中国的海外利益蓝皮书：网络安全利益不容忽视

9月25日，国家行政学院国际事务与中国外交研究中心、360企业安全集团在京联合举办《中国的海外利益蓝皮书·2017-2018》（以下简称《蓝皮书》）发布会。

《蓝皮书》综合研究了2017年以来中国的海外利益发展新动向、新理论和新成果，也是该系列蓝皮书的第二部研究成果。值得关注的是，《蓝皮书》中新增中国海外网络安全利益部分由360企业安全集团负责研究编撰。

360企业安全集团董事长齐向东在致辞中表示，信息化建设是我国“一带一路”走出去的重要任务，而网络安全必须同步考虑，海外网络安全利益已经成为中国海外安全利益的重要构成部分。

《蓝皮书》显示，我国企业“走出去”的网络安全现状面临以下几个风险：网络空间安全舆论环境差、网络恐怖主义威胁严重、网络安全和信息化建设水平低、安全风险突出以及ATP攻击风险日益加大。

一、充满变数与恶意的网络空间环境：“中国威胁论”

我国改革开放的成就令人瞩目，但也引来了不少负面的声音，在西方“中国威胁论”颇有市场，这种论调也延伸到了网络空间。《蓝皮书》认为，国外有关政府部门、企业、智库或其他组织，尝试利用行政、技术、市场等各种手段，有意抹黑中国的网络和信息技术，给国际社会继续编造“中国网络安全威胁”的言论，并且这种论调也的确给中国企业在海外的利益造一成损失。

例如，2016年4月，美国NSA（国家安全局）局长罗杰斯在国会参议院军事委员会发表言论，认为中国黑客仍在针对美国开展间谍活动。2017年4月美国火眼公司又指责中国的黑客攻击了韩国的萨德导弹防御系统，以及相关的韩国职能实体。

与此同时，网络恐怖主义活动也愈演愈烈，渐成全球公害。《蓝皮书》认为，恐怖主义威胁结合快速发展的网络信息技术，逐步化身为比传统恐怖主义生命力、影响力、破坏力都更为惊人的网络恐怖主义。他们在互联网上发布恐怖音视频，宣扬极端思想，利用网络招兵买马、募集资金、指挥行动。网络恐怖主义组织及活动已经成为包括“一带一路”沿线国家在内的、全球范围内各国的公害。

另外，随着网络安全问题日益严重，很多国家也都设置了相应的法律法规，如何满足当地的合规性要求，也是中国在海外企业和其他机构面临的难题。

二、网络信息安全威胁日益突出：“军火”民用化

《蓝皮书》认为，我国央企在“一带一路”沿线国家开展业务时，病毒、木马、蠕虫、网络钓鱼等网络安全常规威胁依然存在。随着未来央企强化境内外IT系统的互联互通，如果不重视这些常规威胁，或将有更多业务系统收到波及，给企业网络信息安全带来重大隐患。

但与这些常规威胁相比，APT攻击更应该引起中国海外企业的高度重视。《蓝皮书》认为，“一带一路”建设推进的过程中，不论是参与的国家机构，还是商业机构，其内部的一些信息或数据，都可能成为境外不法分子或敌对分子觊觎的对象。尤其是，作为“一带一路”战略先行者的我国央企，其网络信息系统中既有商业秘密，同时还可能涉及到国家机密。

据了解，APT攻击的战略目标一般会聚焦在高价值的机构或企业，某些高价值个人也有可能成为APT攻击的战略目标。一旦被APT组织盯上，目标组织机构或个人都会遭到长期持续的、有针对性的、攻击手段不断变换的网络攻击。

尤为严重的是， 2017年以来，美国NSA或网军部门出现数次网络武器库泄露事件。这些泄露的“军火”被民间的黑客团体加以利用，成为发动网络攻击的工具。

例如，众所周知的永恒之蓝勒索软件之所以有如此大的威力，据称主要是其借助了美国国家安全局（NSA）旗下方程式组织（Equation Group）所开发的网络武器，这种“军火”级别的漏洞武器未来可能进一步加剧“一带一路”走出去央企的APT威胁。

三、网络安全与信息化建设基础建设：各地参差不齐

面对外部威胁，中国海外企业更应从自身做起，做好安全防护。但在实际走出去的过程中，企业面临着诸多困难。

《蓝皮书》显示，作为“一带一路”走出去的主力军，央企承担了大量的基础设施建设，比如发电站、港口码头的建设，以及信息通信设施的建设。但在“一带一路”沿线国家开展业务时，他们明显感到，信息化与安全保障水平较低，成为业务开展的短板。

根据调研结果，“走出去”的央企普遍认为，受限于当地的经济发展状况、信息基础设施建设水平，以及央企自身业务特点，针对海外业务场景的安全产品和解决方案基本处于缺失状态，特别对于境外通讯、境外项目管理、远程数据传输、IT系统“云化”等比较重要、常见的应用业务，表现尤为突出。

这主要是因为“一带一路”沿线国家，特别是亚非拉地区经济落后国家的经济发展水平较低，我国央企在当地的办事机构或工程项目部门，能够使用的信息基础设施十分有限。

即使是境外较为发达地区的办事处，也存在着网络信号不稳、通讯速率慢等现象，严重制约了境外的项目管理的信息化建设，更遑论加强安全防护。

四、网络安全趋势与对策：命运共同体

“一带一路”推进过程中，网络空间还会存在不赞成甚至破坏这一国际合作倡议的“杂音”和“噪音”，需要引起有关部门的重视。我国每年在乌镇举办世界互联网大会，并提出网络空间命运共同体理念，得到了越来越多国家和组织的认同。

在“一带一路”倡议的落地实施过程中，为了更好地建设数字丝绸之路，中国应该更多地提倡共建“网络空间安全命运共同体”，共同维护“一带一路”沿线国家的网络安全与发展利益，促进和巩固一带一路总体的发展成果。

在“网络空间安全命运共同体”的基础上，《蓝皮书》还强调，我们应该探索和创新技术手段，保护“一带一路”网络安全。

具体做法包括：

第一，鼓励大数据安全技术创新与应用，利用目前越来越广泛采用的大数据技术、云计算，以及结合人工智能、区块链等新兴技术领域，为“一带一路”信息化与网络安全建设提供强有力技术支撑。

第二，探索建立“一带一路”网络安全标准。一方面国家相关监管部门应加大扶持与引导，鼓励央企加大安全投入，完善相关安全规划，突出安全在企业“一带一路”总体规划的地位和作用；另一方面，走出去的央企和国内主流的安全企业需要协同努力，共同为“一带一路”项目和业务制定配套的网络安全防护技术方案与标准。

第三，加强网络安全信息共享，提升协同防护水平。相关主管和监督部门应将积极性较高的央企以及有意愿、有实力的安全厂商组织起来，共同参与建立境外的安全信息共享机制。

不过，所有的技术和策略都离不开网络安全专业人才的支持。因此《蓝皮书》建议，有关部门应加大网络安全人才培养扶持，逐步建立完善由央企、安全公司、科研院校各方力量共同参与的人才培养体系，为“一带一路”走出去的央企提供充足的实战型、实用型技术人才，为“一带一路”倡议的实施打下长远基础。【来源：360企业安全】
更多资讯详见：360社区早报（2018-9-26）