信息安全:形势严峻 政策加码
信息安全产业是互联网时代里最为重要的产业。2017年央视3·15晚会多个节目预警信息安全,河南某科视公司非法收集、使用小学生信息,PS软件轻易骗过人脸识别,充电桩能轻松突破用户手机支付买电影票等,讲述的都是个人信息安全的问题。
信息安全产业也是我国信息化建设进程中的新兴产业,随着信息化的深入和信息系统的普及,网络环境下的信息安全问题日益突出,不仅关系企业的数据安全和业务安全,甚至关系到社会安全和国家安全。当前,信息通信技术和网络快速发展并加速向传统领域融合,导致安全威胁更加复杂隐蔽,伴生性安全威胁和传统安全威胁交织更加复杂,网络安全预警、应急处置和追踪溯源难度持续加大,互联网与工业等领域融合创新带来的安全问题日益严峻,网络安全管理理念和架构亟待创新完善。
工信部今年正式印发了《软件和信息技术服务业发展规划(2016-2020年)》,信息领域庞大的体量再一次令人震惊,2020年软件与信息服务业务收入要达到8万亿元,这跟“十二五”末的4.3万亿元相比,几乎翻了一番。信息安全产品的收入要在“十三五”末期达到2000亿元,年均增速达到20%。
从目前来看,我国信息安全产业还远远不能满足我国现有的网络安全需求。因此,我们必须加快信息安全产业的发展,加速提升信息安全产业的供给能力和竞争力。
国家越来越重视信息安全的保障能力的提升。近年来,国内外网络安全事件频繁发生,我国政府对于信息安全防护的政策支持力度不断提升。中央网络安全和信息化领导小组明确提出网络强国建设战略目标。2016年,国家网络空间安全正式写入“十三五”规划,在政府未来5年的100项重大建设项目中排在第5位。随着顶层设计的明确,2016下半年开始,包括《网络安全法》、《国家网络空间安全战略》及近期的《战略性新兴产业重点产品和服务指导目录》等在内的多项信息安全重磅政策密集出台。
工信部先后制定发布了关于电信和互联网行业网络安全、基础电信企业网络与信息安全责任考核、电话用户真实身份信息登记、电信和互联网用户个人信息保护、工业控制系统信息安全防护指南等规章制度,不断完善网络与信息安全管理制度。从趋势来看,政府对信息安全建设的支持力度还会持续提升。
与此同时,“互联网+”行动计划、中国制造2025、军民融合发展、大数据以及“一带一路”等战略的推进实施,将催生出更多更复杂的网络安全保障需求,这也赋予了软件与信息服务产业新的任务与使命。
在制造业、服务业等领域,软件与信息服务产业的渗透率逐步提高,工业互联网、大数据与云计算、信息物理系统与智能制造的融合发展,都将为信息安全产业提供业务开展的方向。
专家观点
中国工程院院士倪光南:
应构建安全可控信息技术体系
构建安全可控的信息技术体系,是达到“技术先进”的必要条件,也是建设网络强国的必要条件。这里突出了二个要求:一是“安全可控”,二是“技术体系”。安全可控比自主可控的要求更高。自主可控是达到安全可控的前提,做不到自主可控,肯定达不到安全可控;但即使做到了自主可控,也不等于安全可控。自主可控可以保证基本上不存在后门,并能不断地提升安全性和自行修补漏洞。安全可控在技术层面上要求掌握各种先进技术,在产业层面上要求建设健全的产业链,在网络对抗层面上要求具有主动权等。技术设备的自主可控性一般可以通过某种测评加以评估;技术设备的安全可控性往往需要通过全面的测试,有时需要实践检验才能得出结论,且需要与时俱进。只有构建安全可控的信息技术体系,才能在此基础上构建领先的、强大的信息产业,最终实现建设网络强国的目标。
信息技术体系需要标准体系的支撑。信息技术具有很强的自然垄断性,如果不突出标准建设,那么,信息技术设备就会互不兼容,在市场上就缺乏竞争力,就不可能建设一个领先的、强大的信息产业。
中国信息安全研究院副院长左晓栋:
国产替代不等于排斥国外产品
“加快推进国产自主可控替代计划”,不能认为是改变了“中国开放的大门不能关上,也不会关上”的承诺,也不是要调整国家的网络安全政策。如何理解这一要求,我认为可以从三个方面去把握。
首先,我国的“自主创新”从来都是科技政策范畴的问题,而不是贸易政策范畴的问题。国内外一些人对中国的“自主创新”十分敏感,猜度很多,这完全没有必要。
其次,“替代”不是通用领域的替代,而是在涉及国家安全的领域积极使用国产产品,这正是WTO规则所说的“国家安全例外”。斯诺登曝出的“棱镜计划”显示,美国正是利用其“一家独大”的信息技术优势,通过美国企业产品在他国重要核心部门的广泛渗透,从而获取他国的敏感重要信息,甚至控制他国系统,对此必须加以防范。事实上,我们目前并不具备大范围替代国外产品的能力。即使将来我们的国产产品达到了与国外同等的水平,也不可能不使用国外产品,美国今天也没有做到只使用自己的产品,今后必然是你中有我、我中有你的状态。
最后,“替代”是要通过应用带动国产产品的不断成熟,这是核心技术攻关的必经阶段,而不是排他性的政策目标。其要点是加大国产产品应用,而目前我们使用的产品,特别是基础性软硬件基本都是国外产品,其中自然会涉及“替代”问题。但这本身不是非此即彼的问题,是要给国产产品提供发展空间,而不是挤压国外产品的生存空间。技术要发展,必须使用;如果大家都不用,就是报一个课题完成报告,然后束之高阁,那永远发展不起来。
中国信息安全认证中心主任魏昊:
我国信息安全认证规模和质量需提升
在开放的市场环境下,网络安全需要社会各方在法治的轨道上协同治理,而标准和认证正是规范各方行为,支撑法律实施的重要技术基础。网络安全认证是网络安全生态的重要组成部分,认证在国家信息安全保障体系当中正发挥着越来越重要的作用。
当前,我国在信息安全认证的规模和质量上还不能完全满足安全产业和网络安全保障工作的需要,其地位和影响力还需不断提升。同时网络安全领域的认证还存在一些问题,尤为突出的是对信息安全产品的重复检测认证问题,对企业造成了困扰,《网络安全法》对此做了明确规定。下一步,加强政府部门间的统筹协调,加强网络安全领域产、学、研、用各方之间的协同配合,统一检测认证标准、统一采购要求是非常重要的。此外,在技术创新阶段建议加强各方合作,建立统一的更符合安全需求的技术标准和认证体系,从源头上预防新的重复认证和检测的发生。