近年來,國際上屢次發生的網絡安全漏洞導致重大安全事件為我國敲響警鐘,隨著我國網民數量躍居世界第一位,網絡安全對于國家安全的重要意義早已不亞于糧食安全和國防安全。
針對網絡和信息安全形勢不容樂觀的現狀,我國已從完善頂層設計、加強安全審查、加大網絡基礎設施建設力度等方面提升網絡與信息安全保障水平。外界普遍認為,2014年是中國網絡安全元年,這一年中國動作頻頻,效果明顯。
網絡信息安全小組架構頂層設計
2014年2月27日,中央網絡安全和信息化領導小組宣告成立。習近平擔任組長,在中央網信領導小組第一次會議上,習近平提出“沒有網絡安全就沒有國家安全”,這標志著網絡安全上升至國家戰略高度。
我國網絡管理體制由于歷史原因,造成“九龍治水”的管理格局。面對互聯網技術和應用飛速發展,現行管理體制存在明顯弊端,多頭管理、職能交叉、權責不一、效率不高。同時,隨著互聯網媒體屬性越來越強,網上媒體管理和產業管理遠遠跟不上形勢發展變化。
放眼世界,各國都在大力加強網絡安全建設和頂層設計。據了解,截至目前,已有40多個國家頒布了網絡空間國家安全戰略,僅美國就頒布了40多份與網絡安全有關的文件。美國還在白宮設立“網絡辦公室”,并任命首席網絡官,直接對總統負責。2014年2月,總統奧巴馬又宣布啟動美國《網絡安全框架》。德國總理默克爾2月19日與法國總統奧朗德探討建立歐洲獨立互聯網,擬從戰略層面繞開美國以強化數據安全。歐盟三大領導機構明確,計劃在2014年底通過歐洲數據保護改革方案。作為中國亞洲鄰國,日本和印度也一直在積極行動。日本2013年6月出臺《網絡安全戰略》,明確提出“網絡安全立國”。印度2013年5月出臺《國家網絡安全策略》,目標是“安全可信的計算機環境”。因此,接軌國際,建設堅固可靠的國家網絡安全體系,是中國必須作出的戰略選擇。
“由此可見,伴隨著中央網絡安全與信息化領導小組的成立,我國的網絡安全與信息化管理體制機制正在發生深刻的變化,以往存在的一些明顯弊端有可能被克服。”中國行政體制改革研究會副會長汪玉凱表示,在這個新框架內,不僅預示我國新的信息化戰略和網絡強國戰略會被提上重要議事日程,而且也預示中國在打一場信息技術和網絡技術的翻身仗方面,也將迎來新的突破。
“WIN8禁令”讓國產操作系統迎春天
政府采購計劃對WIN8說“不”的消息引發社會關注,業內普遍認為,此舉主要出于安全考慮,凸顯政府對信息安全的高度重視。
中國工程院院士倪光南表示,WIN8操作系統采用了對于他國不安全的技術構架——它集成了殺毒軟件,可以經常掃描用戶的電腦,采用該系統的電腦面臨著被監控的風險,進一步加劇了我國網絡安全不可控而導致的風險。
如此擔憂并非空穴來風。4月8日,微軟宣布停止對Windows XP系統的服務支持。這意味著XP系統將迎來“裸奔”的尷尬境地,隨著漏洞問題凸顯,我國XP用戶將遭遇黑客頻繁攻擊。
多名網絡安全業內人士表示,美國眾多科技公司曾與美國政府合作,幫助美國國家安全局獲得他國互聯網上的加密文件數據,這讓多國政府更加認識到國家網絡信息安全的嚴重性和緊迫性。
事實上,早在上世紀末,我國就已開始了基于Linux核心的國產操作系統研發,經過十多年的發展,其易用性和安全性獲得了明顯改善。中科紅旗開發的紅旗Linux在多個重要部門使用,而Ubuntu麒麟則在企業頗受認可。
安全專家、安天實驗室首席架構師肖新光認為,政府拒絕采購WIN8,對國產操作系統來說無疑是一聲春雷。不少網民表示,國產操作系統一旦構建起一個成熟的應用生態圈,取代“洋”系統指日可待。
武漢深之度科技有限公司總經理劉文歡表示,要形成生態圈的突破點在于實際使用占有率超過3%,一旦過線,市場這只無形的手就能指揮起各家廠商共建生態系統。因而,初期確實需要借政府“有形之手”獲得時間和空間。
網絡安全審查倒逼企業加大安全投入
5月22日,國家互聯網信息辦公室發布消息稱,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該制度規定,關系國家安全和公共利益的重要技術產品和服務,應通過網絡安全審查。
作為提供產品和服務的主體,我國互聯網企業近期頻發大規模信息泄露事故。5月14日,國內手機廠商小米發生用戶信息泄露事故,其中涉及800萬用戶的短信、通訊錄、精確位置等私密信息;今年3月,攜程網大量用戶信用卡賬號、姓名、身份證號等敏感信息泄露;2013年10月,多家酒店的開房信息因系統漏洞發生泄露,2000萬條開房信息在網上“裸奔”。
隨著云計算、大數據技術的廣泛應用,企業保存的用戶數據量越來越大,大規模數據泄露的風險也越來越大,大規模信息泄露事故高發期已經到來。
“與現實不相稱的是,國內互聯網企業普遍片面追求發展速度,不愿加大安全投入,在黑客面前不堪一擊,與安全審查要求存在較大差距。”上海碁震云計算科技有限公司CEO王琦認為,網絡安全審查制度將倒逼企業加大安全投入。
實際上,根據2012年發布的《“十二五”國家政務信息化工程建設規劃》,“基本建成國家網絡與信息安全基礎設施,網絡與信息安全保障作用明顯增強”被列入“十二五”期末達成的時間表。由此可見,建立切實可行的網絡安全審查制度勢在必行。
專家表示,網絡安全審查制度直接針對的對象就是肩負筑起網絡安全框架的網絡信息安全基礎設施建設,此次明確推進網絡安全審查制度瞄準產品和服務,就是原本網絡審查更重內容審查而輕視基礎設施安全審查的終結,取而代之的,則是針對網絡信息基礎設施以及產品內容和服務的全方位審查。
北京天融信科技股份有限公司總裁于海波表示:“包括網絡信息安全基礎設施在內的硬件建設作為觸及國家網絡安全的最主要戰地,在其地位不斷得以強化的同時,建立切實可行的網絡安全審查制度,從管理手段上強化并確保制度不打折扣地予以貫徹執行同樣十分重要。”