隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展,人們的工作�、學習和生活方式正在發(fā)生巨大變化,效率大為提高,信息資源得到最大程度的共享�����。但必須看到,緊隨信息化發(fā)展而來的網(wǎng)絡安全問題日漸凸出�����,如果不很好地解決這個問題�,必將阻礙信息化發(fā)展的進程。
1、網(wǎng)絡安全問題的產(chǎn)生
可以從不同角度對網(wǎng)絡安全作出不同的解釋��。一般意義上�����,網(wǎng)絡安全是指信息安全和控制安全兩部分����。國際標準化組織把信息安全定義為“信息的完整性���、可用性��、保密性和可*性”;控制安全則指身份認證、不可否認性����、授權(quán)和訪問控制��。
互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放���、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享���、信息交流、信息服務創(chuàng)造了理想空間����,網(wǎng)絡技術的迅速發(fā)展和廣泛應用�,為人類社會的進步提供了巨大推動力����。然而,正是由于互聯(lián)網(wǎng)的上述特性�����,產(chǎn)生了許多安全問題:
a)信息泄漏���、信息污染��、信息不易受控�。例如�����,資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等��,這些都是信息安全的技術難點��。
b)在網(wǎng)絡環(huán)境中����,一些組織或個人出于某種特殊目的���,進行信息泄密��、信息破壞���、信息侵權(quán)和意識形態(tài)的信息滲透��,甚至通過網(wǎng)絡進行政治顛覆等活動,使國家利益��、社會公共利益和各類主體的合法權(quán)益受到威脅�����。
C)網(wǎng)絡運用的趨勢是全社會廣泛參與��,隨之而來的是控制權(quán)分散的管理問題。由于人們利益�����、目標、價值的分歧�����,使信息資源的保護和管理出現(xiàn)脫節(jié)和真空���,從而使信息安全問題變得廣泛而復雜��。
d)隨著社會重要基礎設施的高度信息化,社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導致?lián)p壞和癱瘓�����,包括國防通信設施���、動力控制網(wǎng)���、金融系統(tǒng)和政府網(wǎng)站等�。
2、網(wǎng)絡安全成為信息時代人類共同面臨的挑戰(zhàn)
美國前總統(tǒng)克林頓在簽發(fā)《保護信息系統(tǒng)國家計劃》的總統(tǒng)咨文中陳述道:“在不到一代人的時間里�,信息革命以及電腦進入了社會的每一領域��,這一現(xiàn)象改變了國家的經(jīng)濟運行和安全運作乃至人們的日常生活方式,然而,這種美好的新的代也帶有它自身的風險����。所有電腦驅(qū)動的系統(tǒng)都很容易受到侵犯和破壞���。對重要的經(jīng)濟部門或政府機構(gòu)的計算機進行任何有計劃的攻擊都可能產(chǎn)生災難性的后果�,這種危險是客觀存在的����。過去敵對力量和恐怖主義分子毫無例外地使用炸彈和子彈,現(xiàn)在他們可以把手提電腦變成有效武器,造成非常巨大的危害。如果人們想要繼續(xù)享受信息時代的種種好處���,繼續(xù)使國家安全和經(jīng)濟繁榮得到保障,就必須保護計算機控制系統(tǒng),使它們免受攻擊�����?���!?/span>
在各領域的計算機犯罪和網(wǎng)絡侵權(quán)方面�,無論是數(shù)量、手段,還是性質(zhì)、規(guī)模,已經(jīng)到了令人咋舌的地步���。據(jù)有關方面統(tǒng)計,目前美國每年由于網(wǎng)絡安全問題而遭受的經(jīng)濟損失超過170億美元����,德國�、英國也均在數(shù)十億美元以上��,法國為100億法郎�����,日本、新加坡問題也很嚴重����。在國際刑法界列舉的現(xiàn)代社會新型犯罪排行榜上��,計算機犯罪已名列榜首。2003年����,CSI/FBI調(diào)查所接觸的524個組織中���,有56%遇到電腦安全事件����,其中38%遇到1~5起��、16%以上遇到11起以上���。因與互聯(lián)網(wǎng)連接而成為頻繁攻擊點的組織連續(xù)3年不斷增加;遭受拒絕服務攻擊(DoS)則從2000年的27%上升到2003年的42%��。調(diào)查顯示,521個接受調(diào)查的組織中96%有網(wǎng)站����,其中30%提供電子商務服務����,這些網(wǎng)站在2003年1年中有20%發(fā)現(xiàn)未經(jīng)許可入侵或誤用網(wǎng)站現(xiàn)象��。更令人不安的是�,有33%的組織說他們不知道自己的網(wǎng)站是否受到損害���。據(jù)統(tǒng)計�,全球平均每20s就發(fā)生1次網(wǎng)上入侵事件,黑客一旦找到系統(tǒng)的薄弱環(huán)節(jié)���,所有用戶均會遭殃。
3�、我國網(wǎng)絡安全問題日益突出
目前�����,我國網(wǎng)絡安全問題日益突出的主要標志是:
a)計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重。據(jù)國家計算機病毒應急處理中心副主任張健介紹�����,從國家計算機病毒應急處理中心日常監(jiān)測結(jié)果看來����,計算機病毒呈現(xiàn)出異?�;钴S的態(tài)勢���。據(jù)2001年調(diào)查��,我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%���。其中,感染3次以上的用戶高達59%�����,而且病毒的破壞性較大���,被病毒破壞全部數(shù)據(jù)的占14%����,破壞部分數(shù)據(jù)的占57%。
b)電腦黑客活動已形成重要威脅。網(wǎng)絡信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性����,從國內(nèi)情況來看�����,目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡管理中心都遭受過境內(nèi)外黑客的攻擊或侵入,其中銀行�����、金融和證券機構(gòu)是黑客攻擊的重點����。
c)信息基礎設施面臨網(wǎng)絡安全的挑戰(zhàn)�。面對信息安全的嚴峻形勢,我國的網(wǎng)絡安全系統(tǒng)在預測、反應����、防范和恢復能力方面存在許多薄弱環(huán)節(jié)���。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡組織對各國信息防護能力的評估���,我國被列入防護能力最低的國家之一����,不僅大大低于美國、俄羅斯和以色列等信息安全強國,而且排在印度�、韓國之后��。近年來,國內(nèi)與網(wǎng)絡有關的各類違法行為以每年30%的速度遞增。據(jù)某市信息安全管理部門統(tǒng)計����,2003年第1季度內(nèi)�����,該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統(tǒng)癱瘓����。該市某公司的鏡像網(wǎng)站在10月份1個月內(nèi)�����,就遭到從外部100多個IP地址發(fā)起的惡意攻擊���。
d)網(wǎng)絡政治顛覆活動頻繁�����。近年來��,國內(nèi)外反動勢力利用互聯(lián)網(wǎng)組黨結(jié)社,進行針對我國黨和政府的非法組織和串聯(lián)活動����,猖獗頻繁�����,屢禁不止。尤其是一些非法組織有計劃地通過網(wǎng)絡渠道���,宣傳異教邪說,妄圖擾亂人心�����,擾亂社會秩序��。例如�����,據(jù)媒體報道,“****”非法組織就是在美國設網(wǎng)站���,利用無國界的信息空間進行反政府活動。
4�����、制約提高我國網(wǎng)絡安全防范能力的因素
當前��,制約我國提高網(wǎng)絡安全防御能力的主要因素有以下幾方面。
4.1 缺乏自主的計算機網(wǎng)絡和軟件核心技術
我國信息化建設過程中缺乏自主技術支撐�。計算機安全存在三大黑洞:CPU芯片����、操作系統(tǒng)和數(shù)據(jù)庫��、網(wǎng)關軟件大多依賴進口�����。信息安全專家�����、中國科學院高能物理研究所研究員許榕生曾一針見血地點出我國信息系統(tǒng)的要害:“我們的網(wǎng)絡發(fā)展很快,但安全狀況如何?現(xiàn)在有很多人投很多錢去建網(wǎng)絡���,實際上并不清楚它只有一半根基,建的是沒有防范的網(wǎng)��。有的網(wǎng)絡顧問公司建了很多網(wǎng)�,市場布好,但建的是裸網(wǎng)���,沒有保護,就像房產(chǎn)公司蓋了很多樓���,門窗都不加鎖就交付給業(yè)主去住?�!蔽覈嬎銠C網(wǎng)絡所使用的網(wǎng)管設備和軟件基本上是舶來品����,這些因素使我國計算機網(wǎng)絡的安全性能大大降低��,被認為是易窺視和易打擊的“玻璃網(wǎng)”���。由于缺乏自主技術�,我國的網(wǎng)絡處于被竊聽���、干擾��、監(jiān)視和欺詐等多種信息安全威脅中�,網(wǎng)絡安全處于極脆弱的狀態(tài)�����。
4.2 安全意識淡薄是網(wǎng)絡安全的瓶頸
目前��,在網(wǎng)絡安全問題上還存在不少認知盲區(qū)和制約因素。網(wǎng)絡是新生事物���,許多人一接觸就忙著用于學習、工作和娛樂等��,對網(wǎng)絡信息的安全性無暇顧及����,安全意識相當?shù)。瑢W(wǎng)絡信息不安全的事實認識不足���。與此同時,網(wǎng)絡經(jīng)營者和機構(gòu)用戶注重的是網(wǎng)絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看���,網(wǎng)絡信息安全處于被動的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動防范�、積極應對的全民意識���,更無法從根本上提高網(wǎng)絡監(jiān)測�、防護���、響應�、恢復和抗擊能力���。近年來����,國家和各級職能部門在信息安全方面已做了大量努力,但就范圍���、影響和效果來講,迄今所采取的信息安全保護措施和有關計劃還不能從根本上解決目前的被動局面,整個信息安全系統(tǒng)在迅速反應�����、快速行動和預警防范等主要方面���,缺少方向感���、敏感度和應對能力。
4.3 運行管理機制的缺陷和不足制約了安全防范的力度
運行管理是過程管理,是實現(xiàn)全網(wǎng)安全和動態(tài)安全的關鍵�。有關信息安全的政策����、計劃和管理手段等最終都會在運行管理機制上體現(xiàn)出來��。就目前的運行管理機制來看�,有以下幾方面的缺陷和不足�����。
a)網(wǎng)絡安全管理方面人才匱乏:由于互聯(lián)網(wǎng)通信成本極低����,分布式客戶服務器和不同種類配置不斷出新和發(fā)展�。按理����,由于技術應用的擴展,技術的管理也應同步擴展���,但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向�。信息安全技術管理方面的人才無論是數(shù)量還是水平����,都無法適應信息安全形勢的需要��。
b)安全措施不到位:互聯(lián)網(wǎng)越來越具有綜合性和動態(tài)性特點����,這同時也是互聯(lián)網(wǎng)不安全因素的原因所在�����。然而�����,網(wǎng)絡用戶對此缺乏認識,未進入安全就緒狀態(tài)就急于操作��,結(jié)果導致敏感數(shù)據(jù)暴露����,使系統(tǒng)遭受風險。配置不當或過時的操作系統(tǒng)�����、郵件程序和內(nèi)部網(wǎng)絡都存在入侵者可利用的缺陷����,如果缺乏周密有效的安全措施�,就無法發(fā)現(xiàn)和及時查堵安全漏洞。當廠商發(fā)布補丁或升級軟件來解決安全問題時���,許多用戶的系統(tǒng)不進行同步升級,原因是管理者未充分意識到網(wǎng)絡不安全的風險所在��,未引起重視�。
c)缺乏綜合性的解決方案:面對復雜的不斷變化的互聯(lián)網(wǎng)世界,大多數(shù)用戶缺乏綜合性的安全管理解決方案�,稍有安全意識的用戶越來越依賴“銀彈”方案(如防火墻和加密技術)��,但這些用戶也就此產(chǎn)生了虛假的安全感,漸漸喪失警惕�����。實際上��,一次性使用一種方案并不能保證系統(tǒng)一勞永逸和高枕無憂�����,網(wǎng)絡安全問題遠遠不是防毒軟件和防火墻能夠解決的,也不是大量標準安全產(chǎn)品簡單碓砌就能解決的。近年來�����,國外的一些互聯(lián)網(wǎng)安全產(chǎn)品廠商及時應變,由防病毒軟件供應商轉(zhuǎn)變?yōu)槠髽I(yè)安全解決方案的提供者�����,他們相繼在我國推出多種全面的企業(yè)安全解決方案�,包括風險評估和漏洞檢測����、入侵檢測、防火墻和虛擬專用網(wǎng)��、防病毒和內(nèi)容過濾解決方案����,以及企業(yè)管理解決方案等一整套綜合性安全管理解決方案。
4.4 缺乏制度化的防范機制
不少單位沒有從管理制度上建立相應的安全防范機制�����,在整個運行過程中���,缺乏行之有效的安全檢查和應對保護制度�����。不完善的制度滋長了網(wǎng)絡管理者和內(nèi)部人士自身的違法行為���。許多網(wǎng)絡犯罪行為(尤其是非法操作)都是因為內(nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而得逞的�。同時�,政策法規(guī)難以適應網(wǎng)絡發(fā)展的需要,信息立法還存在相當多的空白。個人隱私保護法����、數(shù)據(jù)庫保護法�、數(shù)字媒體法���、數(shù)字簽名認證法��、計算機犯罪法以及計算機安全監(jiān)管法等信息空間正常運作所需的配套法規(guī)尚不健全。由于網(wǎng)絡作案手段新、時間短�、不留痕跡等特點��,給偵破和審理網(wǎng)上犯罪案件帶來極大困難。
5、對解決我國網(wǎng)絡安全問題的幾點建議
就政府層面來說,解決網(wǎng)絡安全問題應當盡快采納以下幾點建議:
a)在國家層面上盡快提出一個具有戰(zhàn)略眼光的“國家網(wǎng)絡安全計劃”����。充分研究和分析國家在信息領域的利益和所面臨的內(nèi)外部威脅��,結(jié)合我國國情制定的計劃能全面加強和指導國家政治、軍事��、經(jīng)濟�����、文化以及社會生活各個領域的網(wǎng)絡安全防范體系�,并投入足夠的資金加強關鍵基礎設施的信息安全保護��。
b)建立有效的國家信息安全管理體系����。改變原來職能不匹配�、重疊、交*和相互沖突等不合理狀況����,提高政府的管理職能和效率��。
c)加快出臺相關法律法規(guī)。改變目前一些相關法律法規(guī)太籠統(tǒng)�、缺乏操作性的現(xiàn)狀�,對各種信息主體的權(quán)利�、義務和法律責任,做出明晰的法律界定。
d)在信息技術尤其是信息安全關鍵產(chǎn)品的研發(fā)方面����,提供全局性的具有超前意識的發(fā)展目標和相關產(chǎn)業(yè)政策�,保障信息技術產(chǎn)業(yè)和信息安全產(chǎn)品市場有序發(fā)展。
e)加強我國信息安全基礎設施建設,建立一個功能齊備��、全局協(xié)調(diào)的安全技術平臺(包括應急響應��、技術防范和公共密鑰基礎設施(PKI)等系統(tǒng)),與信息安全管理體系相互支撐和配合����。
6�����、結(jié)束語
網(wǎng)絡環(huán)境的復雜性、多變性�����,以及信息系統(tǒng)的脆弱性��,決定了網(wǎng)絡安全威脅的客觀存在���。我國日益開放并融入世界��,但加強安全監(jiān)管和建立保護屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會議上說:“信息安全是涉及我國經(jīng)濟發(fā)展����、社會發(fā)展和國家安全的重大問題�。近年來��,隨著國際政治形勢的發(fā)展��,以及經(jīng)濟全球化過程的加快,人們越來越清楚���,信息時代所引發(fā)的信息安全問題不僅涉及國家的經(jīng)濟安全、金融安全����,同時也涉及國家的國防安全、政治安全和文化安全��。因此����,可以說,在信息化社會里���,沒有信息安全的保障,國家就沒有安全的屏障���。信息安全的重要性怎么強調(diào)也不過分。”目前我國政府、相關部門和有識之士都把網(wǎng)絡監(jiān)管提到新的高度,上海市負責信息安全工作的部門提出采用非對稱戰(zhàn)略構(gòu)建上海信息安全防御體系��,其核心是在技術處于弱勢的情況下�����,用強化管理體系來提高網(wǎng)絡安全整體水平�����。衷心希望在不久的將來,我國信息安全工作能跟隨信息化發(fā)展,上一個新臺階��。
13560189272 
地址:廣州市天河區(qū)黃埔大道西201號金澤大廈808室 
