从建章立制到照章办事
年年岁岁花相似,岁岁年年人不同。辞旧迎新之际,回首2017的不凡历程,我们看到,网络安全持续高热的势头在这一年未见丝毫的减弱,并正在向着纵深方向迈进。
这种演进有着内在的逻辑规律。准确地说,我国网络安全的实质性飞跃主要发生在近四年,自2014年中央网络安全和信息化领导小组成立以来,我国网络安全工作从组织落实、顶层设计、制度完善、产业推进、人才培养、意识增强等方面大步迈进,取得了重大突破。不论是顶层设计还是体制建设、组织机构,抑或是战略地位的确立,都在这三四年间基本完成。可以说,在全球网络安全政府推动、社会参与、舆论响应、宏大声势等方面,我们已经走在了世界前列或者说在某些方面成为领跑者。——当体系规范基本建立之后,接下来所要做的就是把这些制度性的东西付诸落实。
2017年是我国网络安全承上启下非常重要的一年,也是落实习近平总书记上一年度4·19讲话精神,网络安全向纵深迈进的一年。以《网络安全法》正式实施为标志,产品服务安全审查、关键信息基础设施保护、数据跨境流动、安全应急预案等相关法规相继出台,等级保护进入2.0时代,依法保障网络安全,依法开展网络治理,重拳打击网络犯罪,推进核心技术创新,加大学科建设和人才培养力度,做好十九大等重大活动安全保障,网络安全产业连续高速增长,各项工作全方位发力,可圈可点。2017年国家网络安全宣传周、世界互联网大会、中国互联网安全大会及各种形式的峰会、活动等风风火火,有统计表明相关会议活动总数超过300场,各种安全大赛竞相举办,场次也达上百,全社会重视安全的氛围越来越浓重。
当然大家明白,要想真正地推动网络安全向法制化、体系化方向迈进,并不是容易的事情。我们虽然称得上网络安全大国,但同网络安全强国还有不少差距,从这个意义上说,扎实地推进网络各项事业,应当是当前和今后很长一段时间我们的重要任务。正因为如此,梳理和盘点2017年网络安全行业热点,或将有助于我们更加清晰地把握全局,厘清缓急,辨别优劣,以利再战。
网安法实施,推动依法治网合规化
例数2017年网络安全的大事要事,当然要首推《网络安全法》的正式实施。年初中央网信办即把《网络安全法》的宣贯作为全年工作的重点,在全国范围组织了多起宣贯活动,组织出版了相关书籍。为配合这部法律的实施,即着手起草管理细则和配套办法,于2月、4月、6月和7月先后发布了《网络产品和服务安全审查办法(征求意见稿)》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《国家网络安全事件应急预案》、《关键信息基础设施安全保护条例(征求意见稿)》等行政法规。围绕安全法实施,公安部依法推进等级保护升级应用,工信部也出台应急响应等管理办法,最高人民法院、国家新闻出版广电总局等部门均开展针对性的工作,运营商按照安全法要求规范各自业务。到下半年陆续已有媒体发布相关执法案例。
值得强调的是,全国人大常委会组织执法检查组于2017年8月至10月对“一法一决定”(网络安全法、关于加强网络信息保护的决定)的实施情况在多个省区市进行检查,在全面检查“一法一决定”实施情况的基础上,对开展“一法一决定”宣传教育情况;制定“一法一决定”配套法规规章情况;强化关键信息基础设施保护及落实网络安全等级保护制度情况;治理网络违法有害信息,维护网络空间良好生态情况;落实公民个人信息保护制度,查处侵犯公民个人信息及相关违法犯罪情况等进行重点检查,剖析原因,提出建议,着力推进法律实施中重点、难点问题的解决。张德江委员长对这次执法检查作了重要批示,督促有关方面进一步加强法律宣传,增强全社会网络安全意识,抓紧配套法规政策制定,确保法律有效实施,着力提升网络空间治理水平,切实维护国家网络空间安全和人民群众合法权益。为强化效果,这次执法检查采用了一些新的方式方法,比如请专家和第三方专业机构(如中国信息安全测评中心)参与随机抽查。年底检查组给出的报告肯定了实施“一法一决定”的做法和成效,指出了存在的问题并提出了具体建议。
《网络安全法》实施不满3个月即启动执法检查,这在全国人大常委会监督工作中尚属首次。而且这次检查工作,全国人大常委会派出王晨副委员长兼秘书长和王胜俊、沈跃跃、张平、万鄂湘、陈竺等五位副委员长亲自率队出征,这样高规格的阵容在过去也是极为少见的。它显示出,在推进依法治网方面强烈的国家意志。
勒索病毒暴发,开启网络攻击新时代
2017年5月暴发的全球性WannaCry勒索病毒攻击事件,至今还被人们不断提及。这一事件导致至少150个国家、30万名用户中招,造成数十亿美元损失,我国教育卫生等领域也多有中招。其重要性在于,这次攻击事件是网络武器被不法利用,未来还有多大可能、多少数量的网络武器在网上扩散?其复杂性在于,这种攻击采用技术规则的限制,查找和追溯目前情况下难以实现;过去偷偷摸摸的网络攻击变成了明目张胆的敲诈勒索,而现行的法律技术无能为力。有国外研究机构研究发现,大量的勒索软件被创建并交易,从2016年到2017年,暗网中勒索软件市场增长了二十多倍。
另外一个比较突出的网络安全事件是信息和数据泄露的惊人增长。据统计,和2016年相比,2017年数据泄漏事件量级上整体翻了一番。短短一年里,从GB到TB,从数亿到数十亿,令人震惊不已。2017年雅虎公司证实,其所有30亿个用户账号可能全部受到了黑客攻击影响,包括用户名、邮箱地址、电话、生日等,这其中包括了至少几千万中国用户。而发生在2017年初夏的全美三大征信机构之一Equifax公司数据泄露事件,影响范围包括了美国、加拿大和英国约1.455亿人的个人可识别信息(PII)和部分财务信息,被认为是史上最大的数据泄露事件。在中国,公安部破获了京东前员工郑某将从公司盗取的50亿条个人信息数据进行交流和贩卖。还有被央视焦点访谈披露的南方多地家庭摄像头侵犯个人隐私事件同样引起了各界的强烈反响。这些数据信息的大量泄露既有来自外部的攻击,也有出自内部管理的原因,与单位业务大量存放在云端也有直接关系。
除勒索病毒、数据泄露事件,年底发生的因特尔芯片门漏洞同样被广泛报关注。另外针对关键基础设施、物联网、工业控制系统的攻击也出呈上升趋势。专业人士分析,安全攻击事件呈现出专业化、组织化和多样化、泛化的趋势。上一年度国家对电信诈骗进行强力打击,犯罪高发势头得到了遏制,但在移动化、智能化、云化的现实环境下,网络攻防时刻都在进行着实力的比拼,威胁和风险并不必然随着防范的强化而停止或者减缓,特别是在5G、IPv6时代,安全风险依然时刻都会发生,对此必须保持清醒的认识。
新技术加速,促使企业转型升级
当今世界,云计算、大数据、移动互联网、物联网、人工智能等新兴技术蓬勃发展,带动了相关领域、相关生态发生重大改变,同样也在深刻地改变着网络安全的攻防态势。近来人工智能技术的突破和在网络攻防中的运用正在成为网络安全的一大热门,而5G商用的日益临近同样挑战安全的新极限。动态的、多方位的、立体的攻击方式,使得传统的安全边界防御理念和技术发生本质上的变化,必须跟上新技术革命的浪潮,方能占据主动。
上述新技术迭代升级的势头将在今后持续保持。在12月8日,中共中央政治局就实施国家大数据战略进行第二次集体学习,习近平总书记在学习会上作了重要讲话强调,应该审时度势、精心谋划、超前布局、力争主动,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。之前的11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,旨在加快推进基于互联网协议第六版(IPv6)的下一代互联网规模部署,促进互联网演进升级和健康创新发展。相关专业研究报告也都对未来人工智能、物联网等发展作出了乐观预测。
网络安全已经发生或正在发生的变化,都势必对安全企业产生革命性的影响。传统安全厂商的转型难以回避,而新兴的安全厂商和互联网安全企业如何看准方向同样也是需要解决的难点问题。
从全球视野来看,据统计,2017年,网络安全领域投资保持了增长趋势,全年大型投融资事件超过100起,投融资总额超过100亿美元。其投资的方向重点分布在云计算、终端安全、身份与访问管理、物联网安全等领域,吸引了大部分的投资资金,其中终端安全、身份与访问管理的投资多集中在少数创新领军企业,或者传统优势厂商通过收购增加安全功能,其中融资并购的安全企业,金额上亿美元的国外有约20余起。国内的情况与国际趋势保持一致,有10余家创业公司的融资额达到亿元级别,特别是11月奇虎360以500亿交易价与江南嘉捷完成并购重组,杀入A股市场,市值将达数千亿元。另一方面,国内的产业政策红利持续释放,安全产业业已经进入从政策驱动向市场驱动联合发力的阶段,年平均增速超过国外水准,并在今后一段时间保持这种优势。
企业转型升级是一件痛苦的事情,因为它不仅内含着对自身过去某种程度的否定,还要打破那些坛坛罐罐,关键的是选择的方向是否正确,还要面对市场、人才等方面的压力。难怪有企业高管表示,目前网络安全很热,但企业的锅底却很凉。此外,像紫光、亚信这样的IT厂商在安全领域的发力,也冲击着已有的市场格局。另有BAT、华为等在安全上的人力物力优势投入,一批新兴的和更加年轻的安全厂商追赶在后,国内网络安全企业的转型变得从来没有像今天这样现实与迫切。
人才建设发力,夯实发展基础
回顾2017年网络安全发展,不能忽视人才学科建设方面所做的显著工作。
在高端人才方面,虽然这一直是我们的短板,但近年来也涌现出了一些优秀人才,一些年轻骨干和领军人物开始走向前台,承担起重要的责任,话语权和影响力不断提升。在一年一度的两院院士增选工作中,王小云等网络安全学者获得院士称号,网络安全的院士专家队伍进一步扩大。
在学科建设方面,自2016年网络安全一级学科设立以来,到2017年网络空间安全等新兴学科增加明显,北京邮电大学等8所高校获批教育部网络空间安全专业,另有10所高校获批信息安全专业,还有4所公安院校获批网络安全执法专业。第一批“网络空间安全”硕士学位招生录取工作在这一年开始启动,覆盖了网络空间领域立法、治理、战略、技术和理论、规划、宣传和教育、运维、防御等范围。同时部分高校又新增了一批网络安全博士生授予点。
中央网信办适时陆续出台了人才奖励、学科建设的系列实施办法。8月国家互联网信息办公室公布关于印发《一流网络安全学院建设示范项目管理办法》的通知,并于9月召开的第四届国家网络安全宣传周上为西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科技大学、战略支援部队信息工程大学等首批七所示范高校授牌,同时表彰了十八名网络安全优秀教师和优势人才。
往基层看,9月,由国家互联网信息办公室、司法部、全国普法办公室共同主办的全国“网信普法进校园”活动启动仪式举行。第四届国家网络安全宣传周在上海举办期间,全国31个省区市也同步举行相关活动,普及网络安全知识成为宣传周的一大内容。
各类网络安全培训项目生根开花。其中2017年启动的武汉网络安全基地建设总投资200多亿元,将集中开展人才培训、创一流学院、促产业创新等工作,声势浩大。中国信息安全测评中心CISP培训体系新增信息安全审计师、首席信息安全官等培训项目,并与东莞高校建立人才培养深入合作。许多企业把安全培训作为工作新的抓手,一些专业做安全培训的厂商也特色鲜明。继亚信与成都联合开展信息安全万人培训计划后,新华三集团在合肥也提出相应计划方案。
在此基础上,各类信息安全产业基金投向市场,影响比较大的有《北京日报》集团启动设立100亿元的网络安全专项基金等。与之相关的是,各类网络安全大赛如火如荼,超过以往年份,并有一些选手在国际比赛上再显身手,取得佳绩。
一晴良可喜,始觉好新年
2017年国际社会网络安全风云变幻,而国内网络安全风景这边独好。当我们用心梳理一年来取得的成绩单时,能够进一步看清网络安全在向纵容迈进方面的实质性进展。
当然我们也无法回避存在的问题与不足。令人印象深刻的是,政府高层采取的实事求是的态度。上半年中纪委对网信办过往工作提出的尖锐批评,不含糊不回避。年底,全国人常委会上针对存在的问题再次指出:网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。参加座谈的多数网络运营单位反映,行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,不同法律实施主管机关采集的数据还不能实现“互联互通”,经常给网络运营商增加额外负担。不少人认为,如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。另外,检查发现,城市轨道交通控制系统等工控系统网络安全管理责任边界不清,运营单位落实网络安全责任制存在困难;通信行业监管和行政执法力量严重不足,执法力量与当前网络安全事件频发多发的严峻形势不相适应。
直面存在的问题,提出批评改进意见,是进一步做好今后工作的前提,这在过去是少有的。这是一种自信和务实的态度,也是科学的态度。它不仅不会削弱大家的信心,相反会更加鼓足人们前行的勇气。因为,不须迎面东郭去,春在千门万户中。 | 
