網(wǎng)絡(luò)安全提案的“新舊”比較

在今年的“兩會(huì)”上，有些提案看似眼熟，比如個(gè)人信息安全保護(hù)立法。早在2014年，互聯(lián)網(wǎng)“大佬”集體就網(wǎng)絡(luò)安全、手機(jī)安全與個(gè)人信息保護(hù)話題進(jìn)行了提案，力推《個(gè)人信息保護(hù)法》出臺(tái)。今年這一提案由于和大數(shù)據(jù)結(jié)合有了一些“新意”。據(jù)了解，全國(guó)人大代表、中國(guó)電信湖南公司總經(jīng)理廖仁斌在今年的“兩會(huì)”上呼吁，大數(shù)據(jù)時(shí)代的個(gè)人信息安全是一個(gè)戰(zhàn)略問(wèn)題。只有重視好信息安全問(wèn)題，大數(shù)據(jù)才能成為國(guó)家強(qiáng)大的生產(chǎn)力和產(chǎn)業(yè)鏈。為此，他建議加快建設(shè)大數(shù)據(jù)時(shí)代個(gè)人信息安全保護(hù)體系。

廖仁斌建議，應(yīng)該加快國(guó)家對(duì)大數(shù)據(jù)時(shí)代個(gè)人信息安全的統(tǒng)一立法工作，規(guī)范政府、企業(yè)、個(gè)人等大數(shù)據(jù)產(chǎn)業(yè)鏈參與者的行為準(zhǔn)則；在國(guó)家層面建立統(tǒng)一的監(jiān)管體系，加強(qiáng)個(gè)人信息保護(hù)“事前、事中、事后”監(jiān)管；充分發(fā)揮行業(yè)自律，引導(dǎo)各個(gè)行業(yè)制定適合本行業(yè)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)和規(guī)范；推動(dòng)大數(shù)據(jù)信息安全產(chǎn)業(yè)的發(fā)展；提升公民信息安全防范技術(shù)水平和安全保護(hù)意識(shí)。

由于全球信息安全事件頻發(fā)，IT設(shè)備國(guó)產(chǎn)化正逐步成為政策導(dǎo)向，浪潮集團(tuán)董事長(zhǎng)孫丕恕等在2014年“兩會(huì)”提案中便涉及高端服務(wù)器聯(lián)盟、信息安全審查制度等方面。一年后，國(guó)內(nèi)的信息安全國(guó)產(chǎn)化已經(jīng)初步取得了進(jìn)展。在今年的“兩會(huì)”提案中，九三學(xué)社中央就提出了“建立網(wǎng)絡(luò)安全的國(guó)家隊(duì)刻不容緩”的建言。提案指出，目前我國(guó)ICT（信息和通信技術(shù)）產(chǎn)業(yè)技術(shù)能力和競(jìng)爭(zhēng)力與國(guó)外同業(yè)差距較大，因此，有必要成立互聯(lián)網(wǎng)安全“國(guó)家隊(duì)”來(lái)引領(lǐng)發(fā)展。應(yīng)支持優(yōu)秀的互聯(lián)網(wǎng)安全企業(yè)成為“國(guó)家隊(duì)”成員，并形成一套可操作的、與國(guó)際接軌的、與我國(guó)國(guó)情相符合的、能夠動(dòng)態(tài)調(diào)整的措施手段，支持“國(guó)家隊(duì)”發(fā)展，從而確保我國(guó)國(guó)民經(jīng)濟(jì)安全和可持續(xù)發(fā)展。

除此之外，還有一些提案涉及到當(dāng)前熱門的網(wǎng)絡(luò)安全話題。北京啟明星辰信息技術(shù)股份有限公司首席執(zhí)行官嚴(yán)望佳作為全國(guó)政協(xié)委員，今年的三份提案均涉及網(wǎng)絡(luò)安全，而重中之重正是目前的熱點(diǎn)網(wǎng)絡(luò)安全審查。嚴(yán)望佳認(rèn)為，審查內(nèi)容不能僅停留在技術(shù)層面，要進(jìn)行全方位審查，才能保證國(guó)家重要部門和行業(yè)的信息技術(shù)產(chǎn)品和服務(wù)的信息安全自主可控。騰訊董事局主席馬化騰也建議在政府工作報(bào)告中，除了要重視物理空間的安全以外，還要加強(qiáng)對(duì)網(wǎng)絡(luò)安全的關(guān)注，增強(qiáng)全民網(wǎng)絡(luò)安全意識(shí)。

對(duì)付安全“黑洞”需要新辦法

過(guò)去一年來(lái)，我國(guó)網(wǎng)絡(luò)安全的形勢(shì)出現(xiàn)了一些新的變化。一方面IT和信息化的發(fā)展已經(jīng)逐漸和我們的工作生活緊密契合，信息化和政府部門、制造業(yè)的結(jié)合，誕生了智慧城市和智能制造這樣全新的生態(tài)環(huán)境和生態(tài)產(chǎn)業(yè)鏈，必然會(huì)產(chǎn)生新的需求；另一方面，在云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展背景下，網(wǎng)絡(luò)安全已經(jīng)不再局限于過(guò)去那種一網(wǎng)一線一終端的要求，而是有了更多新的挑戰(zhàn)，安全“黑洞”帶來(lái)的形勢(shì)嚴(yán)峻。

據(jù)業(yè)內(nèi)專業(yè)的安全公司360估算，目前超過(guò)37%的國(guó)內(nèi)網(wǎng)站存在漏洞，利用網(wǎng)站漏洞的攻擊以近5倍速度增長(zhǎng)，網(wǎng)站信息泄漏的風(fēng)險(xiǎn)越來(lái)越大。2014年前11個(gè)月，360網(wǎng)站安全檢測(cè)平臺(tái)共掃描各類網(wǎng)站164.2萬(wàn)個(gè)，較2013年的91.2萬(wàn)個(gè)增加了80.0%。其中，存在安全漏洞的網(wǎng)站為61.7萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的37.6%。其中，存在高危安全漏洞的網(wǎng)站共有27.9萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的17.0%。2014年全年，360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次，較2013年1.21億次，增長(zhǎng)了約4.8倍。

360公司董事長(zhǎng)兼CEO周鴻建議，個(gè)人信息安全保護(hù)要遵循三個(gè)基本原則，即以保護(hù)用戶信息和數(shù)據(jù)安全為前提，明確用戶對(duì)信息數(shù)據(jù)的所有權(quán)，明確企業(yè)對(duì)信息數(shù)據(jù)的保障義務(wù)，并保障用戶在信息交換和使用時(shí)的知情權(quán)，是互聯(lián)時(shí)代保護(hù)信息安全的基礎(chǔ)。

2014年以來(lái)，我國(guó)政府核心部門的網(wǎng)絡(luò)安全問(wèn)題也變得十分棘手，IT產(chǎn)品的自主可控變得極為重要。2014年9月，中國(guó)銀監(jiān)會(huì)頒發(fā)了《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》(39號(hào)文件)，提出了到2019年，掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù)，安全可控信息技術(shù)在銀行業(yè)總體達(dá)到75%左右的使用率，并且從2015年起，各銀行業(yè)金融機(jī)構(gòu)對(duì)安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加。

在今年“兩會(huì)”期間，針對(duì)政府核心部門的網(wǎng)絡(luò)安全，啟明星辰CEO嚴(yán)望佳建議在政府、電信、金融、能源、教育、大型企業(yè)、軍隊(duì)軍工、交通、媒體、醫(yī)療衛(wèi)生等關(guān)系到國(guó)防安全、國(guó)計(jì)民生的關(guān)鍵領(lǐng)域，建立詳細(xì)的透明供應(yīng)鏈登記名錄。依托政府采購(gòu)，進(jìn)一步完善供應(yīng)商、產(chǎn)品市場(chǎng)準(zhǔn)入和業(yè)績(jī)?cè)u(píng)估體系，建立詳細(xì)的透明供應(yīng)鏈登記名錄，同時(shí)在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)中規(guī)范采購(gòu)行為。

中國(guó)工程院院士倪光南認(rèn)為落實(shí)透明供應(yīng)鏈登記工作，并推行首席信息安全官制度的建議很有意義，是可行的。“在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)中落實(shí)透明供應(yīng)鏈登記工作，這對(duì)屬于政府采購(gòu)或公共采購(gòu)范疇的單位，可以歸結(jié)為落實(shí)國(guó)家的有關(guān)法規(guī)，因?yàn)槿绻苷嬲龅揭婪ú少?gòu)，也就基本上達(dá)到了供應(yīng)鏈透明的要求”，倪光南如是說(shuō)。

2015年，可以期待的變化

2014年，有關(guān)部門密集出臺(tái)了很多與網(wǎng)絡(luò)安全相關(guān)的措施和政策：從成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組到中央機(jī)關(guān)采購(gòu)計(jì)算機(jī)禁止安裝Win8系統(tǒng)、銀監(jiān)會(huì)印發(fā)關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)等等。在過(guò)去一年我們能看到國(guó)家和重點(diǎn)行業(yè)的政策與行動(dòng)，對(duì)信息安全及國(guó)產(chǎn)化推進(jìn)尤為重視。早日實(shí)現(xiàn)核心信息技術(shù)和產(chǎn)品的自主可控，擺脫受制于人的局面，是信息化建設(shè)的關(guān)鍵環(huán)節(jié)，也是保護(hù)信息安全的重要目標(biāo)。

縱觀國(guó)內(nèi)外的形勢(shì)，盡快實(shí)現(xiàn)網(wǎng)絡(luò)安全立法是一件迫在眉睫的大事。在3月3日下午召開(kāi)的政協(xié)第十二屆全國(guó)委員會(huì)第三次會(huì)議上，全國(guó)政協(xié)副主席齊續(xù)春宣布，網(wǎng)絡(luò)安全法已經(jīng)列入相關(guān)立法計(jì)劃。

2015年的網(wǎng)絡(luò)安全形勢(shì)有哪些可以期待的變化？IDC等機(jī)構(gòu)針對(duì)2014年我國(guó)網(wǎng)絡(luò)安全形勢(shì)進(jìn)行分析后，預(yù)料在有關(guān)部門出臺(tái)軍隊(duì)、政府、金融等部門的網(wǎng)絡(luò)安全的相關(guān)規(guī)劃之后，今年針對(duì)制造業(yè)、服務(wù)行業(yè)等更多領(lǐng)域的網(wǎng)絡(luò)安全政策及細(xì)則會(huì)陸續(xù)出臺(tái)，我國(guó)的網(wǎng)絡(luò)安全的整體戰(zhàn)略規(guī)劃有望在2015年初步形成。

同時(shí)，國(guó)家整體網(wǎng)絡(luò)安全戰(zhàn)略的出臺(tái)將促進(jìn)中國(guó)IT市場(chǎng)競(jìng)爭(zhēng)格局的改變，有技術(shù)實(shí)力和自主知識(shí)產(chǎn)權(quán)產(chǎn)品的本土廠商的市場(chǎng)份額將逐步攀升，競(jìng)爭(zhēng)優(yōu)勢(shì)將越來(lái)越明顯，國(guó)外廠商的市場(chǎng)份額將逐步降低，國(guó)產(chǎn)化替代機(jī)會(huì)凸顯。在未來(lái)幾年中，為應(yīng)對(duì)這種狀況，國(guó)外廠商與中國(guó)公司的合資和合作將日益普遍。這些合作將從過(guò)去幾年的貼牌、分銷等簡(jiǎn)單模式，走向更深入的層面。

一些有實(shí)力的國(guó)內(nèi)廠商甚至可以借此機(jī)會(huì)逐漸擴(kuò)大影響和規(guī)模。隨著互聯(lián)網(wǎng)業(yè)務(wù)的全球化，一些本土云計(jì)算服務(wù)廠商也在走向全球。目前包括阿里云、百度等在內(nèi)的云計(jì)算企業(yè)已經(jīng)開(kāi)始步入歐美市場(chǎng)，阿里云在今年3月份剛剛宣布在美國(guó)成立分支機(jī)構(gòu)，正式宣布進(jìn)軍海外市場(chǎng)。

另一方面，業(yè)內(nèi)關(guān)于信息安全的產(chǎn)品和技術(shù)方案的整合也必將成為趨勢(shì)之一。隨著各領(lǐng)域優(yōu)勢(shì)企業(yè)資金和技術(shù)實(shí)力的增強(qiáng),，信息安全亟需形成整合式競(jìng)爭(zhēng)優(yōu)勢(shì)以滿足企業(yè)整體IT建設(shè)的需求。以自主技術(shù)為基礎(chǔ)，以統(tǒng)一整合為主導(dǎo)，構(gòu)建完整的信息化解決方案，才能適用目前快速發(fā)展的信息化需求，提升中國(guó)信息安全自主可控能力，未來(lái)傳統(tǒng)分散的技術(shù)將趨于整合，行業(yè)集中度有望持續(xù)增大。

從斯諾登事件，12306“泄密門”到政府網(wǎng)站漏洞，以及不久前?？低暠O(jiān)視器被劫持，越來(lái)越多的網(wǎng)絡(luò)安全事件已經(jīng)圍繞數(shù)據(jù)安全在展開(kāi)。數(shù)據(jù)安全主要是解決數(shù)據(jù)級(jí)權(quán)限管理、數(shù)據(jù)防泄密的問(wèn)題，也有利于解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)帶來(lái)的系統(tǒng)邊界模糊化導(dǎo)致的安全防護(hù)難題。2015年隨著國(guó)家相關(guān)監(jiān)管政策的出臺(tái)，預(yù)計(jì)金融機(jī)構(gòu)、運(yùn)營(yíng)商和央企將邁入數(shù)據(jù)安全建設(shè)的高峰期，而政府行業(yè)用戶由于便民服務(wù)需求的緊迫性將緊隨其后、快速啟動(dòng)。

本文刊載于《中國(guó)信息化》雜志2015年第3期(2015年3月10日)，敬請(qǐng)關(guān)注！