2018 年,地缘政治摩擦不断助长网络攻击的规模和复杂性,一系列接踵而来的网络安全事件凸显网络安全对国家安全的深刻影响。美、欧、澳、日等西方大国及我国周边国家纷纷开启网络空间实战化布局,攻防对抗态势升级,预示着国际网络空间格局正在发生重大变化。与此同时,伴随信息化与工业化融合水平不断提升,国民经济运转对信息系统依赖日渐加深,新技术应用转化为新兴产业支撑经济增长势头愈加迅猛,我国内网络安全形势暗涌不断,中美贸易争端裂隙持续蔓延,信息化应用发展背后的深层次安全矛盾趋于显现,而威胁风险此消彼长,漏洞隐患普遍存在,产业发展步伐缓慢,我国网络安全总体形势依然严峻。
美国网络威慑实战化布局显现“头羊效应”,各国纷纷提升自身在“新军事革命”中的威慑地位,网络空间对抗局势日渐明朗
在体系化战略布局层面,各国动作不断。美国在新版《国家安全战略》报告中最大的增量就是网络安全 ,美国将中国、俄罗斯、伊朗和朝鲜并列为其在网络空间的主要对手,直接威胁美国网络安全,并以此为由在《2018 财年国防授权法案》中大幅增加对网络威慑和防御能力的预算投入;美国出台《国家网络战略》,提出主动出击的网络安全防御模式,强调政府应采取更具攻击性的姿态,充分运用国家权力工具,来预防、应对并阻止针对美国的恶意网络活动;美国国防部公布《2018 国防部网络战略》,要求将网络活动的重点放在应对中国和俄罗斯强敌方面,运用网络能力,收集情报并为未来冲突做好准备;美国发布第 3 版《网络安全战略》,描绘了国土安全部未来五年在网络空间的路线图,确定了五大主要方向及七个明确目标。纵观这三版网络安全战略,从此前的“防御为主”到“攻防兼备”,再到当下的“攻势必露”,美国以“先发制人”“向前威慑”“主动进攻”为主要特征的治网理念逐步成型。上述诸多动作表明,特朗普“美国优先”的行事风格已根深蒂固,维护网络空间美国利益的决心暴露无遗,未来美国在网络空间采取“主动强硬型”策略趋势将成为事实,全球网络安全局势恶化将不断加重,网络空间成为新的战场和作战平台。受此影响,加、澳、新西兰等其他国家也在纷纷更新或推出新版网络战略,如加拿大发布新版《国家网络安全战略》、澳大利亚推出新版《国家网络安全战略》、新西兰更新《网络安全战略和行动计划》、日本政府制定了今后三年的网络安全战略等。这些战略凸显出共性特征,即由被动防御转向主动出击,更加注重网络威胁中的对抗及应对。面对日益严峻的网络形势,西方国家对网络战略的“换代升级”表明,未来网络空间对抗将成为常态。
在实战化力量建设层面,自美国升级“网络司令部”成为第十个联合作战司令部,并宣称网络任务部队已经具备全面作战能力以来,美盟友及相关国家纷纷紧随其后,大力发展网络作战力量,加剧网络空间军事斗争和战备。日本政府发布拟于 2020 年新设“太空和网络司令部”的消息,其地位将与日本陆上总队、日本航空总队和日本自卫舰队并列,旨在提升网络空间和太空的“攻势防御”能力;日本政府还计划将网络部队强化方针写入 2019 年度《日本中期防卫力整备计划》,力争将规模由目前的 110 人增至千人,并新设自行开展网络攻击研究的负责部门,“由守转攻”态势凸显;澳大利亚政府发布《澳大利亚的攻击性网络能力报告》,详细评价自身网络攻击能力,称其网络战斗能力全球领先;澳大利亚国防军还建立了一个新的国防通信情报与网络司令部,以提升其指挥结构中的网络能力;北约宣布将组建新的军事指挥中心“网络司令部”,旨在实现网络空间与现实世界一体化作战;英国情报机构主动披露其军事网络攻击能力的首次应用是对“伊斯兰国”实施网络打击。种种举措显示,未来各国的关注重点都将向网络领域倾斜,网络战场即将与海洋、陆地、天空、太空战场具有同等重要的地位,网络空间形成对抗模式势如破竹、锐不可当。
网络社交平台信息失控和发展失序,发达国家政权稳定遭遇威胁,政府寻求“网络自由”和“法治监管”间的动态平衡成为最新趋势
近年来,社交媒体从最初西方社会介入他国政治的有力工具,发展成为影响发达国家自身政权稳定的有害推手,地位发生急转直下的颠覆性变化。社交平台作为网民最主要的活动场所,全球已经约有七成网民成为社交网站用户,开始全面渗透并影响着政治、经济和社会等各个领域。近期,各国接连发生的“假新闻”事件令政府以及普通民众震惊不已。据美国麻省理工学院最新研究表明,通过对过去十年推特平台上 126000 篇文章进行分析发现,假新闻平均传播时间为 10 小时,而真实新闻传播需 60小时。与真实新闻相比,假新闻得到转发的机率高 70%,平均一条假消息的受众人数比真实息多 35% 。美国爱德曼国际公共公司发布调查报告称,过去一年内,在对美国、英国、法国、加拿大等多国近万人的调查结果显示,约 42%的用户由于信息安全等问题曾经停用过一个或多个社交账户;超过六成的受访者表示出对虚假新闻流传的担心。由此可见,网络社交媒体信息失控影响之广泛、发展失序危害之深远,不可低估。
长期以来,发达国家对于网络信息内容监管一直依赖于互联网行业自律,政府直接干预或插手的情况较少。但随着“俄罗斯干预美国大选”“脸书用户数据泄露”等事件相继曝光,假新闻、极端思想、网络暴力和网络谣言等不断充斥互联网,尤其是网络社交媒体对西方政权稳定产生威胁,过去引以为傲的“网络自由”开始成为一把双刃剑 ,引发西方社会集体性恐慌,在自身感知强烈领域针对社交网络平台进行适度监管成为美等国家重点关注事宜。因此 ,美国发起《诚实广告法案》,旨在通过立法规范科技公司行为、监管政治广告的流通和使用,重点解决社交平台信息失控等问题;德国出台《改进社交网络中法律执行的法案》,明确社交网络平台法律界限,并开始执行《反网络仇恨言论法》,要求社交媒体网站迅速采取行动消除仇恨言论、假新闻和非法信息,脸书、推特和 YouTube 将成为法律重点监管对象;英国将谷歌、脸书等网络社交媒体视为新闻出版单位,通过立法手段强制要求他们必须对发布在其平台上的相关信息内容承担审核职责,并考虑对社交媒体征收“网络安全税”,以提高网络信息发布的滥用成本,加强英国政府对互联网内容信息的治理监控;法国加大网络信息处罚力度,一旦出现煽动种族仇恨、侮辱诽谤、谣言散布等内容时将被视为违法信息,社交平台和网民均需承担连带责任。从发达国家治理经验教训和网络发展趋势来看,做好社交媒体治理工作已经成为信息化时代国家治理体系和治理能力现代化的主要内容。如何发挥社交媒体进步性和建设性的一面,如何控制和防范其冲击性和破坏性的一面,如何寻求“网络自由”和“法治监管”间的动态平衡,将越来越成为全球性共同话题。
国家层面网络安全冲突“甚嚣尘上”,黑客活动渗入政治、经济等多重领域,新型技术及应用为网络犯罪提供新的攻击载体
2018 年,具有国家背景的黑客活动陆续“浮出水面”,呈明显上升趋势。黑客组织发起的攻击活动由原有的利益驱动转向综合了政治、经济、军事、宗教等多个因素的复杂性网络攻击,引发更多威胁。1 月,美国政府声称朝鲜通过黑客盗取海外加密货币,朝鲜在不断试射导弹、进行核试验等行为引发国际社会对其加大经济制裁力度的形势下,将网络空间的新兴资产作为获取资金首选目标;同月,美国政府指责巴基斯坦黑客在全球范围内活动频繁,以篡改网站为目标的激进黑客逐渐成为该国黑客组织最主要的力量,主要是为了宣传宗教口号,达到政治目的;2 月,德国政府声称与俄罗斯军方情报机构相关的“奇幻熊”组织(又称 APT28),使用恶意软件入侵德国外交部和国防部用来保证通信安全和分离的专用网络,实现数据窃取;同月,美国官员称俄罗斯军事间谍对 2018 年韩国冬季奥运会管理人员使用的数百台电脑实施了黑客攻击,致使广播系统和奥运会官网当天均无法正常运作;3 月,俄罗斯卡巴斯基实验室发布报告披露潜伏长达六年的网络间谍组织“弹弓”(Slingshot),并猜测美国是其幕后操纵者。研究人员称,“弹弓”是当前技术最先进的黑客组织之一,通过散播具有高度入侵性的恶意软件,感染了包括阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其和也门等多个非洲和中东国家的数千台设备,窃取大量重要数据;4 月,美、英称俄罗斯黑客在全球范围内对政府组织、私营企业、关键基础设施运营商和互联网服务提供商使用的网络设备进行了长达数月的网络攻击,黑客试图破坏路由器、交换机和防火墙,以破坏全球范围内的机构组织;8 月,美国微软公司发现与俄罗斯政府有关的黑客通过钓鱼网站企图干预美国中期选举;10 月,美国火眼公司发布报告披露疑似朝鲜政府背景支持的黑客组织 APT38,报告称 APT38 是朝鲜政府主要利用网络攻击行动获取经济资金支持的黑客团队,与针对 SWIFT 系统的攻击等网络经济犯罪案件存在密切关联;11 月,美国火眼公司曝光疑似俄罗斯 APT29 的黑客组织冒充国务院工作人员对美国军事机构、执法部门等多个目标发起新一轮网络钓鱼攻击。随着网络时代的到来,网络安全成为大国间博弈的重要筹码,由此带来的网络威胁日益严峻,伴随的网络攻击等黑客活动也更加频繁且不断升级。
此外,新型技术及应用为网络犯罪提供下一代攻击方式。随着人工智能的不断发展,网络犯罪分子得以开发出新的攻击手段,如机器生成型恶意软件、勒索软件以及“网络犯罪即服务”等,其涉及范围更广、危害程度更大。目前,利用人工智能的攻击事件已经出现,如利用人工智能应用程序重构恶意软件以规避智能防病毒程序的监测;针对语音识别人工智能应用程序实施人耳无法感知的“海豚攻击”,表明“人工智能 + 黑客”模式已经逐步成熟,精准网络攻击将带动网络攻击技术的变革,网络安全模式逐步被改变。随着人工智能发展势头迅猛,人工智能被黑客利用已经势不可挡,将成为网络空间新型威胁。
西方普现网络安全焦虑“涟漪反应”,信息大国对网空资源和技术优势的保护与抢占思维加剧,国际间科技竞争逐渐白热化
在传统信息技术和安全领域,大国正在紧筑防线。美国发布《网络安全战略》,希望各政府部门更积极地履行网络安全使命,以保护关键基础设施免遭网络攻击。美国先后出台多份有关能源、银行、通信、国防工业等关键基础设施领域的网络安全法案或网络安全计划,譬如《提升关键基础设施网络安全的框架》《能源行业网络安全多年计划》《2018 国土安全部网络事件响应小组法案》等,重点解决传统行业在数字化设备安全保障与海量数据保护等方面面临的威胁与挑战,旨在提高其抵御网络攻击的技术能力;俄罗斯受强烈的网络危机感驱使,于 2018 年加速推进国产 Astra Linux 操作系统应用落地,包括国防部在内的多家政府机构计划逐步推广使用自主可控计算机操作系统;新一届德国联邦政府的组阁协议中提出“数字化战略目标”,重视数字化建设,大力发展宽带基础设施建设等。
在新技术和新兴产业领域,西方各国力占先机。随着国际科技竞争日趋激烈,人工智能领域已经成为最主要争夺点之一,美国成立人工智能特别委员会,成员由联邦政府中高级别研究部门官员组成,凸显美国政府发展人工智能的决心。美国还提出“人工智能未来法案”,启动人工智能研究计划“智能探索项目”,旨在维护智能时代优势,保障美国继续领先。其他信息大国纷纷与美同步,将人工智能竞赛推向新一轮的高潮。2018 年,24 个欧盟成员国启动“欧洲模式”,拟利用联盟优势在人工智能领域与中美展开较量;英国设立人工智能创新中心,发展野心浮出水面;法国加速布局人工智能发展战略,致力成为人工智能领域的领军者;澳大利亚与 IBM 公司签订了史上最高金额(价值 10 亿澳元)的 IT 采购合同,用于人工智能等新兴技术项目。全球人工智能领域正在各国的你追我赶中飞速发展。与此同时,5G 作为未来网络空间竞争的热点和焦点,备受美、欧、中等信息大国关注。美国提出计划在 2019 年下半年展开 5G 网络商用部署,旨在抢占全球发展先机;欧洲各运营商在 5G 技术上纷纷发力,计划开启大规模 5G 网络部署;中国将发展 5G 技术纳入战略层面,明确未来 5G 发展目标和方向,最快将于 2020 年正式商用 5G 网络。除此之外 ,美国为掌控当前最受瞩目的新型技术之一——区块链,密集推进以分布式自治社会为主要特征的区块链 3.0 应用落地;美国出台“国家量子计划法案”,以加速量子研究,确保美国成为全球量子技术领先者;美国还计划投资 18 亿美元打造 E 级“超算”系统,旨在巩固其在 E 级计算领域领先地位。
数据资源滥用成为全球重点关切问题,各国政府相继开启重拳惩治的“法律风暴”以应对数据侵犯行为,“数据保护潮”势不可挡
2018 年,脸书千万级用户数据泄露,并曾涉嫌为“剑桥分析”公司网络政治干预和操控行为提供数据,使得数据安全问题上升至政治安全高度,引发全社会重点关切,各国政府纷纷在数据保护领域建章立制,加强数据安全保护工作。2 月,澳大利亚实施《重要数据泄漏应对方案》(NDB),该方案隶属 1988 年《澳大利亚隐私法》,旨在保护个人数据安全,规定每个组织都肩负一系列保护数据的责任;同月,爱尔兰公布《2018 年数据保护法案》,该法案将推动爱尔兰数据保护法制的现代化进程,实现欧盟区域内数据保护体制的一致性;5 月,欧盟《通用数据保护条例》(GDPR)生效,这部被称为全球“个人信息保护”领域最为严格、管辖范围最宽、处罚最为严厉、立法水平最高的法律,几乎对科技公司将用户个人数据货币化的所有环节进行了规定和限制,为未来十年的全球个人数据保护打下根基;6 月,美国加州通过了《2018 年加州消费者隐私法案》(CCPA),该法案被称为美国“最严厉、最全面的个人隐私保护法案”,规范了企业收集处理数据的方式;7 月,印度发布了《2018 年个人数据保护法》(草案),该法案列出了数据保护的义务、处理个人和敏感个人数据的依据、数据处理的主要权利、管理印度境外数据传输的规定并提出建立印度数据保护局;8 月,巴西总统签署《个人和企业数据保护法案》,旨在保护个人和企业的数据安全,防止在未经相关同意的情况下将个人和企业的姓名、电话号码和地址等信息用于商业目的。
与此同时,产业层面也在不断加大对于数据保护法案落地实施的配合力度。亚马逊、谷歌、脸书等美国科技巨头陆续针对 GDPR 采取应对措施,推动信息安全业内对数据隐私安全的广泛关注,催生敏感数据分析与保护产业崛起;美国微软公司宣布将 GDPR 的隐私保护权利扩大至全球所有消费者用户,在隐私声明中详细说明了微软搜集用户资料的种类和用途。针对企业用户,微软还开发了信息管理工具,致力于为企业提供实践和指导,使企业客户能够为实施 GDPR 做好准备;以微软为首的 34 家高科技公司签署了一项网络安全技术协议,将不惜一切代价保护用户信息安全,同时也不会为政府针对其他国家、公司或个人的网络攻击提供协助;欧盟产业界发布了一项名为《安全和弹性的云架构》的最新技术成果,该成果由欧盟“地平线 2020”基金资助下的“云安”(Safe Cloud)项目组完成,主要保护云数据个人隐私。由此可见,在高效获取利用数据、发掘数据价值的同时,如何有效保障数据安全这个焦点问题上,政府和企业已经逐步趋于共识,相互携手同进。
国内方面
美国对我国高科技企业“审查、压制、抹黑”的行动基调十分突出,中美贸易争端裂隙持续蔓延,科技主导权争夺战继续升级
2018 年,中国逐渐进入美国经济金融制裁与攻击的“靶心”,美国政治力量以保障本国安全为借口,迫使中美贸易摩擦和技术争夺持续升级。在行动层面,一方面,美国肆意阻碍中资企业进入本国市场,加强高科技企业安全审查,压制中美科技交流合作。1 月,美国参议员提出《美国政府通讯保护法案》修订案,以保护美国国家安全为由,禁止美国机构和政府采用华为和中兴公司的产品;同月,美国运营商 AT & T 迫于美国政府的压力,单方面临时撤销了销售华为手机的计划;3 月,特朗普总统签署总统备忘录,限制中国企业对美投资并购,同时指责中国政府从美国公司窃取技术;5 月,美国防部以国家安全为由,要求分布在世界各地的美国军事基地及附近的商店停止销售华为和中兴设备;6 月,五名美国国会议员致信谷歌首席执行官,要求其重新考虑与华为的合作关系,称华为可能给美国的国家安全和美国消费者带来风险;7 月,美国商务部建议拒绝中国移动于2011 年提交的进入美国申请,称中国政府或利用由中国移动建立的连接,进行经济间谍活动和情报收集;8 月,特朗普签署《2019 财年国防授权法案》,禁止政府使用华为和中兴等公司生产的“隐蔽的电信设备或服务”。另一方面,美国加强对涉华高科技投资的审查,针对各类信息技术产品设置高门槛的出口管制壁垒,限制高技术领域对华出口。4 月,美国商务部宣布在未来七年里将禁止美国公司向中兴销售零部件或提供软件支持,与中兴终止合作的美企迅速蔓延至全产业链,直接危及中兴生死存亡。虽然中兴与美国于 6 月达成了恢复业务的初步协议,但仅仅两个月时间,中兴经济损失超 30亿美元;同月,美国政府担心其在人工智能领域的尖端知识产权被他国窃取,开始对中美企业在人工智能领域的非正式合作进行审查,并可能将对华禁售 NVIDIA(英伟达,电子设备核心元件),审查领域还可能扩至半导体和自动驾驶汽车等热门领域。美国种种举措对两国正常的贸易交流及技术扩散产生了极大的影响。
在舆论层面,美国发布所谓的“分析报告”,大肆炒作中国科技窃密,恶意抹黑我国形象。4 月,美国国防部发布白皮书分析“中国的技术转让战略”,认为中国正在执行一项为期几十年的技术转让计划,以此扩大经济规模和附加值并削弱美国全球竞争力,这项计划涉及工业间谍、网络盗窃行为等非法手段;同月,美中经济与安全评估委员会发布《美国联邦信息和通信技术中源自中国的供应链漏洞》报告,认为中国政府将全球信息通信技术(ICT)行业视为“战略行业”,中国政府与企业联合“一再涉及窃取与滥用知识产权的案例,以及施行国家主导的经济间谍活动”。中兴、华为和联想被认为是具有上述特征的中国 ICT 企业;6 月,美国白宫贸易和制造业政策办公室(OTMP)发布题为《中国的经济侵略如何威胁美国和世界的技术和知识产权》的政策报告,认为中国的政策在发展新兴高科技行业、从其他国家获取关键技术和知识产权等六个方面威胁美国的经济、知识产权以及国家安全。报告指出,中国获取美国技术和知识产权的途径包括:物理方式和网络方式窃取、迫使技术转移、逃避美国出口控制等手段;7 月,美国国家反情报与安全中心(NCSC)发布《2018 年网络空间中的外国经济间谍活动》报告,强调俄罗斯、伊朗、中国等国情报机构通过网络空间窃取美国知识产权、商业机密和专有信息的当前威胁与未来趋势。在特朗普“美国优先”口号引导下,美国以网络安全、国家安全为借口,对我国打压势头逐渐明朗。未来,这种势头将会强势延续,对我国多个行业造成震荡式冲击。
关键信息基础设施体系性、结构性隐患突出,系统间牵制和连锁的故障反应极易引发“雪崩效应”,信息安全风险持续高位运行
伴随我国信息化建设的不断推进,金融、能源、交通、电信等重要行业系统普遍面临着推进信息化发展和防范安全风险的双重挑战。一方面,我国关键信息基础设施的脆弱性不断产生且日益加剧。随着世界经济和科技力量的发展,关系国家命脉的基础设施服务系统逐渐演变成为多领域相互关联的巨系统。信息系统自身体系性、结构性隐患短期内难以整改到位,跨地域、跨单位、跨业务,规模大、结构杂、种类多,各种网络互联并行,任意一部分的失效、扰动和受到攻击破坏,都有可能在整个系统中造成不可预料的连锁反应,风险极易跨网蔓延;系统外网边界防护尤其脆弱,普遍易被攻破危及内网和专网安全;且大量恶意代码、木马程序等间谍软件广泛布设其中,带来失泄密风险很难做到即时发现和有效防范。上述种种因素导致网络和系统被攻被控、核心数据和敏感信息被窃被泄、系统和服务被停被断事件越来越多。我国关键信息基础设施自身存在的漏洞、隐患和风险态势始终在高位运行,形势不容乐观。
另一方面,系统性风险成为关键信息基础设施面临的重大安全挑战。行业业务的高度信息化与开放性、网络攻击的复杂性与突发性、技术漏洞的客观性与可用性、信息安全保障体系的不完备、行业机构的内在脆弱性、盘根错节的网络交叉和日益增加的连接,均使关键信息基础设施的系统性安全风险急剧上升。另外,信息技术的发展和应用所造就的“大集中格局、大数据时代、大联网方式、大应用趋势”更加明朗,一个偶然、局部、细小的信息安全事件,使积累起来的安全风险爆发成类似金融危机等非传统型安全风险的可能性增加。国家关键信息基础设施之间牵制和连锁的故障反应,极易危及扩散并蔓延至其它领域,进而在行业内产生雪崩效应。
互联网新技术新应用不断催生网络技术融合性、跨越式发展,网络攻击和窃密行为“大规模、高智能”特点突出,新旧领域风险倍增
以云计算、物联网、大数据、人工智能等为代表的互联网新技术新应用不断催生网络技术融合性、跨越式发展。在这种冲击之下,我国网络安全领域面临很多全新的威胁和挑战。一方面,人工智能、物联网等新兴技术快速发展,推动网络攻击朝着效率更高、规模更大的方向发展。以机器学习为代表的人工智能技术取得了令人瞩目的进展,在提高软件漏洞挖掘和利用的精度与效率的同时,也极大地提高了网络攻击的自动化和智能化程度,并可能放大网络攻击产生的影响和危害。由于人工智能系统的有效性高度依靠高质量的训练数据集,这种技术特点使得人工智能系统存在致命缺陷。譬如,将所谓的“中毒”数据注入人工智能系统的训练集中,可能会致使人工智能系统被误导,进而做出错误的判断,从而导致系统崩溃或被不法分子劫持,这无疑将给能源、交通、医疗、金融等重要的传统领域引入新的安全风险和挑战。与此同时,基于僵尸网络的物联网网络攻击持续蔓延,攻击呈现出快速变种、感染增强等特点,黑客可以控制大量物联网设备,并利用人工智能创建可扩展的智能僵尸网络,实施规模化攻击,极易造成大范围的分布式拒绝服务攻击。2018 年是自学习“蜂巢网络 (Hivenets)”和“机器人集群 (Swarmbots)”的一年。机器人(bots)和蜂巢(hive)可以在任何被攻陷的联网设备上运行,如网络摄像头、家庭路由器,甚至某些联网的工控系统、电信系统等。一旦黑客入侵这些物联网设备并组成僵尸网络,受控范围和危害程度将呈现几何级增长。
另一方面,大数据、云技术快速发展促进核心敏感数据资源集中化,管控难度与失泄密风险进一步扩大。随着云计算技术的不断成熟与云服务发展的持续推进,政府部门与企业逐渐将业务迁移至云端,这是信息化发展与服务改革的必然趋势。物联网终端设备持续采集用户数据,并推送至云端进行分析、处理和存储,因此,物联网终端设备、大数据平台和云服务平台中保存的核心敏感数据成为重点攻击和窃取的内容。同时,云计算、大数据基础软件及上层应用大多由第三方厂商支撑建设并参与运维,开发或运维人员可以利用开发源代码、上线调试等机会,预留系统漏洞,内置软件后门,非法窃取敏感信息,甚至能够在安全管控手段不足的情况下,利用管理员权限直接从后台导出高价值敏感数据,导致失泄密风险倍增。此外,随着大数据技术的成熟,采集数据、分析数据、使用数据、共享数据等已成为大数据平台频繁的业务活动,网络数据流在虚拟机之间传输增加,数据主体对于敏感信息和高级恶意软件的监视和控制能力将被大大削弱,加之缺乏有效监管,互联网企业对数据的过度采集和非法滥用现象严重。2018 年,携程网“杀熟”和滴滴打车的空姐被害等事件,都表明网络数据的使用不当,监管不严,将造成重大社会危害。
技术漏洞与隐患威胁不断攀升,攻击武器持续变化升级以及垃圾邮件加速传播,严重威胁我国要害网络和核心系统安全运行
2018 年底,国家信息安全漏洞库(CNNVD)通报,各类漏洞已累计接近 12 万个。在这一年里,高危级、史诗级漏洞纷纷涌现。1 月,由“熔断”(Meltdown)和“幽灵”(Spectre)暴露出处理器存在一个底层设计缺陷,包括以英特尔为主,ARM、AMD 等大部分主流处理器芯片,Windows、Linux、masOS、Android 等 主 流 操 作系统都受到上述漏洞的影响 ,微软、苹果、谷歌以及亚马逊等多家全球大型科技公司均受到波及,这些漏洞极易导致核心存储泄露。该事件揭示了整个处理器芯片底层设计的行业性问题,这类漏洞影响范围广,修复难度高,直接考验着当前的信息保障机制和技术处置手段;5 月,360 公司发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS 节点上远程执行任意代码,由于区块链网络去中心化的计算特点,一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击,甚至在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击 。
与此同时,各类攻击武器展示出了新的变化趋势,直接威胁我国要害网络和核心系统安全运行。APT(高级持续性威胁)攻击活动持续升级,特别是针对我国的APT攻击手段技术不断提升,无论从钓鱼邮件编写、远控木马投递等各个方面相比之前更具诱惑性及复杂性,对于发现、分析、溯源带来更大难度;勒索软件技术迭代升级,功能模块大大增强,攻击次数明显递增,影响范围持续扩大,已经成为数字经济时代的网络黑手。近期出现的 GandCrab 等勒索病毒连续更新迭代多个版本,在技术上添加蠕虫式主动传播、模块增加挖矿、网页挂马等功能,而诸如 Wannacry、撒旦等勒索软件仍然利用传统操作系统、Web 组件等漏洞在进行大范围传播;僵尸网络武器化程度不断加深,新型漏洞利用攻击将持续升级。数据显示,传统的 SQL 注入、跨站脚本等 Web 应用漏洞扫描攻击并无明显上升趋势,而利用各种新型 Web 组件漏洞以及系统漏洞,如 Weblogic 中间件反序列化、MicrosoftExchange 远程代码执行等成为僵尸网络不断扩展自身的主要方式。新型“Mylobot”僵尸网络不断出现迭代版本,显现持久网络威胁;垃圾邮件传播数量不断增长,成为勒索病毒、窃密木马等威胁传播途径。垃圾邮件一直是政府、企事业单位面临的主要安全问题之一,其发起源大多是各个僵尸网络。垃圾邮件传播在发件人、邮件标题、内容等方面不断呈现本地化趋势,其诱惑性大大增强,而窃密木马、勒索软件一直是垃圾邮件传播的主要内容。
核心技术自主可控任重道远,信息安全产业发展程度和服务支撑能力仍存差距,对于有效维护国家安全重大责任“心余力绌”
2018 年,美国针对中兴通讯的芯片制裁事件证明,核心技术受制于人存在巨大隐患,美国利用我们的短板弱项对我国实施压制的动作频仍。当前,中国虽然已经是网络大国,但还不是网络强国,一个重要原因就是我们还没能实现信息技术安全可控。我国重点领域网络与信息系统的元器件、芯片产品、通信协议、操作系统及网络设备严重依赖国外;应用于党政军部门以及关键信息基础设施行业的主机、服务器等设备的国产化率很低;在电信及互联网行业排名前 20 名的企业与美国跨国科技公司均有不同程度的合作,信息系统建设大量使用国外产品。根据 2018 年 9 月由中国电子信息产业发展研究院等多家单位联合发布的《2018 中国信息技术产品安全可控年度发展报告》显示:在核心技术可控方面,由于技术复杂性等原因,操作系统和数据库等产品的掌控能力仍相对弱,拉低了整体可控水平;在供应链可控性方面,国内信息技术产品的供应链可控性仍处于较低水平,如芯片设计工具、芯片制造装备和材料等;在安全性方面,国内信息技术产品大都缺乏大量用户的长期验证,在安全性方面所做的工作相对较少,仍面临较大挑战;在可用性方面,国内信息技术产品大都与国际主流产品存在较大差距。由此可见,我国缺乏核心技术积累,生态体系不完善,加之美等国家利用网络安全审查、高科技禁运、打压我国高科技企业发展等手段造成的外部环境恶劣,未来我国实现核心技术自主可控任重而道远。
此外,我国信息安全产业虽然已形成对国家保障能力的基本支撑,但难以有效发挥为国家信息化健康发展保驾护航的作用。目前我国信息安全产业规模约为 418 亿元,信息安全投入仅占我国 IT 总投入 2% 左右,与美国等发达国家 10% 的投入占比相差甚远,信息安全产业水平无法跟上国家经济社会快速发展的步伐。究其原因,我国信息安全产业发展的内部环境缺乏明确有效的投融资政策和政府采购政策,致使国内信息安全企业普遍面临投融资难、市场推广难的困境。尤其是产品市场缺乏有效合理监管、企业竞争力普遍薄弱,自主研发能力不足、信息安全服务需求尚未被有效拉动 。产业界完全依靠市场竞争获取自身发展,已跟不上国家层面的信息安全保障要求,尤其是无法满足承担涉及维护国家安全重大责任和国家间网络对抗的需求。更无法企及美国信息安全产业规模和对美国家信息安全保障的支持力度以及在配合美军队、政府实施国家网络安全战略中发挥的作用。而且近年来国际信息安全产业界加快兼并和重组趋势明显,大企业优势和力量更为突出。我国信息安全产业在国际信息安全领域的产业竞争中,差距仍将长期性存在。
张舒, 中国信息安全测评中心副研究员,主要研究方向是信息安全态势与战略研究。
李淼, 中国信息安全测评中心助理研究员,主要研究方向是信息安全研究。
网 络 强 国 建 设 的 思 想 库
—— 安 全 产 业 发 展 的 情 报 站 ——
创 新 企 业 腾 飞 的 动 力 源
··································
