《論我國信息安全面臨的挑戰(zhàn)與對策》

近年來，利用信息網絡的安全漏洞或后門竊取、倒賣涉密信息獲取利益，或在互聯網上惡意公開個人私密信息的事件頻繁發(fā)生；而傳統(tǒng)網絡IP化、設備實現軟件化、3G業(yè)務等新技術、新形式的出現，電信網、互聯網和重要信息系統(tǒng)面臨的安全形勢越來越嚴峻。尤其是公共電話網絡，已逐漸變成繼互聯網、短信網絡之后一個新的騷擾平臺，僅在2008年有記錄可查的騷擾電話數量就超過9000萬次，而未被投訴和發(fā)現的騷擾電話數量則至少超過2億次。從事網絡與信息安全管理、研究和技術開發(fā)的專家呼吁：加快信息安全立法步伐，推動網絡和信息安全管理由事件驅動向長效機制轉變，以保證國家信息化發(fā)展戰(zhàn)略的順利實施。一、日益尖銳的安全問題信息化正快速融入中國社會的各個領域，電子政務、電子商務、數字企業(yè)、數字社區(qū)、遠程教育、網絡銀行……整個社會對網絡信息系統(tǒng)已形成強烈依賴。同時，網絡和信息安全問題也日益尖銳。國家工業(yè)和信息化部電信研究院通信標準專家、高級工程師呂軍接受《望》新聞周刊采訪時認為，除物理安全方面一直存在的盜割線纜、基站設備被盜、施工破壞等安全威脅外，網絡和信息安全面臨的挑戰(zhàn)主要包括：1、泄密竊密危害加大。辦公自動化和家庭計算機的普遍應用，信息的獲取方法、存儲形態(tài)、傳輸渠道和處理方式都發(fā)生了前所未有的變化，帶來了泄密渠道增多、信息可控性減弱、保密監(jiān)管難度增大等問題，泄密、竊密所造成的危害不斷加大。由于信息網絡越來越開放，為惡意攻擊者實施遠程攻擊，竊取國家機密、軍事機密、商業(yè)秘密及個人隱私等信息創(chuàng)造了條件。惡意攻擊者通過竊取、倒賣涉密信息獲取利益，或在互聯網上惡意公開個人私密信息達到其不可告人的目的。2、核心設備安全漏洞或后門難以防控。目前，我國信息系統(tǒng)和網絡中有大量國外廠商生產的設備，這些設備使用的操作系統(tǒng)、數據庫、芯片也大多數是由國外廠商生產，由于外方通常不可能提供設備核心技術和專利，我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據調查，一些重要網絡系統(tǒng)中使用的信息技術產品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預留，也可能是無意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實施入侵，修改或破壞設備程序，或從設備中竊取機密數據和信息。3、病毒泛濫防不勝防。據公安部發(fā)布的《2008年全國信息網絡安全狀況暨計算機病毒疫情調查報告》，在已發(fā)生的網絡信息安全事件中，感染計算機病毒、蠕蟲和木馬程序的情況占全部類型的72%。木馬、間諜病毒的猖獗是導致網絡和信息安全事件日益增多的重要因素之一。另據金山軟件發(fā)布的中國電腦病毒疫情及互聯網安全報告，僅2009年5月，新增電腦病毒、木馬240萬個，感染電腦數量為2000多萬臺次；據瑞星“云安全”數據中心發(fā)布的統(tǒng)計數據，2009年上半年度截獲的掛馬網站(網頁數量)總數目為2.9億個，平均每天截獲162萬個。這些數據顯示，病毒、木馬、蠕蟲泛濫將長期影響網絡和信息安全整體情況。4、網絡攻擊從技術炫耀轉向利益驅動。當前我國的信息與網絡安全防護能力尚處于初級階段，不少應用系統(tǒng)仍處于不設防狀態(tài)，大批中小型政府網站、企業(yè)網站因缺乏專業(yè)的防護能力而成為“黑客”入侵的最大受害者。國防科技大學的一項研究表明，我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是攻擊重點。有統(tǒng)計顯示，今年1到5月，全國有3萬多個網站遭到“黑客”入侵。而新開通的國防部網站從上線運行第一天起就受到大量的、不間斷的攻擊，僅第一個月內受到的攻擊就達230多萬次。目前，網絡攻擊已從原始的技術炫耀逐漸轉向利益驅動，黑客的手段更多樣、更高明，分工更明確，很多攻擊和破壞行為不再是個體行為，而是分工明確的合作行為。例如，病毒編寫和制造者由過去的“損人不利己”轉向以獲取利益為主要目的，病毒的編寫、病毒的傳播方式和數量等均發(fā)生了顛覆性的變化。黑客制造病毒已進入“產業(yè)化”和“自動化”階段，甚至形成了“產、供、銷”一條龍服務。全球被少數黑客組織或個人控制的僵尸網絡規(guī)模越來越龐大，向外租賃“肉雞”實施惡意攻擊已經成為這些僵尸網絡賺錢的主要途徑。制造病毒、傳播病毒、盜竊賬戶信息、第三方平臺銷贓、洗錢，可以說，利益驅動下的非法病毒產業(yè)鏈已基本形成。二、新技術帶來新的安全挑戰(zhàn)近年來，國內電信網絡已由過去單一的語音交換網絡，逐步演進為一個可提供語音、數據、多媒體業(yè)務的綜合性網絡。IP技術成為電信網絡的核心。據呂軍介紹，IP技術的應用有助于電信業(yè)務的多樣化發(fā)展，有利于降低網絡建設成本、滿足用戶個性化需求。但基于IP技術的網絡有其先天缺陷，開放的網絡形式引入了IP技術特有的安全威脅，傳統(tǒng)電信網封閉性受到破壞。另一方面，為了實現靈活的網絡配置、降低成本，電信設備功能逐漸趨于軟件化，很多傳統(tǒng)電信設備功能被移植到計算機系統(tǒng)中，一些專用板卡和設備的功能被軟件系統(tǒng)所替代。設備軟件化引入新的安全威脅，例如，病毒、木馬、蠕蟲具備了生存環(huán)境；復雜的操作系統(tǒng)影響到設備的穩(wěn)定性和安全性；公開的操作系統(tǒng)安全漏洞以及開放的遠程端口易被惡意人員利用，等等。隨著3G網絡IP化、寬帶化建設進程的完成，使得移動網絡也將面臨與互聯網類似的安全性問題。特別是用戶終端種類的多樣化，手機、PDA、計算機等都可直接接入3G網絡，給惡意攻擊者提供了更多靈活的接入方式和強大的終端能力。另外，3G網絡可提供更豐富的業(yè)務內容，用戶能夠靈活地上傳和下載各種數據、語音、多媒體業(yè)務，基于業(yè)務內容的信息安全問題也將隨之出現。呂軍指出，3G應用所帶來的安全威脅遠遠大于2G時代的移動通信網。當前，電信網、互聯網等信息網絡融合度越來越高，信息技術、業(yè)務形式越來越豐富，安全隱患也隨之增多，例如：電子商務、網上銀行、手機支付等業(yè)務可能造成個人賬號被竊和網上欺詐；網上社區(qū)、手機交友、虛擬世界可能引發(fā)虛擬犯罪、國家或商業(yè)機密泄露；而網絡視頻、個人博客等被廣泛應用的同時，也為非法、色情內容的大面積擴散提供了新的渠道。據12321網絡不良與垃圾信息舉報受理中心報告，2009年7至9月份連續(xù)3個月，我國垃圾和不良信息舉報數量持續(xù)走高，僅9月份就收到不良與垃圾信息舉報12萬多起，其中互聯網24000起，移動通信網和固定通信網加起來近10萬起。垃圾郵件、垃圾短信、色情、騷擾電話等垃圾與不良信息，在占用大量通信資源、嚴重影響人們正常生活的同時，更伴隨著潛在的安全風險和社會不穩(wěn)定因素。據呂軍提供的數據，全國固定和移動電話用戶數量突破10億。2008年全年有記錄可查的騷擾電話數量就超過了9000萬次，而未被發(fā)現的騷擾電話數量據估計至少超過2億次。在一些特定時期，騷擾電話被作為一種技術攻擊手段，干擾國內行政機關的正常工作開展。信息騷擾從互聯網向傳統(tǒng)電信網絡轉移，這是一種值得重視的動態(tài)。呂軍解釋說，由于傳統(tǒng)電話網絡通信的實時性、安全性需求高，用戶的信息和通信內容受法律保護，如何在用戶無感的前提下，在海量的電話通信信息中找到騷擾電話并進行實時攔截處理，同時又使技術方案易于部署、快速靈活，不影響電信網絡正常業(yè)務的進行，成為我國網絡與信息安全工作的新主題。三、加快信息安全立法是當務之急從發(fā)達國家經驗看，網絡健康發(fā)展和有效管理被作為衡量國家綜合實力的最重要因素之一，而完善的法律基礎是促進網絡和信息安全工作的重要條件。美國、俄羅斯、歐洲以及韓國、新加坡等大批國家紛紛出臺了相關的發(fā)展戰(zhàn)略和法律法規(guī)，網絡和信息安全得到普遍重視。尤其是美國，依托立法，將網絡和信息安全工作融入到社會生活的各個層面，圍繞網絡和信息安全形成一套完整的國家戰(zhàn)略。近年來，發(fā)達國家都在積極推行信息安全改革，在戰(zhàn)略上，把信息安全作為“核”和“太空”之外的第三種網絡威懾力量；在技術上，大力度宣傳智慧地球、物聯網、云計算、WINDOWS7等新系統(tǒng)、新技術、新概念。對于中國而言，這無疑是一個挑戰(zhàn)。從總體上看，我國自2003年出臺第一部綱領性文件《關于加強信息安全保障工作的意見》以來，其間除了2005年頒布的信息安全領域內第一部法律《電子簽名法》外，網絡與信息安全工作主要依賴于中央和各部委陸續(xù)出臺的管理政策、文件進行指導，尚未上升到法律的高度。隨著國家信息化戰(zhàn)略的推進，法律制定方面的嚴重滯后，已對信息安全管理規(guī)范化、產業(yè)化帶來不利影響。呂軍認為，這種不利影響主要表現在：一方面，網絡和信息安全工作需要大量的人、財、物的投入，而且?guī)淼男Ч突貓笠彩请[性的，在沒有明確的法律約束情況下，企業(yè)開展網絡和信息安全工作缺少有效的指導和動力；另一方面，政府部門對網絡和信息安全工作的管理也缺少法律依據。因此，建立法律和法規(guī)體系是強化網絡和信息安全的當務之急，也是國家信息化戰(zhàn)略長期、科學有效實施的基礎保障。四、強化自主創(chuàng)新、自主可控能力信息安全是國家安全的重要內容，在信息安全技術開發(fā)中必須強化自主創(chuàng)新、自主可控能力，這已成為多方共識。9月中旬在北京舉行的“2009國家部委及各級政府、國有企業(yè)信息安全等級保護峰會”上，與會的150多名信息安全領域的專家、政府官員以及金融、電信、經濟管理等研究者，以不同的方式表達了共同的憂慮：目前我國金融、電力、能源、電信等重要行業(yè)和信息基礎設施中采用的中高端產品、核心技術和關鍵服務仍嚴重依賴國外，難以做到“自主”，這是我國網絡與信息安全潛在的風險之一。其實，前一階段國外炒作的IC卡安全問題以及近年來出現的微軟的“黑屏事件”，已敲響警鐘了。中國是通信大國、網絡大國，擁有世界第一的網民數量，但國際互聯網的“根”并不在中國，中國信息系統(tǒng)建設中使用的操作系統(tǒng)、關鍵芯片和核心軟件也幾乎全部依賴進口。若一直由國外品牌掌握核心技術和產品，不僅民族產業(yè)發(fā)展受阻，國家通信安全也將面臨威脅。因而，開發(fā)并推廣應用具有自主知識產權的信息安全技術和產品，是保證國家信息化發(fā)展戰(zhàn)略順利實施的重要環(huán)節(jié)。近年來，以工業(yè)和信息化部為代表的政府主管部門，積極引導和組織符合安全保密資質的科研院所、企業(yè)共同參與網絡和信息安全工作，無論是在設備研發(fā)是在技術解決方案制定上都取得了進展，推出了一批優(yōu)秀的自主、可控的實用技術和產品。例如，針對日益嚴重的電話騷擾難題，新近研制成功并投入使用的“終端電話網安全防護系統(tǒng)”，被認為“在電話信息溯源和識別技術等方面取得了突破，初步解決了電話網通信安全方面的一些難題?！睋诬娊榻B，“終端型電話網安全防護系統(tǒng)”是由工業(yè)和信息化部電信傳輸研究所與北京鵬博士安全信息技術有限公司聯合開發(fā)的面向被叫用戶的防范技術。該系統(tǒng)曾被用于奧運安保的前期防范工程，設備基本穩(wěn)定，防范效果較為明顯。經過一年多更大范圍的實際應用，證明其屏蔽和攔截非法的語音騷擾效果顯著。據了解，我國信息安全產業(yè)從上世紀90年代中期起步，至今已發(fā)展成為擁有自主知識產權、種類齊全、品種眾多的完整體系，并逐漸形成了自己的優(yōu)秀品牌。目前，國內有專門從事信息安全產業(yè)的企業(yè)1300家以上，其中有自主研發(fā)能力的占30%左右。但從產業(yè)整體實力看，尚不足以與強國匹敵。據中國信息安全測評中心發(fā)布的最新測評結果，目前信息安全產品的三個新問題較為普遍：貼牌生產過程中，其實只是將外來產品包裝直接換掉和把軟件界面漢化；“借用”別的產品的軟件模塊；只是將源代碼改頭換面，實際并沒有掌握核心技術。這三個新問題會產生相應的信息安全漏洞。漏洞是信息技術、產品、系統(tǒng)在設計、實現、配置、運行等過程中，有意或無意產生的缺陷。據公安部網絡安全專家提供的材料，近年來國內大量的網絡泄密竊密案件及其他信息安全問題均與漏洞的存在相關。為有效防范“漏洞”對信息系統(tǒng)的安全損害，11月3日我國信息安全“國家漏洞庫”正式投入運行，并對外開展漏洞分析與風險評估服務。據中國信息安全測評中心主任吳世忠介紹