我国的计算机事业从20世纪50年代开始起步。1956年,周恩来总理主持制定的《十二年科学技术发展规划》中,把计算机列为发展科学技术的重点之一,并在1957年筹建中国第一个计算技术研究所。1958年8月1日,我国第一台通用电子计算机——103型计算机在中国科学院计算技术研究所诞生。
20世纪80年代,我国正式将信息化纳入国家战略,并积极寻求同国际社会建立网络连接。1986年5月27日,中国同意大利打通了X.25网络链接。同年8月25日,中国科学院高能物理所的吴为民研究员从北京远程登录了西欧核子研究中心的网络,使用了彼端的电子邮件服务,而当时中国尚未建立自己的邮件服务器。同年12月,《中德计算机网络领域内的合作协议书》签订,协议的第一步计划是中国兵器工业计算机应用技术研究所(简称ICA)同卡尔斯鲁厄大学合作,建立ICA同国际计算机科学网(CSNET,后于1991年关闭)的点对点联系。随后,国内众多高校和科研院所围绕这个国际连接通道组建中国学术网(CANET)。1987年9月14日,CANET的ICA节点正式发出中国第一封电子邮件,主题是“越过长城,通向世界”,收件人为多位欧美网络专家。然而,正在蹒跚起步的CANET尚不完善,经过6天的调试,才得以让合作伙伴收到这封邮件。1989年8月,中国科学院展开了对“中关村教育与科研示范网络”(NCFC)的建设。1990年11月,中国拥有了自己的顶级域名CN,但域名服务器暂居德国卡尔斯鲁厄大学。1994年4月20日,NCFC通过美国Sprint公司开通了国际专线,从此国际社会承认中国是拥有全功能因特网的第77个国家。同年5月15日,中国拥有了自己的Web服务器。1994年5月21日,中国科学院计算机网络信息中心从卡尔斯鲁厄大学接管CN域名的运营,标志着拥有了因特网的中国开始自主运营顶级域名服务器。1995年1月,邮电部电信总局分别在北京、上海接入国际专线,并开始向社会提供因特网接入服务。1995年3月,中国科学院完成上海、合肥、武汉、南京四个分院的远程连接,开始了因特网向全国扩展的第一步。1995年5月,张树新创立了中国第一家互联网服务供应商——瀛海威时空,引导普通百姓进入互联网。1995年12月,中国科学院百所联网工程完成,因特网扩展到全国24个城市。1996年1月,中国公用计算机互联网(CHINANET)全国骨干网建成并正式开通,全国范围的公用计算机互联网络开始提供服务。1996年年底,中国互联网用户已达十万之众。从此,互联网逐渐渗透到中国人的生产生活,中国社会萌生出的网络空间开始快速生长。
伴随着网络空间的孵化孕育,网络空间安全威胁随之产生。1986年,我国破获了第一起计算机犯罪,作案者利用计算机盗抄银行账号并盗取储户存款。1988年,中国出现了第一例感染型计算机病毒——小球病毒。到1989年年底,这个病毒已经侵入了全国5万台计算机。大连市统计局是小球病毒疫情的重灾区,以致国家统计工作也遭到了严重干扰。原来不仅人会染疫,计算机竟也会感染病毒。越来越多的中国人开始意识到,信息空间原来充满了威胁,这些威胁终会跳出信息设备的边界,延伸到现实社会中为祸四方。中国同计算机威胁的战斗拉开了帷幕。
20世纪80年代,伴随着信息技术的快速发展,党和国家为抓住这一历史机遇及时采取一系列重大举措。我国信息化管理体制机制开始建立,国家层面对信息化的有力领导得以加强。1982年10月4日,国务院成立了计算机与大规模集成电路领导小组,确定了我国发展大中型计算机、小型机系列机的选型依据。1984年,国务院计算机与大规模集成电路领导小组被改为国务院电子振兴领导小组。该小组在“七五”期间,重点抓了十二项应用系统工程,支持应用电子信息技术改造传统产业。1986年2月,为了统一领导国家经济信息系统建设,在组建国家经济信息中心的同时,成立了国家经济信息管理领导小组,时任国家计委主任的宋平任组长 [16] 。
这一时期,计算机应用在我国走向普及,计算机安全问题随之发轫,并迅速引起了相关人士的重视。早在中国尚未接入互联网的1983年,公安部就已成立了计算机管理监察机构。1998年8月,公安部正式成立公共信息网络安全监察局(后于2008年改称网络安全保卫局),旨在加强对互联网的安全管理 [17] 。为了对信息安全这一新兴挑战开展深入研究,中国计算机学会计算机安全专业委员会(Professional Committee of Computer Security of China Computer Federation)于1989年6月成立,简称安全专委会(Technical Committee on Computer Security,TCCS)。TCCS是我国最早的计算机安全专业研究机构之一。中国计算机学会(China Computer Federation,CCF)是成立于1962年的全国一级学会,彼时国产计算机已初露头角。CCF的各个专委会(Technical Committee,TC)是CCF的二级专业分支机构,根据各子学科需要而设立,是CCF开展学术活动的主体,接受CCF的直接领导。TCCS作为CCF的专委会之一,由CCF所属的计算机安全学学科和计算机安全保护、监察等应用领域的分支组织,由我国计算机领域的党政军公检法和科研教育部门的专家、技术和管理人员组成,挂靠公安部十一局,接受CCF的业务指导 [18] 。
1993年是国家信息化建设的腾飞之年,我国启动了金卡、金桥、金关等重大信息化工程,拉开了国民经济信息化的序幕。1993年12月10日,国务院成立了国家经济信息化联席会议,统一领导和组织协调政府经济领域信息化建设工作,时任国务院副总理邹家华担任联席会议主席。随着国家信息化的进一步发展,信息网络的用途不再局限于国家经济信息化,开始进入各行各业。在此背景下,中央于1996年决定在原国家经济信息化联席会议的基础上,成立国务院信息化工作领导小组,由20多个部委共同组成,统一领导和组织协调全国的信息化工作,时任国务院副总理邹家华任组长。原国家经济信息化联席会议办公室相应改为国务院信息化工作领导小组办公室,简称国务院信息办。国务院信息办在后续两年的战略行动中发挥了重要作用,直至1998年被国家信息化办公室取代。
1998年3月10日,九届全国人大一次会议审议通过了《关于国务院机构改革方案的决定》 [19] ,国务院组成部门由原有的40个减少到29个。在这次调整中,信息产业部在当时的邮电部和电子工业部的基础上组建,简称信产部,主管全国电子信息制造业、通信业和软件业,推进国民经济和社会信息化。中华人民共和国邮电部于1954年9月正式成立,其前身是1949年11月1日设立的中央人民政府邮电部。电子工业部在1982年5月成立,由第四机械工业部、国家广播电视工业总局、国家电子计算机工业总局合并而成。
国务院信息办被整建制并入新组建的信息产业部,成为信息产业部信息化推进司,又称国家信息化办公室,简称国信办,负责推进国民经济和社会服务信息化的工作。国信办主要职责为:研究制定推进国民经济和社会信息化发展规划;指导各地区、各行业的国民经济信息化工作;协助业主推进重大信息化工程;组织协调和推进全国软件产业的发展;研究制定有关信息资源的发展政策和措施,指导、协调信息资源的开发利用和信息安全技术开发;推动信息化普及教育。
在国家信息化不断加快的背景下,各类信息在存储和传输过程中的安全保密问题日益突出,商用密码的应用需求应运而生。我国对密码实行分类管理,将密码分为核心密码、普通密码和商用密码,核心密码用于保护各种密级的国家秘密信息,普通密码可保护机密级以下国家秘密信息,商用密码保护非国家秘密信息。长期以来,三类密码自身也属于国家秘密,直到2020年1月1日起施行《密码法》仅规定核心密码和普通密码属于国家秘密。1996年7月,中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》,确定了“统一领导、集中管理、定点研制、专控经营、满足使用”的商用密码发展和管理方针。1999年10月7日,国务院第273号令发布《商用密码管理条例》,即日实施。根据该条例,商用密码是指“对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”,但商用密码技术本身属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理。国家密码管理委员会及其办公室为国家密码管理机构,主管全国的商用密码管理工作。商用密码产品由国家密码管理机构许可的单位销售(2005年3月25日,国家密码管理委员会办公室更名为国家密码管理局,简称国密局)。
1994年2月18日,国务院第147号令发布《计算机信息系统安全保护条例》(以下简称《计算机保护条例》),即日实施。条例包含总则、安全保护制度、安全监督、法律责任、附则五章内容,针对计算机系统的保护做出多方面的规定。总则明确了国内信息安全保护的管理主体:公安部“主管全国计算机信息系统安全保护工作”,国家安全部、国家保密局和国务院其他有关部门“在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作”。
《计算机保护条例》明确规定了“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全”系违法行为。条例对计算机病毒进行了定义:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
《计算机保护条例》还规定实施“计算机信息系统安全专用产品的销售实行许可证制度”,“具体办法由公安部会同有关部门制定”。其中计算机信息系统安全专用产品是指“用于保护计算机信息系统安全的专用硬件和软件产品”。
《计算机保护条例》历史性地提出了“计算机信息系统实行安全等级保护”,是我国信息安全等级保护(简称“等保”)这一基本制度的发端文件。但《计算机保护条例》并未就“等级保护”的具体内容进行解释规定,仅是确立了公安部门在等保制度中的牵头地位,要求“安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
《计算机保护条例》是我国网络安全法律法规的先驱。一般而言,一国的法律体系按位阶自上而下依次有宪法(constitution)、法律(law)、行政法规(administrative law and regulation)、地方性法规(local law and regulation)、部门规章(departmental rule)等类型。下位法多作为上位法的细化和补充,发生抵触时应让位上位法。我国法律由主席令发布,分为基本法律和普通法律,分别由全国人大和全国人大常委会制定,前者如《民法典》《刑法》,后者如《网络安全法》《数据安全法》。行政法规由国务院制定,以条例、办法、实施细则、规定等形式组成,由国务院令发布。地方性法规是指省、自治区、直辖市以及设区的市和自治州的人民代表大会及其常委会,在其法定权限内制定的法律规范性文件,包括章程、条例、办法等。部门规章指国务院各部、委、直属机构,根据法律和国务院的行政法规、决定、命令,在本部门的权限范围内制定的规范性文件,主要形式是命令、指示、规定等。
《计算机保护条例》出台后,国务院有关部门又陆续发布了与其配套的法规、规章,对国际联网管理和信息安全保护工作做出进一步细化。
● 1996年2月1日,国务院第195号令发布《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《国际联网暂行规定》),即日实施,旨在加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展。《国际联网暂行规定》的重要条款包括:国际联网必须使用邮电部提供的国际出入口信道,不得自行建立或者使用其他信道;新建互联网络,必须报经国务院批准;不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。1996年4月9日,邮电部根据《国际联网暂行规定》制定发布了针对CHINANET的《中国公用计算机互联网国际联网管理办法》,即日实施。1997年5月20日,国务院第218号令对《国际联网暂行规定》进行了修订,将“国务院经济信息化领导小组”修改为“国务院信息化工作领导小组”,并对国际联网经营活动相关规定进行了调整。《国际联网暂行规定》确定了国际互联网的管理主体:国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题;领导小组办公室按照本规定制定具体管理办法,明确国际出入口信道提供单位、互联单位、接入单位及用户的权利、义务和责任,并负责对国际联网工作的检查监督。
● 1997年12月12日,公安部第32号令发布《计算机信息系统安全专用产品检测和销售许可证管理办法》,即日实施。《办法》包含总则、检测机构的申请与批准、安全专用产品的检测、销售许可证的审批与颁发、罚则、附则六章内容,确立了计算机信息系统安全专用产品销售许可制度,明确公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作 [20] 。
● 1997年12月30日,公安部第33号令发布《计算机信息网络国际联网安全保护管理办法》。这一《办法》根据《计算机保护条例》《国际联网暂行规定》及其他法律法规制定,明确公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。《办法》第四~七条规定了若干禁止行为;第八~十四条规定了单位和个人的安全保护责任;第十五~十九条规定了公安机关的安全监督责任;第二十~二十三条规定了法律责任后果。
● 1998年2月13日,国务院信息化工作领导小组发布《计算机信息网络国际联网管理暂行规定实施办法》,自颁布之日施行。《实施办法》根据《国际联网暂行规定》制定,其中的重要内容包括:国务院信息办负责组织、协调有关部门制定国际联网的安全、经营、资费、服务等规定和标准的工作,并对执行情况进行检查监督;CNNIC提供互联网络地址、域名、网络资源目录管理和有关的信息服务;国际联网必须使用邮电部提供的国际出入口信道;CHINANET、CHINAGBN(中国金桥信息网)、CERNET(中国教育和科研计算机网)、CSTNET(中国科学技术网)四大网分别由邮电部、电子工业部、国家教委和中科院管理;新建互联网络需由国务院最终批准;接入网络必须通过互联网络进行国际联网,不得以其他方式进行国际联网;用户向接入单位申请国际联网时,应当提供有效身份证明或者其他证明文件;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动;不得利用国际联网从事危害国家安全、泄露国家秘密等不法活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散。
● 1999年9月13日,我国早期的等保国家标准《GB 17859—1999计算机信息系统安全保护等级划分准则》发布,2001年1月1日起实施。GB 17859参考了美国国防部《可信计算机系统评估准则》(俗称“橙皮书”)和《可信计算机网络系统说明》(俗称“红皮书”),将计算机信息系统安全分为5级,由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。GB 17859是我国信息安全领域为数不多的强制性国家标准。
● 2000年4月26日,公安部第51号令发布《计算机病毒防治管理办法》,对计算机病毒的防治管理主体、具体管理制度、惩罚等做出规定。根据这一《办法》,公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作,地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作;从事计算机病毒防治产品生产的单位,应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病毒样本;计算机病毒防治产品检测机构应当对提交的病毒样本及时进行分析、确认,并将确认结果上报公安部公共信息网络安全监察部门;对计算机病毒的认定工作,由公安部公共信息网络安全监察部门批准的机构承担。
伴随着计算机犯罪的产生和蔓延,中国社会开始意识到这类威胁的严重性,刑法需要对这类新型犯罪进行明确规定。1997年3月14日,第八届全国人民代表大会第五次会议修订《中华人民共和国刑法》,自同年10月1日起施行。1997刑法在1979刑法的基础上,增加了计算机时代的若干犯罪类型:侵犯著作权罪、侵犯商业秘密罪、非法侵入计算机信息系统罪、破坏计算机信息系统罪以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪等。1998年6月16日,上海某公共信息网发现遭到网络入侵,随后上海警方于同年8月21日以涉嫌破坏计算机信息系统罪对犯罪嫌疑人杨某进行逮捕,这是中国第一次以该罪批捕的案件。杨某为上海交大数学系研究生,计算机水平高超,为逃避上网资费而侵入网络服务系统,破译工作人员账号。案件引发了舆论争议。
20世纪90年代,多个互联网管理及信息安全工作机构相继成立,我国网络安全技术支撑体系开始萌芽。
● 国家保密技术研究所于1991年5月正式成立,是中央保密委员会办公室暨国家保密局下属的研究所,于2008年7月更名为国家保密科学技术研究所。研究所的主要任务是为国家保密局制定全国保密技术政策、规划提供技术依据,为开展保密工作提供支撑与服务。
● 1996年,天津市公安局和天津市技术监督局联合组建天津市质量检验站第70站,负责对在我国销售的计算机病毒防治产品进行质量检验认证 [21] 。该站挂牌计算机病毒防治产品检验中心(AVPTCC)和计算机病毒防治产品检验实验室,是我国计算机病毒防治领域唯一获得公安部批准的产品检验机构,在我国信息安全专用产品销售许可制度中承担重要职责 [22] 。AVPTCC建立了我国的计算机病毒标准样本库,编制起草了《DOS操作系统环境下计算机病毒检测方法》(GA 135—1996)和《计算机病毒防治产品评级准则》(GA 243—2000)等公共安全行业标准。
● 1997年5月30日,国务院信息办发布《中国互联网络域名注册暂行管理办法》,授权中国科学院组建和管理中国互联网络信息中心(CNNIC),授权CERNET网络中心与CNNIC签约并管理二级域名EDU. CN。CNNIC行使国家互联网络信息中心的职责,负责国家网络基础资源(如IP、顶级域名、网站等)的运行管理和服务。CN顶级域名有多个二级子域名,如EDU. CN对应教育机构,AC. CN为科研机构,GOV. CN为政府机构。1997年6月3日,中国科学院计算机网络信息中心正式组建CNNIC。同日,国务院信息办宣布成立CNNIC工作委员会。
● 1997年,第一届国务院信息化工作领导小组授权国家质检总局启动信息安全产品测评认证体系建设工作,中国信息安全测评中心(CNITSEC)开始筹建。1999年2月,CNITSEC正式运行。目前,CNITSEC主要职能包括:开展信息安全漏洞分析与风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展信息安全服务和信息安全专业人员的能力评估与资质审核;开展信息安全技术咨询、工程监理与开发服务;从事信息安全测试评估的理论研究、技术研发、标准研制;出版《中国信息安全》杂志等 [23] 。
● 公安部计算机信息系统安全产品质量监督检验中心隶属公安部第三研究所,于1997年下半年开始筹建,并于1998年7月6日通过国家技术监督局的计量认证和公安部审查认可,成为国家法定的检测机构。该中心承担国内计算机信息系统安全产品和同类进口产品的质量监督检验工作 [24] 。
● 1998年,信息产业部授权华北计算技术研究所(中国电子科技集团公司第十五研究所)组建成立“信息产业部计算机安全技术检测中心”(ITSTEC),为国家信息安全产业健康、有序发展提供可靠的技术保障。2000年,CNITSEC授权华北计算技术研究所在ITSTEC基础上成立CNITSEC计算机测评中心。2008年,ITSTEC被国家认证认可监督管理委员会(CNCA,简称国家认监委)指定为信息安全产品强制性认证检测实验室,开展信息安全产品强制性认证测评。ITSTEC于2011年5月更名为“信息产业信息安全测评中心”。
● 1999年5月,CERNET在清华大学网络工程研究中心成立了中国第一个安全事件应急响应组织CCERT(CERNET计算机应急响应组,CERNET Computer Emergency Response Team)。同年9月,CCERT正式提供服务。CCERT是CERNET专家委员会领导之下的一个公益性服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务,网站为ccert.edu.cn。
20世纪90年代,中国出现了第一批信息安全厂商,安全市场正在破壳而出。1991年,王新投资成立瑞星电脑科技开发部,由当时尚在中科院数学所工作的刘旭开发个人计算机硬件防病毒卡。1995年11月6日,北京天融信网络安全技术有限公司登记成立,是我国最早成立的专注计算机网络安全的企业,其“网络卫士”防火墙于1998年获得公安部颁发的第一张防火墙类产品销售许可证。1996年6月,启明星辰公司成立,后于2000年推出首款硬件IDS产品。1996年8月,江民科技在中关村注册成立,由反病毒专家王江民创建,此前他已推出多款成功的杀毒软件。1998年4月,北京瑞星科技股份有限公司正式成立,该月,瑞星杀毒已迭代到8.0版。
据CNNIC统计报告,截止到20世纪最后一天,中国共有上网计算机350万台,上网用户数约890万,CN下注册的域名48695个,WWW站点约15153个,国际出口带宽351Mbit/s。随着Web应用的流行,Web安全问题伴生出现。SQL注入和跨站脚本攻击等Web攻击方法在1999年左右开始出现 [25] ,并逐渐流行开来,日益成为威胁Web安全的大敌。20世纪90年代的中国,随着互联网山花烂漫地生发,这里产生了早期的黑客群体。与当时世界上大多数地区的黑客一样,他们的典型特征是对计算机技术和安全漏洞的好奇心与求知欲。这个年代的黑客大多数属于白帽,崇尚开放、自由、分享的互联网精神,而非利用漏洞的牟利之徒,但其中一些人也会漠视法律的规制,甚至化身黑客行动主义者(hacktivist)。随着群体规模的不断增长和内部交流的日益密切,黑客们开始依托互联网社群结成兴趣团体。1997年,上海黑客龚蔚(goodwell)创建了中国早期的黑客组织“绿色兵团”。1998年,杨某计算机入侵案发酵后,许多知名黑客对他表达同情,并利用网络平台为其发声。1999年5月8日凌晨,中国驻南斯拉夫大使馆遭北约轰炸,三名记者遇难。一些愤怒的黑客对美国军、政网站展开了报复。与他们相对立的亲美黑客群体也不甘示弱,随后对中国网站开展了攻击,最终两败俱伤。在这场并不受两国官方认可的网络冲突中,出现了一个自称“红客”(honker)的群体,他们强调“红客”意在维护网络安全和中国利益,不同于做坏事的骇客。