新时代中国网络飞速发展的同时,也存在物联网设备安全防护能力不足、安全漏洞信息保护能力匮乏、网络防护人才队伍建设滞后等一系列网络安全问题。维护网络安全,净化网络空间,必须提升物联网设备安全防护能力,修补安全漏洞,加强人才队伍建设,强化网民安全意识,完善网络治理法规。
网络安全是非传统安全的重要组成部分。从当前来看,网络飞速发展引发网络用户激增,随之带来一系列网络安全问题,比如,实名制不健全、准入门槛低、境内外黑客恶意攻击、网络安全配套立法缺失等。显然,维护网络安全已经成为关系国家利益、人民利益的重大问题,成为未来推动经济社会发展的重要支撑。
当前中国网络安全的进展
以人工智能为基础的网络安全技术研究初步展开。目前,中国遭受的网络攻击频繁,鉴于安全维护人才缺乏和反攻击能力有限的现状,我们还无法有效防范网络黑手的恶意攻击,同时,也应看到,以机器学习、自动推理和搜索方法为核心的人工智能技术在网络安全维护上优势明显。2016年以来,多个科技公司开始打造人工智能安全体系,建立跨网部署的智能安全系统,以遏止黑客入侵,尤其是在第三、四届世界互联网大会上,中国互联网巨头们推出大量基于人工智能的高科技产品,比如华为的“5G预商用系统”、摩拜的“无桩智能共享单车”、阿里巴巴的“ET大脑”等,中国在网络安全防护上已具备一定的网络威胁发现、分析和反击能力。
域名系统安全性提升,防攻击能力增强。2013年以来,中国域名服务系统安全状况良好,无重大安全事件发生。数据显示,针对中国域名系统的攻击事件日均量由2013年的58起降为2017年的30多起,因防护得力未对中国域名解析服务造成重大影响。尽管2016年6月发生了面向全球根域名服务器的大规模DDoS攻击,但基于区块链的去中心化系统的引入,攻击对中国域名系统网络安全没有造成影响。
网页仿冒源头转向境外,网络反诈骗绩效显著。中国互联网诈骗事件频发,仿冒页面成为当下网络诈骗的主要方式。仅国家互联网应急中心(CNCERT)在 2017年参与调处的仿冒页面中,境外注册域名比例为43.9%,仿冒页面的IP地址有88.2%在境外。在应对仿冒页面事件上,CNCERT与国际域名组织合作协力处置。仅2017年,CNCERT就向国际合作伙伴投诉页面仿冒事件1.7万余次,网民经济利益得以维护。
网络法治体系建设奋力推进。从国家层面上看,在《中华人民共和国网络安全法》颁行后,相继出台了《国家网络安全事件应急预案》《公共互联网网络安全突发事件应急预案》等配套法规,中国网络法规体系建设迈开坚实步伐;从地方层面上看,人大机关制定下发了相关的网络安全管理规范,比如,杭州市人大常委会早在2009年4月就颁行了《杭州市计算机信息网络安全保护管理条例》。2017年以来,浙江省立法机关推动出台《浙江省网络安全保护条例》《浙江省个人信息保护条例》,其他各省也在积极制定网络安全法规。
中国网络安全的现实挑战
物联网设备安全防护能力不足。2017年国家信息安全漏洞共享平台(CNVD)收录的物联网设备安全漏洞数量比上年增长近1.2倍,每日受控物联网设备IP地址达2.7万个。同2017年相比,预计2018年这一被攻击态势会有增无减。随着5G时代和工业互联网的来临,2018年国家层面的商用试点规划,将有力推进物联网设备数量的快速增长。但由于制造商的物联网设备安全防护技术有限,缺少设备网络风险评估以及行业监管力度不足,未来利用物联网设备发动攻击的威胁可能加剧。
安全漏洞信息保护能力匮乏。软硬件内在的安全漏洞是造成网络安全事件的直接导火索。据CNVD可见,2015年以来新增通用软硬件的漏洞数量年均增长率都在20%以上。另外,一些软硬件技术公司在向社会发布系统漏洞时缺少必要防范措施,为网络攻击者发动远程攻击提供了广阔空间。
网络防护人才队伍建设滞后。是否拥有实力强劲的网络警察队伍是决定反网络攻击成效和实现网络安全的关键因素。仅就智能生产而言,2016年德勤-MAPI研究数据显示,75%的受访主管认为,他们最缺乏维护网络安全的高技术人才。总体来讲,当前中国在规避恶意程序、消除安全漏洞、反网络金融欺诈、网络军事安全等方面的高端技术人才供给严重不足,成为制约网络安全维护的最大短板。
网民安全意识不强。中国网民在网络安全上主要表现为三个“不够”,即对个人重要信息的安全防范意识不够,对假冒网站及诈骗信息的识别能力不够,对官方的网络安全预警信息重视不够。正是由于这些“不够”,导致网民经常遭受重大经济损失和人身名誉侵害。
网络安全法律法规不完善。尽管2017年国家颁行了《中华人民共和国网络安全法》,但这一成文法只是对网络安全维护进行了原则性规定,在地方层面还缺少配套的网络安全法规。同时,完善《中华人民共和国治安管理处罚法》《中华人民共和国刑法》等基本法成为现实需要。
中国网络安全的应对之策
提升物联网设备安全防护能力,维护行业和网民利益。对物联网设备安全防护技术进行升级,淘汰过时设备,或定期对设备进行升级维护,提升设备检验等级;建立职业化的设备网络风险评估队伍,网络设备在运转过程一旦发生损坏,将会造成网络停运并导致重大经济损失,由专职人员对此类损失进行预先风险评估,可把损失控制在合理范围;加大行业监管力度,以中国互联网协会为龙头,对互联网设备的制造与应用进行监督,积极引导互联网设备制造商遵守行业公约,推进行业自律,维护行业利益和网民权益。
加强安全漏洞修补,压缩远程攻击空间。对各类软硬件制造公司的制成品进行网络应用前漏洞检测,同时展开实时网络在线监控,一旦发现安全漏洞,及时修补并建立漏洞日志;把软硬件技术服务公司定期向社会发布的安全漏洞信息控制在一定范围内,避免过度发布,以防被网络不法分子利用,免遭经济损失;要优化网络安全内部控制机制,各网络公司应在内部构建软硬件内部监测机制,及时识别不法攻击,规避网络风险。
加强人才队伍建设,提升网络安全预警能力。细化专业设置,补齐专业短板,在高校计算机学院(系)开设恶意程序识别、安全漏洞堵塞、反网络金融欺诈等专业,培养中高端网络安全维护人才;加大培训力度,使业余人才专业化,考虑由政府出资对部分“半路出家”的网络安全维护人员进行培训,采取网络安全实战模拟形式,提升其理论修养和实践能力;加强与网络公司对接,联合培养军地高端人才,积极为网络安全专业大学生创造各种实习机会,推动中国网络安全企业与军事研究机构和军校合作,联合培养军队网络安全人才,提升军网反攻能力;组建网络安全志愿者队伍,协助警方举报网络违法犯罪,推进网络安全群防群治。
强化网民安全意识,维护自身权益。加强个人重要信息监管,不随便对外泄露个人信息,尤其是身份证、信用卡等信息,以防被网络骗子利用,遭受经济损失。强化假冒网页和诈骗信息识别力,采取网络课堂培训、微视频等形式加大网民网络安全知识培训,提升其安全防范意识,加大政府部门对网络诈骗的监管力度,实现网民在线安全交易。
落实网络安全法,完善网络治理法规。广大网民和网络执法机关要努力学习相关法律法规,并在网络实践中运用和恪守,共同抵制网络犯罪行为,净化网络空间。结合《中华人民共和国网络安全法》和新时代网络治理要求,升级《中华人民共和国治安管理处罚法》等基本法,强势压缩乃至消除网络犯罪空间;根据网络犯罪手段层出不穷的特点,及时制订出台相应法律法规,大力清除网络毒素,打造绿色网络空间环境
