謝 瑋

（作者為工信部電信研究院信息通信安全研究所網(wǎng)絡(luò)安全部主任、高級工程師）

隨著信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，國家安全的邊界已經(jīng)超越地理空間的限制，拓展到信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全成為事關(guān)國家安全的重要問題。

互聯(lián)網(wǎng)自商用之日起，技術(shù)發(fā)展與安全威脅的矛盾就一直相伴相生，從未平息。2013年6月，“棱鏡門”事件爆發(fā)，世界各國深刻認識到互聯(lián)網(wǎng)治理權(quán)關(guān)乎國家網(wǎng)絡(luò)空間安全和利益；同年8月，我國國家域名解析系統(tǒng)遭受攻擊，造成國內(nèi)網(wǎng)絡(luò)鏈路擁塞，用戶訪問緩慢。頻發(fā)的網(wǎng)絡(luò)信息安全事件，暴露出我們越來越依賴的互聯(lián)網(wǎng)，其安全屏障遠不像我們想象得堅固。

網(wǎng)絡(luò)安全威脅層出不窮，強化國家關(guān)鍵基礎(chǔ)設(shè)施安全可控能力迫在眉睫

當(dāng)前，木馬僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站等非傳統(tǒng)網(wǎng)絡(luò)安全威脅有增無減，新型網(wǎng)絡(luò)攻擊愈演愈烈。International Data Corporation（全球著名的信息技術(shù)、電信行業(yè)和消費科技市場咨詢、顧問和活動服務(wù)專業(yè)提供商）發(fā)布的報告顯示，全球惡意代碼樣本數(shù)目正以每天可獲取300萬個的速度增長，云端惡意代碼樣本已從2005年的40萬種增長至目前的60億種。與此同時，交通、石油電力、基礎(chǔ)網(wǎng)絡(luò)等國家關(guān)鍵基礎(chǔ)設(shè)施頻受高危安全漏洞威脅。隨著互聯(lián)網(wǎng)應(yīng)用的不斷擴展，網(wǎng)絡(luò)空間安全與物理世界安全的邊界日益模糊，傳統(tǒng)工業(yè)控制系統(tǒng)安全能力相對薄弱，接入互聯(lián)網(wǎng)后直接暴露于公眾網(wǎng)絡(luò)，潛在風(fēng)險巨大。2012年，美國有四家石油公司稱其計算機系統(tǒng)受到震網(wǎng)病毒襲擊；2014年，名為Bash的安全漏洞影響遍及全球約5億臺服務(wù)器及其他網(wǎng)絡(luò)設(shè)備。

我國互聯(lián)網(wǎng)安全形勢同樣不容樂觀。國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，2014年上半年境內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機達626萬臺；大量境外網(wǎng)絡(luò)攻擊難以處置追溯，2014年上半年被植入后門的網(wǎng)站中84.8%被境外控制，針對境內(nèi)網(wǎng)站的釣魚站點90.4%位于境外。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是互聯(lián)網(wǎng)發(fā)展的基石，但我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全可控程度仍然不高，路由器、操作系統(tǒng)等關(guān)鍵軟硬件設(shè)備的漏洞、后門頻發(fā)，存儲設(shè)備、運算設(shè)備等數(shù)據(jù)基礎(chǔ)設(shè)施不斷遭受安全挑戰(zhàn)。因此，加快推進網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全可控，盡力消除設(shè)備原生性安全風(fēng)險，減少國家數(shù)據(jù)資源流失是實現(xiàn)基礎(chǔ)設(shè)施互聯(lián)互通的首要條件。

同時，在頂層設(shè)計上，國家已將確保國家網(wǎng)絡(luò)和信息安全提上了新的日程。2014年我國成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)涉及各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題。國務(wù)院重組了國家互聯(lián)網(wǎng)信息辦公室，授權(quán)其負責(zé)全國互聯(lián)網(wǎng)信息內(nèi)容管理工作，并負責(zé)監(jiān)督管理執(zhí)法。工信部發(fā)布了《關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，明確了提升基礎(chǔ)設(shè)施防護、加強數(shù)據(jù)保護等八項重點工作，著力完善網(wǎng)絡(luò)安全保障體系。

移動智能終端惡意程序泛濫，嚴重威脅公眾用戶利益

涉及智能終端、移動應(yīng)用各類安全事件頻發(fā)，影響了用戶使用新業(yè)務(wù)的信心。例如，一方面某些手機操作系統(tǒng)缺乏必要的控制，導(dǎo)致不良應(yīng)用可以任意監(jiān)聽用戶通話、濫發(fā)短信、記錄位置信息；另一方面手機自身對用戶數(shù)據(jù)的保護手段缺乏，重要數(shù)據(jù)明文存儲，未設(shè)置訪問控制，這也使得惡意應(yīng)用在實施盜取位置信息、電話本、通話記錄等敏感信息時輕易得手。同時，移動互聯(lián)網(wǎng)在線應(yīng)用也存在大量安全隱患，包括惡意扣費、流量耗費等問題，甚至傳播涉黃、反動等非法內(nèi)容。

針對移動智能終端和應(yīng)用安全問題，除了引導(dǎo)公眾安裝手機防病毒軟件、不隨意下載來源不明的應(yīng)用程序，提高自身安全防護意識以外，更重要的是進一步強化對相關(guān)生產(chǎn)和運營企業(yè)，尤其是應(yīng)用商店的安全監(jiān)管，完善安全標準規(guī)范，建立對移動應(yīng)用程序的來源認證機制，強化對惡意應(yīng)用的追蹤溯源治理能力。與此同時，還應(yīng)大力扶持國內(nèi)移動智能終端操作系統(tǒng)平臺、芯片等核心移動終端產(chǎn)品的研發(fā)，切實提高我國移動互聯(lián)網(wǎng)關(guān)鍵軟硬件的安全可控水平。

2014年11月19日至21日，首屆世界互聯(lián)網(wǎng)大會在浙江烏鎮(zhèn)召開。圖為國家互聯(lián)網(wǎng)信息辦公室主任魯煒（左）向烏鎮(zhèn)鎮(zhèn)長朱學(xué)龍授予“世界互聯(lián)網(wǎng)大會永久會址”標牌。

智能醫(yī)療、智能家居、車聯(lián)網(wǎng)等新興技術(shù)帶來新型網(wǎng)絡(luò)安全威脅

隨著互聯(lián)網(wǎng)的不斷普及，萬物互聯(lián)下網(wǎng)絡(luò)攻擊正逐步向各類聯(lián)網(wǎng)的智能用戶終端滲透。據(jù)美國權(quán)威咨詢機構(gòu)Forrester預(yù)測，到2020年，世界上物物互聯(lián)的業(yè)務(wù)，跟人與人通信的業(yè)務(wù)相比，將達30 ∶ 1。物聯(lián)網(wǎng)終端數(shù)量正以前所未有的速度增長，隨之而來的網(wǎng)絡(luò)安全威脅也將全面輻射至各行各業(yè)的各類設(shè)備和應(yīng)用中。2013年，醫(yī)療設(shè)備通信協(xié)議的設(shè)計缺陷及硬件漏洞被曝光，黑客可通過遠程控制心臟起搏器、胰島素注射器等智能醫(yī)療產(chǎn)品，嚴重威脅使用者生命安全；2014年，多款智能汽車被技術(shù)人員攻破，利用應(yīng)用程序漏洞可實現(xiàn)遠程車輛控制，實施開鎖、控制方向盤、緊急制動等危害乘坐者生命財產(chǎn)安全的行為。

當(dāng)前，針對這些新興技術(shù)的安全產(chǎn)品極度稀缺，相關(guān)防御技術(shù)手段的研發(fā)尚處于起步階段。技術(shù)創(chuàng)新是網(wǎng)絡(luò)發(fā)展的根本動力，是應(yīng)對外部網(wǎng)絡(luò)安全威脅之矛，是強化自身安全防護能力之盾。大力扶持相關(guān)領(lǐng)域安全技術(shù)產(chǎn)品的研發(fā)，將是推動新產(chǎn)業(yè)、新業(yè)態(tài)健康發(fā)展的必要保障。

從未來發(fā)展來講，對互聯(lián)網(wǎng)的管理和治理，還是要靠法來管。黨的十八大和十八屆四中全會明確提出加強網(wǎng)絡(luò)法治建設(shè)的大政方針，未來網(wǎng)絡(luò)法治建設(shè)將迎來一個快步推進的熱潮。當(dāng)前網(wǎng)絡(luò)安全法已納入人大立法規(guī)劃，國家網(wǎng)絡(luò)安全戰(zhàn)略、關(guān)鍵基礎(chǔ)設(shè)施保護法案、網(wǎng)絡(luò)安全審查制度等一系列戰(zhàn)略法律、制度規(guī)則的制定步伐將全面提速。