文|本刊记者 姜红德
在过去一年多的时间里,随着IT及互联网行业的发展和不断深入渗透,各种新的网络安全事件频频出现,在这样的背景下网络治理也开始呈现出一些新趋势。
今年3月份,李克强总理在第十二届全国人大三次会议上所作政府工作报告中,多次提到互联网、移动互联网等新兴行业,并对网络安全提出了具体的要求,指出“发展和规范网络空间,确保国家安全和公共安全 ”,将矛头直指信息安全“黑洞”。3月4日,经济参考报一篇题为《信息安全“黑洞门”触目惊心》的文章引起了巨大的反响。在过去一年多的时间里,随着IT及互联网行业的发展和不断深入渗透,各种新的网络安全事件频频出现,在这样的背景下网络治理也开始呈现出一些新趋势。
在今年的“两会”上,有些提案看似眼熟,比如个人信息安全保护立法。早在2014年,互联网“大佬”集体就网络安全、手机安全与个人信息保护话题进行了提案,力推《个人信息保护法》出台。今年这一提案由于和大数据结合有了一些“新意”。据了解,全国人大代表、中国电信湖南公司总经理廖仁斌在今年的“两会”上呼吁,大数据时代的个人信息安全是一个战略问题。只有重视好信息安全问题,大数据才能成为国家强大的生产力和产业链。为此,他建议加快建设大数据时代个人信息安全保护体系。
廖仁斌建议,应该加快国家对大数据时代个人信息安全的统一立法工作,规范政府、企业、个人等大数据产业链参与者的行为准则;在国家层面建立统一的监管体系,加强个人信息保护“事前、事中、事后”监管;充分发挥行业自律,引导各个行业制定适合本行业的个人信息保护标准和规范;推动大数据信息安全产业的发展;提升公民信息安全防范技术水平和安全保护意识。
由于全球信息安全事件频发,IT设备国产化正逐步成为政策导向,浪潮集团董事长孙丕恕等在2014年“两会”提案中便涉及高端服务器联盟、信息安全审查制度等方面。一年后,国内的信息安全国产化已经初步取得了进展。在今年的“两会”提案中,九三学社中央就提出了“建立网络安全的国家队刻不容缓”的建言。提案指出,目前我国ICT(信息和通信技术)产业技术能力和竞争力与国外同业差距较大,因此,有必要成立互联网安全“国家队”来引领发展。应支持优秀的互联网安全企业成为“国家队”成员,并形成一套可操作的、与国际接轨的、与我国国情相符合的、能够动态调整的措施手段,支持“国家队”发展,从而确保我国国民经济安全和可持续发展。
除此之外,还有一些提案涉及到当前热门的网络安全话题。北京启明星辰信息技术股份有限公司首席执行官严望佳作为全国政协委员,今年的三份提案均涉及网络安全,而重中之重正是目前的热点网络安全审查。严望佳认为,审查内容不能仅停留在技术层面,要进行全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控。腾讯董事局主席马化腾也建议在政府工作报告中,除了要重视物理空间的安全以外,还要加强对网络安全的关注,增强全民网络安全意识。
过去一年来,我国网络安全的形势出现了一些新的变化。一方面IT和信息化的发展已经逐渐和我们的工作生活紧密契合,信息化和政府部门、制造业的结合,诞生了智慧城市和智能制造这样全新的生态环境和生态产业链,必然会产生新的需求;另一方面,在云计算、物联网、移动互联网的迅速发展背景下,网络安全已经不再局限于过去那种一网一线一终端的要求,而是有了更多新的挑战,安全“黑洞”带来的形势严峻。
据业内专业的安全公司360估算,目前超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速度增长,网站信息泄漏的风险越来越大。2014年前11个月,360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个增加了80.0%。其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,较2013年1.21亿次,增长了约4.8倍。
“2015年随着国家相关监管政策的出台,预计金融机构、运营商和央企迈入数据安全建设的高峰期,而政府行业用户由于便民服务需求的紧迫性将紧随其后、快速启动。”
360公司董事长兼CEO周鸿建议,个人信息安全保护要遵循三个基本原则,即以保护用户信息和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是互联时代保护信息安全的基础。
2014年以来,我国政府核心部门的网络安全问题也变得十分棘手,IT产品的自主可控变得极为重要。2014年9月,中国银监会颁发了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(39号文件),提出了到2019年,掌握银行业信息化的核心知识和关键技术,安全可控信息技术在银行业总体达到75%左右的使用率,并且从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加。
在今年“两会”期间,针对政府核心部门的网络安全,启明星辰CEO严望佳建议在政府、电信、金融、能源、教育、大型企业、军队军工、交通、媒体、医疗卫生等关系到国防安全、国计民生的关键领域,建立详细的透明供应链登记名录。依托政府采购,进一步完善供应商、产品市场准入和业绩评估体系,建立详细的透明供应链登记名录,同时在关键基础设施、敏感部门、政府机构中规范采购行为。
中国工程院院士倪光南认为落实透明供应链登记工作,并推行首席信息安全官制度的建议很有意义,是可行的。“在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作,这对属于政府采购或公共采购范畴的单位,可以归结为落实国家的有关法规,因为如果能真正做到依法采购,也就基本上达到了供应链透明的要求”,倪光南如是说。
2014年,有关部门密集出台了很多与网络安全相关的措施和政策:从成立中央网络安全和信息化领导小组到中央机关采购计算机禁止安装Win8系统、银监会印发关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见等等。在过去一年我们能看到国家和重点行业的政策与行动,对信息安全及国产化推进尤为重视。早日实现核心信息技术和产品的自主可控,摆脱受制于人的局面,是信息化建设的关键环节,也是保护信息安全的重要目标。
纵观国内外的形势,尽快实现网络安全立法是一件迫在眉睫的大事。在3月3日下午召开的政协第十二届全国委员会第三次会议上,全国政协副主席齐续春宣布,网络安全法已经列入相关立法计划 。
2015年的网络安全形势有哪些可以期待的变化?IDC等机构针对2014年我国网络安全形势进行分析后,预料在有关部门出台军队、政府、金融等部门的网络安全的相关规划之后,今年针对制造业、服务行业等更多领域的网络安全政策及细则会陆续出台,我国的网络安全的整体战略规划有望在2015年初步形成。
同时,国家整体网络安全战略的出台将促进中国IT市场竞争格局的改变,有技术实力和自主知识产权产品的本土厂商的市场份额将逐步攀升,竞争优势将越来越明显,国外厂商的市场份额将逐步降低,国产化替代机会凸显。在未来几年中,为应对这种状况,国外厂商与中国公司的合资和合作将日益普遍。这些合作将从过去几年的贴牌、分销等简单模式,走向更深入的层面。
一些有实力的国内厂商甚至可以借此机会逐渐扩大影响和规模。随着互联网业务的全球化,一些本土云计算服务厂商也在走向全球。目前包括阿里云、百度等在内的云计算企业已经开始步入欧美市场,阿里云在今年3月份刚刚宣布在美国成立分支机构,正式宣布进军海外市场。
另一方面,业内关于信息安全的产品和技术方案的整合也必将成为趋势之一。随着各领域优势企业资金和技术实力的增强,,信息安全亟需形成整合式竞争优势以满足企业整体IT建设的需求。以自主技术为基础,以统一整合为主导,构建完整的信息化解决方案,才能适用目前快速发展的信息化需求,提升中国信息安全自主可控能力,未来传统分散的技术将趋于整合,行业集中度有望持续增大。
从斯诺登事件,12306“泄密门”到政府网站漏洞,以及不久前海康威视监视器被劫持,越来越多的网络安全事件已经围绕数据安全在展开。数据安全主要是解决数据级权限管理、数据防泄密的问题,也有利于解决云计算、物联网、移动互联网带来的系统边界模糊化导致的安全防护难题。2015年随着国家相关监管政策的出台,预计金融机构、运营商和央企将迈入数据安全建设的高峰期,而政府行业用户由于便民服务需求的紧迫性将紧随其后、快速启动。