微信掃碼咨詢
隨著信息化進程的深入和互聯網的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,信息資源得到最大程度的共享。但必須看到,緊隨信息化發展而來的網絡安全問題日漸凸出,如果不很好地解決這個問題,必將阻礙信息化發展的進程。
1、網絡安全問題的產生
可以從不同角度對網絡安全作出不同的解釋。一般意義上,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可*性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題:
a)信息泄漏、信息污染、信息不易受控。例如,資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等,這些都是信息安全的技術難點。
b)在網絡環境中,一些組織或個人出于某種特殊目的,進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透,甚至通過網絡進行政治顛覆等活動,使國家利益、社會公共利益和各類主體的合法權益受到威脅。
C)網絡運用的趨勢是全社會廣泛參與,隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧,使信息資源的保護和管理出現脫節和真空,從而使信息安全問題變得廣泛而復雜。
d)隨著社會重要基礎設施的高度信息化,社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓,包括國防通信設施、動力控制網、金融系統和政府網站等。
2、網絡安全成為信息時代人類共同面臨的挑戰
美國前總統克林頓在簽發《保護信息系統國家計劃》的總統咨文中陳述道:“在不到一代人的時間里,信息革命以及電腦進入了社會的每一領域,這一現象改變了國家的經濟運行和安全運作乃至人們的日常生活方式,然而,這種美好的新的代也帶有它自身的風險。所有電腦驅動的系統都很容易受到侵犯和破壞。對重要的經濟部門或政府機構的計算機進行任何有計劃的攻擊都可能產生災難性的后果,這種危險是客觀存在的。過去敵對力量和恐怖主義分子毫無例外地使用炸彈和子彈,現在他們可以把手提電腦變成有效武器,造成非常巨大的危害。如果人們想要繼續享受信息時代的種種好處,繼續使國家安全和經濟繁榮得到保障,就必須保護計算機控制系統,使它們免受攻擊。”
在各領域的計算機犯罪和網絡侵權方面,無論是數量、手段,還是性質、規模,已經到了令人咋舌的地步。據有關方面統計,目前美國每年由于網絡安全問題而遭受的經濟損失超過170億美元,德國、英國也均在數十億美元以上,法國為100億法郎,日本、新加坡問題也很嚴重。在國際刑法界列舉的現代社會新型犯罪排行榜上,計算機犯罪已名列榜首。2003年,CSI/FBI調查所接觸的524個組織中,有56%遇到電腦安全事件,其中38%遇到1~5起、16%以上遇到11起以上。因與互聯網連接而成為頻繁攻擊點的組織連續3年不斷增加;遭受拒絕服務攻擊(DoS)則從2000年的27%上升到2003年的42%。調查顯示,521個接受調查的組織中96%有網站,其中30%提供電子商務服務,這些網站在2003年1年中有20%發現未經許可入侵或誤用網站現象。更令人不安的是,有33%的組織說他們不知道自己的網站是否受到損害。據統計,全球平均每20s就發生1次網上入侵事件,黑客一旦找到系統的薄弱環節,所有用戶均會遭殃。
3、我國網絡安全問題日益突出
目前,我國網絡安全問題日益突出的主要標志是:
a)計算機系統遭受病毒感染和破壞的情況相當嚴重。據國家計算機病毒應急處理中心副主任張健介紹,從國家計算機病毒應急處理中心日常監測結果看來,計算機病毒呈現出異常活躍的態勢。據2001年調查,我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用戶高達59%,而且病毒的破壞性較大,被病毒破壞全部數據的占14%,破壞部分數據的占57%。
b)電腦黑客活動已形成重要威脅。網絡信息系統具有致命的脆弱性、易受攻擊性和開放性,從國內情況來看,目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是黑客攻擊的重點。
c)信息基礎設施面臨網絡安全的挑戰。面對信息安全的嚴峻形勢,我國的網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。據英國《簡氏戰略報告》和其它網絡組織對各國信息防護能力的評估,我國被列入防護能力最低的國家之一,不僅大大低于美國、俄羅斯和以色列等信息安全強國,而且排在印度、韓國之后。近年來,國內與網絡有關的各類違法行為以每年30%的速度遞增。據某市信息安全管理部門統計,2003年第1季度內,該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統癱瘓。該市某公司的鏡像網站在10月份1個月內,就遭到從外部100多個IP地址發起的惡意攻擊。
d)網絡政治顛覆活動頻繁。近年來,國內外反動勢力利用互聯網組黨結社,進行針對我國黨和政府的非法組織和串聯活動,猖獗頻繁,屢禁不止。尤其是一些非法組織有計劃地通過網絡渠道,宣傳異教邪說,妄圖擾亂人心,擾亂社會秩序。例如,據媒體報道,“****”非法組織就是在美國設網站,利用無國界的信息空間進行反政府活動。
4、制約提高我國網絡安全防范能力的因素
當前,制約我國提高網絡安全防御能力的主要因素有以下幾方面。
4.1 缺乏自主的計算機網絡和軟件核心技術
我國信息化建設過程中缺乏自主技術支撐。計算機安全存在三大黑洞:CPU芯片、操作系統和數據庫、網關軟件大多依賴進口。信息安全專家、中國科學院高能物理研究所研究員許榕生曾一針見血地點出我國信息系統的要害:“我們的網絡發展很快,但安全狀況如何?現在有很多人投很多錢去建網絡,實際上并不清楚它只有一半根基,建的是沒有防范的網。有的網絡顧問公司建了很多網,市場布好,但建的是裸網,沒有保護,就像房產公司蓋了很多樓,門窗都不加鎖就交付給業主去住。”我國計算機網絡所使用的網管設備和軟件基本上是舶來品,這些因素使我國計算機網絡的安全性能大大降低,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4.2 安全意識淡薄是網絡安全的瓶頸
目前,在網絡安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,網絡經營者和機構用戶注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看,網絡信息安全處于被動的封堵漏洞狀態,從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。近年來,國家和各級職能部門在信息安全方面已做了大量努力,但就范圍、影響和效果來講,迄今所采取的信息安全保護措施和有關計劃還不能從根本上解決目前的被動局面,整個信息安全系統在迅速反應、快速行動和預警防范等主要方面,缺少方向感、敏感度和應對能力。
4.3 運行管理機制的缺陷和不足制約了安全防范的力度
運行管理是過程管理,是實現全網安全和動態安全的關鍵。有關信息安全的政策、計劃和管理手段等最終都會在運行管理機制上體現出來。就目前的運行管理機制來看,有以下幾方面的缺陷和不足。
a)網絡安全管理方面人才匱乏:由于互聯網通信成本極低,分布式客戶服務器和不同種類配置不斷出新和發展。按理,由于技術應用的擴展,技術的管理也應同步擴展,但從事系統管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向。信息安全技術管理方面的人才無論是數量還是水平,都無法適應信息安全形勢的需要。
b)安全措施不到位:互聯網越來越具有綜合性和動態性特點,這同時也是互聯網不安全因素的原因所在。然而,網絡用戶對此缺乏認識,未進入安全就緒狀態就急于操作,結果導致敏感數據暴露,使系統遭受風險。配置不當或過時的操作系統、郵件程序和內部網絡都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就無法發現和及時查堵安全漏洞。當廠商發布補丁或升級軟件來解決安全問題時,許多用戶的系統不進行同步升級,原因是管理者未充分意識到網絡不安全的風險所在,未引起重視。
c)缺乏綜合性的解決方案:面對復雜的不斷變化的互聯網世界,大多數用戶缺乏綜合性的安全管理解決方案,稍有安全意識的用戶越來越依賴“銀彈”方案(如防火墻和加密技術),但這些用戶也就此產生了虛假的安全感,漸漸喪失警惕。實際上,一次性使用一種方案并不能保證系統一勞永逸和高枕無憂,網絡安全問題遠遠不是防毒軟件和防火墻能夠解決的,也不是大量標準安全產品簡單碓砌就能解決的。近年來,國外的一些互聯網安全產品廠商及時應變,由防病毒軟件供應商轉變為企業安全解決方案的提供者,他們相繼在我國推出多種全面的企業安全解決方案,包括風險評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網、防病毒和內容過濾解決方案,以及企業管理解決方案等一整套綜合性安全管理解決方案。
4.4 缺乏制度化的防范機制
不少單位沒有從管理制度上建立相應的安全防范機制,在整個運行過程中,缺乏行之有效的安全檢查和應對保護制度。不完善的制度滋長了網絡管理者和內部人士自身的違法行為。許多網絡犯罪行為(尤其是非法操作)都是因為內部聯網電腦和系統管理制度疏于管理而得逞的。同時,政策法規難以適應網絡發展的需要,信息立法還存在相當多的空白。個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等信息空間正常運作所需的配套法規尚不健全。由于網絡作案手段新、時間短、不留痕跡等特點,給偵破和審理網上犯罪案件帶來極大困難。
5、對解決我國網絡安全問題的幾點建議
就政府層面來說,解決網絡安全問題應當盡快采納以下幾點建議:
a)在國家層面上盡快提出一個具有戰略眼光的“國家網絡安全計劃”。充分研究和分析國家在信息領域的利益和所面臨的內外部威脅,結合我國國情制定的計劃能全面加強和指導國家政治、軍事、經濟、文化以及社會生活各個領域的網絡安全防范體系,并投入足夠的資金加強關鍵基礎設施的信息安全保護。
b)建立有效的國家信息安全管理體系。改變原來職能不匹配、重疊、交*和相互沖突等不合理狀況,提高政府的管理職能和效率。
c)加快出臺相關法律法規。改變目前一些相關法律法規太籠統、缺乏操作性的現狀,對各種信息主體的權利、義務和法律責任,做出明晰的法律界定。
d)在信息技術尤其是信息安全關鍵產品的研發方面,提供全局性的具有超前意識的發展目標和相關產業政策,保障信息技術產業和信息安全產品市場有序發展。
e)加強我國信息安全基礎設施建設,建立一個功能齊備、全局協調的安全技術平臺(包括應急響應、技術防范和公共密鑰基礎設施(PKI)等系統),與信息安全管理體系相互支撐和配合。
6、結束語
網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。我國日益開放并融入世界,但加強安全監管和建立保護屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會議上說:“信息安全是涉及我國經濟發展、社會發展和國家安全的重大問題。近年來,隨著國際政治形勢的發展,以及經濟全球化過程的加快,人們越來越清楚,信息時代所引發的信息安全問題不僅涉及國家的經濟安全、金融安全,同時也涉及國家的國防安全、政治安全和文化安全。因此,可以說,在信息化社會里,沒有信息安全的保障,國家就沒有安全的屏障。信息安全的重要性怎么強調也不過分。”目前我國政府、相關部門和有識之士都把網絡監管提到新的高度,上海市負責信息安全工作的部門提出采用非對稱戰略構建上海信息安全防御體系,其核心是在技術處于弱勢的情況下,用強化管理體系來提高網絡安全整體水平。衷心希望在不久的將來,我國信息安全工作能跟隨信息化發展,上一個新臺階。
13560189272 
地址:廣州市天河區黃埔大道西201號金澤大廈808室 
