4亿多网民信息安全受威胁

　　目前，全球13台根服务器没有一台在中国，这使美国可以轻易掌握其他国家的网络信息流。在基础设施方面，关键芯片、路由器有较大比例来自国外，这一状况至今未能根本性改善，一旦国外在芯片、路由器上暗藏后门，造成的泄密隐患可想而知。

　　“XP停止服务，Win8不仅难用，对电脑配置要求还高，我们的网络安全谁来保护？”一些网友在微博上如此抱怨。4月8日，伴随了用户13年的Windows XP（以下简称XP）正式隐退。我国尚有约2亿XP用户，用户对“后XP时代”的网络安全忧心忡忡。

　　就在当天，互联网筑墙被划出了一道致命的裂口，常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在“心脏出血”的高危漏洞，我国不少用户的个人信息出现在了地下交易市场。

　　其实，这仅是中国信息安全问题的冰山一角。在PC时代，电脑操作系统被微软所垄断，如今在移动互联网时代，移动端操作系统被谷歌、苹果等国外企业所垄断，从美国鼓吹“中国网络威胁论”，到斯诺登引爆“棱镜门”事件，中国的信息安全问题日益突出。中国的信息安全防护能否抵御外来入侵？中国公民的个人隐私能否得到保障？

　　4亿多网民受威胁

　　2012年年底，美国以“威胁国家安全”为由，将华为、中兴电信设备拒之于门外。2013年，美国又将反制中国“网络威胁”纳入立法及司法领域，向中国施压。不仅如此，美国还利用企业联合他国机构发布报告，宣扬“中国威胁论”，对“走出去”的中国企业不断打压。

　　然而，随着2013年“棱镜门”事件的爆出，美国利用技术优势监控全球互联网，甚至渗透和攻击他国关键领域服务器的事实被揭露出来。斯诺登曝光的文件，就让美国限制华为进入的做法显得十分滑稽。据德国《明镜》周刊网站报道，美国国家安全局自2009年起，就入侵华为电子邮件伺服器，成功获取华为内部资料及包括华为高层在内的员工电子邮件记录。

　　5月26日，我国互联网新闻研究中心发布了《美国全球监听行动纪录》（以下简称“纪录”），美国实施窃密监听行动的具体细节可谓触目惊心。

　　“纪录”内容显示，中国的政府机构是美国窃听的“重点关照”对象。白宫的一位外交政策助理曾透露，美国在1990年8月落成的中国驻澳大利亚新使馆的每间办公室的混凝土墙里，都埋设了光纤窃听器，这种细细的玻璃丝在全面安全检查中没有被发现。直到这件事在前些时候被泄露给《悉尼先驱晨报》和其他新闻媒体后，才引起中国的警觉。

　　据德国《明镜》周刊报道，已被曝光的一份美国2010年的“监听世界地图”包含了世界90个国家的监控点，中国作为美国在东亚的首要监听对象，北京、上海、成都、香港及台北等城市，均在美国国家安全局重点监控目录之下。从2009年开始，美国国家安全局就开始入侵中国大陆和香港的电脑和网络系统，中国大陆和香港已有数百个目标受到监视。在香港的目标中，多数是大学、政府官员、商人和学生。

　　中国企业也是美国的重点监控对象。“纪录”的内容显示，《南华早报》公布的对斯诺登的采访说，美国政府正大规模入侵中国的主要电信公司，以获取数以百万计的短信内容。斯诺登表示，美国监控远不止这些，“美国国安局做各种事情，诸如入侵中国移动电话公司，以窃取你们所有的短信数据。”

　　据路透社报道，美国国家安全局曾与加密技术公司美国安全服务商RSA达成了1000万美元的协议，联合在加密算法中加入漏洞后门，旨在削弱软件加密标准，辅助相关机构RSA开展大规模监控程序。RSA的中国客户包括三大电信运营商中国电信、中国移动、中国联通，中国银行、中国工商银行、中国建设银行等，以及电信设备商华为和家电制造商海尔等。

　　科研机构、普通网民、广大手机用户，甚至网络游戏和聊天软件都成为美国获取情报的渠道。

　　英国《卫报》和《纽约时报》公布了美国著名新闻调查机构“为了人民”的文件，名为“对恐怖分子利用游戏和虚拟环境的研究”。该文件显示，美英两国的情报人员假扮“玩家”，曾渗透入网络游戏《魔兽世界》《第二生命》中，监视游戏玩家。而这两款游戏的中国玩家最多。

　　监测数据显示，2013年，中国遭受境外网络攻击情况触目惊心，大量主机被国外木马或僵尸网络控制，主要控制源都来自于美国。据国家互联网应急中心统计，到2013年9月底，监测发现共近52万个木马控制端IP，其中有24.7万个位于境外，前三位分别是美国、印度和土耳其。共发现境外64万台主机曾对中国大陆发起过攻击。其中，对中国大陆地区进行网站攻击最频繁的国家和地区为美国（42%）、日本（19%）和韩国（10%）。

　　CINNIC发布的《2013中国网民信息安全状况研究报告》显示，过去半年遇到过网络安全问题的网民比例高达74.1%，影响总人数达到了4.38亿。 核心技术之失

　　这一系列事件映射出，中国针对关键信息基础设施和重要信息系统的信息安全感知能力、防护水平与保障措施相对欠缺，自主可控能力严重不足。

　　信息安全专家秦安说，网络空间的力量，对一个国家、民族存在三大威胁：一是可以利用直达人心的便捷通道，攻心夺志，实现信息渗透、文化入侵和思想殖民，直至颠覆国家政权，西亚北非国家政权批量倒台的例子现实而生动；二是可以利用全球一体的物联网实现远程控制，阻瘫交通、能源、金融、供水等民生基础设施，美国目前正在加紧防范“数字9·11”和“网络珍珠港”事件发生；三是可以通过网络入侵攻击军事网络，阻瘫作战体系，病毒入侵导致法国战机无法起飞等例子不在少数。

　　近年来，中国在网络安全领域问题频发，背后有多重原因。

　　中科院研究生院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望说，中国核心技术受制于人，使中国的网络安全水平大打折扣。互联网在美国诞生，这使得美国在互联网世界掌握绝对的主导权和话语权。目前，全球13台根服务器没有一台在中国，这使美国可以轻易掌握其他国家的网络信息流。在基础设施方面，关键芯片、路由器有较大比例来自国外，这一状况至今未能根本性改善，一旦国外在芯片、路由器上暗藏后门，造成的泄密隐患可想而知。

　　另外，无论是PC端还是移动端，中国都大量使用美国操作系统。中国在PC时代被微软垄断的局面，在移动互联网时代又被另一家美国巨头谷歌复制。由于操作系统掌握最底层、最核心的权限，如果美国意图利用在操作系统上的优势窃取中国信息，犹如探囊取物。

　　中国在网络社会的立法并不完善且层级不高。一些专家指出，中国还没有形成使用成熟的网络社会法理原则，网络法律仍然沿用或套用物理世界的法理逻辑。在信息安全立法上，缺乏统一的立法规划，现有立法层次较低，以部门规章为主，立法之间协调性和相通性不够，缺乏系统性和全面性。

　　目前，中国已经出台了不少指导性或规范性文件，如2006年实施的《互联网安全保护技术措施规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》，2013年的《关于加强移动智能终端管理的通知》，但由于在立法层面缺乏支持，导致执行力比较差。更重要的是，目前中国仍然没有一部独立的网络犯罪法律，有关计算机犯罪的法律条文主要是刑法285条和286条。这些条文远远无法应对纷繁复杂的网络犯罪模式。

　　网民网络安全防范意识薄弱也是信息安全不断受威胁的重要原因。目前，网民虽有一定的认知网络安全知识，但却没能将其有效转化为安全防范意识，更少落实在网络行为上。以在中国普及程度极高的安卓手机为例，大量安卓应用在安装前都要求读取用户的位置、短信等隐私，如不同意授权，则无法安装。对于很多用户而言，明明知道这些软件并没有必要知道这些隐私，且本意不想泄露隐私，但由于怀有侥幸心理，仍然同意软件读取自己的隐私。尽管媒体长期呼吁，但大量用户依然我行我素，导致难以对手机厂商和应用开发者形成强大的舆论压力。

　　另外，多头管理、部门间协调不畅，也是中国网络安全领域问题频发的重要原因。当前中国的互联网管理体制存在政府主导，多头管理，政出多门，难以形成拳头，缺乏统筹规划的问题。随着社会对网络依赖度越来越高，网络空间安全问题超越了专业技术层面，构成对国家安全的直接影响。

　　上升至国家战略

　　今年两会前夕，中央网络安全和信息化领导小组成立，习近平总书记担任组长，李克强、刘云山任副组长。之后，“维护网络安全”这一表述首次出现在了政府工作报告中，这意味着网络安全已上升至国家战略。

　　国家互联网信息办公室5月22日发布消息称，我国将于近期推出网络安全审查制度。“信息安全现已成为国家安全的重要一环，进行网络安全审查是信息技术发展的必然趋势。”中国工程院院士方滨兴告诉记者，美国、日本等发达国家早在十多年前就已建立了完备的网络安全审查制度体系。

　　网络安全审查，就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。

　　2000年，美国率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。

　　随后，美国等西方国家为保障国家安全、防范供应链安全风险，逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。

　　美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭，不披露原因和理由，不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响，且其审查没有明确的时间限制。

　　美国网络安全审查的内容不局限于技术。美国联邦政府要求，不仅要审查产品安全性能指标，还要审查产品的研发过程、程序、步骤、方法，产品的交付方法等，要求企业自己证明产品已达到了规定的安全强度。 　　此外，近日中央国家机关政府采购中心下发《关于进行信息类协议供货强制节能产品补充招标的通知》，其中有条目规定，国家机关“信息类协议供货强制节能产品采购招标”中，所有计算机类产品不允许安装Window 8操作系统。政府采购缘何对Win8说不？

　　中国工程院院士倪光南表示，Win8操作系统采用了对于他国不安全的技术架构——它集成了杀毒软件，可以经常扫描用户的电脑，采用该系统的电脑面临着被监控的风险，进一步加剧了对我国网络安全不可控而导致的风险。

　　多措并举形成合力

　　业内专家认为，应以中央网信小组成立为契机，在推出网络安全审查制度的基础上，多措并举，形成合力，共同建设中国网络安全。

　　首先，要加强自主创新能力，提高核心软硬件产品自主化水平。专家们认为，解决互联网的信息安全问题，不能完全依赖国外技术，唯有依靠自主创新才能取得主动、主导和自主权。中国应大力加强核心芯片、路由器、操作系统等各关键领域的自主化程度，通过政府采购、专项扶持等多种方式，推进企事业单位、科研院所以及市场力量加入到核心技术研发和推广上来，为中国的网络安全提供基础性保障。

　　同时，加紧前沿技术的研发工作。应发展使用黑客技术，主动发现漏洞并及时加以解决，不给不法分子可乘之机。互联网具有大数据、复杂性、异构性、开放性等特点，数据的处置能力体现了一国对数据的占有和控制能力。

　　中国需要大力研发和突破，以提高收集、储存、应用、保留、管理、分析和共享海量数据的处置等所需核心的先进技术。下一代网络规划中，应特别关注海量数据存储的并行存储体系架构、高性能对象存储技术、并行I/O访问技术、海量存储系统高可用技术、数据保护与安全体系、绿色存储等关键技术的研究。

　　其次，加强立法，需尽快研究制定《信息网络安全法》，确定信息网络法制的总体框架。确立信息网络法制模式和实现方式，明确政府、企业、用户及个人等各自应负的法律责任。

　　最后，坚持政府主导、行业自律的原则，明确运营商、服务商等企业在信息网络安全方面应负的社会和法律责任。要切实增强广大网民的法治意识，普及信息网络安全法律知识。完善信息网络公约机制，积极引导信息网络商户和网民加强网络自律，创建良好的网络社会法治环境。