工业和信息化部赛迪智库信息安全形势分析课题组
2011年,国际信息安全形势更为复杂,网络空间成为国家主权扩张的新疆域。美国、俄罗斯、英国、法国等加快调整网络空间战略,在加强网络防御的同时,纷纷组织网络攻击力量,加快建设网络攻击能力。展望2012年,全球网络空间战略调整和部署步伐将加快,网络空间主导权争夺将更加激烈,这给我国信息安全发展带来严峻挑战。
明年形势:监管难度和复杂性持续加大
2012年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂,西方加紧对我国的网络遏制,并加快利用网络进行意识形态渗透;同时,重要信息系统、工业控制系统的安全风险日益突出,信息安全网络监管的难度和复杂性持续加大。国内外因素交织,我国信息安全发展形势严峻而复杂。
一、全球网络空间主导权争夺日趋激烈,国际信息安全环境更加复杂
网络空间现已成为领土、领海、领空和太空之外的第五空间,是国家主权延伸的新疆域。当前,全球正处于网络空间战略的调整和变革时期,多个国家调整信息安全战略,明确网络空间战略地位,并提出将采取包括外交、军事、经济等在内的多种手段保障网络空间安全。美国明确提出将战略威慑作为未来重点,声称保留使用所有必要手段的权力,包括外交、军事和经济手段等,对网络空间的敌对行为作出反应。俄罗斯、英国、法国、德国等国家也都将网络攻击列为国家安全的主要威胁之一,纷纷组织网络攻击力量,发展网络武器,加快建设网络攻击和威慑能力。网络空间已经成为各国政治、军事等角逐的新战场。综观当前各国在网络空间的新举措,可以预见,2012年全球新一轮网络空间备战将加快,网络空间主导权的争夺将更加激烈,世界将进入一个网络争霸的新时代。
二、西方将加大对我国的网络遏制,我国信息安全发展外在压力增大
近年来,西方媒体频繁炒作“中国黑客威胁”,美、德、英、法等多国宣称,中国黑客攻击了其政府、军队等要害部门。今年8月,信息安全公司“迈克菲”又发布报告称,国际奥委会、联合国秘书处、美国能源部实验室等70多家公司、政府及国际组织遭受黑客攻击,而源头很可能就在中国。西方国家种种无端指责的真实目的就是遏制中国发展。为进一步遏制我国,2012年美国势必联合西方盟友和一些国际组织、社会团体等,制定同盟内公认的网络空间规则,挤压我国的国际活动空间。在这一背景下,信息安全已经关乎国家利益和战略发展,我国信息安全发展将承受更多政治等方面的压力。
三、西方利用信息网络加快意识形态渗透,我国政治安全和社会稳定面临严重威胁
随着互联网的普及应用,信息网络成为西方国家推行其意识形态的有力工具与重要场所,互联网是西方价值观出口到全世界的终端工具。在一些国家变革中,互联网、手机媒体、Twitter、YouTube、Facebook等发挥了举足轻重的作用。从美国今年发布的《网络空间国际战略》看,2012年美国仍将加快对我国等国家的意识形态渗透,我国政治安全和社会稳定面临挑战。
四、我国重要信息系统和工业控制系统等安全状况堪忧,国家经济发展和产业安全面临挑战
随着国民经济对信息网络和系统的依赖性增强,信息安全成为关系经济平稳运行和安全的重要因素。当前,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。据统计,我国芯片、高端元器件、通用协议和标准等80%左右依赖进口,防火墙、加密机等10类信息安全产品65%来自进口,2010年我国集成电路产品进口额为1569.9亿美元,是最大宗单项进口产品。当前,针对重要信息系统和工业控制系统的网络攻击持续增多,一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪,给我国经济发展和产业安全等带来严峻挑战。2012年我国工业经济领域使用国外信息技术和产品的状况将不可能有根本性改观。
五、信息技术应用加大了网络监管的难度和复杂性,我国信息安全监管面临更大挑战
随着网络尤其是移动互联网的快速发展,手机微博、社交网站等应用快速兴起,信息的发布和传递空前便捷、快速,“人人时时处处在线”成为现实。网民通过信息网络获取信息、表达诉求、参与政治和社会治理的要求日益强烈。现实社会的热点敏感问题和矛盾可能在网络上传播、发酵、放大,各种社会思潮借助网络平台碰撞、激荡,导致社会问题网络化、网络问题社会化。网上充斥着各种错误理论、反动思潮、腐朽落后文化、淫秽色情和虚假有害信息。所有这些都对政府的舆论掌控和网络监管能力提出了挑战。另外,当前跨国公司加快形成“黑箱式”技术,我国的海量信息和数据向跨国企业汇聚集中,关键信息和数据对国外几乎透明。
关注问题:信息技术和产业支撑能力较弱
2012年信息安全发展面临的突出问题是:组织管理体制不得力,信息技术自主可控能力低,信息安全防御能力明显不足,重要信息系统等安全事件多发,信息安全立法和标准滞后,高层次人才缺乏。
一、现有组织管理体制难以跟上新形势下信息安全发展的需要
随着信息安全上升为国家战略,很多国家都建立了信息安全的最高决策或者协调机构,大多数设立在内阁一级,以统一领导和协调国家信息安全工作。目前,我国信息安全领域存在多头管理现象,相关职能部门涉及多个部门,部门之间职责界定不清晰,管理权限存在交叉。这不仅造成了决策权分散,也容易造成各个相关管理机构之间缺乏充分的沟通和协调,部门间作用发挥不均衡。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。当前,信息安全发展面临着各种安全威胁,需要建立国家统一领导下的灵活的组织管理架构。我国现有“分工负责、各司其职”的体制难以形成应对威胁的合力,不适应信息安全发展和保障工作需要。
二、信息技术和产业支撑能力较弱,难以从根本上保障我国信息安全
信息安全发展需要技术和产业体系支撑,但当前我国信息安全技术和产业支撑能力不足。一方面,我国涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低。据统计,银行、民航、电力、铁路、工业控制、装备制造等国民经济重要部门70%以上的信息设备来自国外,特别是关键芯片、核心软件和部件严重依赖进口。进口的技术和产品不可避免地存在一定的安全漏洞和“后门”,这些漏洞和“后门”可能被利用实施入侵、修改或破坏设备程序,或从设备中窃取机密数据和信息。另一方面,我国信息安全发展要保障基础信息网络、重要信息系统和工业控制系统等的安全,需要大量产品和技术支撑,但当前我国信息安全产业基础薄弱,2010年产业规模仅为148.29亿元,产品和技术研发能力弱,对信息安全发展支撑不足。
三、我国信息安全防御能力不足以应对各种安全事件多发的挑战
我国还未形成统一的信息安全防御体系,网络攻击对抗能力、大规模网络攻击的抗打击能力等明显不足,在面对网络攻击时不能及时响应,不能实现对网络攻击的追踪核查。目前实施的等级保护、风险评估等工作相对零散,远未形成系统,而且实施中还存在诸多问题。例如信息安全风险测评机制还不完善,尚不能实现对信息系统及相关产品的实时监测,在新技术新产品新应用的安全隐患发现能力上还有很大的缺陷。与此同时,电信网、互联网等基础信息网络、重要信息系统以及党政机关信息安全防护措施还存在不足,管理上也有不到位的地方,因技术故障、系统缺陷等发生断网、停运,以及因遭受攻击篡改和漏洞利用等发生敏感信息泄露等重大安全事件多发。据国家互联网应急中心(CNCERT)监测,2011年9月,境内感染网络病毒终端数626万个,被篡改网站数量2227个。其中被篡改政府网站181个,信息系统安全漏洞528个。
四、政策法规和标准滞后、人才缺乏制约我国信息安全发展
我国对信息安全虽然重视,但是缺乏必要的政策扶持,投入不足,且现有投入较为分散,难以形成拳头效应。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性。信息安全标准工作进展较缓慢,前瞻性不足,对物联网、云计算、移动互联网等新技术带来的安全问题,还缺乏相应的标准规范;多数标准参考国际标准,没有形成符合我国国情的信息安全标准体系,在标准领域国际话语权不够;一些标准宣传贯彻力度不够,还难以变成产业、用户的可操作行为,应用上存在着差距。
同时,我国信息安全领域缺乏高层次技术人员,尤其缺乏既懂技术、又懂管理的复合型人才。目前我国尚未形成专业、完整的信息安全人才培养机制,学科建设、资源投入、教学科研能力、人才培养模式等方面的体系不够完善,人才教育水平有待提高。国家级信息安全人才培训和认证体系尚未建立,尚未形成社会化的人才培养机制。
对策建议:加快信息安全战略转型
一、加快信息安全战略转型和力量整合
一是加快制定适合我国国情的新的信息安全战略。在全面评估当前信息安全各项工作的基础上,加快研究制定我国新的信息安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务;强调国家发展网络空间防御能力和对网络攻击的有效反制能力,构建平战结合、军民结合、攻防兼备的网络空间力量,运用多种手段捍卫我国在网络空间的核心利益。
二是加强各种力量的整合,建立覆盖党政军的国家信息安全最高领导和协调机构。要打破现在各部门“分工负责、各司其职”的条块方式,建立国家信息安全最高领导和协调机构,统筹组织和协调各部门信息安全工作,强化各部门之间的协同配合,形成综合集成的信息安全领导和协调格局。同时,进一步深化“谁主管谁负责、谁运营谁负责、谁使用谁负责”的信息安全责任制,建立政府和企业相结合、社会化的信息安全工作分担、责任分担和风险分担机制。
二、保障关键基础设施安全和信息内容安全
一是加强关键基础设施安全防护工作。要进一步加强基础信息网络、重要信息系统、工业控制系统等的安全防护,构建完善的安全防护措施,积极落实信息安全检查等制度,有效应对信息安全问题和风险。加强基础信息网络安全,推进电信网和互联网安全防护设施建设和管理,做好互联网域名系统的安全管理和运行维护工作。加强金融、能源、交通等重要信息系统的信息安全防护,加强技术防范和管理制度建设。做好重点领域工作控制系统的安全防护,切实加强工业控制系统信息安全管理,推动《关于加强工业控制系统信息安全管理的通知》的落实,建立和健全工业控制系统安全测评检查和漏洞发布制度。
二是加强互联网内容治理工作。要深化网络舆情监测和不良信息管理,尽快建立网络舆论工作机制,加强网络舆论的监测、研判和引导工作。加快信息收集、趋势跟踪等网络舆情监测的技术手段和平台建设,加强网络舆情监测和应急处置,建立部门间的舆情共享机制和处置联动机制。加强重点新闻网站建设和安全管理。引导互联网企业对不良内容进行过滤,加快建立网络内容分级标准,逐步建立内容分级管理制度。加强对青少年的教育和培训,采取各种措施强化网民自律意识。
三、加快信息安全技术防御和支撑能力建设
一是加快我国网络技术防御体系建设。要加强密码破译、战略预警、态势感知、舆情掌控、信息系统对抗等基础性技术研发,加快相关支撑平台建设,形成信息安全技术支撑能力。建设国家网络空间攻防实验环境,尝试开展多种形式的网络空间防御演练,提高防御能力。集合军队、情报、公安等部门力量,尽快建立起网络打击、网络情报和网络公共防护为一体的防御体系,逐步提升网络威慑、网络情报和网络公共防护能力。
二是加强我国信息安全等级保护和风险评估工作。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性地加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。统筹建设信息安全漏洞数据库,加强国外进口技术和产品以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。
三是加大对我国信息安全基础技术和关键技术研发的支持力度。要加大对信息安全保障基础技术研发的资金投入,加强高端通用芯片、操作系统、数据库、中间件等基础技术攻关,提高我国信息安全技术产品水平。加快突破云计算、物联网、移动互联网等新技术中的关键核心技术,形成拥有自主知识产权的安全产业链条。加快国产技术和装备的应用推广,在政府采购、信息系统等级保护等实施中,对国产技术和装备应用提出要求,采取资金补贴等政策激励应用领域采用国产化的产品,逐步实现政府部门和重要领域国产化替代。
四、加快立法、标准和人才队伍建设,参与国际治理
一是进一步完善我国信息安全法律体系。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在网络犯罪、信息资源保护使用、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。
二是加快我国信息安全标准制定。积极应对物联网、云计算等新技术带来的安全难题,加强相关标准规范制定;加快信息安全管理标准的制定和实施工作,尽早形成适合我国的信息安全管理标准体系。
三是加强我国信息安全人才队伍建设。推动高等院校设立信息安全一级学科,加强信息安全学科、师资队伍建设,丰富信息安全教学资源,提高信息安全人才教育水平;加强大专院校与企业的合作,依托重点企业和相关课题,探索信息安全人才培养机制;设立专项的信息安全人才培养基金,与各类培训机构合作,积极开展信息安全人才社会化培训。研究多种选拔机制,借鉴印度、美国、英国等对网络人才的选拔方式,广泛从民间选拔和搜寻网络人才。
四是深化国际交流合作。积极参加国际社会有关信息安全的讨论,参与制定相关国际规则,规范信息和网络空间行为,阐明我国对网络敌对行为的态度,强调各国有责任和权利保护本国网络空间和关键基础设施免受威胁、干扰和攻击破坏。同时,建立与国际社会的信息安全重大威胁风险沟通机制,探索建立国家间、地区间应对信息安全重大突发事件的信息通报、快速处理的机制,加强信息安全事件应急处理中的交流合作。加强国际社会在打击网络犯罪等方面的合作,共同打击网络违法犯罪行为,打击网络恐怖主义。
