中国网络空间安全发展报告(2015)图书
Annual Report on Development of Cyberspace Security in China(2015)
[内容简介] 本书以2013~2014年为研究背景(重要事件回溯至2011年),以习近平总书记关于建设网络强国的指导思想进行框架设计和内容组织,汇集国内二十余位专家学者的最新研究成果。书中全面分析了我国网络空间安全的总体现状以及发展对策,内容涉及网络空间漏洞管理、网络安全审查制度、网络颜色革命、网络恐怖主义、数据主权、物联网安全等方面,并对2011~2014年国内外重大安全事件进行了回顾。
上海蓝皮书编委会
Abstract
论信息安全、网络安全、网络空间安全
摘要
中国网络空间安全发展报告(2015)编委会
上海社会科学院信息研究所*
BⅠ 总报告*
B.1 挑战与变革:中国网络空间安全发展研究
一 引言
二 网络空间安全的概念内涵
三 中国网络空间安全发展形势研判
(一)中国网络空间安全顶层设计取得重大突破
(二)“棱镜门”事件全面拉响中国网络空间安全警报
(三)新技术新应用发展加剧中国网络空间系统性风险
(四)中国网络信息产业被逐步纳入安全可控的轨道
(五)国家加大力度整治网络乱象维护网络清朗空间
(六)中国个人信息安全重大事件呈频发态势
(七)中国逐步登上全球网络空间治理的舞台
(八)全国掀起网络空间安全人才教育的热潮
四 新时期中国网络空间安全发展对策研究
(一)秉持治理理念构建网络空间安全制度体系
(二)以媒体融合为契机加快网络文化繁荣发展
(三)以科技创新为核心驱动网络信息产业跨越发展
(四)举全社会之力打造多层次网络安全人才队伍
(五)抓住战略机遇积极推动全球网络空间新秩序发展进程
BⅡ 风险态势篇
B.2 新一代网络信息技术发展及其安全风险研究
一 网络安全风险现状
(一)国外网络安全风险现状
1.网络攻击目标广、手段新,危害后果严重
2.技术漏洞引发的网络安全威胁仍然严峻
3.网络攻击减少但却更加高效*
(二)中国网络安全风险现状
1.系统漏洞和后门隐患问题升级,“核弹”级漏洞显现
2.攻击频率总体呈上升趋势
二 新技术新应用发展现状与安全隐患分析
(一)新技术新应用发展现状与安全隐患
(二)移动互联网技术发展现状与安全隐患
1.中国移动互联网技术发展现状
2.移动互联网的风险和隐患
(三)云计算技术发展现状与安全隐患分析
1.中国云计算技术发展现状
2.中国云计算技术发展存在的风险和隐患
(四)大数据发展现状及面临的安全挑战分析
(五)互联网金融发展现状与安全隐患分析
1.中国互联网金融的发展现状
2.互联网金融产品的应用风险和网络金融的新型犯罪
三 对策建议
(一)面向新技术新应用的安全对策
(二)面向移动互联网技术的安全对策
(三)面向云计算技术的安全对策
(四)面向大数据技术的安全对策
(五)面向互联网金融的安全对策
B.3 网络空间漏洞国家管理的观察与思考
一 网络空间漏洞管理的本质过程和目标职能
(一)网络空间漏洞管理是动态过程,目标是提升网络空间可用性
1.网络空间漏洞管理是对弱点的过程管理
2.网络空间漏洞管理就是要克服短板
3.网络空间漏洞管理是首席信息安全官的主要职责
4.网络空间漏洞管理的目标是加强披露和修补能力
(二)网络空间漏洞管理的基本方式是公私合作,为国家安全提供非对称能力
1.网络空间漏洞管理需要各类行为体的协同
2.网络空间漏洞管理的漏洞利用政策是国家软实力的重要组成
(三)网络空间漏洞管理的核心能力是漏洞挖掘,黑客文化需要正确管理引导
二 网络空间漏洞管理的国外实践
(一)从国家安全战略层面加强网络空间漏洞管理
(二)构建漏洞库加强信息共享与披露机制
1.多渠道构建漏洞库已积累经验
2.建立有效的网络风险信息共享机制并非易事
(三)颁布漏洞利用的政策法律以提升国家软实力
(四)网络空间漏洞管理需要新理念和新思路
(五)全面合作是网络空间漏洞管理的必然趋势
三 对中国网络空间漏洞管理的思考与建议
(一)深化网络空间漏洞管理的国家认知
(二)构建网络空间漏洞管理的国家机制
(三)核心关键软硬件的自主可控应倾向于强调可控
(四)以军队为主体整合国家网络空间安全力量
B.4 网络时代颜色革命的权力特征与风险防范
一 网络时代颜色革命的特征与威胁
(一)网络赋权为颜色革命提供了关键要素
1.近30亿网民:同步性的“全球场域”
2.微革命:网络颜色革命的权力内核
3.无组织的组织:颜色革命的新权力形式
(二)泛传播与携带式革命为颜色革命创造了必要条件
1.技术发展和应用普及:适应新社会运动的基本特征
2.新技术突破了政府管制:国界内革命能得到跨界支持
二 新媒体在颜色革命中的作用不可估量
(一)作为动员工具:加强了社会动员的力度和精准度
(二)作为组织工具:提高了社会运动的有序性和持久性
(三)作为传播工具:扩大了革命的影响力
三 借助颜色革命中的网络权力效应:防范与化解
(一)加强网络社会权力与国家权力的互动
(二)主动进入关系场域进行权力关系再造
(三)以互联网思维管理内政和参与外务
B.5 网络恐怖主义的威胁及其应对
一 网络恐怖主义的兴起
(一)网络恐怖主义的分类
(二)网络恐怖主义的特征
1.隐蔽性较强、效果扩散快
2.动员能力强、实施成本低
3.影响范围广、后果危害大
4.攻击更灵活、防控难度大
二 国家行为体的网络恐怖主义危害
三 内外兼修打击网络恐怖主义
(一)全面打造网络反恐的国家力量
(二)促进各国对网络恐怖主义的共识
(三)建立打击网络恐怖主义的全球机制
BⅢ 政策法规篇
B.6 中国网络空间安全法律与政策发展研究*
一 中国网络空间安全的战略构想
(一)网络空间安全上升为国家战略
(二)网络信息安全的内涵与外延不断深化与拓展
(三)国家网络空间管理领导体制逐步完善和提升
(四)中国积极推进国际网络空间新秩序进程
1.以“信息主权”为根本,提出中国版网络安全观
2.多边合作,积极参与推进国际网络空间新秩序进程
二 中国互联网信息传播治理
(一)中国互联网信息传播治理的主要做法
1.构建民事、行政和刑事责任承担体系
2.推行以“用户实名”为基础的互联网治理方式
3.加大平台责任,构建多主体共同治理范式
4.以“审查许可”模式规范互联网信息服务提供商的资质
(二)开展净网行动,使“网络空间清朗起来”
1.打击网络谣言
2.打击网络淫秽色情信息
3.打击虚假恐怖信息
4.打击暴恐影音传播
5.规范即时通信工具公众信息服务
三 计算机与网络犯罪
四 安全诚信的网络环境建设
五 保障个人信息安全
六 关键性基础设施安全保障
(一)强化关键信息基础设施保护
(二)提升突发网络安全事件应急响应能力
(三)进一步推进信息安全产业扶持政策
(四)以国产替代保障网络安全可管可控
(五)探索建立国家网络安全审查制度
七 移动互联网安全治理
(一)恶意程序治理
(二)垃圾短信治理
八 未来展望
(一)确立“发展”“开放”“权利保护”的立法理念
(二)以“透明”、“共治”和“责任”为重点,构建多元合作的互联网治理模式
(三)以“自主可控”为目标,加强网络关键基础设施的安全和法律保护
(四)以前瞻性与现实性相结合为原则,提高互联网立法水平
B.7 中国网络安全审查制度的建设
一 网络安全审查制度的意义
二 国外网络安全审查制度的主要做法
(一)总体情况
(二)美国的典型做法
1.国家安全系统
2.联邦信息系统
3.重点行业信息系统
(三)国外网络安全审查制度的主要特点
1.军队、情报领域以及涉密部门均设置了强制性网络安全审查
2.政府信息系统的网络安全审查事实上是强制性的
3.未对重点行业设置强制性网络安全审查制度并不是出于WTO规则的约束
4.看似公平的游戏规则隐含着巨大的不公平
三 网络安全审查制度与贸易规则的关系
(一)美国对中国主要网络安全贸易诉求
(二)美国对自身网络安全贸易措施的辩解
(三)网络安全贸易纠纷的性质和特点
四 网络安全审查制度的要点
(一)紧密围绕国家安全的需要
(二)将国家安全需求体现在供求合同中
(三)平衡与原有测评认证制度的关系
(四)突出对安全保障能力的考量
五 结束语
B.8 中国网络与信息安全立法定位研究*
一 概念解读:信息安全和网络安全之关系
二 法律理念:总体国家安全观
三 治理体系:防御、控制与惩治的三位一体架构
BⅣ 文化传播篇
B.9 中国网络文化安全面临的挑战与对策
一 中国网络文化安全面临的三大挑战
(一)以意识形态为核心的政治文化安全
(二)承继优秀传统文化的本民族文化安全
(三)传播健康内容的大众娱乐文化安全
二 中国网络文化安全的维护及其对策措施
(一)网络文化安全研究的理论难点
(二)创新是提高网络文化竞争力的根本举措
(三)依法治网是抵御不良文化的基本保障
(四)提升技术水平是强化网络管理的必要手段
B.10 中国互联网内容治理现状与对策研究
一 现状:治理体系进一步完善,治理成效越来越明显
(一)治理部门层级逐渐提高,协调性逐渐增强
(二)法律法规逐步健全、政策措施逐步细化
(三)多方力量齐抓共管、社会治理效果初显
二 特点:治理方法逐步现代化,治理范围紧跟互联网发展
(一)理念由管理向治理转变
(二)措施由行政手段向依法治理转变
(三)重点由网站向微领域、移动领域、云端转移
三 挑战:治理对象的不确定性增强,风险更加难以掌控
(一)新情况不断涌现,现实风险越来越大
(二)网络上形成共识难度大,价值观建设任重道远
(三)体制机制还需完善,法律法规仍需健全
四 对策建议:构建互联网生态系统,推动互联网走向善治
(一)以复杂系统的治理理念进行互联网治理
(二)多元主体共同治理
(三)网上宣传和践行社会主义核心价值观
B.11 近年来中国网络舆情发展探析
一 网络舆情生态的重大积极变化
(一)网民规模进一步激增
(二)自媒体崛起引发网络舆论场格局变化
(三)网络环境治理效果显著
二 网络舆情总体态势
(一)反腐力度不断加强
(二)多项改革难题开始“破题”
(三)官媒积极消解经济下行猜测
(四)社会各界协力共同抵御灾害
(五)重拳出击净化社会风气
(六)网民爱国热情高涨
(七)多举措网络舆论管理成效显现
(八)高层活跃外事活动深受舆论肯定
三 网络舆情特点和走势
(一)主流意见在社交媒体上不断放大
(二)网络虚假信息治理卓有成效
(三)反腐深入让地方政治生态备受关注
(四)司法领域活动成为主要话题
(五)民众对社会焦点事件的讨论愈发理智
(六)民生话题依然是公众关注度最高的话题
(七)突发事件引领舆情走向
(八)国际话题持续受关注
四 值得注意的问题
(一)报道不当引发的舆论热潮使媒体公信力屡遭质疑
(二)否定我国司法公正及法治建设成果的杂音
(三)净网等举措引起舆论反弹
(四)社会暴戾之气亟待消解
(五)思想意识形态领域再起波澜
五 舆情发展趋势及相关建议
(一)官腐话题还将升温,舆论不良倾向需及时监测引导
(二)法治话题将走热,法制建设正面报道力度需加强
(三)媒体需加强融合,以自建、他律回应喧嚣
(四)媒体应慎报暴恐事件、极端暴力事件等
(五)社会民生热点还将频发,重在及时回应民众关切
(六)涉外、涉港台问题易起争议,媒体应凝聚社会共识
BⅤ 产业技术篇
B.12 全球网络信息安全产业发展与中国路径选择
一 全球网络信息安全产业现状和版图重构
(一)网络信息安全产业概念辨析
(二)全球信息安全产业发展现状和特征
1.各国产业政策支持力度不断加大
2.产业规模持续增长
3.产业版图日渐清晰
4.企业估值逐年上升
二 全球网络信息安全产业呈现八大新趋势
(一)面向国家安全的全球产业竞争格局初步形成
1.指定一些专业技术公司和承包商为美国政府及其相关机构服务
2.阻挠国外企业并购具有敏感安全技术的美国企业
3.限制核心安全技术厂商对外进行技术转移
4.支持本国信息安全企业对外进行并购
(二)传统IT巨头以安全为突破口打造全产业链
(三)专业信息安全公司通过并购提高技术水平
(四)细分行业的龙头企业加速成长,新业态新模式开始浮现
(五)以服务为核心的信息安全业态渐成主流
(六)移动安全成为信息安全产业投资新热点
(七)以安全为基点的衍生服务模式开始兴起
(八)大数据、云计算、物联网等新兴技术安全产业开始萌芽
三 中国网络信息安全产业发展现状和趋势
(一)喜忧参半,危机警报暂难消解
1.中国信息安全产业已成雏形
2.关键领域仍然受制于人
(二)薄弱环节,有待重点加强
1.缺乏综合性龙头企业,产业链无法形成闭环
2.专业公司的营收规模远低于境外同行
3.企业收入主要来自于非信息安全业务
(三)三股力量汇聚共振,本土企业迎来历史机遇
1.政策红利推动,增长速度持续上升
2.替代进程加快,自主研发背水一战
3.潜在需求释放,市场空间打开
四 中国建设网络强国的产业对策和建议
(一)在国家安全战略框架下构建起信息安全产业体系
(二)完善符合目标预期的体制机制
(三)制定清晰的政策方针和预算框架
(四)实施“淘汰+紧跟+超越”的产业发展方针
(五)借力金融中心和自贸区建设优势
B.13 大数据背景下我国信息安全产业“自主创新”之路
一 大数据时代信息安全上升为国家战略
(一)信息安全主体面临新的机遇和挑战
1.国家层面的信息安全有了新的内涵和外延
2.大数据时代给企业提供了更多的商业机会和巨大的利益诱惑
3.个人是大数据时代的最大受益者和受害者
(二)安全屏障需要政府、企业、个人“三位一体”共同构筑
1.政府层面:战略引领和政策导向
2.企业层面:技术保障和安全把控
3.个人层面:提升信息素养和信息能力
二 危机触发的内在驱动力激励企业的责任担当
(一)中国信息安全产业界的责任与担当
1.责任:需要信念和勇气
2.担当:需要智慧和执着
(二)企业“自主创新”的路径需要不断求索
1.“安全可控”是目标:化解国忧民虑之本
2.“自主创新”是基础:支撑“网络强国”建设
(三)“国产化替代”是进程:倒逼产生动力
三 探索“自主创新”之路:为动态数据安全建立安全围堤
(一)依靠中国“芯”支撑起动态密码保护的屏障
1.对数据进行加密是一种基于本源的防护手段
2.“数据本源保护”是基于自主学习的保护形式
3.动态密码保护技术必须依靠中国“芯”支撑
(二)应对非常时期的安全保障要求
1.从国产化替代周期看:可以帮助尽早扭转战略被动局面
2.从信息化进程看:为智慧城市建设提供同步保驾
3.给处于大数据时代的组织和个人以踏实的安全感
B.14 “后斯诺登”时代中国网络安全和信息产业革命
一 “斯诺登事件”加速中国网络安全和信息化产业自主可控的“新觉醒”
(一)透彻认识网络安全问题的深远危害
(二)深刻反思网络安全问题的本质原因
(三)正确认知网络安全问题的时代要求
二 “斯诺登事件”是倒逼中国网络安全和信息化产业从量变到质变的“新机遇”
(一)国家安全的迫切需求和网络强国的战略进攻态势挤压了中国网络安全和信息化产业从量变到质变的实践周期
(二)中华民族复兴的动力和不断提升的国际担当同步驱动中国网络安全和信息化产业升级步伐
(三)中国经济实力增长和科学技术进步共同推动网络安全和信息化产业转型发展
三 “斯诺登事件”催生中国网络安全和信息化产业全面升级的“新愿景”
(一)以加速网络空间治理体系现代化,作为中国网络安全和信息化产业革命的关键支撑
(二)以不断壮大自主创新的信息企业,作为中国网络安全和信息化产业革命的中坚力量
(三)以网络大众群体安全意识培育、专业创新人才培养,作为中国网络安全和信息化产业升级的社会基础
B.15 上海信息安全技术产业化发展研究
一 上海信息安全产业的基本情况
(一)产业总体情况
(二)产业发展载体情况
(三)主要事业单位
1.上海市数字证书认证中心(CA中心)
2.上海市网络与信息安全应急管理事务中心
3.上海市信息安全测评认证中心
(四)骨干企业
二 上海信息安全技术的产业化环境
(一)上海信息安全技术研究群体
1.国家信息安全工程技术研究中心
2.国家反计算机入侵和防病毒研究中心
3.上海交通大学信息安全工程学院
(二)上海信息安全技术产业化发展环境
1.市场发展环境
2.政策支撑环境
3.产业孵化环境
三 上海信息安全技术产业化发展模式
四 上海信息安全产业面临的问题与对策
BⅥ 人才教育篇
B.16 网络空间安全人才现状和发展趋势
一 世界主要国家网络空间安全人才教育现状
(一)政策规划
(二)学校教育
(三)社会培训
(四)培训标准
(五)专业会议
(六)宣传推广
1.美国网络空间安全宣传推广活动
2.世界其他部分国家和地区网络空间安全宣传推广活动
3.我国网络空间安全宣传推广活动
二 中国网络空间安全专业人才现状调研和分析
(一)网络空间安全专业人才的定义
(二)网络空间安全专业人才的分类
(三)基本背景
(四)调研信息分析
1.人才数量满意度分析
2.工作满意度分析
3.薪酬满意度分析
4.职位晋升问题
5.性别与职位问题
6.不同行业网络空间安全事件发生的频次
7.不同学历技术人员在信息安全综合技能上的差异
8.岗位突出问题
9.其他关键信息统计分析结论
(五)中国网络空间安全专业人才队伍存在的主要问题
1.人才队伍数量短缺
2.人才队伍能力不足
3.人才培养与需求脱节
4.人才分布失衡
三 中国网络空间安全专业人才教育培养的对策建议
(一)国家层面:战略规划和政策引领
1.呼唤网络安全国家战略,推动人才战略提升
2.加强制度建设,为各色人才提供合适的舞台
3.制定清晰政策,合理资源配置
4.完善培养体系,实现多元完整跨界目标
(二)社会层面:全民意识教育和培育创新文化
1.重视全民意识教育,树立全民防卫观
2.培养工程师文化,形成创新氛围
(三)行业层面:体系创新和规范探索
1.教育科研机构角色
2.企业角色
3.行业协会角色
B.17 中国网络信息安全人才教育现状及对策研究*
一 网络信息安全人才的类别与能力构成
(一)网络信息安全人才的类别
1.网络信息系统安全运维人员
2.网络信息安全技术服务人员
3.网络信息安全研究咨询服务人员
(二)网络信息安全人才的能力构成
二 中国网络信息安全人才教育的现状
(一)中国网络信息安全人才本专科学历教育
(二)中国网络信息安全人才继续教育
三 完善中国网络信息安全人才教育的对策
(一)研究出台国家层面的网络信息安全人才教育计划
(二)将信息安全纳入一级学科,明确其学科定位和课程体系
(三)创新网络信息安全教材的内容和形式,探索良好的实验环境
(四)加大网络信息安全专任教师的培养力度,有效提高师资质量
(五)扩大网络信息安全人才认证种类和数量,提高培训质量和市场认可度
(六)加大网络信息安全人才教育体系研究力度
B.18 中国网络信息安全全民教育的新模式:以上海为例
一 全民网络信息安全意识教育的现实意义
(一)个人安全威胁上升,安全意识总体薄弱
(二)全民网络信息安全意识教育的薄弱环节
1.社会普遍重视不够,缺乏长效机制
2.在网络信息安全问题的认识上存在误区
3.教育培训专业性强,内容形式呆板枯燥
二 上海全民信息安全教育模式初具
(一)“上海市信息安全活动周”:品牌效应显著
1.主题鲜明,重点突出
2.全民参与,互动体验
3.活动丰富,寓教于乐
4.活动叠加,立体宣传
(二)“系列活动”:扎根基层长年不断
1.“走进”系列:面向行业和用户
2.“大讲堂”系列:面向普通大众
(三)“e365易安在线”公众平台:颇具特色
(四)“信息安全技能竞赛”:成为辐射全国的产业界盛会
1.以竞赛带练兵,以竞赛聚人才
2.以竞赛促交流,以竞赛提素质
(五)免费发送市民手册:市民身边的信息安全
三 从上海模式看中国网络安全全民教育的方向和路径
(一)建立首席信息安全官制度,确保制度创新先行
(二)发挥行业协会优势,长志气有底气
(三)坚持“三性融合原则”,覆盖全民
(四)汇集民间智慧,成为全民教育活力之源
B.19 中国信息安全人员认证认可工作现状及发展建议
一 国际范围开展人员认证的概况
(一)认证认可制度的起源和发展
(二)人员认证广受重视
(三)信息安全人员认证已成趋势
1.行业协会举办的认证
2.企业举办的认证
二 中国信息安全专业人员认证现状
(一)《认证认可条例》提供制度基础
(二)认证认可体系框架初现
(三)信息安全人员认证开始起步
1.认证制度框架
2.信息安全保障人员及认证
3.其他信息安全专业人员培训和水平考试
(四)与现实需求还有较大差距
三 对中国信息安全人员认证认可工作的建议
(一)将认证认可工作纳入战略层面予以谋划
(二)立足国情,加快制度建设
(三)以信息安全人员认证为突破口,完善人员认证体系
BⅦ 国际合作篇
B.20 网络空间全球治理现状与中国战略选择
一 背景:网络空间的结构与特征
二 实践:从互联网治理到全球网络空间治理
三 现状:全球网络空间治理的不对称性与相互依赖性
四 出路:中国参与网络空间全球治理的战略选择
(一)战略态势:挑战重重,但已经面临转折点
(二)战略路线:全面替代、部分替代和关键卡位的选择
(三)战略理念:从“删除、封堵”到“开放、引导、鼓励”的转变
(四)战略突破:构建“全球网络空间新秩序”
(五)战略步骤:建立“全球网络空间新秩序”需要顶层设计、综合协同、政策创新、产业配套
1.顶层设计
2.综合协同
3.政策创新
4.产业配套
B.21 北约网络安全战略解析与中国应对战略构想
一 北约网络安全战略的主要内容
二 北约网络安全战略的发展趋势
(一)网络安全相关定义的清晰化
(二)网络安全战略导向的主动化
(三)网络安全国际合作的扩大化
三 中国网络安全战略构想
(一)积极发声,加紧出台国家网络安全战略
(二)积极建设,提高自身网络行动能力
(三)积极合作,加强网络安全技术政策对话
小结
B.22 大数据时代的数据主权、国家安全与全球治理*
一 从媒介主权、信息主权到数据主权
(一)媒介主权
(二)信息主权
(三)数据主权
二 个人、公司和政府:大数据处理和运用的三个层面
三 全球是否可以实现数据善治?
B.23 全球视域下网络安全战略目标的比较
一 网络安全战略目标在战略模型中的重要性
二 世界主要国家网络安全战略目标
三 世界主要国家网络安全战略目标设置的异同
(一)建立一个值得信赖的网络环境
(二)强调网络安全对经济的重要性
(三)注重网络安全对社会繁荣发展的促进意义
(四)关注网络空间的脆弱性和可恢复性
四 结论
B.24 大事记
主编简介
皮书数据库