網絡安全提案的“新舊”比較

在今年的“兩會”上，有些提案看似眼熟，比如個人信息安全保護立法。早在2014年，互聯網“大佬”集體就網絡安全、手機安全與個人信息保護話題進行了提案，力推《個人信息保護法》出臺。今年這一提案由于和大數據結合有了一些“新意”。據了解，全國人大代表、中國電信湖南公司總經理廖仁斌在今年的“兩會”上呼吁，大數據時代的個人信息安全是一個戰略問題。只有重視好信息安全問題，大數據才能成為國家強大的生產力和產業鏈。為此，他建議加快建設大數據時代個人信息安全保護體系。

廖仁斌建議，應該加快國家對大數據時代個人信息安全的統一立法工作，規范政府、企業、個人等大數據產業鏈參與者的行為準則；在國家層面建立統一的監管體系，加強個人信息保護“事前、事中、事后”監管；充分發揮行業自律，引導各個行業制定適合本行業的個人信息保護標準和規范；推動大數據信息安全產業的發展；提升公民信息安全防范技術水平和安全保護意識。

由于全球信息安全事件頻發，IT設備國產化正逐步成為政策導向，浪潮集團董事長孫丕恕等在2014年“兩會”提案中便涉及高端服務器聯盟、信息安全審查制度等方面。一年后，國內的信息安全國產化已經初步取得了進展。在今年的“兩會”提案中，九三學社中央就提出了“建立網絡安全的國家隊刻不容緩”的建言。提案指出，目前我國ICT（信息和通信技術）產業技術能力和競爭力與國外同業差距較大，因此，有必要成立互聯網安全“國家隊”來引領發展。應支持優秀的互聯網安全企業成為“國家隊”成員，并形成一套可操作的、與國際接軌的、與我國國情相符合的、能夠動態調整的措施手段，支持“國家隊”發展，從而確保我國國民經濟安全和可持續發展。

除此之外，還有一些提案涉及到當前熱門的網絡安全話題。北京啟明星辰信息技術股份有限公司首席執行官嚴望佳作為全國政協委員，今年的三份提案均涉及網絡安全，而重中之重正是目前的熱點網絡安全審查。嚴望佳認為，審查內容不能僅停留在技術層面，要進行全方位審查，才能保證國家重要部門和行業的信息技術產品和服務的信息安全自主可控。騰訊董事局主席馬化騰也建議在政府工作報告中，除了要重視物理空間的安全以外，還要加強對網絡安全的關注，增強全民網絡安全意識。

對付安全“黑洞”需要新辦法

過去一年來，我國網絡安全的形勢出現了一些新的變化。一方面IT和信息化的發展已經逐漸和我們的工作生活緊密契合，信息化和政府部門、制造業的結合，誕生了智慧城市和智能制造這樣全新的生態環境和生態產業鏈，必然會產生新的需求；另一方面，在云計算、物聯網、移動互聯網的迅速發展背景下，網絡安全已經不再局限于過去那種一網一線一終端的要求，而是有了更多新的挑戰，安全“黑洞”帶來的形勢嚴峻。

據業內專業的安全公司360估算，目前超過37%的國內網站存在漏洞，利用網站漏洞的攻擊以近5倍速度增長，網站信息泄漏的風險越來越大。2014年前11個月，360網站安全檢測平臺共掃描各類網站164.2萬個，較2013年的91.2萬個增加了80.0%。其中，存在安全漏洞的網站為61.7萬個，占掃描網站總數的37.6%。其中，存在高危安全漏洞的網站共有27.9萬個，占掃描網站總數的17.0%。2014年全年，360網站衛士共攔截各類網站漏洞攻擊7.0億次，較2013年1.21億次，增長了約4.8倍。

360公司董事長兼CEO周鴻建議，個人信息安全保護要遵循三個基本原則，即以保護用戶信息和數據安全為前提，明確用戶對信息數據的所有權，明確企業對信息數據的保障義務，并保障用戶在信息交換和使用時的知情權，是互聯時代保護信息安全的基礎。

2014年以來，我國政府核心部門的網絡安全問題也變得十分棘手，IT產品的自主可控變得極為重要。2014年9月，中國銀監會頒發了《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》(39號文件)，提出了到2019年，掌握銀行業信息化的核心知識和關鍵技術，安全可控信息技術在銀行業總體達到75%左右的使用率，并且從2015年起，各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加。

在今年“兩會”期間，針對政府核心部門的網絡安全，啟明星辰CEO嚴望佳建議在政府、電信、金融、能源、教育、大型企業、軍隊軍工、交通、媒體、醫療衛生等關系到國防安全、國計民生的關鍵領域，建立詳細的透明供應鏈登記名錄。依托政府采購，進一步完善供應商、產品市場準入和業績評估體系，建立詳細的透明供應鏈登記名錄，同時在關鍵基礎設施、敏感部門、政府機構中規范采購行為。

中國工程院院士倪光南認為落實透明供應鏈登記工作，并推行首席信息安全官制度的建議很有意義，是可行的。“在關鍵基礎設施、敏感部門、政府機構中落實透明供應鏈登記工作，這對屬于政府采購或公共采購范疇的單位，可以歸結為落實國家的有關法規，因為如果能真正做到依法采購，也就基本上達到了供應鏈透明的要求”，倪光南如是說。

2015年，可以期待的變化

2014年，有關部門密集出臺了很多與網絡安全相關的措施和政策：從成立中央網絡安全和信息化領導小組到中央機關采購計算機禁止安裝Win8系統、銀監會印發關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見等等。在過去一年我們能看到國家和重點行業的政策與行動，對信息安全及國產化推進尤為重視。早日實現核心信息技術和產品的自主可控，擺脫受制于人的局面，是信息化建設的關鍵環節，也是保護信息安全的重要目標。

縱觀國內外的形勢，盡快實現網絡安全立法是一件迫在眉睫的大事。在3月3日下午召開的政協第十二屆全國委員會第三次會議上，全國政協副主席齊續春宣布，網絡安全法已經列入相關立法計劃。

2015年的網絡安全形勢有哪些可以期待的變化？IDC等機構針對2014年我國網絡安全形勢進行分析后，預料在有關部門出臺軍隊、政府、金融等部門的網絡安全的相關規劃之后，今年針對制造業、服務行業等更多領域的網絡安全政策及細則會陸續出臺，我國的網絡安全的整體戰略規劃有望在2015年初步形成。

同時，國家整體網絡安全戰略的出臺將促進中國IT市場競爭格局的改變，有技術實力和自主知識產權產品的本土廠商的市場份額將逐步攀升，競爭優勢將越來越明顯，國外廠商的市場份額將逐步降低，國產化替代機會凸顯。在未來幾年中，為應對這種狀況，國外廠商與中國公司的合資和合作將日益普遍。這些合作將從過去幾年的貼牌、分銷等簡單模式，走向更深入的層面。

一些有實力的國內廠商甚至可以借此機會逐漸擴大影響和規模。隨著互聯網業務的全球化，一些本土云計算服務廠商也在走向全球。目前包括阿里云、百度等在內的云計算企業已經開始步入歐美市場，阿里云在今年3月份剛剛宣布在美國成立分支機構，正式宣布進軍海外市場。

另一方面，業內關于信息安全的產品和技術方案的整合也必將成為趨勢之一。隨著各領域優勢企業資金和技術實力的增強,，信息安全亟需形成整合式競爭優勢以滿足企業整體IT建設的需求。以自主技術為基礎，以統一整合為主導，構建完整的信息化解決方案，才能適用目前快速發展的信息化需求，提升中國信息安全自主可控能力，未來傳統分散的技術將趨于整合，行業集中度有望持續增大。

從斯諾登事件，12306“泄密門”到政府網站漏洞，以及不久前海康威視監視器被劫持，越來越多的網絡安全事件已經圍繞數據安全在展開。數據安全主要是解決數據級權限管理、數據防泄密的問題，也有利于解決云計算、物聯網、移動互聯網帶來的系統邊界模糊化導致的安全防護難題。2015年隨著國家相關監管政策的出臺，預計金融機構、運營商和央企將邁入數據安全建設的高峰期，而政府行業用戶由于便民服務需求的緊迫性將緊隨其后、快速啟動。

本文刊載于《中國信息化》雜志2015年第3期(2015年3月10日)，敬請關注！