中国网络安全的形势分析与研究
中国网络安全的形势分析与研究
王贺
(中电长城网际系统应用有限公司,北京100085)
摘要:随着“互联网+”、智能制造等新兴业态的快速发展,网络与信息化以不可阻挡之势渗透到国家生产和生活的方方面面,各国政府均重视网络安全规划布局并加大产业投资力度。为进一步加强顶层设计、推进我国网络空间安全、推动信息化发展、维护国家利益,我国于2014年2月27日成立了中央网络安全和信息化领导小组,下设办公室积极开展工作。随着国家网络安全相关政策的不断出台,构建“自主可控、安全可信”的国家网络安全体系已成为我国当前网络安全产业发展的首要任务。未来几年,在网络安全市场巨大需求的持续推动下,我国网络安全产业将迎来爆发式增长机遇。
关键词:网络安全;自主可控;安全服务
0引言
2013年6月,美国政府监控全球网络的“棱镜计划”曝光,让网络安全问题备受关注。而“棱镜”事件的爆发,也敲响了我国网络安全保障的警钟。当前,全球正处于以产业变革重构竞争格局的关键时间窗口,发达国家已率先在网络安全领域加快布局。在此背景下,我国要想把握主动权,发展自主可控安全系统刻不容缓。
1国际网络安全发展现状
1.1网络安全发展至关重要
近年来,互联网的快速发展和加速渗透,使工业控制系统、智能技术应用、云计算、移动支付等领域面临的网络安全风险进一步加大,黑客组织和网络恐怖组织甚至是某些国家机构发起的网络攻击持续增加,影响力和破坏性显著增强。
根据咨询公司普华永道发布的2015年全球网络安全状态调查报告:全球所有行业检测到的网络攻击共有4 280万次,比上一年增长48%[1]。华盛顿战略和国际研究中心2014年发布报告称,每年计算机及网络犯罪活动为世界经济带来的损失超过4 450亿美元。网络攻击次数之频繁,造成损失之大,使得各国政府均高度重视网络安全保障工作。
网络安全之所以重要,是因为网络安全威胁已经从最初的个体黑客利用安全漏洞进行技术炫耀,发展到了有组织的系统化的利用技术手段谋求经济利益,甚至是国与国之间为了政治、军事、经济利益高技术的对抗。例如,2010年6月伊朗核设施遭受的震网病毒就是一种专门针对工业控制系统的恶意程序,在欺骗监控软件的同时,破坏工业基础设施,导致伊朗纳坦兹铀浓缩基地至少有3万台电脑“中标”,上千台离心机损毁,使伊朗核技术倒退数年。实际上,如今的网络安全问题已经渗透到了交通、能源、通信等重要的国家基础设施环节,与人们的生活息息相关。没有网络安全就没有国家安全,没有信息化就没有现代化。要想保障国家安全,做好网络安全工作至关重要。
1.2美国网络安全发展现状
美国的信息化发展较早,同时也是世界最大的IT和网络安全技术出口国。所以研究美国的产业发展对其他国家的网络安全保障工作有很好的借鉴。
从技术发展来看,美国利用其在IT技术领域的领先优势,通过商业手段不断扩张其全球互联网的产业版图,从CPU、存储、服务器到操作系统、数据库、中间件都具有绝对领先优势,并已渗透到互联网基础设施的方方面面。从“棱镜”计划可以看出,美国正是利用这种巨大的技术不对称优势,对全球网络实施有步骤、体系化、深层次的监控。
从政治和军事角度来看,美国可以利用网络监控全球信息获取情报,甚至可以在必要的时刻攻击敌对势力的基础设施和重要信息系统,使其彻底瘫痪,做到打击于无形,致胜于千
里之外。网络安全技术手段俨然已成为美国谋求霸权地位的又一重要手段。
从产业规模来看,根据市场调研机构Market Research Media的报告,预计2015~2020年间,美国联邦网络安全市场规模将累计达到655亿美元,年复合增长率在6.2%左右。美国政府对网络安全产品和服务的需求将从86亿美元增加到110亿美元,年复合增长率为5.2%。美国政府年度网络安全支出将至少超过第二大网络安全支出国的两倍以上。
与其他国家不同的是,美国的信息技术体系和安全服务体系是高度自主可控的,这也是美国在网络安全建设方面最大的优势。政府相关部门如NSA、CIA、FBI等机构有组织、有计划地通过Intel、Microsoft、Cisco、IBM、Google、Symantec等一批本土龙头企业构建体系化的全球服务网络。这些企业在全球各地都布局网络和信息中心,为美国更好地监控全球网络、收集情报提供技术基础。以IBM为例,在多年的实践中,该公司开发并掌握了20多类、200多种网络安全产品和服务,为美国构建安全服务体系提供了有力支撑。不仅如此,美国还拥有FireEye、Bit9等众多具备专业技术的网络安全企业。以FireEye公司为例,它的合作伙伴与客户已达1 000多家,有1/4的财富100强企业在使用该公司产品。而Bit9公司目前为全球700多家机构提供安全保障服务,每年业务营收增长100%。美国网络安全产业的发展和布局,为其他国家如何开展网络安全保障工作提供了强有力的借鉴。
2我国网络安全发展现状与不足
2.1网络安全产业仍然薄弱
与国际巨头相比,我国网络安全产业层(底层)多以提供技术和产品的中小民营企业为主。这些企业的技术能力参差不齐,规模较小,鲜有相互投资与合作,缺少技术交流,难以形成合力。加之地方政府、企业等对网络安全投入不足,以及市场缺乏行业规范和标准,导致交易环境恶化,使得网络安全产业发展一直无序缓慢。
与之相反,我国互联网蓬勃发展,规模不断扩大,应用水平不断提高,成为推动经济发展和社会进步的巨大力量。截止2015年12月,我国互联网用户数量已达6.88亿[2],移动互联网用户数量达6.2亿,互联网普及率50.3%。互联网与移动网络的用户数量均居世界第一,域名总数2 231万个,网站总数357万个。
然而,随着互联网快速发展的同时,我国用户对网络安全的投入却远远低于发达国家。根据IDC数据显示,美国政府和企业每年对网络安全投入占其IT投入的16%左右[3],其他发达国家也在10%以上,而我国仅1%。可见我国网络安全投入和整体市场规模仍有很大的提升空间。投入不足又缺少合理的市场机制与标准是导致交易环境持续恶化和整体产业小、弱、散的直接原因。我国网络安全产业整体不强大,就难以完成国家基础设施和重要信息系统安全保障的重任。
2.2安全威胁日益严峻,核心技术严重不足
国家互联网应急中心对网络安全态势的研究表明,威胁我国网络安全的事件数量正在显著增加,网络安全对抗进一步细化和升级,重大安全事件仍然频发,网络攻击技术也愈发先进。未来,网络攻击手段将继续升级,更多高危漏洞将被挖掘,仿冒网站、DDOS攻击等传统威胁数量也将继续增加,同时,更多移动智能产品将成为网络犯罪的目标。我国虽已针对性地进行了一些专项治理工作,但仍面临着严峻形势,网络安全防护任重道远。
相对发达国家,我国信息化起步较晚,网络安全缺乏核心技术。在CPU、内存芯片、网络交换芯片、操作系统、数据库、中间件、存储、服务器整机等核心技术研发上,投入不够,技术积累不足,市场仍然被欧美企业垄断。国内厂商对国外产品的漏洞、后门等安全缺陷缺乏有效应对办法,可以说缺少自主可控的产品与核心技术已经成为我国网络安全很大的隐忧。
2.3产业服务层(中间层)缺失
以洛马、雷声等军工背景的服务公司为首的美国网络安全整体解决方案提供商,在美国国家网络安全保障工作中起到了承上启下的中间层作用。他们向下整合国内公司的网络安全
产品以及数据应用,系统化地形成整体解决方案,再自下而上与美国专控队伍合作为国家重要信息系统提供全面安全保障。我国安全服务整体行业水平仍相对落后,缺少龙头企业,难以满足政府和企业级用户的安全需求。这种需求与能力不匹配的状态亟待解决。
2.4网络安全人才匮乏
与日益增长的网络安全需求相反,我国网络安全的人才储备较为稀缺。数据显示,我国网络安全人才缺口达上百万,远远无法满足“建设网络安全强国”的迫切需求。据有关方面统计,截止到2014年,我国2 500多所高校中开设网络安全专业的只有103所,其中博士点、硕士点不到40个,每年我国网络安全毕业生培养不到一万名,显然无法满足行业需求,我国网络安全人才缺口达上百万。此外,不仅网络安全人才总量远远不够,人才结构也远不能满足高速发展的信息化建设需要,专业型人才、复合型人才、领军型人才明显短缺。这一现状将严重影响我国网络安全建设,制约我国信息化发展进程。
3构建我国自主可控网络安全体系刻不容缓
面对诸多问题,党的十八大提出“要高度关注网络空间安全”。2014年我国正式成立了中共中央网络安全和信息化领导小组,由习近平总书记亲自担任领导小组组长。该机构站在国家角度,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力,这标志着网络安全已经上升到国家安全战略高度。
总体来说,提高我国网络安全建设,可以从以下几方面着手。
3.1政府出台政策鼓励网络安全产业健康发展
2015年,我国网络安全政策、立法工作取得了重大进展,但国家网络安全战略尚未出台,顶层设计依然不够清晰,没有明确划定网络空间的核心利益。此外,政府应出台政策鼓励网络安全产业优化发展,鼓励企业进行差异化发展,从政策上切实维护企业权益,避免重复建设所导致的恶性竞争。
3.2大力发展“自主可控”网络安全产业
所谓“自主可控”就是依靠自身的能力,研发设计自己的技术产品,拥有独立自主知识产权,从核心技术、关键零部件、各类软件应用的自主研发、生产、更新、维护实现全流程掌控,而不受制于人。
我国应该大力发展“自主可控”的网络安全产品的研发生产,从根本上解决国家网络安全问题,做到知识产权自主可控、技术能力自主可控。同时,促进自主可控安全产品与服务的研发、生产、认证及监管,全面实施国产化替代工程,以提升国家网络安全保障支撑能力。在国产化替代过程中,政府应鼓励企业研发制造自主知识产权的产品。如有国外产品暂时难以替代的,我国政府以及相关企业应该大力发展新技术差异化来有效弥补不可控的威胁。如发展可信计算技术,加大对可信芯片、可信终端、可信网络、可信云的研发投入,降低自主产品暂时无法替代外来产品所带来的安全风险。
3.3着力打造以安全服务为核心业务的龙头企业
以提供整体解决方案为核心业务的安全服务企业应能够提供平台化的网络安全服务,以平台化方式聚合国内外优质的产品和服务,拉动上下游产业共赢发展,满足国家安全需求。我国应着力打造整体安全解决方案服务商,以规模见效益,培育产业龙头企业。
国家应该提供政策支持,加大支持如中国电子长城网际这样的以网络安全服务为核心主业的公司。这些公司一方面致力于为国家基础设施和重要信息系统提供整体安全解决方案,另一方面有能力与国家专控队伍加强合作,向下聚合产业界的技术和产品,优化产业生态环境,在一定程度上弥补了产业能力与国家网络安全需求不匹配的问题。我国政府和产业界应继续整合资源,下更大力气,进一步发展网络安全服务行业,以应对日益严重的网络安全威胁。
3.4加强产学研结合,着力培养网络安全核心人才
目前,我国网络安全人才储备与日益增长的网络安全需求极不相称。网络强国的国家核心竞争力的提升,关键在于人才的培养。从高校角度,要将网络安全作为国家一级学科,各大高校要进一步加大开设网络安全专业课程的力度,培养选拔优秀人才。同时,充分发挥社会再教育模式的作用,政府、企业、民间组织应多开展安全知识培训、网络安全竞赛等活动,加强技术交流,促进人才流动,培养专业人才。此外,也要加强国际交流合作,引进国外先进技术和人才。
4结束语
近年来,网络安全事件频发,我国互联网安全面临日益严峻的挑战,国家网络安全形势必须引起有关部门的高度重视,必须发展壮大我国自主可控的网络安全产业,才能在未来全球竞争中处于不败之地。
2016年是“十三五”开局之年,随着众多行业信息化的发展,网络安全产业必将迎来高速发展的黄金期。根据赛迪发布的统计数据,2015年网络安全产业规模突破550亿元,增幅达到30%。2016年,我国网络安全产业发展将继续保持良好势头,预计产业增长率保持在28%,产业规模将达到700亿元。我国应把握网络安全产业发展机遇期,做好网络安全发展顶层设计、政策配套,做好各方面资源整合、机构推动、人才培养,通过政府、产业、高校以及科研院所的共同努力,大跨步推进我国国家网络安全产业实现快速健康发展。
参考文献
[1]Cybersecurity Ventures. 全球网络安全市场报告[R].2015.
[2]CNCERT/CC. 2014年我国互联网网络安全态势报告[R].2015.
[3]中国信息通信研究院. 网络与信息安全产业白皮书[Z].2015.