回顾2013年,世界信息安全领域就像是上演了一部跌宕起伏的大片,吸引了整个世界的眼球,也彻底颠覆了人们对信息安全的认识,世界各国纷纷调整在网络空间的战略部署,网络空间格局面临重大变革。这一年里,我国在信息安全方面经历了广泛的质疑,所谓的“中国黑客”几乎“攻击了”整个世界,面对不公平的对待,我国信息技术企业遭遇了广泛的“安全壁垒”,认识到了信息安全的差距,“棱镜门”事件给我国敲响了警钟,促使我国将注意力转向本质安全。展望2014年,网络空间竞争将更加激烈,我国面临的信息安全风险将进一步加剧,为应对这一严峻形势,我国信息安全将转向自主发展之路。
信息安全形势将更加严峻
各国加大网络空间部署,西方国家进一步加强针对我国的网络遏制行为,有针对性的网络安全事件增多。
2014年,国际信息安全环境将更加复杂,世界各国会进一步加强网络空间部署,大规模网络空间冲突一触即发,西方国家继续加强对我国的网络遏制,网络空间安全问题更加突出。
第一,世界各国不断加大在网络空间的部署,爆发国家级网络冲突的风险不断增加。联合国裁军研究所的调查结果显示,世界上已有46个国家组建了网络战部队,而欧美一些国家仍不断加大网络空间安全的投入。与此同时,网络冲突已经逐步成为现实战争的一部分,如“叙利亚电子军”频繁出击,为叙利亚政府军争取利益。而“棱镜门”事件则撕下美国虚伪的面纱,美国及其盟国打造的网络空间监控体系已经成为其维持霸权地位的重要工具。
第二,贸易保护“安全壁垒”被广泛使用,将波及整个信息技术产业。西方各国不断借口“国家安全”打压我国信息技术产业,如美国总统签署法案限制美国政府机构购买我国的信息技术,英国政府以确保电信网络安全为由审查华为网络安全中心。与此同时,为应对美国各种互联网监控项目,国际社会开始限制使用美国的信息技术服务。
第三,西方国家将我国树为网络公敌,将进一步加强针对我国的网络遏制行为。西方国家大肆宣传“中国网络威胁论”,美国、英国、日本等国频繁称受到来自中国的网络攻击,美国网络安全公司Mandiant甚至发布报告称美国遭受的网络黑客攻击多与中国军方有关。以此为借口,西方国家通过多种形式打造网络同盟,试图在我国周边构建网络空间包围圈。
第四,有针对性的网络安全事件增多,造成的经济和社会影响将进一步加深。各类网络犯罪带来的经济损失不断增加,引发社会广泛关注。带有政治意图的黑客攻击增多,针对性越来越强,如美联社的Twitter账号于去年4月被黑并发布总统受伤的虚假消息,导致美国股市暴跌,大盘损失价值达2000亿美元;欧洲网络与信息安全局去年9月发布的网络威胁态势中期报告显示,网络攻击已经成为导致电信基础设施中断的第六大原因。有组织的网络攻击和间谍行为增多,影响日益加大,美国情报机构领衔的大规模网络间谍行为被曝光,具有国家背景的网络安全行为增多。
第五,云计算、移动互联网等新兴技术应用日趋深入,信息安全问题威胁将更加突出。在移动互联网方面,安卓平台和苹果平台的安全漏洞都不断增多,去年7月谷歌主密钥被发现漏洞并很快发生恶意利用现象,8月安卓系统加密架构被证实存在漏洞并对比特币钱包应用产生影响,9月苹果移动操作系统iOS7仅放出2天就被发现多处漏洞。在云计算方面,平台数据安全和用户信息仍存在隐患,如去年10月Adobe云端服务平台遭到黑客攻击,致使290万用户的ID和密码信息被盗。
我国信息安全的应对之策
明确我国信息安全发展战略定位,全面构建信息安全积极防御体系,打造自主信息安全产业生态体系。
面对当前信息安全领域的严峻形势,我国需有壮士断腕的决心,尽早调整战略方向,打造独立自主的信息安全产业生态体系,打破西方国家在信息技术体系上对我钳制的局面。
第一,明确我国信息安全发展战略定位。明确我国在网络空间的核心利益,将定位到国家安全角度;认清我国信息安全问题的根源,明确独立自主的信息安全技术产业体系在保障国家信息安全中的重要性;充分考虑到我国的发展现状,承认在技术产业上的巨大差距,循序渐进地发展技术产业,有选择地学习和吸收西方技术,充分保持自主性。
第二,全面构建信息安全积极防御体系。采取以防为主的积极防御策略,强化对安全风险、威胁和安全事件的预防和发现能力,构建以可信计算、访问控制等为基础的主动防御技术体系;整合现有技术手段和信息资源,形成国家网络空间积极防御协作机制,建设国家网络空间战略预警平台;建立跨部门、跨行业的应急处置体系,提高国家对信息安全事件的处置能力;研究各种网络攻防对抗技术,提升网络攻防能力;加强有关信息安全漏洞、恶意代码等核心信息的共享,提升对漏洞分析验证、恶意代码检测等核心技术能力。
第三,打造自主信息安全产业生态体系。加强顶层设计,明确信息安全技术重点发展方向,扶持信息安全“国家队”;在当前我国信息技术产品高度依赖国外的情况下,加快推进可信计算产业化,并有序推进国产化替代;充分发挥举国体制优势,支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发,实现关键技术和产品的技术突破;联合产业上下游企业,整合自主信息安全产业链;坚持以应用促发展,支持政府部门和重要领域率先采用具有自主信息安全技术产品,带动从基础产品到应用产品和服务的具有完全自主知识产权产业发展。(赛迪智库信息安全研究所博士 王闯)
微观点
@惠普安全:汽车厂商一直都对汽车面临的黑客攻击不屑一顾,认为网络系统扩大可以提升安全性。但现在,两位安全人员通过一款廉价设备,在几分钟内便能获取所有的无线控制权。这款成本不足20美元的产品,只需把它接入汽车的内部网络,便可下达恶意指令,影响整车的车窗控制、头灯、转向和刹车。
@支付宝安全中心:黄先生想找人代办大额信用卡,在骗子诱导下,不仅把姓名、身份证、银行卡密码泄露给了骗子,还在办银行卡时直接留了骗子的手机号,一切的个人信息都给了骗子,最终导致账号被盗。支付宝提醒大家:办理银行卡绝对不能绑定陌生人的手机号码,个人信息一定要妥善保管,不能轻易告诉别人。
@驱动之家:金山网络起诉360公司不正当竞争纠纷案17日获得了北京市西城区人民法院的判决,判定360败诉,要求360立即停止涉案的不正当竞争行为,发表声明公开致歉,并罚款10万元。360败诉史得以再次延续,创下了十五连败的行业“神话”。