下载掌阅APP,畅读海量书库
立即打开
|
2015年信息安全领域发展概况 |
2015年信息安全行业继续快速发展,美国、英国等国不断出台新的法案政策,提升国家信息安全的监管水平。国内外IT巨头在信息安全行业这个风口上,通过融资、并购、合作等方式积极布局信息安全产业生态体系建设,各行业和创业创新等领域应用不断取得进展,众多企业加速布局。
2015年是国家信息安全国家政策发展有着里程碑意义的一年,2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》(以下简称《草案》),并在中国人大网公布,向社会公开征求意见。《草案》主要确定了网络安全工作基本原则、将个人信息保护纳入正轨和网络产品和服务的安全保障,还规定了重大突发事件时政府可采取临时措施限制网络。
6月,《中国互联网协会漏洞信息披露和处置自律公约》在京签署,公约提出漏洞信息披露的“客观、适时、适度”三原则;国务院办公厅发布了《关于运用大数据加强对市场主体服务和监管的若干意见》。加大网络和信息安全技术研发和资金投入,建立健全信息安全保障体系。
7月,新的国家安全法实施。新法要求建设网络与信息安全保障体系,提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
8月,人大正式通过《中华人民共和国刑法修正案(九)》。明确了网络服务提供者履行信息网络安全管理义务,加大了对信息网络犯罪的刑罚力度,进一步加强了对公民个人信息保护,对增加编造和传播虚假信息犯罪设立了明确条文。
9月,国务院印发《促进大数据发展行动纲要》,在网络和大数据安全方面要求,在涉及国家安全稳定领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠。
11月,工商总局印发《关于加强网络市场监管的意见》,全面加强网络市场监管。推进“依法管网”、“以网管网”、“信用管网”和“协同管网”。
2015年是实施“十二五”规划的收官之年,也是“十三五”的规划之年,中央政府门户网站刊载《国民经济和社会发展第十三个五年规划纲要(草案)》。从纲要中可以明显看出,国家非常重视信息技术变革对社会的影响,并已规划从信息安全等多个方面提升信息技术,牢牢把握信息技术变革趋势,实施网络强国战略,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。
“十三五”规划纲要《草案》明确提出:要完善国家网络安全保障体系,保障国家信息安全。贯彻总体国家安全观,实施国家安全战略,落实重点领域国家安全政策,完善国家安全审查制度,完善国家安全法治,建立国家安全体系。
拓展基础设施建设空间。实施重大公共设施和基础设施工程。实施网络强国战略,加快构建高速、移动、安全、泛在的新一代信息基础设施。加快开放电力、电信、交通、石油、天然气、市政公用等自然垄断行业的竞争性业务。
拓展网络经济空间。实施“互联网+”行动计划,发展物联网技术和应用,发展分享经济,促进互联网和经济社会融合发展。实施国家大数据战略,推进数据资源开放共享。完善电信普遍服务机制,开展网络提速降费行动,超前布局下一代互联网。推进产业组织、商业模式、供应链、物流链创新,支持基于互联网的各类创新。
2015年,随着国家政策的大力支持,对信息安全领域的投资不断增大,产业联盟逐渐形成,企业结构与产品逐步成熟,重点企业不断做大做强,信息安全产业以更加迅猛的势头增长。2015年,信息安全产业整体规模超过400亿元,比2014年增长26.1%(见图1)。
图1 2012—2015中国信息安全产业规模
数据来源:赛迪智库。
未来3年,中国信息安全产业发展环境,如政策环境、需求环境、产业链环境、资本环境等各方面都将继续改善,关键技术将不断突破,民族企业研发实力和服务水平逐步提高,自主可控能力持续提升,产业利好因素仍在持续,产业进入爆发式增长。2018年,中国信息安全产业规模将达到920.42亿元,未来3年的年均复合增长率为31.9%(见图2)。
图2 2016—2018年中国信息安全产业规模
数据来源:赛迪智库。
典型产品及相关厂商如表1所示。
表1 典型产品及相关厂商
续表
续表
事件一:【时间:2015.1】机锋被曝泄露2300万用户信息,用户信息安全遭威胁。
事件二:【时间:2015.2】十大酒店泄露大量房客开房信息。
事件三:【时间:2015.2】海康威视监控设备存严重漏洞,部门设备被境外IP控制。
事件四:【时间:2015.4】超30省市曝安全管理漏洞,数千万社保用户敏感信息或遭泄露。
事件五:【时间:2015.5】中国人寿广东10万份保单或遭泄露。
事件六:【时间:2015.8】华语类排名第一的票务网站——大麦网存安全漏洞,600余万用户信息遭泄漏、售卖。
事件七:【时间:2015.8】内蒙古19万高考考生信息遭遇泄露,敏感信息包括考生父母电话等。
事件八:【时间:2015.10】网易邮箱过亿用户敏感信息遭泄露。
事件九:【时间:2015.11】伟易达集团500万个家长和超过20万个小童的数据资料泄露。
值得注意的是,与2014年相比,无论国际上还是国内,信息泄露事件的曝光度都有上升的趋势。
网络攻防技术能力不足,网络安全面临挑战。当前网络攻防技术发展日新月异,相对较弱的技术实力将使我国在应对网络安全威胁时处于劣势。我国信息技术安全检测能力不强。我国对进口技术和产品的检测主要集中在功能性测试,很少涉及到其技术核心,难以发现产品的安全漏洞和“后门”;缺乏对大数据、云计算等新兴技术网络安全风险的检测和评估手段,难以有效应对潜在的安全威胁。对于高级别复杂性威胁应对不力。在APT攻击检测和防御方面,我国技术实力较弱,不能及时发现APT攻击,无法对其分析取证,难以掌握整个攻击过程,并缺乏有效的反击手段;在DDOS攻击防护方面,国外安全服务提供商采用相应技术手段来分解攻击,保证每一个单点的处理能力和切换都是可控的,而我国只能靠单点的大带宽来承受攻击。我国的网络攻防演练相关技术落后。我国网络空间安全性试验与验证技术的研究还处于起步阶段,与国外相比,在大规模网络复现、靶场资源自动化配置管理、高安全试验管理、网络攻防对抗试验验证等技术领域还存在较大差距。
一方面,我们需要突破核心技术瓶颈。充分发挥举国体制优势,整合现有资金渠道,支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发,实现关键技术和产品的技术突破。另一方面,推进自主可控化。在当前我国信息技术产品高度依赖国外的情况下,由政府主导,加强对信息安全技术产品的评估工作,促进信息安全技术产品自主可控程度的提升,加快网络安全审查制度的落地实施,为自主可控产品提供市场应用空间,支持政府部门和重要领域率先采用具有自主知识产权的网络安全产品和系统,逐步推进自主可控化。
一方面,尽快制定并发布国家网络安全战略,明确我国网络安全的重大原则和国家立场,明确我国网络空间建设和发展、保障和治理的重点任务和关键举措,为实现我国网络强国战略保驾护航。另一方面,加强对域外国家网络安全战略的深入研究,加大网络安全领域重大问题研究,及时跟踪国内外网络安全最新动态,深刻认识可能影响我国网络安全大局的战略性、前瞻性问题,进一步加强顶层设计。
构建国家网络空间积极防御协作机制。建设国家网络空间战略预警和积极防御平台,重点研究威胁发现和态势感知预警、重大安全事件应急处置和追踪溯源等协作机制,形成多部门共同参与、相互协作的纵深防御体系。研究各种网络攻防对抗技术。重点研发针对APT等网络攻击的感知、防御和追溯技术,突破网络异常流量检测技术,强化对网络攻击的威胁监测、全局感知、预警防护等能力;加强网络安全漏洞、恶意代码等核心信息共享,提升对漏洞分析验证、恶意代码检测等核心技术能力;加强对网络安全海量异构数据的关联分析和大数据挖掘技术的工程化应用,不断提升我国网络安全防御能力。组建国家层面的网络攻防团队。研发重量级的网络战攻防武器,形成网络攻防的反制能力;集中建立国家级开放实验验证与演练平台,积极开展国家级的网络安全综合演练工作,并通过举办网络安全竞赛和重点领域的攻防演练,检验我国应对网络攻击的实际能力,在实战中不断提升各领域的安全防护水平。
(本稿件由中国软件行业协会提供)