近年来,国际上屡次发生的网络安全漏洞导致重大安全事件为我国敲响警钟,随着我国网民数量跃居世界第一位,网络安全对于国家安全的重要意义早已不亚于粮食安全和国防安全。
针对网络和信息安全形势不容乐观的现状,我国已从完善顶层设计、加强安全审查、加大网络基础设施建设力度等方面提升网络与信息安全保障水平。外界普遍认为,2014年是中国网络安全元年,这一年中国动作频频,效果明显。
网络信息安全小组架构顶层设计
2014年2月27日,中央网络安全和信息化领导小组宣告成立。习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。
我国网络管理体制由于历史原因,造成“九龙治水”的管理格局。面对互联网技术和应用飞速发展,现行管理体制存在明显弊端,多头管理、职能交叉、权责不一、效率不高。同时,随着互联网媒体属性越来越强,网上媒体管理和产业管理远远跟不上形势发展变化。
放眼世界,各国都在大力加强网络安全建设和顶层设计。据了解,截至目前,已有40多个国家颁布了网络空间国家安全战略,仅美国就颁布了40多份与网络安全有关的文件。美国还在白宫设立“网络办公室”,并任命首席网络官,直接对总统负责。2014年2月,总统奥巴马又宣布启动美国《网络安全框架》。德国总理默克尔2月19日与法国总统奥朗德探讨建立欧洲独立互联网,拟从战略层面绕开美国以强化数据安全。欧盟三大领导机构明确,计划在2014年底通过欧洲数据保护改革方案。作为中国亚洲邻国,日本和印度也一直在积极行动。日本2013年6月出台《网络安全战略》,明确提出“网络安全立国”。印度2013年5月出台《国家网络安全策略》,目标是“安全可信的计算机环境”。因此,接轨国际,建设坚固可靠的国家网络安全体系,是中国必须作出的战略选择。
“由此可见,伴随着中央网络安全与信息化领导小组的成立,我国的网络安全与信息化管理体制机制正在发生深刻的变化,以往存在的一些明显弊端有可能被克服。”中国行政体制改革研究会副会长汪玉凯表示,在这个新框架内,不仅预示我国新的信息化战略和网络强国战略会被提上重要议事日程,而且也预示中国在打一场信息技术和网络技术的翻身仗方面,也将迎来新的突破。
“WIN8禁令”让国产操作系统迎春天
政府采购计划对WIN8说“不”的消息引发社会关注,业内普遍认为,此举主要出于安全考虑,凸显政府对信息安全的高度重视。
中国工程院院士倪光南表示,WIN8操作系统采用了对于他国不安全的技术构架——它集成了杀毒软件,可以经常扫描用户的电脑,采用该系统的电脑面临着被监控的风险,进一步加剧了我国网络安全不可控而导致的风险。
如此担忧并非空穴来风。4月8日,微软宣布停止对Windows XP系统的服务支持。这意味着XP系统将迎来“裸奔”的尴尬境地,随着漏洞问题凸显,我国XP用户将遭遇黑客频繁攻击。
多名网络安全业内人士表示,美国众多科技公司曾与美国政府合作,帮助美国国家安全局获得他国互联网上的加密文件数据,这让多国政府更加认识到国家网络信息安全的严重性和紧迫性。
事实上,早在上世纪末,我国就已开始了基于Linux核心的国产操作系统研发,经过十多年的发展,其易用性和安全性获得了明显改善。中科红旗开发的红旗Linux在多个重要部门使用,而Ubuntu麒麟则在企业颇受认可。
安全专家、安天实验室首席架构师肖新光认为,政府拒绝采购WIN8,对国产操作系统来说无疑是一声春雷。不少网民表示,国产操作系统一旦构建起一个成熟的应用生态圈,取代“洋”系统指日可待。
武汉深之度科技有限公司总经理刘文欢表示,要形成生态圈的突破点在于实际使用占有率超过3%,一旦过线,市场这只无形的手就能指挥起各家厂商共建生态系统。因而,初期确实需要借政府“有形之手”获得时间和空间。
网络安全审查倒逼企业加大安全投入
5月22日,国家互联网信息办公室发布消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。
作为提供产品和服务的主体,我国互联网企业近期频发大规模信息泄露事故。5月14日,国内手机厂商小米发生用户信息泄露事故,其中涉及800万用户的短信、通讯录、精确位置等私密信息;今年3月,携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露;2013年10月,多家酒店的开房信息因系统漏洞发生泄露,2000万条开房信息在网上“裸奔”。
随着云计算、大数据技术的广泛应用,企业保存的用户数据量越来越大,大规模数据泄露的风险也越来越大,大规模信息泄露事故高发期已经到来。
“与现实不相称的是,国内互联网企业普遍片面追求发展速度,不愿加大安全投入,在黑客面前不堪一击,与安全审查要求存在较大差距。”上海碁震云计算科技有限公司CEO王琦认为,网络安全审查制度将倒逼企业加大安全投入。
实际上,根据2012年发布的《“十二五”国家政务信息化工程建设规划》,“基本建成国家网络与信息安全基础设施,网络与信息安全保障作用明显增强”被列入“十二五”期末达成的时间表。由此可见,建立切实可行的网络安全审查制度势在必行。
专家表示,网络安全审查制度直接针对的对象就是肩负筑起网络安全框架的网络信息安全基础设施建设,此次明确推进网络安全审查制度瞄准产品和服务,就是原本网络审查更重内容审查而轻视基础设施安全审查的终结,取而代之的,则是针对网络信息基础设施以及产品内容和服务的全方位审查。
北京天融信科技股份有限公司总裁于海波表示:“包括网络信息安全基础设施在内的硬件建设作为触及国家网络安全的最主要战地,在其地位不断得以强化的同时,建立切实可行的网络安全审查制度,从管理手段上强化并确保制度不打折扣地予以贯彻执行同样十分重要。”