您好!今天是:2025年-6月3日-星期二
賽迪智庫:2019年中國網絡安全發展形勢展望
點擊:8653 作者:賽迪智庫 來源:賽迪智庫 發布時間:2019-02-28 08:57:03
【內容提要】 展望2019年,全球網絡安全形勢仍然嚴峻,個人信息與商業數據遭遇大規模泄露與違規利用,針對關鍵信息基礎設施的惡意網絡攻擊頻發,各國在網絡空間對 抗態勢進一步加劇。面對新情況,如何加強網絡安全建設?更好地應對網絡安全威脅?更有力地保障國家安全?賽迪智庫提出了開展信息技術產品的審查工作,提升新興領域的安 全防范能力;提升自主研發實力,構建核心技術生態圈;借助“一帶一路”積極與其它國家合作,增強我國網絡空間話語權;推進網絡可信身份建設,構建可信網絡空間;加強安全制度建設,全面保護關鍵信息基礎設施等對策建議。
2018年,我國網絡安全技術產品取得新成就,人才隊伍建設不斷加強,網絡安全產業發展勢頭強勁,網絡安全形勢整體向好。展望2019 年,全球網絡攻擊事件將更加頻發,全球網絡對抗態勢將進一步升級, 各國將更加重視數據安全治理。我國網絡安全能力建設工作將繼續強 化,但需要處理好網絡威脅監測技術仍待加強、信息技術產品自主可控 生態亟待建立、網絡可信身份生態建設尚需強化和關鍵信息基礎設施的 網絡安全保障體系仍不完善等問題,以提升我國網絡安全保障能力。
一、對2019年形勢的基本判斷
(一)全球網絡攻擊事件更加頻發
世界經濟論壇《2018年全球風險報告》中首次將網絡攻擊納入全球 風險前五名,成為2018年全球第三大風險因素。一是軟硬件設備安全漏 洞頻出給生產生活帶來嚴重威脅。1月,英特爾公司爆出“幽靈”“熔 斷”兩個處理器漏洞,導致惡意程序可獲取敏感信息。英國皇家戰略研 究所公布報告,指出當前核武器系統存在大量明顯安全漏洞,網絡攻擊 破壞核武器控制裝置的風險極大。3月,英國政府通信總部發現家用新型 智能電表存在安全漏洞,威脅數百萬物聯網設備安全,甚至可能影響國 家電網的正常運轉。4月,黑客利用思科高危漏洞發起攻擊,20余萬臺思 科設備受到影響。二是多行業關鍵信息基礎設施遭受攻擊。1月,荷蘭三 大銀行網絡系統在一周內不斷遭受分布式拒絕服務攻擊。6月,美國賽門鐵克公司發現黑客組織針對美國和東南亞國家衛星通訊、電信、地理太 空拍攝成像服務和軍事系統進行網絡攻擊。9月,西班牙巴塞羅那港與美 國圣地亞哥港相繼遭受網絡攻擊。11月,美國國土安全部稱黑客多次試 圖破壞美選舉系統。三是個人信息與商業數據遭遇大規模泄露與違規利 用。4月,美媒報道特朗普大選期間聘用的“劍橋分析”從2014年起違法 收集臉譜網上5000多萬名美國用戶的數據,用于預測和影響選民的大選 投票取向。9月,臉譜網稱遭受黑客攻擊,5000多萬用戶的個人隱私信息 面臨風險。
2019年,隨著人們生產生活對網絡信息系統依賴性的增強,網絡攻擊事件的數量仍將不斷增多,影響范圍也將更加廣泛。
(二)全球網絡對抗態勢進一步升級
網絡空間已成為各國爭奪的重要戰略空間,各國采取多種措施不斷 謀求增強網絡防御和對抗能力,網絡空間對抗態勢不斷加劇。一是頂層 規劃中網絡對抗戰略意圖明顯。美國本年內發布兩項重要國防戰略,均 顯示出明顯網絡對抗戰略意圖。7月,發布《2019年國防授權法案》,明 確將中國、俄羅斯等國列為美國國家安全“威脅”,建議增加網絡沖突 前線的軍事部署。9月,發布《國防部網絡安全戰略》,指出中國和俄羅 斯對美國及其盟國的戰略性威脅正在增大,為防范網絡攻擊要進行先發 制人。二是完善網絡空間作戰機構設置。5月,美國網絡司令部升格為獨 立作戰司令部。8月,日本防衛省宣布將組建專門部隊保護國防通信網絡 免受攻擊。10月,北約提出將成立網絡指揮部,以全面及時掌握網絡空 間狀況。三是強化多方合作。一方面加強政企合作。5月,日本防衛省決 定將部分網絡防衛任務委托民間企業。6月,美國組織軍隊、政府和產業 界專業人員共同開展“網絡極限2018”演習。另一方面推動國際合作。4 月,北約舉行“鎖定盾牌”網絡戰演習,吸引了來自30多個國家的千名 網絡安全專家參加。6月,立陶宛宣布歐洲聯盟9個成員國將成立快速回 應小組對抗網絡攻擊。四是不斷深化網絡武器研發。4月,韓國國防部 表示將在2019年前投入29億韓元開發智能型信息化情報監視偵察系統。7 月,美國國防部開發新網絡武器系統,以發動對“伊斯蘭國”的在線攻 擊,并保護美國免遭敵對政府的黑客攻擊。
2019年,隨著相關國家網絡空間政策的調整以及網絡軍事力量建設 加速,網絡空間爭奪將掀起新高潮。
(三)各國將更加重視數據安全治理
數據已成為國家重要戰略資源和生產要素,針對數據的網絡攻擊 以及數據濫用問題日趨嚴重,提升數據安全治理水平刻不容緩。一是 進一步完善數據安全保護法律法規。5月,歐盟《通用數據保護條例》(GDPR)正式生效,歐盟國家,如愛爾蘭、西班牙、比利時與塞爾維亞 等國參照GDPR研究制定或發布國內數據保護相關規定;非歐盟國家,如 阿根廷、巴西、伊朗、印度、泰國等國也調整其數據保護法規與GDPR保 持一致。二是加緊研究數據跨境流動規則。4月,巴西向世界貿易組織提 交文件,敦促對互聯網數據流動的規則展開討論。7月,日本和歐盟達成 協議,將實現雙方數據自由流動。10月,歐盟議會通過《歐盟非個人數據自由流動條例》, 消除歐盟成員國數據本地化的限制。三是大力推進 數據安全執法檢查。1月,美國聯邦貿易委員會對偉易達處以65萬美元罰 款,因其安全漏洞導致數百萬家長和孩子的數據遭曝光。2月,比利時 一法院判定,臉譜網在比利時網民不知情的情況下搜集和保存其上網信 息,違反比利時隱私法。8月,韓國政府開始對20家跨國公司在韓辦事處 開展用戶數據安全審查。10月,歐洲數據保護監督官員稱,預計2018年 底對外公布第一批依據GDPR處罰的情況,并實施制裁。
2019年,數據安全風險將更加突出,各國將繼續完善相應法規體 系,積極開展相關執法檢查。
(四)我國網絡安全能力建設工作將不斷強化
為了應對日益復雜的網絡安全形勢,確立網絡空間優勢,我國不斷從技術研發、人才培養等方面加強網絡安全能力建設。一是不斷推出網絡安全新技術新產品。8月,阿里云發布云盾Web應用防火墻,能夠對 網站業務流量進行惡意特征識別及防護,將正常、安全的流量回源到服 務器。8月,啟明星辰發布物聯網安全接入防護系統IoT-VBox,該系統 能夠全面監測物聯網系統中各終端的安全狀況,同時開發了在線物聯網 終端學習算法,對終端的數據流內容進行建模,當終端被植入木馬時, 能夠實現阻斷報警防護。9月,永信至誠推出e春秋網絡安全實驗室靶場 平臺,并利用該系統承辦了多次大型網絡安全競賽。二是不斷加強網絡 安全人才培養力度。一方面,武漢市和四川省政府先后出臺《關于支持 國家網絡安全人才與創新基地發展若干政策的通知》和《信息安全專項 資金補貼》等政策,加強對網絡安全高層次人才的培養和引進。另一方 面,網絡安全競賽如火如荼的開展。8月由公安部和國家密碼管理局指導 的“網鼎杯”順利舉行,大賽吸引了超過兩萬名選手參賽。11月,由中 央網信辦指導的“湖湘杯”網絡安全技能大賽順利開展,該比賽是2018 中國(長沙)智能制造大會的重要組成部分,目的是發現和培養高端網 絡安全人才。三是網絡安全企業通過多渠道合作優化網絡安全生態環 境。3月,華為主導發起“華為安全商業聯盟”,通過聯合安全解決方案 深度整合聯盟伙伴的安全服務,解決單一廠商較難為用戶提供全面完整 網絡安全解決方案的問題。8月,騰訊聯合啟明星辰、衛士通、立思辰等 在內的15家上市公司,成立上市企業協作共同體,旨在搭建中國互聯網安全企業的協同平臺。 2019年,我國將繼續加強對網絡安全核心技術研發的支持,強化網絡安全復合型人才的培養力度,鼓勵企業通過多種方式開展合作,進一 步提高我國的網絡安全能力。
(五)我國網絡安全產業發展環境將進一步優化
近年來,我過對網絡安全的重視程度日益提高,圍繞網絡安全法不 斷推出法律法規,網絡安全產業發展環境不斷優化。網絡信息內容管理 方面,國家互聯網信息辦公室發布了《互聯網新聞信息服務管理規定》和《互聯網信息內容管理行政執法程序規定》,一方面規范傳統新聞媒 體的互聯網新聞采編、轉載和傳播行為,另一方面規范互聯網信息內容 管理執法全流程。此外,國家互聯網信息辦公室還出臺了多項法律文 件,規范微博、公共賬號、群組和社區論壇等主體的網絡信息內容發布 行為。關鍵信息基礎設施安全保護方面,出臺了《關鍵信息基礎設施安 全保護條例(征求意見稿)》,從關鍵信息基礎設施范圍、運營者安全 保護、產品和服務安全等方面闡述了相關保護條例。網絡產品和服務管 理方面,出臺了《網絡產品和服務安全審查辦法(試行)》,對安全審 查的試用范圍、內容和機構等進行了規定。個人信息和重要數據保護方 面,《個人信息和重要數據出境安全評估辦法(征求意見稿)》對出境 數據評估的條件和內容做了闡述。
2019年,我國將會繼續完善網絡安全相關法律法規,出臺系列網絡安全標準體系,進一步優化網絡安全產業的發展環境。
二、需要關注的幾個問題
(一)我國網絡威脅監測技術仍待加強
長期以來,我國網絡安全核心技術受制于人,在網絡攻防技術發 展日新月異的今天,我國應對網絡安全威脅的能力相對于發達國家處于 劣勢。一是信息技術安全監測能力不強。我國對進口網絡信息技術和產 品的監測分析以合規性評測為主,很少涉及軟件核心技術,規模化、協 同化漏洞分析評估能力較低,難以發現產品的安全漏洞和“后門”,同時在大數據分析、可信云計算、安全智能聯動等重要方面的技術實力不足,難以應對新興信息技術產品的安全監測工作。二是網絡攻擊追溯能力不足。目前,我國對于海量網絡數據缺乏有效的分析方法,對APT等新型安全威脅的監測技術不成熟,即便監測到這種威脅,由于缺少回溯手 段,也難以找出攻擊源頭。
(二)我國信息技術產品自主可控生態亟待建立
目前,我國對國外信息技術產品的依賴度較高,CPU、內存、硬盤和 操作系統等核心基礎軟硬件產品嚴重依賴進口。如CPU主要依賴英特爾和 AMD等廠商;內存主要依賴三星、鎂光等廠商;硬盤主要依賴東芝、日立 和希捷等廠商;操作系統則被微軟所壟斷。2017年,歐美跨國企業提升了 核心技術的開放程度,國內信息技術產業曾出現新一輪引進式的創新熱 潮。然而,2018年,隨著中興事件和中美貿易戰的持續發酵,各界人士 逐漸在構建信息技術產品自主可控生態方面達成共識。一方面是亟需研 發出可用乃是好用的核心信息技術產品,另一方面是亟需對自主可控的 網絡產品和服務進行評估、扶持和推廣,進而構建良好自主可控生態。
(三)我國網絡可信身份生態建設尚需強化
《網絡安全法》明確提出,“國家實施網絡可信身份戰略,支持 研究安全和方便的電子身份認證技術,推動不同電子身份認證之間的互 認”。然而目前,我國網絡可信身份生態建設仍需強化。一是網絡可信 身份體系建設缺乏頂層設計,統籌規劃和布局尚不明晰。我國還未明確 將網絡身份管理納入國家安全戰略,也未形成推進網絡可信身份體系 建設的整體框架和具體路徑。二是身份基礎資源尚未實現廣泛的互聯互 通,基礎設施重復建設現象嚴重。由于缺乏戰略設計和統籌規劃,我國網絡可信身份基礎設施共享合作相對滯后,導致基礎可信身份資源數據 庫還未實現廣泛的互通共享,使得數據核查成本較高、效率較低。三是 認證技術發展滯后,還不能滿足新興技術和應用的要求。云計算、大數 據、移動互聯網、工業互聯網等新一代信息技術不斷涌現,新興技術和 應用環境中數據的傳輸、存儲、處理等方式與傳統信息技術及應用存在 重大差異,已有身份認證技術、手段和機制還不足以支撐新技術、新應 用的發展。因此,亟需開展針對性的研究,盡快制定國家網絡可信身份 戰略,創建可信網絡空間。
(四)我國關鍵信息基礎設施的網絡安全保障體系仍不完善
關鍵信息基礎設施是國家至關重要的資產,一旦遭到破壞、喪失功 能或者數據泄漏,不僅將可能導致財產損失,還將嚴重影響經濟社會的 平穩運行。隨著金融、能源、電力、通信等領域基礎設施對信息網絡的 依賴性越來越強,針對關鍵信息基礎設施的網絡攻擊不斷升級,且帶有 國家背景的高水平攻擊帶來的網絡安全風險持續加大。但我國關鍵信息 基礎設施的安全保護力度仍然不足。一是網絡安全檢查評估機制不健全。 當前的網信安全檢查側重漏洞發現,缺乏對漏洞修復的激勵措施,同時 缺少對漏洞的危害等級的評估體系。二是關鍵信息基礎設施安全保障工作 存在標準缺失的問題。盡管行業內已加速開展相關標準的研究工作,包 括安全保障指標體系、安全檢查評估指南以及信息共享規范等方面,但 仍缺少金融、電力和通信等細分領域的安全保障標準研究。面對日益嚴 峻的網絡安全挑戰,我國應盡快完善關鍵信息基礎設施安全保障體系。
三、應采取的對策建議
(一)開展信息技術產品的審查工作,提升新興領域的安全防范能力
開展信息技術產品,尤其是新興領域信息技術產品的審查工作。一 是加緊出臺大數據、人工智能、云計算、物聯網等新興技術領域的政策法規,強化信息技術產品審查工作的重要性。二是積極制定新興領域信 息技術產品的安全保護標準,界定相關產品的核心功能和技術,構建評 估產品安全性的指標和實施方案。三是構建信息技術產品的安全審查機 制,定期開展安全審查,加強新興領域信息技術產品的安全監督工作, 對發現的問題及時進行整改,同時加大安全事件的執法力度,依法依規對 涉事企業進行嚴厲處罰。四是提升安全審查的技術手段,推動網絡安全態勢感知平臺的建立,實現業務監控、溯源取證、安全事件響應等功能。
(二)提升自主研發實力,構建核心技術生態圈
一是統一信息領域核心技術發展思路。摒棄自主創新和引進消化 吸收之間的路線之爭,改變以出身論安全的思路,形成信息技術產品安 全可控評價標準,組織開展評價工作,引導廠商提升自主創新能力和產 業生態掌控能力。二是優化核心技術自主創新環境。強化企業的創新主 體地位,著力構建以企業為主體、市場為導向、產學研相結合的技術創 新體系。提高企業創新積極性,繼續以基金等形式支持企業通過技術合 作、資本運作等手段爭取國際先進技術和人才等,為企業充分利用國際 資源提升自主創新能力提供支撐。三是構建核心技術生態圈。依托政 府、軍隊等安全要求較高的應用領域,結合應用單位基本需求,制定自 主生態技術標準,統一相關技術產品的關鍵功能模塊、技術接口等,依 托自主可控評價等手段,引導企業協同創新,推動產業上下游企業團結 協作,打造自主可控生態圈。
(三)借助“一帶一路”積極與其它國家合作,增強我國網絡空間話語權
借助“一帶一路”積極與其它國家開展一系列信息技術領域的合 作,一方面有效帶動我國基礎信息設施發展相對滯后的中西部地區,增 強其抵御外部網絡侵略的意識與力量,筑就我國的“網絡長城”;另一 方面形成信息技術研發和信息技術產品推廣的跨境聯盟,更大程度地釋 放互聯網所集聚的能量,推動網絡強國建設,在通信、交通、金融等領 域積極參與國際行業標準的制定,增強我國在世界范圍內網絡空間的話 語權與影響力。
(四)推進網絡可信身份建設,構建可信網絡空間
一是做好網絡可信身份體系的頂層設計。借鑒國外做法,結合我 國國情,明確我國網絡可信身份體系框架、各參與方在其中的角色和職 責,并細化網絡可信身份體系建設的路徑,明確組織、資金等各方面保 障,從法律法規、標準規范、技術研發、試點示范、產業發展等多方面 推進體系建設。二是建設并推廣可信身份服務平臺,推動可信身份資源 共享。通過建設集成公安、工商、CA機構、電信運營商等多種網絡身份 認證資源的可信身份服務平臺,提供“多維身份屬性綜合服務”,包括 網絡身份真實性、有效性和完整性認證服務,最終完成對網上行為主體 的多途徑、多角度、多級別的身份屬性信息的收集、確認、評價及應 用,實現多模式網絡身份管理和驗證。三是推動多種網絡可信身份認證 技術和服務發展,充分利用現有技術和基礎設施,加快開發安全和方便 的網絡身份技術,跟蹤大數據、生物識別和區塊鏈等新興技術的發展, 不斷提高技術的先進性。
(五)加強安全制度建設,全面保護關鍵信息基礎設施
一是建立健全關鍵信息基礎設施保護制度。明確保障關鍵信息基礎 設施安全保障的基本要求和主要目標,提出工作任務和措施。二是研究制定關鍵信息基礎設施網絡安全標準規范。研制關鍵信息基礎設施的基 礎性標準,推動關鍵信息基礎設施分類分級、安全評估等標準的研制和 發布。三是建立健全關鍵信息基礎設施安全監管機制。一方面,健全關鍵信息基礎設施安全檢查評估機制,面向重點行業開展網絡安全檢查和 風險評估,指導并監督地方開展安全自查,組織專業隊伍對重點系統開 展安全抽查,形成自查與重點抽查相結合的長效機制;另一方面,完善 關鍵信息基礎設施安全風險信息共享機制,理順信息報送渠道,完善監 測技術手段和監測網絡,加快形成關鍵信息基礎設施網絡安全風險信息 共享的長效機制。
(來源:昆侖策網,轉自“賽迪智庫”)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://www.jqdstudio.net
責任編輯:紅星
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
秦安:網絡空間落實習近平“扛得住、過得去”的總要求,需看清十二大網絡安全風險
2019-01-24“網絡安全”到底該如何維護?中國工程院院士給出一個科學建議!
2018-08-24? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
