过去一年间,我国信息安全领域可谓大事要事不断。而在行业安全可控和开放创新并轨发展的过程中,一些高频热词时时闪现,勾勒出机遇、挑战并存的崭新局面。
数据治理
2019年,数据治理的思路在整个信息安全行业内得到贯彻。中国作为世界网络大国和数字经济大国,正积极推进数字产业化、产业数字化,引导数字经济和实体经济深度融合,推动经济高质量发展。
安全与发展是数字经济的一体两面。今年以来,为了实现数字经济持续健康发展,我国数据治理的协同法律、规则和技术不断推出,如何使用好、管理好数据,俨然成为了2019年各网络大会和论坛的热门议题。目前来看,数据质量低、数据孤岛普遍存在、数据安全管理不到位、数据流通共享不畅等是阻碍数据价值持续释放的几大问题。
网络空间命运共同体
10月16日,世界互联网大会组委会发布《携手构建网络空间命运共同体》概念文件,全面阐释了构建网络空间命运共同体理念的时代背景、基本原则、实践路径和治理架构。这是自2015年篮球比分总书记提出网络空间命运共同体之后,有关部门对各方期待的一次积极回应,获得了国内外信息安全领域的广泛关注。
该文件在“保障网络安全,促进有序发展”一条中,就遏制信息技术滥用、增强战略互信、共享网络威胁信息、协调处置重大网络安全事件、合作打击网络恐怖主义和网络犯罪等提出了倡议。在“构建全球网络空间治理体系,促进公平正义”一条中,则提倡发挥联合国在网络空间国际治理中的主渠道作用,发挥政府、国际组织、互联网企业、技术社群、社会组织、公民个人等各主体作用,建立相互信任、协调有序的合作,完善对话协商机制,研究制定网络空间治理规范等。
地缘政治
2019年,非技术因素对信息安全的影响力持续加大,而地缘政治正是其中相当具有决定意义的一项。此前“中兴事件”“华为事件”的接连爆发,已经拉开了信息安全领域地缘政治博弈的序幕。及至今年,美国司法部正式对华为提起包括窃取商业秘密在内的多项诉讼,并且对其进行出口管制,澳大利亚、日本等国亦随之表示或拒用华为5G设备。
对此,我国外交部部长王毅在十三届全国人大二次会议记者会上特别指出:“我们今天要维护的,不仅仅是一个企业的权益,而是一个国家、一个民族的正当发展权利。”此外,还有学者指出,要格外警惕大国网络战带来的“滴漏效应”,一旦国家网络安全防线被攻破,那么受损的绝不仅是国家秘密,社会稳定和公民安全也必会受到波及。
自主可控
2019年,我国信息安全自主可控相关研究、生产、应用受到强烈关注。打破国外在互联网架构上的垄断,防范软硬件设施后门、漏洞,已经成为业界共识。
其中,自主可控基础硬件研制已取得显著成效,部分“卡脖子”问题得到解决;自主可控基础软件突破微软生态,国产操作系统的实用性、稳定性和安全性日趋强大,正在从“可用”阶段向“好用”阶段进步;自主可控应用软件在高精尖领域得到应用,并在对实时性要求较高的领域中通过了实践检验;等等。
不过也有专家指出,我国自主可控网络安全管理领域尚存短板,需进一步补全。此外,我国自主可控软硬件尚未达到“市场可控”标准,如何杀进“红海”,是相关企业单位必须考虑的现实问题。
5G商用
2019年6月,工信部向中国电信、中国移动、中国联通、中国广电发放5G商用牌照,我国正式进入5G商用元年。在5G技术的加持下,汽车、医疗、保险、金融、教育等传统垂直行业纷纷沸腾,而5G安全配套措施能否跟上节奏的问题也备受关注。
业界普遍担心,5G网络的智能互联功能将使网络安全风险辐射面扩大,且在网络的开放性、可编排性等方面存在潜在风险,切片技术的引入也有可能带来跨域、跨层的安全风险。在这样的形势下,一批致力于5G安全保密的企业正紧抓机遇,蓄势待发。
云安全
在各类型网络安全事件数量中,云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%。而伴随着5G网络的应用,云平台的利用率有增无减,相关网络威胁更值得关注。
基于此,今年,有关部门、企业、专家学者都就这一问题深度聚焦,推出了一系列导向政策和解决方案。比如,7月22日,工信部等四部委联合发布了《云计算服务安全评估办法》,旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,同时增强数据向云服务平台迁移的信心。而有关企业也推出了一系列云安全服务,通过防勒索、防病毒、防篡改、合规检查等手段,帮助用户实现威胁监测、响应、溯源的自动化安全运营闭环,同时保护云上资产和本地主机的信息安全。云安全日益成为行业的竞争点。
信息安全等级保护2.0
对于我国信息安全企业来说,今年最大的政策变化当属信息安全等级保护(以下简称等保)从1.0跨越到了2.0阶段。
等保2.0国家标准,将保护对象拓展为网络和信息系统,并将网络基础设施等纳入保护范围;提出了“一个中心,三重防护”的主动动态防御思路;对密码使用提出了严格要求,并强调了可信计算技术的重要作用;规定动作发生变化。总而言之,等保2.0的颗粒度更细了,信息安全企业搭建的产品框架必须更加全面。
关键基础设施保护
2019年,防范关键基础设施攻击成为各大信息安全活动和学术会议的“必修课”。有学者指出,电力、水利、电信、工控等关键基础设施已成为网络战的核心战场。而近期X—Force和IRIS团队的一项研究也表明,2019年黑客针对关键基础设施的恶意攻击激增了200%。
结合已公开的相关案件,不难看出,除典型的APT攻击活动持续活跃之外,电磁干扰、DDoS攻击、“震网”病毒攻击等也是关键基础设施信息安全面临的重要风险。
人才缺口
2019年,我国信息安全领域人才紧缺问题仍然突出。其中,网络空间安全人才缺口已达70万,预计到2020年将超过140万。不过幸运的是,我国网络安全学科建设及人才培养也在这一年驶上了快车道。
据教育部有关人员介绍,我国目前已建设与网络安全直接相关的本科专业5个,分别是网络空间安全、信息安全、信息对抗技术、保密技术、网络安全与执法。截至2019年5月,42所高校成立了专门的网络空间安全学院或网络空间安全研究院。
(转载自《保密工作》杂志2019年第12期)