信息安全：风险加大 需完善政策法规建设

赛迪智库信息安全形势分析课题组

2012年，国际信息安全形势十分复杂，美国、日本、韩国、印度等国纷纷加强网络空间部署，加大网络攻击力量，增强网络攻击能力。2013年，全球网络空间战略部署将加快，网络空间安全局势将更加严峻，爆发国家间网络冲突的可能性进一步加大，这给我国信息安全带来严峻挑战。

网络空间剑拔弩张

目前，美国、俄罗斯等近40个国家成立了网络部队，可以预见，网络空间局势将更加复杂，难免会出现局部网络冲突。

(一)世界各国纷纷加强网络战备，网络空间剑拔弩张

当前，网络空间已经上升为与海、陆、空、太空并列的第五空间，世界各国都高度重视加强网络战的攻防实力，增加各自的“网络威慑”能力。首先，世界各国都在加快组建网络部队，美国、俄罗斯、以色列、伊朗、韩国等近40个国家成立了网络部队，并逐步扩大网络部队的规模。例如，美国网络部队总人数已经达到7万人以上;俄罗斯网络战部队规模达7000人;以色列国防军网络部队“C4I”编制约3000人;韩国于2011年将网络司令部人员增加到1000人，并将其提升为独立部队;日本防卫省宣布将于2013年年底之前组建一支规模约百人的网络部队;印度政府于2012年10月开始计划和私营部门联手实施培训50万“网络战士”。其次，世界各国不断增加网络武器、网络安全人才等方面的投入。例如，美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元，主要用于新一代网络武器研发方面;北约C3局(NC3A)于2012年3月签署了合同价值约5800万欧元的网络防御投资计划;韩国于2012年投入19亿韩元启动“白色黑客”计划，以培养网络安全人员。最后，各国不断加强网络演习，以提高网络对抗实战能力。欧盟网络与信息安全局(ENISA)发布的报告显示，近两年来网络演习的频率大幅提高。纵观当今各国在网络空间的战备竞赛，可以预见，2013年网络空间的局势将更加复杂，难免会出现局部网络冲突。

(二)西方启动贸易保护安全壁垒，相关企业将受重大冲击

随着中国经济的快速发展，西方各国频繁使用各种手段为中国企业设置贸易壁垒。2012年3月，澳大利亚政府以担心来自中国的网络攻击为由，禁止华为技术有限公司对数十亿澳元的全国宽带网络设备项目进行投标。美国国会于2012年10月8日发布华为、中兴“可能对美国带来安全威胁”的调查结果报告，显示华为和中兴为中国情报部门提供了干预美国通信网络的机会。华为和中兴遭遇安全壁垒的根本原因在于他们国际竞争力的大幅提升，技术壁垒等手段在他们身上已经无法产生效果。2013年以国家安全为由的贸易保护主义行为将更加盛行，相关企业的国际化步伐将长期受到影响，我国高新技术产业的全球布局也面临新的阻力。

基础设施安全堪忧

我国芯片、操作系统等软硬件产品90%%以上依赖进口，关键信息基础设施核心技术受制于人，国家安全面临严峻挑战。

据统计，我国芯片、操作系统等软硬件产品以及通用协议和标准90%%以上依赖进口，面临着敏感信息泄露、系统停运等安全风险。以基础网络为例，由中国电信和中国联通运营的互联网骨干网络承担着中国互联网80%%以上的流量，然而这些骨干网络70%%～80%%的网络设备都来自于思科，几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。与此同时，国际上针对关键信息基础设施的网络攻击持续增多，甚至出现了政府和恐怖分子支持的高级可持续性威胁(APT)，APT是针对特定组织的、复杂的、多方位的网络攻击，这类攻击目标性强，持续时间长，一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪。我国关键信息基础设施核心技术受制于人的局面在短期内难以改变，这在未来几年中将使我国国家安全面临严峻挑战。

随着新兴技术的广泛应用，伴随而来的信息安全威胁将对我国信息安全带来新的挑战。相关数据显示，2012年年底移动互联网用户突破6亿，第三方安卓应用商店数量已经接近200家，其中Google Play一家的应用数量就超过45万个。与此同时，移动终端恶意软件数量暴增，腾讯移动安全实验室统计数据显示，2012年9月安卓平台的恶意软件数量达到26260个，第三季度增速达78%%。手机病毒黑色产业链进一步强化，病毒攻击技术与攻击方式也得到广泛提升，针对网银、支付、汇款等敏感财产信息进行收集窃取等新的特征显露，安全威胁持续加大。

在下一代互联网领域，IPv6即将逐步取代IPv4成为支撑互联网运转的核心协议，但仍然存在一些难以解决的安全隐患，如难以应对拒绝服务攻击等，而且在从IPv4向IPv6进行迁移的过程中，还会出现一些新的安全风险。大数据分析技术的广泛应用将使我国一些关键数据面临安全威胁。2012年3月，美国总统奥巴马宣布启动“大数据研究与开发计划”，旨在提高从庞大而复杂的科学数据中提取知识的能力。我国目前有大量地理数据、经济运行数据被外企所掌握，如谷歌、沃尔玛等企业，这将对我国国家安全产生重大的影响。随着这些新兴技术应用的日益深入，带来的安全风险将进一步加剧。

安全防范面临挑战

网络技术的快速发展，使网络产品功能越来越丰富，同时也带来了新的安全隐患，增加了信息安全防范的压力。

随着网络技术的快速发展，网络犯罪的技术手段也不断创新，网络技术产品的功能越来越丰富，也带来了新的技术漏洞和安全隐患，这都增加了信息安全防范的压力。一方面，网络犯罪技术不断革新，呈现智能化趋势。2012年7月，迈克菲和卫报研究人员发布的一份报告揭露，一种高度复杂的全球性金融服务欺诈活动在欧洲、南美和美国蔓延，该攻击基于成熟的SpyEye和Zeus恶意软件，通过基于云服务器的自动化攻击手段在全球范围内进行诈骗。另一方面，近场通信(NFC)和WiFi等技术手段成为网络犯罪分子关注的热点。在Black Hat2012大会上，研究人员展示了如何使用近场通信技术的漏洞入侵Android系统，并指出其他智能手机也存在类似的问题，公共场合的免费WiFi存在泄露用户隐私的安全隐患。

当前，因网络安全问题产生的经济损失大幅提高，造成的危害也明显增大。2012年诺顿网络安全报告显示，在2011年，网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元，每秒就有18位网民遭受网络犯罪的侵害，平均每位受害者蒙受的直接经济损失总额为197美元。对于中国而言，则有84%%的中国网民曾遭受过网络犯罪侵害，估计有超过2.57亿人成为网络犯罪受害者，所蒙受的直接经济损失达2890亿元。惠普研究部门发现，典型的美国公司2012年因为网络犯罪而发生的成本为890万美元，较2011年增长6%%，较2010年增长38%%。从目前的发展趋势来看，网络犯罪等安全问题的影响范围和影响程度将进一步加大。

2013年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂，西方各国通过安全壁垒打压我国高技术企业;同时，基础网络、重要信息系统、工业控制系统的安全风险日益突出，网络犯罪和新兴技术的安全威胁持续加大。国内外因素交织，我国信息安全发展形势严峻而复杂。

安全机制亟待完善

我国缺少一个国家统一领导下的信息安全最高决策机构，存在多头管理现象，难以形成合力。

(一)我国信息安全政策法规不够完善

我国信息安全政策扶持力度不够，政府投入不足，且现有投入较为分散，难以形成拳头效应。在信息安全立法上，缺乏统一的立法规划。我国尚未形成完善的信息安全监督管理制度体系，现有的信息系统等级保护制度在一些行业和领域刚刚起步，对航空航天、石油石化、电力系统等重要领域中应用的核心技术和关键产品，尚未建立有效的信息安全审查制度。最后，我国信息安全行业监管规范还不够完善，而且目前的一些监管方式并不符合WTO规则，容易在国际上引起争议。

(二)我国信息安全体制机制存在缺陷

首先，我国缺少一个国家统一领导下的信息安全最高决策机构。虽然国家设立了网络与信息安全协调小组，但事实上该小组的统筹协调能力较弱，信息安全领域统一协调难度大，直接影响了我国信息安全工作的开展。相比之下，欧美很多国家都建立了信息安全的最高决策或者协调机构，大多数设立在内阁一级，以统一领导和协调国家信息安全工作。其次，我国信息安全领域存在多头管理现象，部门之间职责界定不清晰，这不仅造成了决策权分散，也造成各个相关管理机构之间缺乏充分的沟通和协调，部门间作用发挥不均衡。最后，我国信息安全支撑机构管理混乱，难以形成合力，对于重大信息安全问题、核心信息安全技术的研究工作持续性不够，无法达到我国信息安全保障工作的要求。

产业支撑能力较弱

我国信息安全相关技术研发能力不足，涉及的核心技术基础产品自主可控能力较低，关键部件严重依赖进口。

(一)国家信息安全防御力量建设有待加强

首先，我国国家级投入相对较少。美国每年都会投入大量资金进行防御力量建设，通过多年持续不断的投入，培育了大批可依赖的信息安全国防承包商，如美国的洛克希德·马丁公司、雷神公司等，这些国防承包商在政府和军方信息安全订单的支持下，迅速转型，成立了信息安全部门，向国家提供信息安全技术和产品服务。而我国在此方面的投入还相对较少，相关企业转型也比较慢，大都没有进入信息安全领域。其次，我国大规模网络对抗能力不足。很多国家都建立了网络司令部，成立了网络部队，不断加大信息安全人才的招募力度，大力推动网络武器的研发，并频繁地进行网络演习，以应对网络空间中所面临的安全威胁。而我国目前在网络空间的战略部署还很薄弱，没有建立有建制的网络部队，在信息安全人才招募和网络武器研发方面也远远落后西方国家。

(二)信息安全技术产业支撑能力较弱

首先，我国信息安全相关技术研发能力不足。涉及信息安全核心技术的元器件、中间件等基础产品自主可控能力较低，关键芯片、核心软件和部件严重依赖进口。在一些关键技术和产品的信息安全测评方面还存在技术缺失。目前我国对进口技术和产品的检测主要集中在功能性测试，很少涉及技术核心，如芯片、操作系统、PLC等，不能发现产品的安全漏洞和“后门”，实现相关技术产品的底层信息安全测评还需要一定的技术突破。其次，我国信息安全产业基础薄弱，还没有培育出经济实力雄厚、研发能力强大的行业龙头企业，对信息安全支撑不足。最后，我国信息安全领域缺乏高层次技术人员，尤其缺乏既懂技术、又懂管理的复合型人才。目前我国尚未形成专业、完整的信息安全人才培养机制，人才教育水平有待提高。国家级信息安全人才培训和认证体系尚未建立，尚未形成社会化的人才培养机制。

对策建议

提升能力建设加强安全保障

随着全球网络空间部署的加快，网络空间安全局势日趋严重，我国信息安全面临严峻挑战。为了应对挑战，必须做好以下工作。

一要加快完善我国信息安全政策法规建设。完善我国信息安全法律体系，规范网络空间主体的权利和义务，尤其在打击网络犯罪、信息资源保护、信息资源和数据的跨国流动等方面加强立法，明确相关主体应当承担的法律责任和义务，逐步构建起信息安全立法框架。建立完善的信息安全监督管理制度体系。推进信息安全风险评估工作，建立有效的信息安全审查制度，对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。参考WTO规则制定我国信息安全行业管理规范。

二要加强我国信息安全保障体制机制建设。进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责，加强信息安全工作体制机制建设，建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制。逐步对各部委信息安全职能单位进行调整，打破现在各部门“分工负责、各司其职”的条块方式，成立“大信息安全机构”。成立国家级的信息安全支撑机构——中国信息安全研究院，整合各方信息安全支撑机构，打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队，形成对信息安全领域重大问题、关键技术的持续研究能力，提高我国信息安全产业的核心竞争力。

三要推动关键信息基础设施安全保障工作。启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品，以及新技术、新产品和新业务的漏洞分析工作，提升安全隐患的发现能力，促进漏洞信息共享。建立重要领域信息技术、产品及服务的安全检测与审核制度，对进口技术、产品和服务的安全性进行风险评估。逐步实现核心技术产品的国产化替代，真正实现“以我为主，自主可控”。加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准，继续做好等级保护定级工作，根据系统等级和面临风险，有针对性地加强管理和技术防护。加强风险评估工作，做好系统测评、安全检查等，完善安全措施。切实加强对重点领域工业控制系统的信息安全管理工作，完善和加强工业控制系统安全检查和测评工作。

四要全面提升新兴技术安全风险防护能力。加大对云计算、物联网、移动互联网、下一代互联网等新兴技术研发的资金投入，加强核心技术攻关，提高我国对新兴技术的掌控能力，形成拥有自主知识产权的安全产业链条。加快网络防护、入侵检测、身份管理等信息安全关键技术研发，提高新兴技术在应用过程中的安全防护能力。建立新兴技术的信息安全预警机制，成立专门的机构对新兴技术的信息安全隐患进行分析和研究，并为公众提供相关技术的使用指南或标准，针对关键领域或部门出台强制性标准或规定，限制新兴技术的使用方式和范围，如国家应如何对掌控大量经济、地理等关键领域数据的企业进行管控，限制其对相关数据的使用权限和范围等。

微观点

@风河公司副总裁Jim Douglas：智能化的根本是信息安全。尽管智能化产品、云计算架构已经席卷全球，但事实上，安全问题仍是云计算领域的一大困惑。要不要把自己的资料上传到云端，这仍是很多消费者困惑的问题。当前智能化和云端化的安全问题非常重要，应该把不同的系统放在一起进行比较，保障智能化系统的安全性。

@终端安全：企业需注重对全体员工开展经常性的网络信息安全和保密知识学习教育，重点加强计算机操作人员业务培训，增强计算机操作人员安全保密观念和防范意识。

@SecHomeFront：信息安全对于一个国家至关重要，没有信息安全就没有国防、金融、经济等领域的安全。另外，国内企业所面临的安全威胁也非常多，但是却很难引起人的注意。因为很多安全威胁都是无意识造成的。