“在移动互联网大背景下，我国目前缺乏相应的法律法规对移动应用市场进行规范，同时，对上线的应用程序的安全审核缺乏有效的管理制度和技术保障，诸多移动应用程序存在安全问题，充斥着各种病毒。”

“网络安全工作在推进过程中，速度赶不上变化。对于网络安全问题，往往是还没有研究清楚的时候，随着新技术的诞生，新的问题又产生了。”

南方周末记者 李洁茹 发自武汉

“飞机掉了，火车撞了，电网沦陷全城没电了，人们生活在黑暗之中，我们的社会还存在吗？”2016年9月19日，在2016年国家网络安全宣传周上，刚刚荣获“2016年国家网络先进典型”的中国工程院院士沈昌祥在接受媒体采访时说，网络安全陷阱除了臭名昭著的电信诈骗外，更严峻的将是威胁到国家基础设施，甚至国家安全。

这并不是危言耸听。2015年12月23日，乌克兰电网发生世界首例因遭受黑客攻击而造成的大规模停电事故，乌克兰首都基辅部分地区和乌克兰西部140万名居民家中突然停电。

据媒体报道，根据联合国宽带可持续发展委员会发布的2016年版《宽带状况报告》显示，截至2016年底，全球将有35亿人口用上互联网，高于2015年的32亿人，相当于全球人口总数的47%。而中国网民人数将达到7.21亿人，为全球第一大互联网市场。

但是，如此之大的市场其实也暗藏巨大的危机。2016年4月21日，国家互联网应急中心发布的《2015年我国互联网网络安全态势综述》显示，2015年，互联网应急中心发现的移动互联网恶意程序数量近148万个，且我国移动互联网恶意程序数量连续三年呈现大幅增长态势。

对此，杭州安恒信息技术有限公司董事长兼总裁范渊解释，在移动互联网大背景下，我国目前缺乏相应的法律法规对移动应用市场进行规范，同时，对上线的应用程序的安全审核缺乏有效的管理制度和技术保障，部分渠道甚至完全通过聚合方式推广应用，导致诸多移动应用程序存在安全问题，充斥着着各种病毒。

“中国网络安全还处于起步阶段，可以说很不安全。”《中国信息安全》杂志社副社长秦安认为，从老百姓的角度来说网络安全已成为重大的民生问题，直接影响日常生活和社会稳定。“推动依法治国和依法治网力度，就像防范洪水猛兽一样，利用网络报警、多方联动等方式，为普通百姓搭起国家治理现代化和法制化的安全屏障。”

漏洞和攻击

“实际上，政府网站才是遭遇攻击的重灾区。”

1994年4月20日，中国实现与国际互联网全功能链接，正式成为互联网大家庭中一员。22年来，网络安全事件如影随形，伴随一次次触目惊心的事故，逐步上升到了国家治理层面。

2014年上半年爆发的两次网络安全事故让秦安记忆犹新。

第一次是“1·21全国DNS大劫难”。2014年1月21日下午3时10分许，国内通用顶级域的根服务器忽然出现异常，导致众多知名网站出现故障，用户无法正常访问，部分地区用户“断网”现象持续数个小时，至少有2/3的国内网站受到影响。

第二次是2014年4月8日，黑客利用安全套接字层密码库（OpenSSL）爆出的安全漏洞，实时获取约30%的以https开头网址的用户登录账号密码，影响至少两亿中国网民。

吉林大学王奕飞《中国网络安全战略研究》一文中说，域名系统薄弱是制约我国网络安全的主要原因。域名系统是互联网运行的核心，域名解析服务安全与否直接影响互联网的稳定运行。攻击者的攻击方式防不胜防，可以通过漏洞对域名解析记录随意篡改，还有的通过数据攻击等方式致使域名系统崩溃。

在本届国家网络安全周的重头戏——网络安全博览会上，作为我国互联网基础设施重要的建设者、运行者和管理者——中国互联网信息中心，展示了“中国国家域名数据安全预警系统”，实时监控着互联网的“神经系统”安全。中国互联网络信息中心首席安全官胡安磊告诉南方周末记者，安全稳定是该机构的首要任务，“如果我们遭遇攻击，国内有半数以上的网站就会瘫痪”。

2013年8月25日0时06分起，中国互联网络信息中心管理运行的国家.cn顶级域名系统遭受大规模拒绝服务攻击，直至凌晨2时后才逐步恢复正常。据胡安磊介绍，当时黑客对国家域名系统进行超大流量攻击，超过服务能力。“当时我们启动国家应急预案，紧急扩容，增强服务能力。”

胡安磊说，经历了这次“教训”后，他们制定抵抗大规模攻击的方案，从服务架构调整、扩容带宽等方面进行完善，“现在完全可以抵御了”。

实际上，政府网站才是遭遇攻击的重灾区。黑客恶意地篡改地方政府网站程序，使该类地区成为网络破坏的重灾区。

据《中国网络安全战略研究》一文显示，2013年我国遭受恶意篡改侵袭的网站数量在快速的上升，相对于 2012年来说，已经上升了一半之多，其中最为严重的为政府网站，其上升的数量与同期相比增加了近四成。被植入后门的网站也达到了七万之多，与同期相比上升了45.6%。这其中的原因包括政府网站上投入的技术与管理有限，以及一些部门对互联网的重视不够，并且还有一些部门在发现问题后，没有进行及时有效的处理，导致大量的网站容易受到二次攻击。

“以前贴膏药的 形式肯定不行”

“黑客热衷包括商城、支付系统、物流系统、供应商系统、银行系统甚至第三方合作系统，而商城最受黑客青睐。”

在安全和成本之间拿捏平衡，是互联网运行机构，特别是互联网应用企业的“痛点”。

“以前往往是（互联网公司、政府）信息化建好了，突然发现安全体系没弄，然后补一块膏药，这样肯定会出很多问题。”据范渊介绍，维护安全系统的高额成本是互联网公司、机构的“心头之痛”，其直接后果是导致安全漏洞像贴膏药一样贴上了，仍不安全。

某电商安全负责人告诉南方周末记者，该公司全年受到黑客试探、测试、攻击达2300万余次，而黑客“光顾”的领域包括商城、支付系统、物流系统、供应商系统、银行系统甚至第三方合作系统，最受黑客青睐的则是商城。

该公司每年用于巩固系统，保护用户数据的费用占全年信息化投入的10%。该负责人坦言，数据安全是互联网公司的命脉。“大数据时代，对我们而言，面临着更严峻的局面，规模越大，压力就越大。”

互联网巨头公司更夸张。百度安全事业部总经理马杰告诉南方周末记者，百度每天遭受的攻击在1亿次以上。安全的总体投入每年超过10亿元，重点包括为用户提供免费的安全产品、对黑客的打击以及自身的安全防护。

2016年6月，百度云加速产品遭受连续的恶意攻击，致使18个机房瘫痪。据悉，2016年7月初公安部门将犯罪嫌疑人抓获。但因攻击产生的带宽防御费高达100万元左右，百度损失惨重。

“黑客攻击成本比我们维护的成本低得多得多，甚至不到维护的1%。”胡安磊说，假设黑客发动上述.cn顶级域名攻击只需要耗费10万元成本，那么“预防、维护这个攻击，

需要投入1000万”。

腾讯安全专家蒋伟鸣告诉南方周末记者，重不重视安全跟企业理念和发展阶段有关系，“安全是花钱的，高速发展的互联网企业，会更重视客户，投入非常大”，而刚刚成立的互联网企业，主要精力集中在用户。蒋伟鸣认为推动企业重视数据安全，国家顶层设计的规范显得尤为重要。

“我们对安全投入是被动式的。”一位互联网创业公司职员告诉南方周末记者，公司发展过程中，系统以及用户信息安全的确不是最重要的，“毕竟企业要先活下来”。

而政府对这块的监管，恰好也是“被动的”。防守、相持和反攻是我国建立网络安全保护体系的三个阶段，秦安告诉南方周末记者，“总体来看，我国目前主要处于被动的战略防御阶段。”

在一次次安全事故中，“斯诺登事件”是将网络安全上升为国家战略高度最大“功臣”。

2013年6月，举世瞩目的“棱镜门”事件爆发，前中情局（CIA）职员爱德华·斯诺登曝光美国政府对公民数据信息隐私权侵犯行为，引起包括中国在内的各国对信息安全的重视，加快自主可控的信息安全建设。

“可以说斯诺登给世界各国的网络安全敲响了警钟，也极大地推动了我国网安事业的发展。”范渊认为，最大的举措则是成立网络安全和信息化领导小组，堪称中国网络安全保护系统建立的“里程碑”。

“安全”要成为标配

“网络安全工作在推进过程中，速度赶不上变化。”

2014年2月，中央网络安全和信息化领导小组（以下简称“网安领导小组”）成立，习近平担任组长，李克强、刘云山任副组长，将网络安全工作推到了国家层面。

据新华网报道，我国网络管理体制由于历史原因，造成“九龙治水”的管理格局。习近平在对中共十八届三中全会决定的说明中明确表示，“面对互联网技术和应用飞速发展，现行管理体制存在明显弊端，多头管理、职能交叉、权责不一、效率不高。”

对此，中央网信办网络安全协调局局长赵泽良在接受南方周末记者专访时承认，在此之前，很多部门在管理互联网以及网络安全中，弊端是出了问题发现没人负责，而重大决策也没人承担，“多头管理本来就是一种问题，成立领导小组就是为了解决这个问题，加强网络安全治理的统筹协调和推进。”

据《中国网络安全战略研究》一文记载，1999年颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，此后几年我国也陆续出台了《互联网信息管理办法》《关于加强网络信息保护的决定》等网络安全领域的法律和决定性条例，但我国现有的网络安全法律体系中，专门的、针对性强的网络安全法律法规相对较少，没有将其进行系统划分，而是将网络信息安全、网络经济安全、网络军事安全等含糊笼统地规划为网络安全中。

另据媒体报道，《网络安全法（二审草案）》已通过全国人大审议并于2016年8月4日完成公开征求意见，中国首部网络安全法有望年内出台，这将成为我国互联网安全环境建设的又一重大事件。

其实，早在2003年，赵泽良就已开始推动成立网络安全法工作，但“进展缓慢”“因为任何一部法律都要牵涉到很多方面，网络安全牵涉到部门、企业以及社会个人，如果没有足够的力度和权力，难以推进”。

网络安全法在历经13年后终于有了实质性进展，这是赵泽良对于网安领导小组成立后，感触最深刻的事情之一。“网安领导小组成立的第三年，（网络安全法）就有实质性进展，相当不容易。”他说，从顶层设计上统一领导的力度，大大加强了协调力度。

不过，赵泽良也表示，网络安全工作在推进过程中，速度赶不上变化。他说，对于网络安全问题，往往是还没有研究清楚的时候，随着新技术的诞生，新的问题又产生了，“本来任何法律、标准甚至是任何政策都会滞后于技术的发展，网络安全问题上就更突出了”。

“今后，对安全要加强法律、标准的要求，网络安全要成为互联网行业、政府网站的‘标配，不达标要受到法律的制裁。”赵泽良说。

网络安全治理的中国行动

“要集合政府、企业和社会组织的力量，共同建立国家级网络信息安全平台，共享数据和威胁情报。”

春江水暖鸭先知，从范渊的创业史折射我国网络安全发展历程。

2016年9月20日，范渊站在“2016年国家网络先进典型”领奖台上百感交集。他创办的安全公司曾为2008年北京奥运会、2010年上海世博会、2011年广州亚运会以及G20杭州峰会等重大活动提供安全保障。据范渊介绍，网安领导小组成立这几年，公司的业务每年以50%的速度增长。而回想2007年创业初期，公司却一度面临倒闭。

2007年范渊回国创业，当时虽然信息安全行业有广阔的市场，然而，行业的发展速度和市场份额的占有率，其实并没有想象中的乐观。直到2009年，在当地政府的帮助下，才成功签下了第一个创投项目。

“随着网安领导小组的成立，网络安全法的推进，国家的政策，正在导向全民、各行各业对网络信息安全的重视。我相信今后十年，才会是网络信息安全真正发展的十年。”范渊说。

网络安全治理进入国家行动，首先从各部门联动治理开始。据赵泽良介绍，“中央网信办”作为网安领导小组的办公室，主要负责跨部门协调、综合协调的功能。而工业和信息化部、公安部、教育部等部门承担网络安全、管理、教育等重要的工作。“领导小组办公室最重要的作用就是如何更好地发挥他们的作用，一盘棋地做好网络安全管理工作。”

此外，“我们要特别强调企业要以主人翁的意识提升企业的社会责任，维护数据安全作为天职。”赵泽良表示，在建立网络安全责任制方面，除了强调政府责任，企业要承担企业的责任。

2016年9月20日，南方周末记者在网络安全博览会上看到，百度、腾讯、阿里巴巴等互联网公司为防止电信诈骗、保护个人信息安全等，展示出防伪基站、防网络病毒入侵、人脸识别付款等创新性的安全应用。

而针对银行卡被盗刷等备受关注的安全事件，中国银联表示已有最新的解决方案，其原理是通过使用密码保护系统，使得每次交易不法分子盗取到的只是当次交易的临时信息，而非真正的银行卡号等信息。

“接下来，要集合政府、企业和社会组织的力量，共同建立国家级网络信息安全平台，共享数据和威胁情报。”范渊建议，通过数据共享，可以实现对海量数据的收集和分析，对一些敏感信息、违法信息、黑客活动进行有效跟踪，及时将威胁情报、舆情、恶意网站等信息反馈给政府监管部门。只有通过多方合力，我们才能构建一个更加安全的网络世界。