中國網絡安全風險增大 如何整治？

　　今年上半年，我國持續推進網絡安全政策環境建設，并圍繞落實《網絡安全法》，出臺了多項網絡安全相關政策文件，網絡安全政策環境進一步優化。

　　1月，工業和信息化部發布《信息通信網絡與信息安全規劃(2016-2020)》，提出了建立健全網絡與信息安全法律法規制度、加快構建網絡基礎設施安全保障體系、全面提升網絡與信息安全技術保障水平等9大任務。3月，外交部和國家互聯網信息辦公室共同發布《網絡空間國際合作戰略》，就推動網絡空間國際交流合作首次全面系統提出中國主張，為破解全球網絡空間治理難題貢獻中國方案，是指導中國參與網絡空間國際交流與合作的戰略性文件。

　　4月，國家互聯網信息辦公室起草并公開了《個人信息和重要數據出境安全評估辦法(征求意見稿)》，明確了國家網信部門、行業主管或監管部門、網絡運營者的權責，對數據出境評估的范圍、內容、程序和相關概念進行了界定，旨在保障個人信息和重要數據安全，維護網絡空間主權和國家安全。

　　5月，國家互聯網信息辦公室發布了《網絡產品和服務安全審查辦法(試行)》，明確了審查對象、流程、機制等，為推動開展網絡安全審查、提升網絡產品和服務安全可控水平提供依據。國家發展改革委、人民銀行、工業和信息化部等多部門，聯合簽署《關于在電子認證服務行業實施守信聯合激勵和失信聯合懲戒的合作備忘錄》的通知，旨在推進電子認證服務領域信用體系建設，建立健全守信聯合激勵和失信聯合懲戒機制，促進形成“褒揚誠信、懲戒失信”的良好社會環境。

　　6月，工業和信息化部制定了《工業控制系統信息安全事件應急管理工作指南》，旨在建立健全工控安全應急工作機制，提高應對工控安全事件的組織協調和應急處置能力，預防和減少工控安全事件造成的損失和危害。國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會等部門制定了《網絡關鍵設備和網絡安全專用產品目錄(第一批)》，涉及路由器、交換機、服務器、防火墻等15類產品。目前公安部正在制訂網絡安全保護條例，擬將大數據、云平臺、物聯網、工控系統納入，并進一步完善等級保護措施，重點加強對國家關鍵基礎設施和大數據的安全保護。

　　互聯網治理工作深入推進

　　2016年12月開始，工業和信息化部開展了為期8個月的互聯網基礎管理專項行動，加強網站備案、IP地址、域名等互聯網基礎管理，嚴格落實實名制。

　　1月，國家網信辦聯合相關部門開展了整治亂改標題、歪曲新聞原意等“標題黨”的專項行動，明確要求各網站把堅持正確輿論導向貫穿到互聯網新聞采集、撰寫、編排、發布等環節。

　　3月，公安部部署打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動，持續對竊取、販賣、非法利用公民個人信息犯罪活動保持高壓震懾態勢，保護公民合法權益。

　　3月至11月，國家網信辦聯合相關部門組織開展“凈網2017”“護苗2017”“秋風2017”等專項行動，對文化市場存在的突出問題進行集中整治，嚴厲打擊不法行為，持續凈化文化市場環境。

　　5月至11月，國家網信辦聯合相關部門開展2017網絡市場監管專項行動，嚴厲打擊侵權假冒、虛假宣傳、虛假違法廣告等行為。

　　網絡安全標準研制工作穩步推進

　　上半年，圍繞落實《網絡安全法》，盡快建立與《網絡安全法》實施相配套的標準體系，我國積極推進網絡安全標準化工作，在云計算、大數據、個人信息安全保護、移動互聯網、安全可控信息技術產品等領域的標準研制工作取得突破。

　　發布標準

　　《信息安全技術密碼應用標識規范》《安全域名系統實施指南》《信息安全技術基于互聯網電子政務信息安全實施指南第3部分：身份認證與授權管理》等10余項網絡安全標準獲批發布。

　　標準送審稿

　　《信息技術產品安全可控評價指標第2部分：中央處理器》《信息技術產品安全可控評價指標第3部分：操作系統》《網站可信評估指標》等相關標準形成送審稿。

　　標準征求意見

　　《信息安全技術信息技術產品安全可控評價指標第1部分：總則》《信息安全技術數據出境安全評估指南(草案)》《信息安全技術大數據安全管理指南》等40余項標準公開征求意見。

　　標準立項

　　《網絡產品和服務通用安全要求》《關鍵信息基礎設施網絡安全保護要求》《關鍵信息基礎設施安全保障指標體系》等相關標準獲批立項。

　　網絡安全技術防護能力明顯增強

　　網絡安全企業推出多款新技術產品

　　2月，華為發布業界首款T級云綜合安全網關，旨在為客戶提供高性能、易管理的全面軟件化的虛擬網絡安全防護，幫助企業全面提升云化安全能力

　　4月，犇眾信息盤古實驗室推出國內首個移動應用威脅數據平臺——Janus移動安全威脅數據平臺，深度挖掘分析應用的安全性及可靠性，感知未知威脅及攻擊

　　4月，知道創宇發布雷達星圖、創宇云圖兩款態勢感知新品，為網絡空間資產關聯普查、技術保護帶來了新的解決方案

　　IT核心技術產品安全可控生態進一步改善

　　頂層設計得以明確

　　第十六條：支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務

　　技術標準加速形成

　　送審稿

　　信息技術產品安全可控評價指標第2部分：中央處理器、第3部分：操作系統、第4部分：辦公套件

　　信息技術產品安全可控評價指標第1部分：總則、第5部分：通用計算機

　　安全可控技術產品取得新突破

　　龍芯發布了面向鉆井應用的龍芯1H耐高溫芯片，面向網絡安全及移動智能終端領域的雙核處理器芯片龍芯2K1000，以及面向桌面/服務器應用的龍芯3號處理器的最新升級產品龍芯3A3000/3B3000。

　　中國科技大學潘建偉院士團隊，聯合浙江大學王浩華研究組，首次成功實現10個超導量子比特糾纏，構建了世界首臺超越早期經典計算機的基于單光子的量子計算機。

　　IT核心技術產品安全可控生態進一步改善

　　安全可控產業基礎得到加強

　　4月25日，龍芯2017新品發布會攜手合作伙伴共創自主生態之路。

　　2017年5月18日，飛騰麒麟“安全可控通用服務器軟硬件平臺”核高基項目啟動會在北京萬壽賓館成功召開，此次會議匯聚了國內從芯片、BIOS、整機、操作系統、中間件、數據庫、安全產品到應用系統的完整自主可控產業體系的優秀企業，這是圍繞“飛騰CPU+麒麟OS”核心技術建立的國家基礎軟硬件平臺的產業生態，也是國家核高基重大專項后立項后補助的工作模式。

　　網絡安全產業資源進一步整合

　　網絡安全企業開展多種形式戰略合作，締造安全互聯網生態環境。

　　1月，亞信安全服務器深度安全防護系統已經全面支持新華三CAS虛擬化軟件，基于無代理防毒、DPI技術的虛擬化管理平臺已得到大規模應用。

　　1月，360、浪潮開展合作，360無代理殺毒系統已經全面支持浪潮InCloud Sphere服務器虛擬化系統，雙方將深化戰略合作共推行業“安全云”。

　　3月，匡恩網絡與武漢臨空港開發區戰略合作，雙方將在工業物聯網安全方面展開合作，合力共建工業物聯網安全生態

　　6月，蘋果騰訊升級網絡安全合作，蘋果Safari瀏覽器將內置騰訊安全云庫的能力，實現欺詐網址識別

　　6月，亞信安全與品高云達成戰略合作，亞信安全服務器深度安全防護系統首家支持品高云，針對虛擬化平臺的網絡攻擊和數據竊取行為進行高效防御

　　6月，啟明星辰與騰訊云深化云安全合作，雙方共同為客戶提供基于騰訊云的獨立安全運營解決方案、安全產品和相關運營服務。

　　網絡安全人才隊伍建設得到社會層面高度重視

　　政府、企業、高校高度關注網絡安全人才建設，多措并舉優化網絡安全人才成長環境。

　　2017年，我國建立多個網絡安全人才培養、創新基地，探索校企網絡安全人才培養新模式。

　　3月，360企業安全集團與東莞理工學院共建的360網絡空間安全產業學院和360網絡空間安全創新研究院正式成立

　　5月，東莞理工學院與中國信息安全測評中心合作共建網絡空間安全創新基地

　　6月，360企業安全集團與九江學院信息科學與技術學院合作共建網絡安全人才培養基地

　　2017年，我國舉辦多項網絡安全競賽，比如中國信息安全鐵人三項賽/中國網絡安全技術對抗賽/騰訊信息安全爭霸賽/全國大學生信息安全與對抗技術競賽等。聚政府、企業和高校之力，優化網絡安全人才技術實踐環境。

　　勒索攻擊引發的網絡安全事件將進一步升級

　　2017年5月12日，全球爆發大規模勒索軟件攻擊事件，超過30萬臺電腦感染勒索軟件WannaCry，波及包括英國、俄羅斯、中國、美國等在內的150個國家，涉及能源、電力、交通、醫療、教育等重點行業領城。6月24日消息外媒Theregister獲得消息稱，微軟Win10操作系統源代碼目前在網上被大量泄漏，這些源代碼的大小超過32TB。據了解這些代碼在今年三月份左右在微軟內部系統當中流出，包含Win10硬件驅動程序源碼以及USB和Wi-Fi協議棧等，獲得了這些信息的黑客將可以查找系統當中存在的漏洞用來破壞全球的Windows系統。

　　2017年下半年，隨著Windows系統源碼被深入研究，一系列windows 0day將被逐步挖掘，加之NSA、CIA等情報機構泄露的網絡武器進一步擴散，以Windows系統為目標的網絡勒索攻擊將進一步增加，后果將更加嚴重。

　　網絡戰爆發的風險將進一步增加

　　3月開始，維基解密持續曝光CIA代號為“Vault 7”的秘密資料，涉及Android、iPhone、Mac、Windows、三星電視等設備的安全漏洞和利用工具，以及感染USB閃存盤的惡意軟件等。

　　4月，“影子經紀人”公開了Windows系統利用工具和相關攻擊代碼，還將于6月開始，每月出售Web瀏覽器、路由器和手機漏洞和相應的攻擊工具，針對Windows 10的0 day漏洞及利用技術。

　　2017年下半年，世界各國勢必會加強網絡安全領域投入，著力推進針對NSA、CIA泄露的網絡武器的分析工作，研究針對性的網絡防御武器，甚至以泄露的網絡武器為基礎，研發形成新的網絡攻擊“殺手锏”，構建特定國家、組織專屬的網絡武器庫，網絡空間局部網絡沖突甚至網絡戰爆發的風險將持續存在并日益走向復雜化、高級化。

　　國家間的網絡安全合作將顯著增強

　　2017年下半年，隨著黑客團體和網絡恐怖組織等非國家行為體的網絡空間破壞力的日益顯現，各類網絡攻擊技術的不斷升級和應用，世界各國面臨的網絡安全挑戰將不斷加劇，以共享全球網絡威脅信息、打擊網絡犯罪等為核心的國際網絡安全合作將不斷深化。

　　《網絡安全法》的貫徹落實可操作性顯著增強

　　2017年下半年，為貫徹落實《網絡安全法》，完善相關配套政策，國家互聯網信息辦公室和相關行業主管部門會進一步加大政策制定力度，《重要數據識別指南》《網絡關鍵設備和網絡安全專用產品安全認證檢測機構資格條件和認定辦法》《網絡安全威脅信息發布管理辦法》等相關政策文件有望年內頒布，《網絡產品和服務通用安全要求》《關鍵信息基礎設施網絡安全保護要求》等相關配套標準也將加速出臺。

　　我國網絡可信身份的互聯互通將局部實現

　　《網絡安全法》明確提出，國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。

　　網信辦等國家有關主管部門積極開展可信身份研究與實踐工作，籌備出臺網絡可信身份戰略。目前，已存不同的在線身份認證體系，包括基于PKI的電子認證、公安部一所推出的基于身份證副本的在線驗證、聯想等推動的FIDO身份認證、阿里牽頭的IFAA身份認證、騰訊正在籌劃的TUSI身份認證平臺等。多種身份認證體系并存。

　　為深入落實《網絡安全法》，積極應對網絡詐騙、網絡犯罪、隱私信息泄露、網絡謠言與暴力等網絡安全事件，2017年下半年，我國會繼續加強網絡可信身份體系建設投，積極推動已有的網絡身份認證體系的互聯互通，建立跨平臺的網絡可信身份體系。

　　我國安全可控信息技術產品市場將得到爆發式增長

　　安全可控的國產基礎軟硬件是保障我國關鍵信息基礎設施網絡安全的重要基礎。隨著《網絡安全法》的落地實施，國家關鍵信息基礎設施領域的網絡安全審查力度將進一步加大，下半年安全可控信息技術產品市場將得到爆發式增長。