信息網絡已經覆蓋國家的政治、經濟、軍事、文化、科技和社會等諸多領域,涉及許多政府宏觀決策信息、金融證券信息、科研技術信息等重要內容的存儲、傳輸,其中許多是較為敏感的信息,甚至涉及國家機密。因此,信息網絡安全成為一國經濟社會發展的重要保證,也是各國在非傳統國家安全領域競逐的新焦點。在微觀領域,互聯網在給人們帶來便利的同時,其信息安全亦成為一個不容忽視的問題。由于技術上的缺陷以及思想上缺乏重視等原因,現代網絡信息社會中存在各種各樣的網絡安全威脅。
網絡信息安全領域包括信息、經濟、政治、文化、社會以及金融、生態、資源等眾多方面。網絡信息安全問題有別于傳統的安全領域威脅形式,多數具有形式多變、不易覺察等特點,如網絡謠言給社會及個人帶來了嚴重的影響,網絡詐騙使個人、銀行和政府蒙受重大經濟損失,網絡犯罪危及公民的人身安全等。
2015年網絡信息安全泄露事件層出不窮:1月5日,機鋒科技被曝泄露2300萬用戶信息,其中包括用戶名、注冊郵箱、加密后的密碼等信息; 2月11日,據漏洞盒子白帽子提交的報告顯示,知名連鎖酒店桔子、錦江之星、速八、布丁,高端酒店集團萬豪(麗思卡爾頓酒店等)、喜達屋(喜來登、艾美酒店等)、洲際(假日酒店等),等等網站存在高危漏洞,顧客信息被大量泄露,涉及顧客姓名、身份證、手機號、房間號、房型、家庭住址、信用卡、郵箱地址等大量敏感信息;2月27日,江蘇省公安廳發布通知稱,由主營安防產品的海康威視生產的監控設備存在嚴重安全隱患,部分設備已被境外控制,并要求各地立即進行全面清查,開展安全加固,消除安全隱患;4月22日,媒體報道,重慶、上海、山西、沈陽、貴州、河南等超30個省市衛生和社保系統出現大量高危漏洞,數千萬用戶的社保信息可能被泄露,包括個人身份證、社保參保、財務、薪酬、房屋等敏感信息;5月21日,中國人壽廣東分公司10萬份保單或遭泄露,保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業等敏感信息一覽無余;10月19日,網易郵箱過億用戶敏感信息遭泄露,包括用戶名、密碼、登錄IP以及用戶生日等。諸多網絡安全事件給我們敲響了警鐘,網絡信息安全管理必須受到國家、企業和個人的高度重視。
網絡安全問題的表現形式
不同于傳統安全問題,網絡信息安全問題具有傳播迅速、發生突然、跨國流動、破壞性大等特點,其主要表現形式有計算機病毒和黑客攻擊兩種。
計算機病毒。計算機病毒是類似生物病毒的程序,它會復制自己并傳播到其他宿主身上,對宿主造成損害。計算機病毒的宿主也是程序,通常是操作系統,被感染后會進一步傳染到其他程序和電腦。總體來看,計算機病毒有木馬病毒、蠕蟲病毒、腳本病毒等不同類型。計算機病毒在傳播期間一般會隱蔽自己,由特定的條件觸發,并開始產生破壞,其具有的不良特征包括傳播性、隱蔽性、感染性、潛伏性、可激發性和破壞性,通常表現兩種以上所述的特征就可以認定該程序是病毒。近年來,隨著信息技術的發展,計算機病毒也越來越猖狂,并且在危害性和傳播性上對國家互聯網的安全更具有危害性。
黑客攻擊。黑客攻擊是目前危害性比較大的網絡信息安全威脅形式,它往往由具有極高操控性的網絡黑客策劃和實施的對攻擊目標進行的破壞、竊取資料、信息復制等行為。隨著信息技術的不斷發展,網絡黑客也像計算機病毒的發展一樣手段越來越高明,形式越來越隱蔽,破壞性也越來越大,給各國的信息安全系統造成了嚴重的威脅。同時,一些黑客甚至被某些國家的政府部門所授意對另一國的信息系統進行刺探和攻擊,從而牟取利益。
網絡信息安全問題的成因
系統自身的漏洞和管理問題。從被入侵的信息系統來看,大部分都存在一定的系統漏洞或者管理問題,正是因為這些系統自身問題的存在,使得系統容易成為各種網絡信息侵犯的對象。其中破壞最嚴重且最難以防范的就是系統管理員或信息安全管理員的違規行為,由于其身份的特殊性,信息安全相關人員與外部人士勾結進行有損信息安全的行為,不僅難以查處,而且一旦造成對信息安全的破壞,后果也十分嚴重。
網絡信息安全管理產品過分依賴進口。由于我國的信息產業在發展上起步較晚,國外對信息產業技術輸出進行嚴格限制,很多發達國家對我國信息產業發展采取遏制政策,阻礙信息產業技術輸出,我國信息產業的發展一直處于比較被動和相對落后的地位。這導致目前我國信息產業關鍵部件和技術嚴重依賴進口,并且在關鍵領域易受到攻擊和破壞。從硬件設備來看,目前我國國民經濟各行業使用的計算機中央處理器絕大部分需要進口。雖然從整體性能上來說,我國研發的大型計算機已經處于世界領先地位,但是其核心處理器仍無法擺脫進口依賴。近年來我國的信息裝備產業發展迅速,但其中很多核心零部件都來自以美國為代表的原始設備制造商,國內廠商仍然處于簡單組裝、加工的低利潤環節。從軟件方面來看,目前我國絕大部分計算機網絡(包括軍用網絡)所安裝和使用的操作系統都是美國公司的產品,美國微軟幾乎壟斷了我國電腦軟件的操作平臺和核心市場,離開了微軟的操作系統,國產的軟件都將難以運行。這不僅造成了網絡信息安全管理技術受制于人,同時也導致了管理能力的嚴重不足。同時,企業信息化建設的管理軟件也有90%以上依賴外企,國外軟件巨頭不僅以此獲取高額利潤,同時對我國信息安全管理的獨立性和安全性也構成了威脅。
網絡信息安全意識淡薄。由于我國的信息化產業還處于快速發展時期,企業和政府將重點放在了信息設備開發和信息技術提高上,忽略了網絡信息安全的管理,造成系統漏洞頻出,容易引發信息安全事故。網絡信息具有傳播迅速、途徑隱蔽等特點,對其監管較為困難,常常出現滯后性。目前我國整個社會的網絡安全意識比較淡薄,對信息安全也缺乏常識性的了解,對于開展網絡信息管理工作極為不利。
網絡信息安全管理立法不完善。自上世紀90年代以來,我國先后出臺多部涉及互聯網信息安全的法規、條例和辦法,如《中華人民共和國計算機信息系統安全保護條例》《互聯網網絡安全信息通報實施辦法》《計算機信息網絡國際聯網安全保護管理辦法》《全國人民代表大會常務委員會關于維護互聯網安全的決定》《互聯網電子郵件服務管理辦法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》以及《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等,這些法規、條例、辦法從不同方面對互聯網參與行為主體的活動進行了規范。同時,憲法、刑法、國家安全法、國家秘密法、治安管理處罰條例、商用密碼管理條例等法律、法規也在維護信息安全方面提供了一定的法律依據。
雖然國家制定了眾多的法規、條例、辦法,但仍然難以形成對網絡信息犯罪的有效約束,主要有以下幾個原因:從頒布者來看,其多為國務院、工業和信息化部、公安部等行政部門,這種部門法規的效力和權威與國家法律相比仍有一定的差距;從內容來看,對侵害互聯網個人信息安全的行為的界定、處置依據比較模糊,對各類互聯網參與主體的責任劃分不夠清晰明確,特別是對互聯網信息企業在信息安全人員隊伍建設、設備投入方面沒有明確的規定,難以適應當前嚴峻的互聯網個人信息安全形勢;從實施效果來看,部分法規在執行力度上還不夠,甚至停留在說教層面,在具體實踐中沒有得到很好的執行,也沒有形成約束力。
網絡信息安全困境的解決之道
從政策層面大力扶持網絡信息安全產業。信息安全是信息產業化發展的基石和保證,一個安全和規范的網絡信息環境需要信息產業提供堅定的物質和技術支持。由于長期來我國信息產業的核心技術來源于西方發達國家,從根本上就受到牽制,必須提升我國信息產業的自主創新能力,跳出現在的發展困境。在科研方面,國家應當鼓勵高校、研究院及企業類研究單位進行網絡信息安全方面的技術研究,為信息化產業發展提供核心的技術支持。
加強政府在組織監管、懲治信息安全違法行為方面的力度。政府作為信息安全管理的主體,在信息安全管理方面需要發揮主導性作用。借鑒其他國家信息安全管理的先進經驗,同時與我國的自身特色相結合,以維護國家利益為基本出發點,完善與信息安全相關的司法和行政管理體系,使得相關部門起到管理和督促作用。對于網絡信息的傳播與發布,需要以國家為監管主體,各類企業積極參與,維護國家與公眾的利益和安全,防止網絡成為損害國家、個人利益的平臺。
提高公民的網絡信息安全意識。近年來,網絡詐騙案件層出不窮,一方面是因為犯罪分子通過不法途徑買賣用戶信息,另一方面則是由于我國公民缺乏信息安全意識,在一些危險網站上留下個人信息。因此,提高公民的網絡安全意識對于避免網絡詐騙、解決網絡安全問題意義重大。應加強網絡信息安全的宣傳工作,加大宣傳力度,擴大宣傳范圍,從網絡詐騙案件的受害者年齡和人群分布來看,要重點加強針對中老年和偏遠地區的知識普及與宣傳工作。
建立和完善網絡信息安全管理方面的法律法規。建立和完善網絡信息安全方面的相關法律法規,是保證網絡信息安全的基礎。網絡信息安全立法也應做到與時俱進,使法律的條款能夠充分反映信息技術發展水平。
京公網安備 11010502049343號