陈梅玲(厦门市翔安区图书馆 福建 361100)
摘
要 对网络信息安全隐患进行分析,并从制定信息安全政策、制定网络信息安全法、建立网络信息安全技术标准、加强网络信息安全机构和基础设施建设、加强网络信息安全学科建设与人才培养、发展基于自主技术的信息安全产业、加强网络信任体系建设等方面,探讨我国网络环境下信息安全的对策。
关键词 网络环境 信息安全 对策
随着计算机技术和网络通讯技术的发展,电子信息和通讯服务逐步渗透到各个行业和人们的日常生活,网络变得愈加重要。与此同时,网络信息安全面临越来越大的挑战。网络信息安全是一个关系国家安全和主权、社会稳定、文化传承的重要问题,这一问题在全球一体化背景下不断凸显。[1]
一、网络信息安全现状
1.病毒和木马是网络信息安全的主要威胁
当前网络犯罪手段日趋多样化,盗取个人信息、欺诈、造谣等情况时有发生。网络犯罪,归根结底还是为追求非法的经济利益,而通常制造木马、病毒是获得经济利益最快的途径。2008年4月,F-Secure亚太区副总裁Jari Heinonen曾表示:“公司现在每天都能记录到2.5万个左右的恶意软件样本,为历史最高水平。照此下去,各类病毒、木马将在2008年底突破100万大关。”事实上,2009年2月据金山毒霸“云安全”中心监测数据显示,2008年金山毒霸共截获新增病毒、木马达到13899717个,是Jari Heinonen预测的10倍,但这也仅仅是前几年的数据。
2.网络安全漏洞是无法根绝的问题
所谓安全漏洞不仅存在于个人计算机的硬件、软件方面,还广泛存在于互联网的各种软硬件设施中。这些漏洞就好比渔网的网眼,通过安全软件可以杜绝一般病毒、木马入侵计算机,但无法杜绝个别简单木马和超级病毒,这就是所谓“小鱼网不住,大鱼不怕网”。以浏览器为例,2011年Google Chrome漏洞达到275个,Mozilla Firefox有 97个,这些安全漏洞是黑客们攻击的主要场所,他们攻击的出发点主要集中在盗取个人信息。
3.网站、移动存储设备成为病毒传播的新途径
据统计,现代黑客技术日新月异,已不再通过电子邮件形式将病毒传播,更多的是以网站为媒介攻击。据公安部调查,2005年5月至2006年5月,受到网络攻击的单位占调查对象的54%;而以攻击方式而言,受到病毒感染的达到84%,其中35%是通过电子邮件,36%是通过网站或移动存储设备进行攻击。鉴于目前各大网站邮件系统均对垃圾邮件进行隔离,使邮件病毒的传播成功率不断降低,因此通过邮件攻击的比例在不断下降。
4.僵尸网络有进一步扩大的趋势
百度百科将僵尸网络定义为:“采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络”。僵尸网络最可怕的地方在于计算机受控而当事人不知,这必然会导致大量的个人信息流出,严重影响个人信息安全。据报道,2006年商赛门铁克公司曾就该问题进行调查,调查报告显示,全世界共有470万台“僵尸网络”电脑,而中国就占了近20%。
5.流氓软件扰乱网络秩序
“流氓软件”,简单而言就是拥有一定自选使用功能,但同时有部分不为人知或者无法停止运行的广告链接、个人信息发送等强迫性程序的软件。目前对于流氓软件,2006年9月4日,民间自发成立反流氓软件联盟,同年举行了《抵制恶意软件自律公约》签约仪式;2012年3·15晚会上央视也对该问题进行了曝光;我国刑法也制定了相应的罪名,以惩处这些不法分子。
6.网络电子犯罪影响变大
以北京市海淀区为例,该区法院2006年共审结205件诈骗类案件,其中涉及计算机和网络的共有20件,在上一年度这类案件数还为零。2006年,美国e-Crim曾就网络安全事件进行调查,调查对象反映的安全事件平均为34个,在数量上比2005年下降73.52%,但引起的损失却更大,平均达到74万美元,比上年同期上升约40%,这还不包括无法计算的损失,如使涉案企业形象受损造成的经济损失。
7.新通信技术应用给网络安全带来新挑战
无线射频识别(RFID)、IPTV 的应用、VoIP以及传感器网络、adhoc等网络通信模式的出现,向网络安全发出新的挑战。在国外,RFID技术被全方位应用在企业管理及军事领域。RFID技术特点在于必须要确保选定用户才能识别对应的标码,也就是TAG,而攻击者无法识别,更别说追踪。但目前RFID运用成本较高,技术成熟度还有待提升,在现实中尚未全面普及。
二、加强网络信息安全的对策
1.将网络信息安全上升到国家战略层面
国家安全历来是我国政府的重中之重,传统国家安全主要是对内确保社会稳定、对外保护国土国民安全,网络安全却未受到应有的重视。我国政府虽然也制定了一些与信息安全相关的政策,如在1990年将保证国家机密安全和信息保密技术的研发作为工作重点,2003年制定了《国家信息化领导小组关于加强信息安全保障工作的意见》纲领性文件,2006年3月出台了《2006-2020年国家信息化发展战略》……但信息安全却始终未列入国家安全的范畴。2013年6月6日,美国爆出“棱镜门”事件,信息安全问题引起全世界的重视。十八届三中全会公报提出设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。这表明我国政府将就网络安全问题开始采取更高层次的应对措施。
2.制定网络信息安全法
早在上世纪80年代,我国的网络信息安全规范工作就已经展开。1987年10月,《电子计算机安全工作规范(试行草案)》制定;1994年2月,《中华人民共和国计算机信息系统安全保护条例》颁布;1996年2月,《中华人民共和国计算机信息网络国际联网暂行规定》出台;《全国人民代表大会常务委员会关于维护互联网安全的决定》获得通过;2006年3月1日,《互联网安全保护技术措施规定》实施;3月30日,《互联网电子邮件服务管理办法》施行,《信息网络传播权保护条例》运行。但这些都停留在行政性的条例、规定,并未上升到法律层面。为进一步规范网络安全管理,清扫网络乱象,应加快信息安全立法进程,制定网络信息安全法,以约束、打击网络罪犯。
3.建立网络信息安全技术标准
建立网络信息安全技术标准,有利于强化我国网络信息技术的开发和运用。2013年11月18日,习近平总书记就《中共中央关于全面深化改革若干重大问题的决定》说明中指出:“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”。习近平总书记的讲话对建立网络信息安全技术标准具有重要指导意义。应鼓励增强自主创新能力,研发具有自主知识产权的安全技术,制定相关的国家标准和行业标准。目前急需研究建立的标准有:界定网络信息安全范围标准;衡量网络安全标准;保障网络信息安全体系标准;网络运维、废弃阶段安全标准;国家、运营商和用户所需稳定性与可靠性设计标准;满足容灾安全要求的网络建设标准;保障设备安全功能标准;网络设备、组网合法监听标准。
4.加强网络信息安全机构和基础设施建设
任何政策的实施、技术的研发均离不开组织的保障和设备的完善。早在2006年,中国信息安全认证中心就已成立,该中心主要依据有关法律法规,在指定的业务范围内,对信息安全产品实施认证,并开展相应管理体系认证和人员培训、技术研发等工作,而诸如此类的机构现在正在不断诞生。[2]在基础设施建设方面,一批信息安全保障体系工程如国家电子政务外网、电子政务信息安全试点工作等正在建设当中。其实,在维护网络信息安全方面,由公安机构强化基础设施建设,成效将更加显著,如“金盾”工程。“金盾”工程概念最早于1998年由公安部提出,共分两期建设,于2006年底通过竣工验收。该工程使得公安信息网络覆盖了各级公安机关,基层所队接入主干网的覆盖率达到90%,大大提高了公安机关侦查破案打击犯罪的能力。
5.加强网络信息安全学科建设与人才培养
加强网络信息安全建设的根本因素在于人才,任何措施的制定、技术的研发都离不开专业人才的支撑。目前国内主要有3种人才培养机构:一是高校,多数高校均设有信息安全专业,如西安科技大学、武汉大学、北京大学等;二是政府,国家有关部门主导设立的信息安全实验室也不在少数,如中科院信息安全国家重点实验室、云南网络安全实验室等;三是企业,目前各大知名网络企业均有自主的网络安全中心,且国内还有像“安华金和数据库攻防实验室”这样由企业单独组建的科研中心。但上述3种培养模式均存在一定问题,高校培养多半以基础知识教育为主,深层次教育不足;以政府主导的机构资源充沛,但教育活力不够,且研究方向多涉及国家安全等宏观领域;企业组建的机构实用性强,但教育资源、科研能力有限,无法全面适应国家在网络信息安全方面的人才需求。因此,要加强网络信息安全学科建设与人才培养,可采取政府主导、高校主体、企业支持的模式,让科研成果及时市场化,这样才能不断推动网络信息安全科技的进步。
6.发展基于自主技术的信息安全产业
据2013年9月IDC公布的调查报告显示,2012年我国信息安全市场规模为16.6亿美元,预计市场规模将达到18.3亿美元;2012到2017年,中国IT安全市场的复合增长率预计为12.2%。按照上述数据计算,到2017年,我国信息安全市场规模将达到28亿。笔者认为必将不止这个数字,鉴于目前电商发展迅速,政府亦明确提出扶持发展电商的政策,在电商发展过程中,第三方支付系统及个人网络银行信息安全也受到挑战,因此信息安全产业在未来必定前景广阔。由于我国计算机、网络技术起步晚于西方发达国家,不论是在计算机网络硬件设备的生产制造或是在软件程序的研究开发方面,都未掌握核心技术,不具有自主知识产权,存在着严重的受制于人的安全威胁,自主技术的信息安全产业不够壮大,占有的国内国外市场份额极其有限。因此,我国必须要发展信息安全产业的民族品牌,消除依赖他人的被动局面。
7.加强网络信任体系建设
网络信任体系是指以密码为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。[3]简单而言就是建立对个人进行网络认证的网络体系,目前所推行的微博实名制及手机实名制便是如此。该体系可揭穿网络的虚拟面纱,但也存在争议,部分人认为该体系侵犯了个人隐私。笔者认为该体系所涉及个人信息仅为政府或企业知悉,并不为其他公民知悉,因此对于其他公民而言仍保持网络虚拟性的特点,可约束个人网络行为。同时,政府、企业对个人的信息保护也应承担相应的法律责任,如2012年刑法修正案(八)当中对非法获取公民个人信息罪进行了修订,所约束的特殊主体包括指国家机关及金融、电信等公共服务单位本身或其工作人员。
三、结语
对当前的网络信息安全形势我们要有一个清醒的认识,安全都只是相对的、一时的,任何时候都不会有绝对的安全。树立危机意识,进而促进网络信息安全理论发展和技术进步以及信息安全产业发展壮大,以求积极应对并最大限度地保障网络信息安全,这才是网络环境下信息安全机制构建的必由之路。
参考文献
1 百度百科.网络信息安全[EB/OL].http://baike.baidu.com/link?url=byCUTXaeheXnH3qwJqCzyBZPk8Tb
jjVNu1ODxcE_8rgPcHEYaLBiGACu2tPTWbbysMvzPXuPXJ7abyBEcBxZOq.
2 陈昂.挖掘信息安全认证的含金量[N].中国财经报,
3 吴金明.责任认定数据分析系统的研究与实现[D].北京:北京交通大学,2009.
陈梅玲 女,厦门市翔安区图书馆中级经济师。
(收稿日期: