2015年国内信息安全态势大盘点 作者:本刊编辑部

我国网络信息安全形势面临的基本形势

2015年,我国网络和信息安全态势总体向好,依法治网逐步推行,发展与安全双轮同驱,稳步推进网络强国目标的实现。然而,现有网络空间治理规则难以反映大多数国家意愿和利益;世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。国内数据失泄密事件频发,重要的泄露事件主要有:机锋论坛2300万用户用户数据泄露、5000万社保信息泄露、人寿10万保单信息泄露、海康威视监控设备被境外控制、大麦网600万用户信息泄露等。我国在信息安全领域仍面临外部与内部,新风险与老问题,软实力与硬实力等多方叠加的新挑战。国际电信联盟今年4月发布报告,美国在网络安全得分比中国高一倍;一份权威调查提到,全世界网络攻击今年增长百分之十几,而中国遭受的网络攻击增长了571%。

美国逐步强化网络空间威慑能力、优化网络攻防技术水平、热炒中国黑客攻击及商业窃密、指责和歪曲解读我国相关法律和政策;与此同时在网络安全合作上今年有所突破。2月,国家情报总监发表年度世界威胁评估报告,强调俄中是美“首要网络威胁”。8月,美媒体炒作制裁中国公司与个人。9月,习主席访美期间,多次提及网络空间合作共赢,并达成与美达成打击网络犯罪、外资安全审查等共识,10月,与英国就打击网络犯罪签署一项高级别安全对话协议,12月,达成《中美打击网络犯罪及相关事项指导原则》。但美国将中美战略力量对比所带来的安全焦虑症,聚焦释放到网络信息安全领域,对我国在网络空间治理方面的主张与举措存有高度的戒备和抵制心理。美国国会明确要求参谋长联席会议在2016年建设完善以俄罗斯、中国、伊朗、朝鲜为假想敌的网络战兵棋推演能力,以“做好回应上述国家在2020-2025年可能具有的网络战能力威胁的准备”。

中国有6.7亿网民,比欧盟人口总数还多。413万多家网站,在全球国家顶级域名中排名第二。中国要参与全球互联网治理,要体现中国的话语权。中国作为互联网大国,也有这种责任。但目前西方国家在信息内容产量方面处于绝对优势地位,并通过网络新空间和移动新媒介直接和间接地推送其意识形态内容,如妄议我国有关网络信息安全方面的法律法规、歪曲事实,丑化我们党和国家的形象,篡改历史事件,抹黑历史英雄人物,试图煽动民情,挑起群体性事件。我国网络空间通过多次专项整治行动清朗不少,网络正能量逐渐成为主流。我国除需要更加完善的技术监管和内容审核机制外,还要加强网上思想文化阵地建设,实施网络内容专项工程,增加网络空间的“正能量”和“中国声音”,让“中国主张”在网络空间响亮起来。

促进大数据发展行动纲要的发布和“互联网+”行动计划的实施,党政机关、金融、电信、工控等敏感领域的关键基础设施都在加强信息化的建设,但是核心设备漏洞频出、安全修补措施滞后、“带病”运行情况普遍等老问题未完全解决的情况下,大联网使失泄密增加流通途径,大数据使隐患风险规模陡增,直接威胁国家安全。现有信息安全保障能力并不能解决以大数据为核心、以物联网移动互联网为信息采集途径、以云为存储和计算方法的新技术新应用组成的新一代互联网体系问题。与此同时,尽管自主创新能力和产品不断提升,但核心要害部位技术产品仍过度依赖国外的情况并没有根本改变,国外产品预设后门愈加明目张胆,收集用户数据变本加厉,自主可控的安全保障体系建设需要新机制新举措。

2015年我国信息安全会议超过100多场,参与会议人员数万人次,网络攻防技术成为热门主题,全国举办近30场信息安全各种形式竞赛比赛,参赛人数约6000人次。2015年新增公开产品漏洞7000多个,与2014年相比,新增数量略有下降,但总体增长趋势依旧持续,高危漏洞移动终端化趋势明显。涉及政府门户、银行、证券、能源、社保、教育、互联网企业等重要领域的系统漏洞数量高达数十万,一些影响面广的漏洞信息被不负责任公司和黑客随意发布,导致敏感资源泄露,引起社会的不信任和恐慌情绪。

我们看到,无论是从基础设施、技术、产业,还是网络安全和网络话语权,中国与发达国家之间相比还有很大差距,我们还需付出极大努力,奋起直追。面对我国已出台的《国家安全法》、《反恐怖主义法》和即将出台的《网络安全法》和网络安全审查制度,一方面国外政府、企业、媒体或歪曲指责,或抗议我国利用网络安全保护本土企业,质疑我设“贸易壁垒”,另一方面通过与国内产业合作、并购和转让途径,规避和突破我国政策监管。与此同时,我国信息安全企业开发的产品和服务趋于政策标准“合规性”类型,对其产品和服务的“有效性”“对抗性”心中无数,我国信息安全产业普遍存在规模不大,自主创新能力不足,产业规模受到互联网行业融并、挤压的状况。

基础信息网络和重要信息系统安全形势

2015年,国家的网络安全基础工作得到了深化,关键基础设施风险评估和安全保障、新兴信息技术安全预警工作取得了突破性的进展。国家信息通报机制得到进一步完善,积极开展了专题研究和技术检测工作。基础信息网络和重要信息系统网络安全投入大幅增加,政策环境得到明显改善;风险评估与等级保护工作全面推进,测评认证工作取得较大进展,涉密信息系统分级保护快速发展,法律法规体系和标准化体系不断完善,网络安全基础保障工作得到显著加强;产业规模快速增长,企业实力进一步壮大,自主产品市场份额逐步增多,网络安全产业支撑能力得到大幅提升;安全操作系统、安全芯片等基础技术取得一定进展,自主密码技术取得较大突破,安全认证技术、可信计算技术取得丰硕成果,网络安全技术体系得到不断完善。

同时,我国电力、交通、金融、能源、通信等行业信息化程度不断加深,各行业密切跟踪国际信息化和信息安全发展动态,紧密围绕国家信息化和信息安全发展战略,实施了一系列安全措施和举措,逐步提升了信息安全防护水平。 2015年4月国家能源局发布了《电力企业网络与信息安全专项监管报告》。报告显示,电力企业网络与信息安全形势保持了持续稳定态势,保证了电力行业重要信息基础设施安全、稳定、高效运行。随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。我国金融业信息化正经历向信息化金融的转变。石油石化行业的信息化经过多年的持续建设,已经行成覆盖其上中下游全部企业、一体化的网络系统以及配套的信息化基础设施平台,信息系统已经成为其生产运营和经营管理的“中枢神经系统”。

工业和信息化部发布了《关于开展电信行业网络安全试点示范工作的通知》,立足电信行业网络安全防护的实际需求,推动基础电信企业开展管理和技术手段创新应用,引导基础电信企业加大网络安全技术投入,落实安全防护责任,充分发挥技术手段在保障网络基础设施安全方面的作用,切实增强电信行业防范和应对网络安全威胁的能力。与此同时,我们看到,国家基础信息网络与重要信息系统的脆弱性依然突出,关键数据的安全和业务的连续性面临极大的挑战。存在的主要问题有:互联网边界易被突破,业务安全隐患突出;敏感数据防护不严,失窃密事件频发;安全产业发展滞后,难以应对复杂的安全威胁;核心要害部位过度依赖国外,自主可控性差;安全保障工作反应迟缓,防护体系存在疏漏;个人终端接入普遍,移动安全不容忽视。

电子政务网络信息安全形势

2015年,我国电子政务建设不断深入和拓展,教育、医疗卫生、就业、社会保障等民生方面的政务应用系统不断成熟,提高了政府服务社会的能力,获得了社会的广泛认可,加强和提升了社会管理能力和水平;据统计,目前我国有6.7亿网民,413万多家网站(其中政府门户网站超过5万多家),在全球国家顶级域名中排名第二;网络规模已经位居世界第一,宽带规模也仅次于美国,位居全球第二,固话、手机用户达到10亿,城市家庭的电脑普及率达到60%以上,全国的IP地址达到2.16亿。

电子政务依赖的技术手段不断完善,云计算、物联网、下一代互联网、智慧城市、大数据等新技术不断应用到电子政务的发展中,改善了电子政务发展的技术环境,但在国家电子政务飞速实践发展的同时,其面临的信息安全形势日益严峻,与2014年相比,网站遭受篡改、网站挂马攻击、网站后门攻击、互联网病毒木马传播、拒绝服务攻击等事件继续频繁发生,在2015年,各政府服务部门的数据安全威胁又不断增大,且发生了多起大规模数据泄露事件。这些安全隐患严重威胁着国家和社会稳定以及公民隐私、人民生命财产安全。

我国政府把云计算列为重点发展的战略性新兴产业,并确定了北京、上海、杭州、深圳和无锡五个试点城市,先行开展云计算服务创新发展试点示范工作,北京、上海、成都、武汉、深圳等多个地方都发布了地方云计算战略规划。国家电子政务信息安全风险评估工作持续有效开展,风险评估、等级保护和分级保护、标准制定等相关政策推进实施。各级政府以及信息化建设主管部门日益重视信息安全保障工作,中央各部委一方面逐渐增大信息安全基础设施投入,完善信息安全管理制度,建立健全应急保障机制和国家通报机制,逐步推进灾备中心建设。

在电子政务建设方面,我们还存在一些网络安全问题:一是我国的电子政务信息系统主要由政务内网和政务外网组成,还存在大量的政务专网。这些不同的信息系统在建设初期并未统一协调规划,由于某种原因各级政府部门出现“重内(专)网,轻外网”的现象,从而导致电子政务系统整体存在安全隐患。各部门、各级、各地域电子政务系统发展不均衡,短板现象明显。二是各种方式的黑客入侵和攻击事件层出不穷。据监测,2015年,我国政府网站被入侵次数为21674次,较2014年增长36.7%。从以上数据来看,我国政府网站面临的安全形势非常严峻,其面临的主要风险有页面被篡改、业务被攻击、数据被窃取、内网被侵入,同时还呈现出新的特点,攻击者攻击手段日益隐蔽,攻击者逐渐从网络层攻击转向应用层渗透和攻击,攻击者动机从个人爱好或是扬名到追求经济获利,同时,电子政务系统自身还很脆弱,存在网站管理机制不健全、网站人员技术水平有限、网站运维人员安全意识薄弱等一系列问题。

工业控制系统信息安全形势

2015年,工业控制系统信息安全总体形势并不乐观。工业控制系统面临的安全威胁持续增长,工控安全漏洞仍处高发状态,针对工控网络的APT攻击明显增加,已对工业生产运行造成“实质性”影响。工业领域虽已关注工控系统的信息安全问题,但受限于工业环境特殊性、安全防护技术成熟度、基层人员安全意识等多种因素的限制,目前我国工业控制系统的信息安全防护水平较为薄弱,相对前几年状况并未好转。随着“互联网+”、物联网、智能制造、智慧城市、车联网等各种创新应用不断发展和深入,工业控制系统未来面临网络攻击风险将进一步加大。

自2010年震网病毒以后,工控信息安全事件数量居高不下,针对工控系统的APT攻击逐渐增多。工控核心硬件漏洞数量增长明显。漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。继2014年全年发生多起重大工控APT攻击事件之后,2015年更是在工业控制系统核心设备中发现了木马和预置后门,工控APT攻击已成为现实威胁。继德国西门子提出工业4.0、美国提出工业互联网之后,2015年5月8日,国务院正式发布《中国制造2025》规划,提出了中国制造强国建设三个十年的“三步走”战略。规划要求推进信息化与工业深度融合,加快推动新一代信息技术与制造技术的融合发展,把智能制造作为两化深度融合的主攻方向。

尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但目前成果还极为有限。从总体上看,我国工业控制系统信息安全标准化工作正积极稳步推进,拟逐步形成涵盖安全管理、系统安全防护、产品安全评估等全面的工控信息安全标准体系,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段。工控安全防护技术开始试点,但离大规模部署和应用有一定差距。当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。

云计算技术发展安全形势

云计算作为IT产业发展的重要战略,得到了国家的高度重视,工信部和发改委、财政部、科技部等部门联手协同以促发展。2015年国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》,这对进一步加强推动云计算在我国的健康发展具有指导意义。意见提出的主要任务有:增强云计算服务能力;提升云计算自主创新能力;探索电子政务云计算发展新模式;加强大数据开发与利用;统筹布局云计算基础设施和提升安全保障能力。同时出台了为促进云计算产业发展明确的一系列保障措施。在政务云应用方面,近两年来我国取得了重要突破。北京、上海、成都、济南、深圳、襄阳等城市已开启政务云应用时代。随着作为政府部门云计算服务安全审查主要依据的两个国家标准,以及中央网信办《关于加强党政部门云计算服务网络安全管理的意见》的发布,政府云计算服务安全审查工作正式开启,我国政务云应用逐步走上正轨。

在国家云计算发展过程中,还存在一些安全隐患:一是云安全技术发展水平整体滞后云计算技术的发展。二是云计算相关法律政策和标准尚不成熟。三是我国云产品安全自主可控水平仍待提高。四是政务应用云上部署潜在隐患较多。

互联网安全基本情况

2015年是我国信息安全态势整体平稳的一年,全年未发生造成大范围影响的恶性重大信息安全事件。根据CNITSEC监测数据,发现恶意网站305978645个,以假冒伪劣、欺诈及恶意广告为主,占到总数的八成以上,各类恶意网站构成情况与2015年相比没有大幅度改变。网站挂马事件次数共5014次,网站暗链131774248个,同比2014年均有较大幅度上升。此外,发现国内恶意IP数目共809个,整体呈下降趋势,与2014年数据相比明显减少。同时,全国共发现国内钓鱼网站数目共2803271个,木马病毒数目共31525452个。

整体来说,2015年我国信息安全事件围绕用户数据泄露展开。全国各种不同应用类型的数据系统,无论用户群数量大小,无一例外都遭到了不同程度的安全质疑。黑客的肆虐猖獗,让互联网这个虚拟世界找不到任何安全的角落,无论是网络安全工作者还是使用Internet的普通用户,都深深体会到网络安全所带来的切身威胁。各类信息安全事件的出现,使得我国中央到地方各级政府及安全保障相关职能部门对信息安全的技术、管理和政策都有了高度关注,围绕信息安全展开的国家与科研院所、高校、信息安全企业之间的合作,将会是一个长期的过程。

信息安全服务发展基本情况

2015年我国信息安全服务产业可以用三句话概括:一是“互联网+”加速信息安全服务行业发展,结构性调整逐渐启动;二是产业类型进一步细分;三是市场进一步壮大。

2015年,国家出台一系列关于促进信息化和网络安全发展的法律法规,互联网与传统产业加速融合,“互联网+”成为产业发展新常态。传统的大型信息产业集团及互联网企业通过投资、并购等方式进入信息安全服务市场的目标愈发坚定。继中国电子信息产业集团有限公司(CEC)之后,另一家航母级央企中国电子科技集团公司(CETC)也开始全力打造属于自己的信息安全国家队,投资成立了中国电子科技网络信息安全有限公司。今年以来,作为我国互联网传统三强的BAT(百度、阿里巴巴、腾讯)先后通过投资和收购杀入信息安全服务市场。3月份,腾讯对网络安全公司知道创宇进行第二轮投资;4月,百度全资收购了安全企业安全宝,安全宝将融入百度云安全体系;6月,腾讯安全与启明星辰宣布展开战略合作,推出面向企业终端的“云子可信”网络防病毒系统。同月,阿里巴巴集团宣布收购国内安全公司翰海源,翰海源将整体加入到阿里巴巴安全部,借助阿里云计算和集团大数据的资源继续研究安全技术,应对包括APT攻击(高级持续性威胁攻击)在内的下一代安全威胁的挑战,后续将推出面向更多企业的APT云防御、威胁情报体系等产品与服务。 亚信安全也利用信息安全国产化的春风,于今年9月成功收购趋势科技在中国的全部业务,包括核心技术及著作权100多项,同时建立独立安全技术公司——亚信安全,将亚信原有的通信安全技术与趋势科技云安全、大数据安全技术相结合,原“趋势科技(中国)”安全及技术服务业务的全部核心研发与技术人员整体并入亚信安全。在资本市场中,并购也多有发生,如立思辰11月2日公布重大资产重组方案,拟作价21.64亿元并购康邦科技、江南信安,顺网科技拟3.71亿并购国瑞信安加码信息安全等。

针对大数据、APT、云计算等等,出现了相应的更加专业化的安全服务类型,业界也提出了“云安全”服务的概念。既有提供解决云计算平台安全的服务企业,也有基于云计算技术提供“一站式”安全解决方案的服务企业。针对APT高级持续性威胁攻击,也有相应专业机构开展专业性的安全服务,以防范这种更为高级和先进APT高级持续性威胁攻击。国家信息安全等级保护政策进一步落实,公共信息系统安全等级测评与备案成为常态。

2015年中国信息安全产业规模将突破670亿元,保持年均30%以上的增长速度,高于全球的信息安全产业20%的增速,占信息产业的比重稳步提高。而我们的信息安全服务企业业务收入也呈现增长趋势,在整个行业中占得比重也越来越重。信息安全企业的数量持续保持增加态势,企业规模在行业整合、并购的环境下,规模越来越大,不少巨头企业跻身于信息安全服务领域。

我们在信息安全服务领域存在的主要问题有:一是互联网应用高速发展,但信息安全服务相对缺乏。二是各行业制定标准不同,导致信息安全服务企业无所适从。三是信息安全服务企业“符合性”服务能力较强,“有效性”相对不足。

2016-04-06 14:18
来源:中国信息安全杂志(2016.01)
热门推荐更多
热点新闻更多