信息安全产业是我国第五空间安全的基石

严明

中国计算机学会计算机安全专业委员会主任

据有关机构发布的报告，截至2015年6月，我国网络个人用户规模达到6.68亿，其中使用手机上网的用户达到88.9%。中国域名总数已为2231万个，其中使用“.CN”的域名总数为1225万个，占中国域名总数的比例为54.9%；使用“.中国”域名的总数为26万个。中国网站总数为357万个，其中“.CN”下网站数为163万个。有人说，中国已是名副其实的“网络大国”。

数字化和网络化已经深入到我国的工业、农业、国防和民众日常生活的各个方面。国家、企业、民众都已经离不开网络与信息的支持。广大民众无论是上网还是不上网，都早已离不开信息网络。网络已经是真实世界中越来越重要、越来越不可缺少的部分。

互联网是美国构筑和控制的信息网络，我国是签约接入国。我国信息网络是美国控制的互联网的一个分支，我们其实是互联网的用户大国。我国的信息化建设在相当长的时期内大量使用国外企业的产品，它们在我国政府机关、军事机构、工业、农业、高校、金融、教育、交通、广电及传媒行业等都长期占据了超过一半的份额。在软件方面，微软、谷歌、苹果、甲骨文等公司在中国几乎做到了全覆盖。这种信息化的核心技术和关键基础设施受制于人的局面对我国重要信息系统的安全造成了极大的威胁。

美国毫不含糊地把网络空间（Cyberspace）确定为其继陆、海、空、天的第5个国家安全领域，其早已制定了完整的网络空间战略。奥巴马曾公开宣布，谁攻击了美国的网络，美国将动用一切手段包括战争来反击。美国成立网络战司令部后，提出全面发展先发制人的网络攻击能力并将中国列为主要的网络战对手。2014年，美国国防部长声称其网军已经达到6000人规模，其情报机构和网军均持有大量的高技术网络情报和网络战攻击武器。

美国的网络霸权行径遭到了各国的抵制，欧盟宣布将建立自己的网络系统，巴西提出要重新铺设自己直接通往欧洲的海底光缆。而美国学者高登M.哥德斯坦撰文《互联网山穷水尽？》分析了互联网霸权带来的重重危机。

习近平主席在出访各国包括访美、访英等时，多次阐述了我国对于信息网络安全的基本立场和态度，得到了各方响应和令人瞩目的成就。

高速发展的新技术新应用如云计算、移动网络、大数据、物联网、智能化和三网合一等，也不断对安全提出了新的需求和挑战。但安全事件也愈演愈烈。例如，2015年9月18日，乌云漏洞平台披露了非官方Apple iOS Xcode开发工具向iOS应用植入恶意代码（XcodeGhost）。对App Store上发布的应用分析确认大量应用遭受感染。9月21日，苹果公司首次承认发现批量恶意软件成功绕开其安全审核进入软件商店中。奇虎360于9月22日在其官方博客中公布，已经发现有334款应用受到了XcodeGhost 的影响。又有消息说，“已经确认Unity-4.x的感染样本恶意代码和XcodeGhoxt的逻辑一致”，而且感染面还在扩大。有专家提出，这“看来是一个系统筹划，长期耕耘”的威胁。仅仅2015年类似级别的安全威胁事件就发生了多次。

我国的信息安全产业在面对这种安全威胁中经历了多年的奋斗并取得了一定的成绩，但是和先进国家以及和应对来自各方的安全威胁需要相比还有很大差距。

2015年7月22日，美国《财富》杂志发布2015年世界500强企业名单，中国上榜企业达到106家，比2014年度增加6家，上榜企业数量稳居世界第二；美国上榜企业128家，数量与2014年度持平。其中和信息化相关的中国企业有中国移动（第55名，下同）、中国电信（160）、中国联通（227）、华为（228）、联想（231）、电子信息产业集团（366）、广达电脑（389）、大唐集团（392）、仁宝电脑（423）等9家（福布斯的排名阿里巴巴在内），其余大部分是能源、金融、贸易、粮食等产业领域。而美国的128家中，高技术企业特别是信息行业的企业所占比例极高。同期，美国网络安全风险投资公司评定的“最热门，最具创新”的世界网络安全企业500强，我国只有安天实验室（95）、山石网科（142）、杭州安恒（314）以及提供指纹安全技术的印象认知（412）4家民营企业入围。美国占了八成并包揽了前9名。据调查，目前我国年收益超过10亿元人民币的网络安全企业只有10家左右。而赛迪发布的2014～2015年信息安全产品市场年度报告公布，我国信息安全市场在2014年为226.8亿元人民币，增速为18.5%。有评论说，美国一个赛门铁克公司的规模就和我国全部信息安全产业加起来差不多。

美国前任网络战司令亚历山大曾经说过：美国的网络安全技术，80%在企业中，必须重视和企业的合作。事实上，美国强大的IT产业不仅构成了美国强大的经济技术实力，也成为其称霸世界信息化和信息网络的坚实基础。网络安全产业是国力的体现，实现中华民族的强国梦，没有强大的信息化和信息安全产业作为基石是不可能的。我们应该认真思考和积极推动我国网络安全产业的全面发展。

产业的发展和其市场规模直接相关，而市场的规模取决于投入规模。我国在信息化建设中在信息安全方面的投入比例和其他国家相比差距甚大。据统计，美国的信息系统建设用于安全的投入在25%～30%；欧盟的信息系统建设用于安全的投入占总投资的15%～20%；而据我国有关部门的统计，我国在信息系统建设中用于安全的投入只有3%～5%，甚至有说法是只有1%。不改变这种状况，建设我国信息安全强国就是空谈，产业的发展就是无米之炊。

形成这种状态的原因是多方面的，主要包括没有像欧美那样立法确立首席安全官制度，落实管理者的责任；没有对于信息系统建设中安全投入进行法制性限定；我国在政府采购中强制性规定以最低价中标，给恶意投标打开了大门；我国市场生态环境存在的低价恶性竞争等。这些问题都亟待改变。

和其他国家安全领域不同的是，在网络安全和信息安全领域我国没有强大完整的国有军工产业支持。我们在这方面的技术积累和应变力量也是多存在于企业特别是民营企业中。网络安全产业是我国网络安全的基础，而网络安全和信息安全威胁的各方特点要求我们必须有结构完整、行动协调、技术先进、实力强大的产业作为构建网络安全强国的基石。

结构完整：我们应该具有网络安全与信息安全的完整的安全产业。我们的网络安全产业应该具备应对平时的网络威胁并有支持抗击并打赢一场网络战争的能力，不应该有明显的短板和缺失。

行动协调：我们的产业在威胁到公民、用户、国家安全的重大安全事件面前，应该能够协同一致，发挥各自特长，为保护公民、企业、国家的安全形成合力。

技术先进：我们的产业为摆脱在核心技术和关键基础设施上受制于人的局面中应该起到主力军的作用。能够为我国的关键基础设施和重要信息系统的安全提供充分的技术保障。

实力强大：我们的产业应该走开放和走向世界的道路，在安全领域应该有类似于华为、中兴、联想和BAT那样的世界级的企业。不仅为本国，也为全球提供我们的安全支持。

为实现这个目标，国家应该大力实施“统筹规划、协同创新、公平竞争”的政策。

统筹规划：要从国家安全的视角全面规划我国的网络安全产业布局。在充分发挥市场机制促进作用的同时，也要发挥国家统筹作用。凡是国家安全需要的，盈利的要做，不盈利的也必须做。需要国家投入的，国家应该毫不犹豫地投入。

协同创新：大力推动产学研协同创新，大力推动军民结合，积极学习和引进国外先进技术，包括基础性技术在内，逐步摆脱我国在信息化领域长期存在的核心技术和关键基础设施受制于人的局面。

公平竞争：努力构建健康的产业生态环境和完整的产业链，充分发挥我国各方面的优势，使竞争真正成为产业发展的助推器。

中央成立网络安全和信息化领导小组，习近平总书记亲自任组长，李克强、刘云山任副组长，在中央层面设立了一个强有力、具有空前权威性的网络安全领导机构。中央网络安全和信息化建设领导小组办公室的成立有利于使各项工作落到实处。法制的完善和责任的明确有利于形成健康的产业生态环境；社会各界和广大民众对于我国信息安全产业的发展更加关注，对网络安全的认识和重视程度提高；国家对我国网络安全产业支持的力度在加大； “一带一路”和“互联网+”也同时给了我国信息安全产业发展的新天地，将竞争提升到一个新的层次。

当前我国良好的发展形势带给了我国网络安全产业发展机遇。我们如果能抓住机遇，发挥自己的特点形成自己的优势，就一定能发展好我国的网络安全产业。