网络安全 2016年下半年中国走势分析与判断

　　2016年上半年，国家高度重视网络安全工作，开展了多项互联网治理行动。在网络安全需求的持续推动下，我国网络安全产业发展势头强劲，安全可控技术产品不断涌现，攻防技能得到进一步加强，网络安全形势整体向好。但是，我国依然面临不少亟待解决的网络安全问题。本文在全面总结上半年网络安全总体情况和基本特点、分析主要问题的基础上，对下半年的网络安全形势作出了基本判断，并提出了整合工控安全保障能力，完善工控安全保障体系；突破核心技术瓶颈，构建自主可控的网络安全产业生态体系；建设网络空间信任体系，强化网络可信身份管理；加强网络安全关键技术研究，提升网络安全防护水平等建议。

　　2016年上半年，国家深入推进互联网治理行动，重点研究网络可信身份管理，深化与美国、俄罗斯等国的网络安全战略合作。在网络安全需求持续推动下，我国网络安全产业活力不断增强，安全可控技术产品取得突破，攻防技能得到加强，网络安全形势整体向好。展望下半年，国家间的网络安全合作将逐步加强，全球爆发大规模网络冲突的风险将不断攀升，国家关键基础设施及其控制系统面临的网络安全风险进一步增加，以信息泄露和资金盗取为目的的网络攻击将更加泛滥。我国必须处理好工控安全顶层设计不足、网络安全产业根基不牢、网络空间信任体系建设滞后、网络安全关键技术不强等问题，加强网络安全建设。

　　上半年情况综述

　　■基本特点

　　1.互联网治理深入推进

　　上半年，网络安全政策纷纷出台，互联网治理专项行动持续推进，网络空间不断净化。5月起，国家工商总局开展2016网络市场监管专项行动，治理互联网虚假违法广告、打击网络商标侵权等违法行为。针对网址导航网站在网站推荐和内容管理等方面存在的问题，国家网信办在全国开展网址导航网站专项治理。6月，国家网信办集中清理跟帖评论中违反“九不准”、触犯“七条底线”的违法违规有害信息。

　　2.网络安全产业活力不断增强

　　随着政策环境的优化，网络安全行业发展充满活力。一方面，各厂商不断提升产品性能，逐步获得了国内外权威机构认可。在安全研究和评测机构NSS labs公布的2015年度下一代防火墙的测试评测结果中，中国厂商山石网科以99%的综合威胁检查率和排名第一的总体拥有成本，获得“推荐级”。绿盟科技发布了全新绿盟工控入侵检测系统IDS-ICS，获得了全国首个工控入侵检测产品资质。另一方面，各厂商通过融资并购和战略合作等方式，扩大产业规模，提升行业影响力。1月，浪潮集团与美国迪堡公司成立全新合资公司，联手拓展国内ATM信息安全市场。3月，绿盟科技850万元参股阿波罗云，在抗DDoS攻击、恶意流量清洗等技术领域展开深度合作，实现可运营的安全云。绿盟科技与重邮战略合作，将联合建设攻防实训平台，研发网络安全关键技术。5月，武汉深之度与金山软件签署战略合作协议，就推进国产操作系统、打造国产应用软件生态展开全方位合作与交流。

　　3.安全可控技术产品取得突破

　　上半年，国内网络安全企业、研究机构纷纷加大技术研发力度，多种自主基础技术产品取得突破。1月，国家超级计算天津中心宣布，计划研制新一代百亿亿次超级计算机，在自主芯片、自主操作系统、自主运行计算环境方面实现全自主，样机预计于2017年问世。5月，武汉深之度推出深度桌面操作系统V15金山办公版和深度服务器操作系统V15版软件产品，有力推动了操作系统的国产化进程。6月，德国法兰克福国际超算大会（ISC）公布了新一期全球超级计算机TOP 500榜单，由国家并行计算机工程技术研究中心研制的“神威·太湖之光”实现了所有核心部件全国产化，并成为运算速度最快的超级计算机。据研究显示，量子通信能从原理上确保身份认证、传输加密和数字签名无条件安全，可从根本上、永久性解决信息安全问题。

　　4.网络安全攻防技能持续加强

　　上半年，国内外举办的网络安全竞赛数量和质量不断提高，国内网络安全团队的整体能力得到进一步提升。3月，在加拿大温哥华举行的Pwn2Own 2016世界黑客大赛上，腾讯安全Sniper战队攻破苹果safari浏览器并获得ROOT权限，攻破微软Edge浏览器并获得SYSTEM权限，首度获得世界总冠军；360Vulcan战队攻破谷歌Chrome浏览器，名列第三。5月，国家互联网应急中心在四川省成都市举办了2016中国网络安全技术对抗赛，全面考验了参赛队伍的渗透测试、漏洞分析、挖掘利用、漏洞修复、安全防护等网络攻防实战能力。6月，360旗下的伏尔甘团队和韩国PoCSECURITY共同主办了首届世界黑客大师赛(WCTF)，中国台湾代表队HITCON名列第三。此次比赛引入了“赛题分享会”机制，每个参赛战队会对赛题进行解题分享，裁判、其他战队和参会观众可对解题过程提出问题或质疑、交流不同的解题方式，有助于整体提升我国网络安全技术实力。

　　5.网络可信身份管理成为研究热点

　　上半年，国内加大对网络空间主体身份识别的研究工作，以项目申报、学术研讨等形式为我国网络空间可信身份管理提供支撑。2月，科技部官网发布了“网络空间安全”等国家重点研发计划2016年度项目申报指南，明确了对网络可信身份管理技术研究的支持。

　　4月，由中国密码学会、全国信息安全标准化技术委员会以及联想创投集团共同举办的网络空间可信身份管理技术研讨会召开，国家网信办、国家密码管理局等政府主管部门，中科院、中国银联的专家学者以及企业代表，围绕进一步推动网络空间可信身份体系建设、统一互联网用户身份认证管理、安全标准化需求，以及国际国内身份认证管理实践等主题展开研讨。

　　6.网络安全国际合作趋势明显

　　上半年，我国加强网络安全领域的国际交流和合作，达成多项网络安全共识，成果颇丰。4月，首届“中俄网络空间发展与安全论坛”在莫斯科召开，双方探讨了网络空间技术合作的前景，并计划在网络空间发展与安全领域，开展技术交流、人才培养、政策研究等合作。6月13日，首次中英高级别安全对话在京举行，双方就打击恐怖主义、网络犯罪、有组织犯罪等合作达成重要共识。在第四轮中德政府磋商中，双方在网络安全领域达成多项共识，包括加强打击网络犯罪的合作；不从事或在知情情况下支持利用网络侵犯知识产权、窃取贸易机密或商业机密；致力于在联合国框架下，推动制定各方普遍接受的网络空间负责任国家行为规范。14日，第二次中美打击网络犯罪及相关事项高级别联合对话达成多项成果，包括继续开展桌面推演、测试热线机制、加强在网络保护方面的合作、开展信息共享和案件合作等。25日，中俄签署《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》，呼吁预防和打击利用网络进行恐怖及犯罪活动，倡议在联合国框架下研究建立应对合作机制，开展网络安全应急合作与网络安全威胁信息共享，加强跨境网络安全威胁治理。

　　■主要问题

　　1.工控安全顶层设计不足，相关安全保障体系亟需完善

　　当前，我国工业控制系统网络安全保障体系尚不完善，一是我国尚未建立跨部门、跨行业、跨区域的工控安全指导和协调机制，难以统筹安排工业控制系统网络安全保障工作。二是我国工业控制系统的安全防护标准严重不足，工业控制系统建设和安全防护、安全审查、测评等工作无据可依、无规可循。三是我国工业控制系统网络安全检查评估机制和网络安全风险信息共享机制尚不健全，缺少对工业控制系统的定期检查，漏洞、预警等安全风险信息难以及时报送，风险消减信息难以及时共享。

　　2.网络安全产业根基不牢，自主创新能力尚待提高

　　长期以来，我国网络安全产业发展过度重视经济效益，对网络安全问题认识不足，忽视了在基础核心技术方面的自主创新，形成了对国外信息技术产品的体系性依赖。一是我国核心技术产品严重依赖国外。目前，我国的CPU、内存、硬盘等核心技术严重依赖进口。处理器芯片主要依赖Intel和AMD等CPU制造商，内存主要依赖三星、镁光等厂商，硬盘主要依赖希捷、日立等厂商，板卡则被Broadcom、Marvell、Avago、PMC等厂商垄断。二是自主技术研发和推广面临诸多障碍。一方面，自主可控技术的研发需要大量人力、物力、财力作为保障，我国安全投入不足，严重制约产业发展；另一方面，我国在安全可控产品的划分方面仍有争议，微软、IBM等跨国IT企业采取多种措施来保证其在中国的市场份额，使得真正自主研发的企业处境更加困难。

　　3.网络空间信任体系建设滞后，网络可信身份管理亟待加强

　　我国网络空间信任体系建设滞后，网络可信身份管理机制有待完善。一是网络可信身份发展路线尚不清晰。网络空间信任体系建设缺少顶层设计，对网络可信身份管理具体解决方案还不清晰，专家意见尚未达成一致。二是相关保障措施亦不健全。我国在网络可信身份的法律制定、标准研究等方面存在不足，法律层面缺乏具体实施细则，标准层面还无法实现统一的认证技术规范。三是网络可信身份涉及对象较为单一。目前，我国网络可信身份涉及对象仍以自然人为主，较少考虑企业法人、软件及设备等网络主体。

　　4.网络安全关键技术不强，防护水平有待提升

　　目前我国网络信息安全技术发展水平相比美国等发达国家，还有一定差距，例如：加密芯片的国产加密算法使用率低，虽然国内的SM2、SM4等加密算法已经开始推广，但仍以RSA、3DES、AES等国外加密算法使用居多。在软件漏洞分析评估方面还是以单兵作战、合规性评测为主，很少涉及其技术核心，没有形成规模化、协同化漏洞分析评估能力，在漏洞分析评估的广度和深度上明显存在不足。此外，我国在基于大数据的安全分析、可信云计算、安全智能联动等重要方向技术实力不足，难以应对云计算、移动互联网、大数据等新兴信息技术带来的网络信息安全挑战。下半年走势分析与判断

　　■国家间的网络安全合作将逐步加强

　　近年来，世界各国纷纷加强网络安全领域的战略合作，以应对复杂多变的网络安全形势。

　　2016年下半年，随着黑客团体和网络恐怖组织等非国家行为体的网络空间破坏力的日益显现，各类网络攻击技术的不断升级和应用，世界各国面临的网络安全挑战将不断加剧，以共享全球网络威胁信息、打击网络恐怖主义等为核心的国际网络安全合作将不断深化。

　　■全球爆发大规模网络冲突的风险将不断攀升

　　随着网络空间地位的日益提升，网络空间已成为各国安全博弈的新战场。世界各国为确立在网络空间中的优势地位，不断加强网络空间攻防能力，国家级网络冲突一触即发。美国联邦调查局表示，受国家支持的APT6黑客组织已连续多年入侵美国政府网络并窃取机密文件；韩国国家情报院则表示朝鲜黑客攻击了韩方政府官员智能机，并窃取了大量敏感数据。网络攻击成为重要的军事打击力量之一。2016年下半年，为不断加强网络空间攻防能力，抵御网络恐怖主义和潜在威胁国家的网络攻击，各国会进一步加强网络空间部署，网络空间军备竞赛和网络冲突将持续存在并日益走向复杂化、高级化，全球网络空间局势将更加复杂，我国网络安全面临的外部形势也将愈发严峻。

　　■国家关键基础设施及其控制系统面临的网络安全风险进一步增加

　　随着信息技术的逐渐发展与普及，国家关键基础设施互联互通的发展趋势愈发明显，在实现数据高效交互、信息资源共享的同时，也给针对关键基础设施的网络攻击提供了可能。一方面，针对关键基础设施及其控制系统的网络攻击技术迅速提升。1月，研究人员发现，低水平黑客能通过单次远程连接工业电机造成设备物理破坏，其中很多设备易通过互联网进行访问；5月，来自Open Source Security的德国研究人员们创造出一种概念验证型蠕虫病毒PLC-Blaster，无需借助PC或其他系统，即可实现在PLC之间进行传播，能对关键基础设施及其控制系统产生灾难性后果。另一方面，以政治利益为导向、关键基础设施为目标的网络攻击日益猖獗。1月19日，乌克兰空中交通管制系统受到有针对性的网络攻击；26日，以色列能源与水力基础设施部部长宣称，该国电力局遭到重大网络攻击。28日，加拿大公安部表示，电厂、电网、航空系统、水利系统等加拿大的关键政府部门的基础设施近两个月遭受了25次网络攻击。3月，Verizon公司称黑客通过互联网入侵了一家水务公司的供水控制系统并更改了化学物添加比例，直接影响了水质和供水能力。

　　下半年，随着网络安全技术的迅速发展，技术成熟的工控蠕虫病毒被黑客掌握的时间并不久远，加之各类针对工业控制系统的网络攻击仍可能发生，国家关键基础设施面临的网络安全风险将进一步增加，值得我国引起高度重视。

　　■以信息泄露和资金盗取为目的的网络攻击将更加泛滥

　　一方面，针对互联网金融发动的网络攻击呈现“野蛮式”的增长，给个人、国家甚至全球都造成难以计数的经济损失。1月，飞机零件制造商FACC称其财会部门遭黑客攻击，损失大约5000万欧元；3月，Buhtrap组织成功地对俄罗斯银行进行十三次网络攻击，并窃取了超过18.6亿卢布资金；5月，匿名者针对世界银行业发起了#OpIcarus运动，有超过十家金融机构遭遇DDoS攻击，包括：希腊、塞浦路斯、荷兰和墨西哥等国家。此外，多家国际银行SWIFT系统遭受攻击，厄瓜多尔银行约1200万美元被转移至境外，而孟加拉国央行则被盗8100万美元，成为有史以来最大规模的网络窃案。另一方面，大体量的数据泄露事件频繁曝光，严重威胁企业和个人的信息安全。3月，美国21世纪肿瘤医院承认其系统发生数据泄露事件，220万病人及员工的隐私信息曝光；5月4日，加拿大金矿公司发生数据泄漏事件，约有14.8G的数据被黑客窃取；19日，领英用户账户信息被盗，1.17亿条用户登录凭证被曝在暗网销售。

　　2016年下半年，随着网络黑产链条逐渐孵化成熟并向组织化、集团化发展，各类以信息泄露和资金窃取为目的的网络攻击将更加泛滥，网络空间固有的隐蔽特性以及网络可信身份管理的缺失更会在客观上助长国际窃密、造谣诽谤、金融诈骗等网络违法犯罪行为，企业和个人的信息安全及金融安全将面临更加严峻的挑战。

　　政策措施建议

　　■整合工控安全保障能力，完善工控安全保障体系

　　一是着力加强工控安全保障工作的统筹协调。建议构建由国家主管部门协调管理的组织架构，明确工业和信息化部等政府部门在工控安全保障工作中的核心地位，加强与电力、水利、金融等行业主管部门的沟通协调，形成合力。二是研究制定工控安全标准规范。研究制定工控安全标准化路线图，按照轻重缓急，研制工业控制系统的基础性标准，尽快形成关键工控系统清单。推动工控系统分类分级、工控安全评估等安全标准的研制和发布。三是建立健全工控安全监管机制。一方面，健全工控安全检查评估机制，面向有色、钢铁、装备制造等重点行业开展网络安全检查和风险评估，指导并监督地方开展安全自查，组织专业队伍对重点系统开展安全抽查，形成自查与重点抽查相结合的长效机制；另一方面，完善工控安全风险信息共享机制，通过理顺信息报送渠道，完善监测技术手段和监测网络，构建工业信息安全风险漏洞库和预警信息库，加快形成工控安全风险信息共享的长效机制。四是建设国家级工控安全技术保障机构。依托高校、科研院所、企业等机构，建设国家级工控安全实验室，集中优势力量打造骨干技术研究基地，为开展工控漏洞验证与通报、事件响应、网络安全评估等工作提供技术支撑。

　　■突破核心技术瓶颈，构建自主可控的网络安全产业生态体系

　　一方面，要大力改善网络安全技术自主创新环境。充分发挥举国体制优势，集中国家优势力量和资源，介入集成电路、核心电子元器件、基础软件等开发周期长、资金回收慢的信息安全基础产品，突破核心关键技术并推动研究成果转化；另一方面，要加速建设自主可控的网络安全产业生态体系。加强对信息安全技术产品的评估，促进信息安全技术产品自主可控程度的提升，同时加快网络安全审查制度的落地实施，为自主可控产品提供市场应用空间，支持政府部门和重要领域率先采用具有自主知识产权的网络安全产品和系统，逐步推进国产化替代。

　　■建设网络空间信任体系，强化网络可信身份管理

　　一是细化网络身份体系顶层设计。在充分研究现有技术方案的基础上，明确国家网络身份体系框架、各参与方在其中的角色和职责，并制定详细的网络身份体系构建路线图。二是推进网络身份体系建设。根据网络身份体系建设要求，修订现有法律法规或制定新法，明确网络身份凭证的法律效力，完善相关配套规定；研究确定网络身份体系标准框架，推动相关标准的研制和发布；开展网络可信身份相关试点示范，评估示范成效，并逐步推广。

　　■加强网络安全关键技术研究，提升网络安全防护水平

　　一是研发国产安全芯片及密码算法。以自主可控和安全可信为核心，加强国产安全芯片及密码算法的研制和推广，研发基于可重组逻辑、标识认证、可追踪定位等技术的国产自主可控安全芯片，并推动SM2、SM3、SM4等国产密码算法在其中的应用。二是研发新一代网络安全防护技术产品。重点研究可信云计算、安全智能联动、攻击路径与异常行为分析、网络追踪溯源等新一代网络信息安全技术，并推动其在移动互联网安全、互联网安全、云计算安全、大数据安全等领域形成关键性的产品和系统。

　　■工业和信息化部赛迪研究院网络安全走势判断课题组