“C4I”编制约3000人,韩国于2011年将网络司令部人员增加到1000人,并将其提升为独立部队,日本防卫省宣布将于2013年底之前组建一支规模约百人的网络部队,印度政府于2012年10月份开始计划和私营部门联手实施培训50万“网络战士”。其次,世界各国不断增加网络武器、网络安全人才等方面的投入。例如,美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元,主要用于新一代网络武器研发方面,北约C3局(NC3A)于2012年3月份签署了合同价值约5800万欧元的网络防御投资计划,韩国于2012年投入19亿韩元启动“白色黑客”计划以培养网络安全人员。最后,各国不断加强网络演习,以提高网络对抗实战能力。欧盟网络与信息安全局(ENISA)发布的报告显示,近两年来网络演习的频率大幅提高。纵观当今各国在网络空间的战备竞赛,可以预见,2013年网络空间的局势将更加复杂,难免会出现局部网络冲突。
(二)西方启动贸易保护安全壁垒,相关企业将受重大冲击
随着中国经济的快速发展,西方各国频繁使用各种手段为中国企业设置贸易壁垒,如技术壁垒和绿色壁垒等,近来一些国家又启动了安全壁垒这种新的贸易保护主义工具。2012年3月份,澳大利亚政府以担心来自中国的网络攻击为由,禁止华为技术有限公司对数十亿澳元的全国宽带网设备项目进行投标。美国国会于2012年10月8日发布华为、中兴“可能对美国带来安全威胁”的调查结果报告,显示华为和中兴为中国情报部门提供了干预美国通信网络的机会,并建议相关美国公司尽量避免同华为中兴合作。华为和中兴遭遇安全壁垒的根本原因在于他们国际竞争力的大幅提升,自身已经掌握该行业的核心技术和专利资源,技术壁垒等手段在他们身上已经无法产生效果。在美国调查报告发布之后,已经出现一些国家跟风的苗头,考虑到当前国际经济持续下行的趋势,2013年以国家安全为由的贸易保护主义行为将更加盛行,相关企业的国际化步伐将会长期受到影响,我国高新技术产业的全球布局也面临新的阻力。
(三)关键信息基础设施安全状况堪忧,国家安全面临挑战
当前,我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品,据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。以基础网络为例,由中国电信和中国联通运营的互联网骨干网络承担着中国互联网80%以上的流量,然而这些骨干网络70%-80%的网络设备都来自于思科,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。与此同时,国际上针对关键信息基础设施的网络攻击持续增多,甚至出现了政府和恐怖分子支持的高级可持续性威胁(APT),APT是针对特定组织的、复杂的、多方位的网络攻击,这类攻击目标性强,持续时间长,一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪。我国关键信息基础设施核心技术受制于人的局面在短期内难以改变,这在未来几年中将成为我国国家安全的严峻挑战。
(四)新兴技术应用范围日益拓展,安全威胁将持续加大
随着移动互联网、下一代互联网和大数据等新兴技术的广泛应用,伴随这些技术而来的信息安全威胁将对我国信息安全带来新的挑战。在移动互联网领域,用户和应用的数量快速增长,相关数据显示,2012年底移动互联网用户将突破6亿,第三方安卓应用商店数量已经接近200家,其中Google Play一家的应用数量就超过45万个。与此同时,移动终端恶意软件数量暴增,腾讯移动安全实验室统计数据显示,2012年9月份安卓平台的恶意软件数量达到了26260个,第三季度增速达78%。手机病毒黑色产业链进一步强化,病毒攻击技术与攻击方式也得到广泛提升,针对网银、支付、汇款等敏感财产信息进行收集窃取等新的特征显露,安全威胁持续加大。在下一代互联网领域,IPv6即将逐步取代IPv4成为支撑互联网运转的核心协议,但仍然存在一些难以解决的安全隐患,如难以应对拒绝服务攻击等,而且在从IPv4向IPv6进行迁移的过程中,还会出现一些新的安全风险。大数据分析技术的广泛应用将使我国一些关键数据面临安全威胁。2012年3月份,美国总统奥巴马宣布启动“大数据研究与开发计划”,旨在提高从庞大而复杂的科学数据中提取知识的能力。我国目前有大量地理数据、经济运行数据被外企所掌握,如谷歌、沃尔玛等企业。大数据分析技术能够窃取这些数据中所隐含一些关键信息,这将对我国国家安全产生重大的影响。随着这些新兴技术应用的日益深入,带来的安全风险将进一步加剧。
(五)网络犯罪技术方式不断革新,安全防范面临严峻挑战
随着网络技术的快速发展,网络犯罪的技术手段也不断革新,网络技术产品的功能越来越丰富,也带来了新的技术漏洞和安全隐患,这都增加了信息安全防范的压力。一方面,网络犯罪技术不断革新,呈现智能化趋势。2012年7月,迈克菲和卫报研究人员发布的一份报告揭露,一种高度复杂的全球性金融服务欺诈活动在欧洲、南美和美国蔓延,该攻击基于成熟的SpyEye和Zeus恶意软件,犯罪分子增加了绕过物理身份验证、自动化数据库搜索等新特性,通过基于云服务器的自动化攻击手段在全球范围内进行诈骗,目前主要针对高额企业帐户。另一方面,近场通信(NFC)和WIFI等技术手段成为网络犯罪份子关注的热点。在Black Hat2012大会上,研究人员展示了如果使用近场通信技术的漏洞入侵Android系统,并指出其他智能手机也存在类似的问题。研究人员于2012年2月份确认公共场合的免费WIFI存在泄露用户隐私的安全隐患。在Defense2012大会上,一些黑客展示了针对WIFI的MS-CHAPv2身份验证协议的攻击手段。
(六)网络安全损失日趋严重,影响程度将进一步加剧
当前,因网络安全问题产生的经济损失大幅提高,造成的危害也明显增大。2012年诺顿网络安全报告显示,在过去的一年中,网络犯罪致使全球个人用户蒙受的直接损失高达 1,100亿美元,每秒就有18位网民遭受网络犯罪的侵害,平均每位受害者蒙受的直接经济损失总额为197美元。对于中国而言,则有84%的中国网民曾遭受过网络犯罪侵害,估计有超过 2.57亿人成为网络犯罪受害者,所蒙受的直接经济损失达人民币2,890亿元。惠普研究部门发现,典型的美国公司2012年因为网络犯罪而发生的成本为890 万美元,较2011年增长6%,较2010年增长38%。从目前的发展趋势来看,网络犯罪等安全问题的影响范围和影响程度将进一步加大。
综上所述,对2013年基本形势的判断是:2013年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂,西方各国加强网络战备,并通过安全壁垒打压我国高技术企业;同时,基础网络、重要信息系统、工业控制系统的安全风险日益突出,网络犯罪和新兴技术的安全威胁持续加大。国内外因素交织,我国信息安全发展形势严峻而复杂。
二、需要关注的几个问题
(一)我国信息安全政策法规不够完善
我国信息安全政策扶持力度不够,政府投入不足,且现有投入较为分散,难以形成拳头效应。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性。我国尚未形成完善的信息安全监督管理制度体系,一方面,现有的信息系统等级保护制度在一些行业和领域刚刚起步、重视程度不够,另一方面对航空航天、石油石化、电力系统等重要领域中应用的核心技术和关键产品,尚未建立有效的信息安全审查制度。我国信息安全行业监管规范还不够完善,而且目前的一些监管方式并不符合WTO规则,容易在国际上引起争议。
(二)我国信息安全体制机制存在缺陷
首先,我国缺少一个国家统一领导下的信息安全最高决策机构。虽然国家设立了网络与信息安全协调小组,但事实上该小组的统筹协调能力较弱,信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。相比之下,欧美很多国家都建立了信息安全的最高决策或者协调机构,大多数设立在内阁一级,以统一领导和协调国家信息安全工作。其次,我国信息安全领域存在多头管理现象,相关职能部门涉及公安部、保密局、密码办、工业和信息化部等,部门之间职责界定不清晰,管理权限存在交叉。这不仅造成了决策权分散,也造成各个相关管理机构之间缺乏充分的沟通和协调,部门间作用发挥不均衡。最后,我国信息安全支撑机构管理混乱,难以形成合力,对于重大信息安全问题、核心信息安全技术的研究工作持续性不够,无法完成我国信息安全保障工作的要求。
(三)国家信息安全防御力量建设有待加强
与其他国家相比,我国在信息安全防御力量建设上的投入还相对较少,网络对抗武器和对抗部队还较落后,难以完成保护我国国家安全的职责。一方面,我国国家级投入相对较少。美国每年都会投入大量资金进行防御力量建设,通过多年持续不断的投入,培育了大批可依赖的信息安全国防承包商,如美国的洛克希德·马丁公司、雷神公司等,这些国防承包商在政府和军方信息安全订单的支持下,迅速转型,成立了信息安全部门,向国家提供信息安全技术和产品服务。而我国在此方面的投入还相对较少,相关企业转型也比较慢,大都没有进入到信息安全领域。另一方面,我国大规模网络对抗能力不足。很多国家都建立了网络司令部,成立了网络部队,不断加大信息安全人才的招募力度,大力推动网络武器的研发,并频繁地进行网络演习,以应对网络空间中所面临的安全威胁。而我国目前在网络空间的战略部署还很薄弱,没有建立有建制的网络部队,在信息安全人才招募和网络武器研发方面也远远落后西方国家。
(四)信息安全技术产业支撑能力较弱
国家信息安全保障工作需要技术和产业体系的支撑,但当前我国信息安全技术和产业支撑能力不足,信息安全人才也比较缺乏。首先,我国信息安全相关技术研发能力不足。涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。在密码破译、战略预警、态势感知、舆情掌控等信息安全核心技术产品上与西方国家还有一定的差距。在一些关键技术和产品的信息安全测评方面还存在技术缺失。目前我国对进口技术和产品的检测主要集中在功能性测试,很少涉及到其技术核心,如芯片、操作系统、PLC等,不能发现产品的安全漏洞和“后门”,实现相关技术产品的底层信息安全测评还需要一定的技术突破。其次,我国信息安全产业基础薄弱,2011年产业规模仅为178.99亿元,产品和技术研发能力弱,还没有培育出经济实力雄厚、研发能力强大的行业龙头企业,对信息安全支撑不足。最后,我国信息安全领域缺乏高层次技术人员,尤其缺乏既懂技术、又懂管理的复合型人才。目前我国尚未形成专业、完整的信息安全人才培养机制,学科建设、资源投入、教学科研能力、人才培养模式等方面的体系不够完善,人才教育水平有待提高。国家级信息安全人才培训和认证体系尚未建立,尚未形成社会化的人才培养机制。
总体来看,明年信息安全发展面临的突出问题是:信息政策法规不够完善,信息安全体制机制存在缺陷,信息安全防御力量建设有待加强,信息安全技术产业支撑能力较弱。
三、应采取的对策建议
(一)加快完善我国信息安全政策法规建设
一是进一步完善我国信息安全法律体系。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在打击网络犯罪、信息资源保护、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。二是建立完善的信息安全监督管理制度体系。进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。三是参考WTO规则制定我国信息安全行业管理规范。坚持政府引导,行业自律的原则,针对信息安全行业中个人隐私、恶意竞争等公众比较关注的问题,加强行业管理规范和行业自律准则的制定和实施,规范信息安全企业的行为。
(二)加强我国信息安全保障体制机制建设
一是进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制。二是逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式,依据十八大“稳步推进大部制改革”的指导精神,实现对信息安全部门的整合,成立“大信息安全机构”。三是成立国家级的信息安全支撑机构——中国信息安全研究院,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。
(三)推动关键信息基础设施安全保障工作
一是启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品,以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。逐步实现核心技术产品的国产化替代,真正实现“以我为主,自主可控”。二是加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。三是重点保障工业控制系统安全。全面落实《关于加强工业控制系统信息安全管理的通知》,切实加强对重点领域工业控制系统的信息安全管理工作,完善和加强工业控制系统安全检查和测评工作。
(四)全面提升新兴技术安全风险防护能力
一是加大对云计算、物联网、移动互联网、下一代互联网等新兴技术研发的资金投入,加强核心技术攻关,提高我国对新兴技术的掌控能力,形成拥有自主知识产权的安全产业链条。二是加快网络防护、入侵检测、身份管理等信息安全关键技术研发,并与新兴技术结合起来,提高新兴技术在应用过程的安全防护能力,如在基于PKI体系的电子认证技术基础上,研发应用于云计算、移动互联网等新兴技术上的身份管理等安全防护技术。三是建立新兴技术的信息安全预警机制,成立专门的机构对新兴技术的信息安全隐患进行分析和研究,并为公众提供相关技术的使用指南或标准,对于关键领域或部门则应出台强制性标准或规定,限制新兴技术的使用方式和范围,如国家应如何对掌控大量经济、地理等关键领域数据的企业进行管控,限制其对相关数据的使用权限和范围等。
(责任编辑:)
