国内信息安全现实堪忧
中国是被监视的重灾区。中国国家互联网应急中心的报告显示,仅去年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门,对中国境内近3.8万个网站进行了远程控制。
然而,我们的信息安全意识却与美国差距甚大。互联网时代,我们已越来越习惯于享受信息系统带来的种种便利,在不知不觉中对相关软硬件产品、服务乃至模式产生无法摆脱的依赖,同时对信息安全隐患却表现出不应有的麻木。在信息和网络的漫长链条上,谁都有机会接触到我们提交的数据(不乏机密数据),任何一个环节都可能出现安全问题。
谈到信息安全,我们可能谈得更多的是产品安全、技术水平等,聚焦供应链安全的却很少。但实际上,由于我们对外依赖度高,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,谁都可能接触到我们的机密数据。正如启明星辰首席战略官潘柱廷所说,“棱镜”的曝光应该让我们认识到,主流供应链安全比其他安全问题更具有根本性和彻底性,目前我们对此重视不够,甚至损失供应链安全去换取一些其他东西,这非常危险。
而在中国信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来,中国信息安全产业经历的20年,最需要反思的是国家层面的安全,但事实上,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”警醒我们,如果只有投机而没有战略,就根本谈不上与别国展开博弈。
在安全技术层面,国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出,目前,我国在网络安全能力上全面不足,包括:漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证,都存在能力缺陷。
信息安全人才的缺乏让安全产业发展后劲不足。与英美发达国家相比,中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟,缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中,很多信息安全专业的主要学习内容是密码学,这对信息安全实践工作来说远远不够。