中國的網(wǎng)絡空間主權(quán),從未面臨現(xiàn)在這樣的嚴峻考驗和挑戰(zhàn)。
回望過往,人們會發(fā)現(xiàn),中國面對的網(wǎng)絡主權(quán)挑戰(zhàn),與過去長達數(shù)十年的信息安全威脅一脈相承。只不過,過去的威脅隱藏于水下。如今,"棱鏡門"將遮羞布悉數(shù)扯掉,潛藏的安全威脅再無遁形,中國的網(wǎng)絡安全就如同"玻璃人"一樣,看似華麗,實則脆弱。
在網(wǎng)絡空間被視為繼陸、海、空、天之后的"第五空間"后,如何應對來自少數(shù)國家的網(wǎng)絡安全威脅,保衛(wèi)"第五空間"的安全,已成為許多國家的共同目標。
在與國際社會共同呼吁并制定網(wǎng)絡空間新規(guī)則的基礎上,如何在觀念、法律、政策、技術(shù)、產(chǎn)業(yè)等方面,升級自己的治理和發(fā)展思路,確保國家網(wǎng)絡安全?
【脆弱的安全防線】
1994年4月20日,當中國通過"NCFC工程"接入因特網(wǎng)64K國際專線,正式連接國際互聯(lián)網(wǎng)時,很少有人能想像到,網(wǎng)絡在今天會給中國帶來如此巨變。
20年過去,當人們津津樂道于中國網(wǎng)絡規(guī)模之巨時,決策層亦提出了建設網(wǎng)絡強國的戰(zhàn)略目標。
這與全球的網(wǎng)絡空間新形勢有莫大關(guān)聯(lián)。隨著網(wǎng)絡和信息化技術(shù)對現(xiàn)實社會、經(jīng)濟和政治的滲透和重構(gòu)日益加深,網(wǎng)絡空間已然成為大國博弈的新場地。
一些西方國家利用手中的網(wǎng)絡主導權(quán),正在采取各種手段,從他國網(wǎng)絡獲取情報信息或硬性摧毀,以實現(xiàn)其國家戰(zhàn)略目標。
在此背景下,中國建設網(wǎng)絡強國的根基之一--網(wǎng)絡安全,卻嚴重滯后于網(wǎng)絡技術(shù)和信息產(chǎn)業(yè)的發(fā)展。
中國網(wǎng)絡信息核心技術(shù)和關(guān)鍵設備嚴重依賴他國;國家從部門到行業(yè)到個人的整體安全意識薄弱;網(wǎng)絡新技術(shù)和應用模式在國內(nèi)大規(guī)模普及,大量數(shù)據(jù)和信息單方面流向美國等西方發(fā)達國家,信息失衡問題日趨嚴重……
這些"致命傷",使得中國的網(wǎng)絡安全防線既透明,又脆弱。
一流網(wǎng)絡規(guī)模,四流防御能力
中國已成為名符其實的網(wǎng)絡大國。數(shù)據(jù)顯示,截至2013年底,中國網(wǎng)民規(guī)模突破6億人,手機用戶超過12億,擁有400萬家網(wǎng)站,電子商務市場交易規(guī)模達10萬億元。
"這就是當前的趨勢,網(wǎng)絡安全進入國與國對抗博弈的'大玩家'時代。"中國工程院院士倪光南說,當前全球網(wǎng)絡威脅的主體,已由娛樂性黑客轉(zhuǎn)變?yōu)榫哂袊冶尘暗膱F體性黑客,這些攻擊者組織更強大,計劃更充分,破壞力更強。
在此背景下,全球已有50多個國家出臺網(wǎng)絡安全或信息安全戰(zhàn)略和政策。
以美國為例,作為全球網(wǎng)絡主導者,早就制定了完善的網(wǎng)絡空間安全國家戰(zhàn)略,并奉行"以攻為主、先發(fā)制人"的網(wǎng)絡威懾戰(zhàn)略,將網(wǎng)絡情報搜集、防御性網(wǎng)絡行動和進攻性網(wǎng)絡行動確立為國家行動。
同時,這種國家級、有組織的網(wǎng)絡攻擊日趨復雜,呈現(xiàn)由"軟攻擊"向"硬摧毀"轉(zhuǎn)變的趨勢,網(wǎng)絡空間對抗日趨激烈。
倪光南指出,被披露由美國主導的2011年網(wǎng)絡攻擊伊朗核設施的"震網(wǎng)"事件表明,美國已經(jīng)具備了入侵他國重要信息系統(tǒng)、對他國實施網(wǎng)絡攻擊的能力。
中國同樣不乏被攻擊的案例。除了2013年曝光的"棱鏡門",2014年3月,"棱鏡門"曝料人斯諾登再次透露,美國國家安全局自2007年開始,就入侵了中國通信設備企業(yè)華為的主服務器;2014年5月19日,美國司法部更是以所謂的"網(wǎng)絡竊密"為由,起訴5名中國軍人。
面對他國咄咄逼人態(tài)勢,南京瀚海源信息科技公司董事長方興指出,中國一流的網(wǎng)絡規(guī)模卻只有四流網(wǎng)絡安全防御能力。2012年1月,美國"安全與國防議程"智囊團發(fā)布報告,將全球23個國家的信息安全防御能力分為6個梯隊,中國處于中下等的第4梯隊,網(wǎng)絡與信息系統(tǒng)安全防護水平很低。
其中一個重要原因,是中國重要信息系統(tǒng)、關(guān)鍵基礎設施中使用的核心信息技術(shù)產(chǎn)品和關(guān)鍵服務依賴國外。
相關(guān)數(shù)據(jù)顯示,全球網(wǎng)絡根域名服務器為美國掌控;中國90%以上的高端芯片依賴美國幾家企業(yè)提供;智能操作系統(tǒng)的90%以上由美國企業(yè)提供。中國政府、金融、能源、電信、交通等領域的信息化系統(tǒng)主機裝備中近一半采用外國產(chǎn)品?;A網(wǎng)絡中七成以上的設備來自美國思科公司,幾乎所有的超級核心節(jié)點、國際交換節(jié)點、國際匯聚節(jié)點和互聯(lián)互通節(jié)點都由思科公司掌握。
中國工程院院士沈昌祥認為,目前中國對國外產(chǎn)品的安全隱患和風險尚不清楚。而出口中國的關(guān)鍵設備都被美國備案,美國掌握著中國重要信息系統(tǒng)使用產(chǎn)品和設備的清單,對產(chǎn)品和設備的漏洞、后門等十分清楚。
"掩耳盜鈴"的內(nèi)網(wǎng)安全
除了關(guān)鍵基礎設施核心技術(shù)缺失,在受訪專家看來,中國網(wǎng)絡安全更容易被忽視的隱患,來自被過度信賴的內(nèi)部網(wǎng)絡物理隔離系統(tǒng)。這個隱患,在軍隊、黨政機關(guān)、關(guān)鍵領域重點企業(yè)等領域更為嚴重。
內(nèi)部網(wǎng)絡系統(tǒng)的物理隔離一直被認為是保障網(wǎng)絡和信息安全的重要手段,也是網(wǎng)絡系統(tǒng)最底層的保障措施。在傳統(tǒng)觀念中,只要不和外界網(wǎng)絡發(fā)生接觸,內(nèi)網(wǎng)隔離就能從根本上杜絕網(wǎng)絡威脅。
但《財經(jīng)國家周刊》記者發(fā)現(xiàn),事實并非如此,中國不少重點行業(yè)和黨政部門的網(wǎng)絡信息安全防御被所謂的內(nèi)網(wǎng)隔離扎成了虛假安全的"竹籬笆"。
奇虎360公司曾對中國教育系統(tǒng)、航空公司、司法機構(gòu)等100多家重點行業(yè)關(guān)鍵企業(yè)和機關(guān)部門的內(nèi)部網(wǎng)絡進行測試,結(jié)果網(wǎng)絡全被攻破,最長的耗時三天,最短的30分鐘。
沈昌祥牽頭進行一項課題研究發(fā)現(xiàn),中國半數(shù)以上重要信息系統(tǒng)難以抵御一般性網(wǎng)絡攻擊,利用一般性攻擊工具即可獲取大多數(shù)中央部委門戶網(wǎng)站控制權(quán)。
造成這種問題的首要原因是網(wǎng)絡安全意識淡薄。知名網(wǎng)絡安全專家杜躍進介紹,中國重點企業(yè)及政府部門中,不少單位的機房管理員就是本單位的網(wǎng)絡安全負責人。
在安全意識淡薄之下,黨政部門和重點行業(yè)的網(wǎng)絡信息安全過度依賴物理隔離手段。啟明星辰首席戰(zhàn)略官潘柱廷指出,由于隔離網(wǎng)系統(tǒng)升級不及時,整體保護意識低,致使內(nèi)部網(wǎng)絡物理隔離事實上漏洞百出,一些單位隔離的內(nèi)部網(wǎng)絡木馬病毒橫行。
奇虎360公司的另一項檢測發(fā)現(xiàn),中國100多萬個網(wǎng)站中,65%左右有漏洞,近30%是高危漏洞,"基本上你只要下功夫,這個站就能被拿下"。
根據(jù)斯諾登公布的材料,美國掌握了100多種方法可攻破物理隔離的內(nèi)部網(wǎng)絡系統(tǒng)。
如在"震網(wǎng)"事件中,伊朗的核設施雖然進行了物理隔離,但美國仍利用高級漏洞,通過U盤擺渡等手段,入侵了內(nèi)網(wǎng),最終破壞了鈾濃縮機。
除了網(wǎng)絡安全意識淡薄,一些地方網(wǎng)絡安全防護重設備購置、輕后期服務的做法,也加劇了中國網(wǎng)絡安全體系的脆弱性。
奇虎360公司首席技術(shù)官譚曉生介紹說,在網(wǎng)絡安全防護方面,國家雖然推行了安全等級和分級保護的眾多規(guī)定,但部門和重點企業(yè)單位更多用設備購置來滿足安全分級要求,安全后期服務沒有常態(tài)化。這導致安全防御設備使用成效低下,無法及時監(jiān)測內(nèi)部安全態(tài)勢,完成系統(tǒng)升級等服務。
網(wǎng)絡數(shù)據(jù)"大出血"
與基礎設施和內(nèi)網(wǎng)系統(tǒng)的技術(shù)防線漏洞相比,網(wǎng)絡數(shù)據(jù)和信息流失帶來的安全問題則更加隱蔽。
隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、智能化等網(wǎng)絡信息化新興應用持續(xù)拓展,未來中國網(wǎng)絡安全威脅將持續(xù)擴大。這使得中國大量數(shù)據(jù)和信息單方面流向西方發(fā)達國家的問題更加嚴重,信息失衡將成為未來更為主要的安全威脅。
網(wǎng)絡信息安全企業(yè)安天實驗室首席技術(shù)官肖新光認為,微軟的操作系統(tǒng)、英特爾的芯片、思科的交換路由產(chǎn)品等為代表的美國IT產(chǎn)品基本統(tǒng)領了前二十年全球信息化進程。
未來20年,加上谷歌、蘋果、Facebook、推特等其他美國科技企業(yè)所提供的先進、方便的互聯(lián)網(wǎng)服務,全球網(wǎng)絡信息都向美國單方向聚合,形成了巨大的信息鏈流失風險。
以第三方信息安全服務的數(shù)據(jù)信息容災備份領域為例,美國正在這個領域形成壟斷。
國家安全戰(zhàn)略研究中心信息技術(shù)與安全研究所副所長王標說,賽門鐵克、IBM、惠普等美國企業(yè)壟斷了全球的75%的市場份額,也占據(jù)了中國政府80%的容災備份市場份額,中國大量政府部門的網(wǎng)絡信息數(shù)據(jù)由此渠道單向流入美國。
與此同時,隨著智能手機、平板電腦的快速普及,移動互聯(lián)網(wǎng)安全形勢不容樂觀,帶來的數(shù)據(jù)信息泄露更為突出。
肖新光說,谷歌的安卓智能手機移動操作系統(tǒng)占中國智能手機用戶比例的60%以上。復旦大學的一份調(diào)查顯示,安卓系統(tǒng)300多款應用軟件中,58%存在泄漏用戶隱私行為,其中25%的程序還將泄漏的信息進行加密,使得確認其內(nèi)容和傳送目的地非常困難。而移動互聯(lián)網(wǎng)絡開放式接入帶來的信息泄漏威脅更為直接和廣泛。
中國大量信息數(shù)據(jù)單向流向美國,帶來的直接后果就是讓美國獲得運用大數(shù)據(jù)分析中國政治、經(jīng)濟、社會的最新動態(tài)和趨勢的能力。
潘柱廷說,通俗點描述,就是美國人比中國人還了解中國人在干什么。利用強悍的大數(shù)據(jù)分析,美國甚至可以比中國政府更清楚更早地知道,某地或某個中國群體在做什么、未來的想法是什么,等等。
網(wǎng)絡安全專家、Ucloud公司董事長季昕華認為,這種信息失衡后的大數(shù)據(jù)大規(guī)模挖掘和分析結(jié)果,具有戰(zhàn)略級的政治、軍事、商業(yè)、社會信息情報價值,"在未來的網(wǎng)絡安全攻防對抗中,信息失衡將比技術(shù)失衡更可怕。"
【“核高基”之困】
作為保障國家網(wǎng)絡安全的重要環(huán)節(jié),中國于2006年將"核高基"(核心電子器件、高端通用芯片、基礎軟件)列為與載人航天、探月工程并列的16個重大科技專項之一。經(jīng)過多年的扶持和發(fā)展,中國在該領域已涌現(xiàn)出一批比較有競爭力的企業(yè)。
不過,《財經(jīng)國家周刊》記者發(fā)現(xiàn),這些中國企業(yè)與世界行業(yè)巨頭仍有不小差距,而且在追趕世界科技巨頭的過程中,正遭到來自外企的全面圍剿,同時稅收、融資、國內(nèi)市場支持缺乏等問題,也嚴重阻礙著企業(yè)的創(chuàng)新發(fā)展。
外企的全面圍剿
利用市場優(yōu)勢地位對中國企業(yè)進行打壓,是境外企業(yè)慣常使用的手段之一。國內(nèi)芯片設計企業(yè)展訊通信有限公司副總裁董倩舉例說,"臺灣芯片企業(yè)聯(lián)發(fā)科對大陸芯片企業(yè)的打壓非常霸道,在大陸市場,由于客戶是共同的,他們利用自己在芯片市場的優(yōu)勢地位威脅客戶說,如果用大陸企業(yè)的芯片,他就給你提價、斷貨、不提供優(yōu)質(zhì)服務等等,讓我們的客戶不敢用我們的產(chǎn)品。"
第二種手段是知識產(chǎn)權(quán)"圍剿"。銳迪科微電子(上海)有限公司副總裁趙國光告訴《財經(jīng)國家周刊》記者,一方面,當我們一個新產(chǎn)品上市時,外企會起訴稱侵犯了他的專利,例如此前愛立信起訴酷派、諾基亞起訴展訊,均以侵犯專利為由;另一方面,外企利用自己在知識產(chǎn)權(quán)方面的積累,對中國企業(yè)收取高額專利費,例如專利費本來應該按照芯片的價格來收,而美國高通卻強行以整機的價格為基準,企業(yè)的一大部分利潤就這樣被收走了。
第三種是惡意收購兼并。曙光信息產(chǎn)業(yè)股份有限公司總裁歷軍說,最近幾年,除了利用市場、知識產(chǎn)權(quán)的優(yōu)勢打壓之外,外企對中國剛剛冒尖又有自主技術(shù)的企業(yè)兼并收購,已經(jīng)十分普遍。
"他根本不想讓你冒芽,你有了自主技術(shù),在產(chǎn)業(yè)化缺錢的時候他就想辦法收購你,此前美國高通就一直想收購我國龍頭企業(yè)展訊,我們很多企業(yè)都是國家扶持的,被外企買走太可惜了。"歷軍說。
一些國內(nèi)企業(yè)負責人表示,中國大陸的自主核心設備企業(yè)發(fā)展到現(xiàn)在這個程度,正是做大做強的時候,境外企業(yè)就會利用自己的優(yōu)勢從這三個方面進行全方位的"圍剿",一般都是"先斷血,再收購"。
董倩認為,要應對境外企業(yè)的三重"圍剿",中國大陸應積極發(fā)揮行業(yè)協(xié)會、企業(yè)聯(lián)盟和政府機構(gòu)的作用,將業(yè)界的創(chuàng)新能力整合成合力,形成共享"專利池"。"如果我們的企業(yè)也擁有一定數(shù)量的專利技術(shù),在遭遇對方訴訟的情況下,我們可以反訴對方侵權(quán),可以減少被動、增加主動。"
稅收障礙
中國企業(yè)在國內(nèi)市場的本土優(yōu)勢沒有得到充分發(fā)揮。在本土企業(yè)的發(fā)展過程中,稅收問題是國內(nèi)企業(yè)創(chuàng)新發(fā)展、追趕世界巨頭的一大障礙。
以核心芯片為例,大陸企業(yè)在大陸市場的主要競爭對手是美國高通和臺灣聯(lián)發(fā)科兩大巨頭。臺灣地區(qū)為了扶持該產(chǎn)業(yè),聯(lián)發(fā)科等集成電路企業(yè)不僅沒有增值稅,其《促進產(chǎn)業(yè)升級條例》還規(guī)定,集成電路企業(yè)購買研發(fā)工具、兼并收購等成本可直接抵扣所得稅,所得稅抵扣之后一般在1%~2%,而大陸企業(yè)的所得稅是15%。
董倩說:"我們的稅收是人家的7倍,這些真金白銀都是企業(yè)創(chuàng)新的血液,我們血液不足,怎么創(chuàng)新發(fā)展?談何追趕世界巨頭?"
現(xiàn)有的稅收政策還造成企業(yè)大量資金的積壓。趙國光告訴記者,"我國出口退稅的周期是半年,幾千萬元的資金就長期壓在那里動不了,而國外的出口退稅周期普遍短于我們,本來國內(nèi)企業(yè)資金實力都不夠雄厚,幾千萬元的資金對企業(yè)發(fā)展的影響很大。"
他表示,個人所得稅也已成為制約高端人才引進的障礙。"如果你的收入在中國要交40%的個人所得稅,在美國只需要交15%,你會在中國工作嗎?"
董倩認為,在美國和中國臺灣等地區(qū),針對重點扶持的新興產(chǎn)業(yè),其稅收政策非常清晰,都有針對性的扶持政策,有非常大的稅收優(yōu)惠空間,中國大陸可以借鑒經(jīng)驗,向重點扶持的新興產(chǎn)業(yè)傾斜,給企業(yè)更大的空間。
"但要注意不宜采取直接減稅的方式,否則反而會讓企業(yè)失去創(chuàng)新動力。"趙國光認為,可參照其他國家或地區(qū)的發(fā)展成本抵扣所得稅、事后退稅等方式對企業(yè)進行稅收優(yōu)惠,但退稅的周期應盡量縮短。
不公平競爭
除了稅收政策,政府采購方面的支持力度不足,也是困擾本土企業(yè)的老大難問題。
有觀點認為問題在于自主產(chǎn)品的技術(shù)水平不高,但據(jù)《財經(jīng)國家周刊》記者了解,國產(chǎn)設備在不少領域已具備替代進口產(chǎn)品的條件。例如,中興通訊已實現(xiàn)高端路由器的完全自主研發(fā),在即將推出的下一代產(chǎn)品中,三種關(guān)鍵芯片也將全部自主研發(fā),從而保證芯片、軟件、整機全鏈條的自主可控。
國民技術(shù)股份有限公司總裁孫迎彤說,經(jīng)過這七、八年的研發(fā)和引進技術(shù),中國大部分產(chǎn)品在技術(shù)方面并不比國外產(chǎn)品落后。"我們自主設計的金融IC卡芯片,獲得了與國外企業(yè)一樣的技術(shù)認證,但國內(nèi)銀行就是不認可,導致我國現(xiàn)存的5.9億張金融IC卡的芯片都是國外同一家企業(yè)的,給我國的金融信息安全造成了很大隱患。"
中興通訊股份有限公司副總裁常金蕓說,目前推進政府采購自主產(chǎn)品的最大阻礙,實際上是改革開放以來形成的"鼓勵進口"觀念,以及國產(chǎn)品牌認可度偏低的問題。
"國內(nèi)總是強調(diào)公平競爭,而我們在國外飽受刁難。"常金蕓說,華為、中興已經(jīng)被美國政府以"莫須有"的罪名趕出了美國市場。另外,美國高通公司看到中國企業(yè)越來越強大,直接向美國政府申訴,將展訊等中國企業(yè)的增值稅優(yōu)惠直接撤銷。
常金蕓、孫迎彤等表示,我們的產(chǎn)品在技術(shù)上已經(jīng)不再落后,為什么政府不能鼓勵優(yōu)先采購我們的產(chǎn)品?我們不主張國家打著"自主創(chuàng)新"的旗號保護落后企業(yè),但至少要和境外企業(yè)在同一起跑線上競爭。
【網(wǎng)絡安全攻防“志愿軍”】
在國家網(wǎng)絡安全攻防體系中,除了國家組建的正規(guī)軍外,來自民間的網(wǎng)絡安全公司,已經(jīng)成為大國博弈的"馬前卒"。
2014年5月至今,美國對中國網(wǎng)絡空間主權(quán)數(shù)次發(fā)難,從美國司法部起訴中國5名軍人,到之后指責所謂的"中國官方黑客",均始于美國"火眼"、"曼迪昂特"等網(wǎng)絡安全公司所發(fā)布的針對性報告。
與美國等西方國家政府與民間力量嫻熟的配合相比,中國對網(wǎng)絡安全產(chǎn)業(yè)民間力量的重視程度和運用水平,遠遠不夠。游離于國家和社會之間的中國網(wǎng)絡安全公司們,更像是一支"志愿軍"。
在眾多安全業(yè)界人士看來,一旦這支"志愿軍"發(fā)展壯大,將成為維護國家網(wǎng)絡安全的中堅力量,在實現(xiàn)中國與美國等國家的網(wǎng)絡空間安全"對位攻防"中發(fā)揮巨大作用。
國際網(wǎng)絡對抗"馬前卒"
近年來,以美國"賽門鐵克"、"火眼"、"曼迪昂特",俄羅斯"卡巴斯基"為代表的網(wǎng)絡安全公司快速興起,成為國家間網(wǎng)絡攻防的重要力量。專家認為,名義上獨立的網(wǎng)絡安全公司,已經(jīng)成為大國博弈的重要工具。
2013年初,美國網(wǎng)絡安全公司"曼迪昂特"公司發(fā)布報告《APT1:揭露中國網(wǎng)絡間諜單位》。報告發(fā)出后,中國企業(yè)在海外備受質(zhì)疑,華為遭質(zhì)疑被排擠出美國市場,并在歐盟、澳大利亞、韓國受阻,一些走出海外的中國安全企業(yè)也紛紛退回國內(nèi)。
啟明星辰首席戰(zhàn)略官潘柱廷認為,類似《APT1》的做法,實質(zhì)是由網(wǎng)絡安全公司充當"馬前卒",替美國政府實現(xiàn)丑化中國形象、驅(qū)逐中國公司,既讓美國產(chǎn)業(yè)界直接獲益,又為美國官方贏得了可進可退的空間。
另一個典型是俄羅斯網(wǎng)絡安全公司卡巴斯基。俄羅斯并不算信息強國,但是借助卡巴斯基公司,俄羅斯占據(jù)了從攻防能力到分析能力的戰(zhàn)略高地。
知名網(wǎng)絡安全專家杜躍進說,2010年末,伊朗核電站遭"震網(wǎng)病毒"攻擊而癱瘓,卡巴斯基通過技術(shù)研究斷定此病毒為美國和以色列所開發(fā);2012年,能夠避過100種殺毒軟件、具有強大竊密能力的"火焰病毒"在伊朗大肆傳播,也被卡巴斯基率先發(fā)現(xiàn)??ò退够ㄟ^分析證實此病毒與"震網(wǎng)病毒"存在技術(shù)關(guān)聯(lián),并從技術(shù)層面指出美國是幕后主使。
"卡巴斯基對'震網(wǎng)'、'火焰'等病毒的快速跟進,將美國的攻擊行為完整展示于世界面前,為俄羅斯在網(wǎng)絡安全和外交層面都爭取了主動。"安天實驗室首席技術(shù)架構(gòu)師肖新光說,技術(shù)實力強大的網(wǎng)絡安全公司,在國家網(wǎng)絡安全博弈層面,也是一種戰(zhàn)略威懾。
民間力量利用不足
反觀中國,經(jīng)過近幾年的發(fā)展,雖有了以瀚海源、綠盟、安天實驗室為代表的大量網(wǎng)絡安全公司,但在整體實力上仍與國外巨頭不在一個量級,難以實現(xiàn)"攻防對位"。
網(wǎng)絡安全專家認為,美國通過安全企業(yè)的技術(shù)能力,能有效發(fā)現(xiàn)、長期跟蹤、深度分析其所謂"來自中國的黑客攻擊",并能自圓其說地提供證據(jù)鏈和推理過程。但如果不是斯諾登的出現(xiàn),證明美國在監(jiān)控全世界,美國還會繼續(xù)掌握輿論主導權(quán)。
肖新光說,由于奧運安防的帶動,中國的網(wǎng)絡攻防能力在2008年已大體接近美國。奧運會過后的2008~2013年,受重視程度下降,企業(yè)發(fā)展明顯趨緩,成為中國網(wǎng)絡安全行業(yè)"失去的5年"。
相反,美國以"火眼"為代表的網(wǎng)絡安全公司卻在過去5年里快速崛起,將中國網(wǎng)絡安全行業(yè)遠遠甩在后面。以前美國的"火眼"公司還購買安天的病毒搜索引擎,而現(xiàn)在"火眼"在這方面的能力已遠遠超過國內(nèi)企業(yè)。
"沒有足夠大的產(chǎn)業(yè)規(guī)模,就難有足夠強的安全技術(shù)實力。"奇虎360首席技術(shù)官譚曉生向《財經(jīng)國家周刊》記者展示了一組對比鮮明的數(shù)字:2013年中國信息安全市場的規(guī)模約200億元,還不如美國賽門鐵克一家公司大。美國安全產(chǎn)業(yè)規(guī)模約占其整個IT產(chǎn)業(yè)規(guī)模的10%,而這個比例在中國只有2%左右。
重發(fā)展而輕安全的普遍現(xiàn)狀,使得中國網(wǎng)絡安全行業(yè)規(guī)模小、利潤薄,員工待遇不好,難以招到頂尖人才,大量國內(nèi)頂尖人才被美國網(wǎng)絡安全公司重金挖走。
一位網(wǎng)絡安全廠商人士告訴《財經(jīng)國家周刊》記者,美國"火眼"、"曼迪昂特"等網(wǎng)絡安全公司核心技術(shù)團隊的負責人,不乏原來國內(nèi)公司的頂尖技術(shù)人才。
如何引導民間網(wǎng)安力量
如何引導民間網(wǎng)絡安全公司作為維護國家網(wǎng)絡安全的新抓手,盡快實現(xiàn)與美國等西方國家之間的"攻防對位",已經(jīng)成為一個迫切的命題。
奇虎360董事長周鴻祎指出,美國國防部、海軍、空軍每年都有大筆訂單投入到民營網(wǎng)絡安全公司,這種做法值得中國借鑒。
杜躍進認為,目前中國信息安全行業(yè)整體贏利能力偏弱,沒有足夠的利潤投入深層次的技術(shù)研發(fā)??山梃b印度對軟件行業(yè)的扶持政策,推出諸如"免稅10年"這樣積極的、導向性明顯的產(chǎn)業(yè)政策。
上海安言信息科技有限公司董事長張耀疆告訴記者,目前政府和國企是網(wǎng)絡安全公司最大采購方,但往往"重硬件、輕服務",經(jīng)常是買了一堆"盒子",安全服務卻跟不上,網(wǎng)絡安全公司也難從本職的安全服務中獲利。
另一方面,網(wǎng)絡安全行業(yè)采用"低價優(yōu)先"的招標機制。
綠盟首席戰(zhàn)略官趙糧說,要利用好政府采購的杠桿作用,整合并盤活整個網(wǎng)絡安全產(chǎn)業(yè),就應建立合理的評級、評估機制,充分認可優(yōu)秀產(chǎn)品的價值,使好產(chǎn)品有溢價空間,才能形成競爭質(zhì)量而非競爭價格的良性循環(huán)。
三零衛(wèi)士總工程師李成斌認為,要壯大中國網(wǎng)絡安全攻防的民間力量,從根本上看還有一個問題必須解決,即網(wǎng)絡和信息安全立法。比如,一旦企業(yè)出現(xiàn)重大、危害公共利益的公民隱私泄露事件,企業(yè)責任人應承擔相應民事甚至刑事責任。
【網(wǎng)絡安全立法再啟程】
全球網(wǎng)絡安全的復雜形勢下,從法律層面為網(wǎng)絡安全和信息化立規(guī)矩顯得日益重要,對網(wǎng)絡安全立法進行頂層設計的呼聲也愈發(fā)強烈。
接近決策層的消息人士透露,全國人大、最高法以及相關(guān)部門正在就"網(wǎng)絡安全法"進行調(diào)研。
根據(jù)2014年4月發(fā)布的全國人大常委會2014年立法工作計劃,制定"網(wǎng)絡安全法"已列入立法預備項目。
這意味著,自1994年國務院頒布《計算機信息系統(tǒng)安全保護條例》后,長期備受關(guān)注的網(wǎng)絡安全立法工作,再次提上議程。
接受《財經(jīng)國家周刊》記者采訪的專家指出,在當下新的國內(nèi)外背景下,加快推進網(wǎng)絡安全法規(guī),已經(jīng)有了新的使命和意義。
一方面,它不僅有利于守住中國信息跨境、隱私保護、IT供應鏈安全等諸多方面的底線,并回應美國立法機構(gòu)和委員會對于中國企業(yè)的無端指責。另一方面,在構(gòu)筑互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的良好法制環(huán)境、遏制企業(yè)之間的惡性競爭方面,網(wǎng)絡安全立法工作也將發(fā)揮重要作用。
法律短板
無論是從科技發(fā)展對社會生產(chǎn)方式和生產(chǎn)關(guān)系的影響來看,還是對國與國之間的競爭博弈而言,中國目前的網(wǎng)絡安全法律法規(guī)凸顯短板,讓政府和司法部門在處理一些社會問題、國際問題時頗為掣肘。
網(wǎng)絡科技的飛速進步與當前的法律適用存在不少不相適應的地方。360公司總法律顧問傅彤對此感觸頗深,她表示,從實際操作層面,網(wǎng)絡安全已經(jīng)從客戶端層面走到云端層面,再走到系統(tǒng)層面。
"比如,360公司在進行一些技術(shù)攻防類產(chǎn)品推廣時,難以從現(xiàn)有的法律法規(guī)中尋找到適用于實際操作層面的依據(jù),一旦出現(xiàn)糾紛,給司法判決帶來難題。"
互聯(lián)網(wǎng)新型犯罪層出不窮,同樣給社會治理和政府管理提出了新挑戰(zhàn)。
最高人民檢察院檢察理論研究所副所長單民指出,目前互聯(lián)網(wǎng)犯罪主要表現(xiàn)為以下四個方面:一是直接針對計算機網(wǎng)絡,非法侵入計算機系統(tǒng),破壞非法控制計算機信息系統(tǒng)的犯罪;二是借助互聯(lián)網(wǎng)實施傳統(tǒng)犯罪;三是直接在網(wǎng)絡平臺進行的互聯(lián)網(wǎng)犯罪;四是由互聯(lián)網(wǎng)引起的其他犯罪,如侵犯知識產(chǎn)權(quán)的犯罪。
現(xiàn)有網(wǎng)絡安全法規(guī)方面的短板,還導致中國在一些國際問題和外交問題的處理中出現(xiàn)被動,難以有效對應他國對中國的無理制裁。
專家指出,華為、中興等網(wǎng)絡科技企業(yè)被美國以莫須有的理由拒之門外,2012年美國眾議院發(fā)布針對中興和華為的報告,建議聯(lián)邦政府不要采購其設備,私營企業(yè)考慮采購風險,對兩家企業(yè)的打擊很大。相比之下,美國IT界"八大金剛"進駐中國要"順利"得多。美國不久前起訴中國5名軍官網(wǎng)絡竊密,企圖重回道德制高點,而美國監(jiān)聽全球的"棱鏡"計劃曝光后,中國目前仍停留于道義譴責……一系列事實表明,網(wǎng)絡安全立法落后,中國在國際舞臺上只能陷入被動局面。
西安交通大學信息安全法律研究中心主任馬民虎認為,互聯(lián)網(wǎng)領域中,中美雙方圍繞著信息安全的斗爭日益尖銳,這就需要中國盡快出臺信息安全的專門性法律,對于相關(guān)問題予以規(guī)范明晰,使中國的信息保護、安全審查等行為有法可依。
系統(tǒng)性立法
馬民虎表示,中國當前的網(wǎng)絡安全立法基本上屬于"滲透式"模式,由于缺乏綜合性專門立法,在根本上削弱了中國信息安全保護的力度和效果。
事實上,中國從1994年就開啟了信息安全立法的歷史,但中國現(xiàn)行的信息安全立法現(xiàn)狀并不樂觀。網(wǎng)絡安全基本法缺位,相關(guān)的法律規(guī)定大部分仍然散見于各個部門法,缺乏統(tǒng)一的立法理念,立法層級較低,立法結(jié)構(gòu)不合理,具體法律規(guī)范多缺乏可操作性,且多為事后的懲治和補救規(guī)定,缺乏事前預警和風險防范措施,對于云計算和進一步全球化趨勢將帶來的信息安全風險的保障作用十分有限。
專家指出,當今世界各國高度重視法律安全,以法律形式、法律思維推動整個網(wǎng)絡安全,依法懲治各種網(wǎng)絡違法犯罪行為,中國作為網(wǎng)絡大國更需要與時俱進,走在法制的前列,用法律的手段為網(wǎng)絡安全保駕護航。
最高人民法院中國應用法學研究所所長孫佑海建議,首先,要建立網(wǎng)絡基礎設施保護制度,完善中國的電信設備、網(wǎng)絡的制度,建立國外產(chǎn)品的審查認證,確保國家的信息安全,這個制度還有一些具體細化的問題。依法推動自主知識產(chǎn)權(quán)網(wǎng)絡產(chǎn)品的研發(fā),有目標、有步驟地提高中國重點領域網(wǎng)絡產(chǎn)品的國產(chǎn)化率,特別是核心技術(shù)上取得重大突破。
第二,要建立防止網(wǎng)絡泄密與保護數(shù)據(jù)的安全制度。網(wǎng)絡數(shù)據(jù)隨時面臨著泄密的風險。既要對防范外國情報機關(guān)竊聽竊取作出具體的規(guī)定,也應對涉及國計民生和重大公共利益的行業(yè)信息給予保護。專家指出,中國刑法第285條規(guī)定非法侵入罪,保護范圍明顯過小,建議將保護的范圍擴大到首先是金融、能源、醫(yī)療、稅收、財政,涉及國計民生的重大公共利益的都要給予有效的保護。
第三,建立打擊網(wǎng)絡恐怖主義制度。專家指出,一些網(wǎng)民在互聯(lián)網(wǎng)上從事編造虛假恐怖信息的犯罪行為,還有將網(wǎng)絡作為工具組織召集聯(lián)絡實施犯罪行為。網(wǎng)絡安全法中應該依法授權(quán)公安機關(guān)和國家機關(guān)加強網(wǎng)絡監(jiān)管,明確規(guī)定國家安全監(jiān)管的主體資格,對監(jiān)管主體監(jiān)管邊界予以明確。
第四,建立治理網(wǎng)絡謠言、網(wǎng)絡色情等犯罪活動的制度。隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡幾乎成為所有傳統(tǒng)犯罪的工具或是平臺,傳統(tǒng)的誹謗、尋釁滋事、非法經(jīng)營、詐騙、盜竊等違法犯罪行為在互聯(lián)網(wǎng)世界中改頭換面,社會危害性非常大。網(wǎng)絡攻擊、網(wǎng)絡病毒等新型犯罪活動也不斷涌現(xiàn)。
孫佑海說,中國的網(wǎng)絡犯罪呈現(xiàn)高發(fā)增長,"兩高"在積極探索法律適用和司法解釋規(guī)則,在現(xiàn)有的框架內(nèi)不斷地探索經(jīng)驗。2013年"兩高"出臺了《關(guān)于辦理利用信息網(wǎng)絡實施誹謗等形式案件適用法律若干問題的解釋》,有力地打擊了利用網(wǎng)絡進行敲詐勒索等行為。
辯證看待技術(shù)變革
在基本的網(wǎng)絡安全立法框架之上,網(wǎng)絡安全立法還需要解決網(wǎng)絡安全管理流程中由于法律手段缺乏、行政手段代替帶來的問題。
工信部電信研究院政策與經(jīng)濟研究所法律部主任李海英指出,在立法缺乏的情況下,往往由行政命令要求企業(yè)尤其是國企提供一些相關(guān)的配合,但是在未來的市場開放的情況下,市場參與主體增多,國有企業(yè)、國有資本可能逐漸退出,在這種情況下,如何把通過行政管理的工作變成法制化的要求非常關(guān)鍵。
專家指出,要盡快改變中國網(wǎng)絡安全的立法局面,通過更高層面立法完善中國的法律,讓網(wǎng)絡安全的法律法規(guī)適應時代的發(fā)展。特別是刑法作為打擊網(wǎng)絡犯罪的有效工具,可以擴大刑法罪名設置,完善網(wǎng)絡犯罪的罪名體系,擴大刑法的保護范圍,加大對網(wǎng)絡安全的保護力度,由結(jié)果犯修改為危險犯,加大對幫助犯的打擊力度。
孫佑海說,在實踐中發(fā)現(xiàn),現(xiàn)在借助網(wǎng)絡進行違法犯罪活動的單位日益增多,相當一部分網(wǎng)絡犯罪的主體實際是以單位組織、公司的名義出現(xiàn),所以,要對從事網(wǎng)絡違法犯罪的單位和個人同時給予制裁。
對網(wǎng)絡信息濫用和欺詐行為,專家建議進行源頭治理,著重打擊購物網(wǎng)站的違法犯罪行為,懲治以違法方式泄露用戶信息的行為,建立完善的網(wǎng)上保險制度,降低網(wǎng)絡交易風險。
國務院法制辦工交商事法制司副司長馬森述指出,網(wǎng)絡領域的立法與傳統(tǒng)立法有所不同,需處理好新技術(shù)和新業(yè)務的關(guān)系、管理和發(fā)展的關(guān)系。如互聯(lián)網(wǎng)金融、打車軟件就是由于新技術(shù)新應用催生了新的經(jīng)營方式。
互聯(lián)網(wǎng)的每一次技術(shù)革新,都會挑戰(zhàn)已確立的基本法的原則和規(guī)則。孫佑海建議,強化網(wǎng)絡知識產(chǎn)權(quán)保護的制度,不斷明確技術(shù)規(guī)則、技術(shù)創(chuàng)新,把糾紛行為和網(wǎng)絡技術(shù)區(qū)分開,在制裁網(wǎng)絡行為同時保護技術(shù)發(fā)展。