您现在的位置是:首页 > IT基础架构 > 网络与安全 >
信息安全形势严峻 网络安全立法刻不容缓
摘要从事网络与信息安全管理、研究和技术开发的专家呼吁:加快信息安全立法步伐,推动网络和信息安全管理由事件驱动向长效机制转变,以保证国家信息化发展战略的顺利实施。 ...
有一组数字可说明中国信息安全所面临的“严峻”形势:2009年9月,全国被恶意篡改的网站数量为3513个,其中政府网站.gov.cn被篡改的数量为256个;此前,国家计算机网络应急技术处理协调中心监测到国内外被控制的僵尸网络客户端共14万多个,其中超过半数位于中国大陆;另有研究显示,全国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,而银行、金融和证券机构是攻击重点。
近年来,利用信息网络的安全漏洞或后门窃取、倒卖涉密信息获取利益,或在互联网上恶意公开个人私密信息的事件频繁发生;而传统网络IP化、设备实现软件化、3G业务等新技术、新形式的出现,电信网、互联网和重要信息系统面临的安全形势越来越严峻。尤其是公共电话网络,已逐渐变成继互联网、短信网络之后一个新的骚扰平台,仅在2008年有记录可查的骚扰电话数量就超过9000万次,而未被投诉和发现的骚扰电话数量则至少超过2亿次。
从事网络与信息安全管理、研究和技术开发的专家呼吁:加快信息安全立法步伐,推动网络和信息安全管理由事件驱动向长效机制转变,以保证国家信息化发展战略的顺利实施。
日益尖锐的安全问题
信息化正快速融入中国社会的各个领域,电子政务、电子商务、数字企业、数字社区、远程教育、网络银行……整个社会对网络信息系统已形成强烈依赖。同时,网络和信息安全问题也日益尖锐。国家工业和信息化部电信研究院通信标准专家、高级工程师吕军接受《望》新闻周刊采访时认为,除物理安全方面一直存在的盗割线缆、基站设备被盗、施工破坏等安全威胁外,网络和信息安全面临的挑战主要包括:
泄密窃密危害加大。办公自动化和家庭计算机的普遍应用,信息的获取方法、存储形态、传输渠道和处理方式都发生了前所未有的变化,带来了泄密渠道增多、信息可控性减弱、保密监管难度增大等问题,泄密、窃密所造成的危害不断加大。由于信息网络越来越开放,为恶意攻击者实施远程攻击,窃取国家机密、军事机密、商业秘密及个人隐私等信息创造了条件。恶意攻击者通过窃取、倒卖涉密信息获取利益,或在互联网上恶意公开个人私密信息达到其不可告人的目的。
核心设备安全漏洞或后门难以防控。目前,我国信息系统和网络中有大量国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产,由于外方通常不可能提供设备核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施入侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。
病毒泛滥防不胜防。据公安部发布的《2008年全国信息网络安全状况暨计算机病毒疫情调查报告》,在已发生的网络信息安全事件中,感染计算机病毒、蠕虫和木马程序的情况占全部类型的72%。木马、间谍病毒的猖獗是导致网络和信息安全事件日益增多的重要因素之一。另据金山软件发布的中国电脑病毒疫情及互联网安全报告,仅2009年5月,新增电脑病毒、木马240万个,感染电脑数量为2000多万台次;据瑞星“云安全”数据中心发布的统计数据,2009年上半年度截获的挂马网站(网页数量)总数目为2.9亿个,平均每天截获162万个。这些数据显示,病毒、木马、蠕虫泛滥将长期影响网络和信息安全整体情况。
网络攻击从技术炫耀转向利益驱动。当前我国的信息与网络安全防护能力尚处于初级阶段,不少应用系统仍处于不设防状态,大批中小型政府网站、企业网站因缺乏专业的防护能力而成为“黑客”入侵的最大受害者。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。有统计显示,今年1到5月,全国有3万多个网站遭到“黑客”入侵。而新开通的国防部网站从上线运行第一天起就受到大量的、不间断的攻击,仅第一个月内受到的攻击就达230多万次。
目前,网络攻击已从原始的技术炫耀逐渐转向利益驱动,黑客的手段更多样、更高明,分工更明确,很多攻击和破坏行为不再是个体行为,而是分工明确的合作行为。例如,病毒编写和制造者由过去的“损人不利己”转向以获取利益为主要目的,病毒的编写、病毒的传播方式和数量等均发生了颠覆性的变化。黑客制造病毒已进入“产业化”和“自动化”阶段,甚至形成了“产、供、销”一条龙服务。全球被少数黑客组织或个人控制的僵尸网络规模越来越庞大,向外租赁“肉鸡”实施恶意攻击已经成为这些僵尸网络赚钱的主要途径。制造病毒、传播病毒、盗窃账户信息、第三方平台销赃、洗钱,可以说,利益驱动下的非法病毒产业链已基本形成。
新技术带来新的安全挑战
近年来,国内电信网络已由过去单一的语音交换网络,逐步演进为一个可提供语音、数据、多媒体业务的综合性网络。IP技术成为电信网络的核心。
据吕军介绍,IP技术的应用有助于电信业务的多样化发展,有利于降低网络建设成本、满足用户个性化需求。但基于IP技术的网络有其先天缺陷,开放的网络形式引入了IP技术特有的安全威胁,传统电信网封闭性受到破坏。
另一方面,为了实现灵活的网络配置、降低成本,电信设备功能逐渐趋于软件化,很多传统电信设备功能被移植到计算机系统中,一些专用板卡和设备的功能被软件系统所替代。设备软件化引入新的安全威胁,例如,病毒、木马、蠕虫具备了生存环境;复杂的操作系统影响到设备的稳定性和安全性;公开的操作系统安全漏洞以及开放的远程端口易被恶意人员利用,等等。
随着3G网络IP化、宽带化建设进程的完成,使得移动网络也将面临与互联网类似的安全性问题。特别是用户终端种类的多样化,手机、PDA、计算机等都可直接接入3G网络,给恶意攻击者提供了更多灵活的接入方式和强大的终端能力。另外,3G网络可提供更丰富的业务内容,用户能够灵活地上传和下载各种数据、语音、多媒体业务,基于业务内容的信息安全问题也将随之出现。吕军指出,3G应用所带来的安全威胁远远大于2G时代的移动通信网。
当前,电信网、互联网等信息网络融合度越来越高,信息技术、业务形式越来越丰富,安全隐患也随之增多,例如:电子商务、网上银行、手机支付等业务可能造成个人账号被窃和网上欺诈;网上社区、手机交友、虚拟世界可能引发虚拟犯罪、国家或商业机密泄露;而网络视频、个人博客等被广泛应用的同时,也为非法、色情内容的大面积扩散提供了新的渠道。
据12321网络不良与垃圾信息举报受理中心报告,2009年7至9月份连续3个月,我国垃圾和不良信息举报数量持续走高,仅9月份就收到不良与垃圾信息举报12万多起,其中互联网24000起,移动通信网和固定通信网加起来近10万起。
垃圾邮件、垃圾短信、色情、骚扰电话等垃圾与不良信息,在占用大量通信资源、严重影响人们正常生活的同时,更伴随着潜在的安全风险和社会不稳定因素。据吕军提供的数据,全国固定和移动电话用户数量突破10亿。2008年全年有记录可查的骚扰电话数量就超过了9000万次,而未被发现的骚扰电话数量据估计至少超过2亿次。在一些特定时期,骚扰电话被作为一种技术攻击手段,干扰国内行政机关的正常工作开展。
信息骚扰从互联网向传统电信网络转移,这是一种值得重视的动态。吕军解释说,由于传统电话网络通信的实时性、安全性需求高,用户的信息和通信内容受法律保护,如何在用户无感的前提下,在海量的电话通信信息中找到骚扰电话并进行实时拦截处理,同时又使技术方案易于部署、快速灵活,不影响电信网络正常业务的进行,成为我国网络与信息安全工作的新主题。
加快信息安全立法是当务之急
从发达国家经验看,网络健康发展和有效管理被作为衡量国家综合实力的最重要因素之一,而完善的法律基础是促进网络和信息安全工作的重要条件。美国、俄罗斯、欧洲以及韩国、新加坡等大批国家纷纷出台了相关的发展战略和法律法规,网络和信息安全得到普遍重视。尤其是美国,依托立法,将网络和信息安全工作融入到社会生活的各个层面,围绕网络和信息安全形成一套完整的国家战略。
近年来,发达国家都在积极推行信息安全改革,在战略上,把信息安全作为“核”和“太空”之外的第三种网络威慑力量;在技术上,大力度宣传智慧地球、物联网、云计算、WINDOWS7等新系统、新技术、新概念。对于中国而言,这无疑是一个挑战。
从总体上看,我国自2003年出台第一部纲领性文件《关于加强信息安全保障工作的意见》以来,其间除了2005年颁布的信息安全领域内第一部法律《电子签名法》外,网络与信息安全工作主要依赖于中央和各部委陆续出台的管理政策、文件进行指导,尚未上升到法律的高度。
随着国家信息化战略的推进,法律制定方面的严重滞后,已对信息安全管理规范化、产业化带来不利影响。吕军认为,这种不利影响主要表现在:一方面,网络和信息安全工作需要大量的人、财、物的投入,而且带来的效果和回报也是隐性的,在没有明确的法律约束情况下,企业开展网络和信息安全工作缺少有效的指导和动力;另一方面,政府部门对网络和信息安全工作的管理也缺少法律依据。因此,建立法律和法规体系是强化网络和信息安全的当务之急,也是国家信息化战略长期、科学有效实施的基础保障。
强化自主创新、自主可控能力
信息安全是国家安全的重要内容,在信息安全技术开发中必须强化自主创新、自主可控能力,这已成为多方共识。9月中旬在北京举行的“2009国家部委及各级政府、国有企业信息安全等级保护峰会”上,与会的150多名信息安全领域的专家、政府官员以及金融、电信、经济管理等研究者,以不同的方式表达了共同的忧虑:目前我国金融、电力、能源、电信等重要行业和信息基础设施中采用的中高端产品、核心技术和关键服务仍严重依赖国外,难以做到“自主”,这是我国网络与信息安全潜在的风险之一。其实,前一阶段国外炒作的IC卡安全问题以及近年来出现的微软的“黑屏事件”,已敲响警钟了。
中国是通信大国、网络大国,拥有世界第一的网民数量,但国际互联网的“根”并不在中国,中国信息系统建设中使用的操作系统、关键芯片和核心软件也几乎全部依赖进口。若一直由国外品牌掌握核心技术和产品,不仅民族产业发展受阻,国家通信安全也将面临威胁。因而,开发并推广应用具有自主知识产权的信息安全技术和产品,是保证国家信息化发展战略顺利实施的重要环节。
近年来,以工业和信息化部为代表的政府主管部门,积极引导和组织符合安全保密资质的科研院所、企业共同参与网络和信息安全工作,无论是在设备研发是在技术解决方案制定上都取得了进展,推出了一批优秀的自主、可控的实用技术和产品。例如,针对日益严重的电话骚扰难题,新近研制成功并投入使用的“终端电话网安全防护系统”,被认为“在电话信息溯源和识别技术等方面取得了突破,初步解决了电话网通信安全方面的一些难题。”
据吕军介绍,“终端型电话网安全防护系统”是由工业和信息化部电信传输研究所与北京鹏博士安全信息技术有限公司联合开发的面向被叫用户的防范技术。该系统曾被用于奥运安保的前期防范工程,设备基本稳定,防范效果较为明显。经过一年多更大范围的实际应用,证明其屏蔽和拦截非法的语音骚扰效果显著。
据了解,我国信息安全产业从上世纪90年代中期起步,至今已发展成为拥有自主知识产权、种类齐全、品种众多的完整体系,并逐渐形成了自己的优秀品牌。目前,国内有专门从事信息安全产业的企业1300家以上,其中有自主研发能力的占30%左右。但从产业整体实力看,尚不足以与强国匹敌。据中国信息安全测评中心发布的最新测评结果,目前信息安全产品的三个新问题较为普遍:贴牌生产过程中,其实只是将外来产品包装直接换掉和把软件界面汉化;“借用”别的产品的软件模块;只是将源代码改头换面,实际并没有掌握核心技术。这三个新问题会产生相应的信息安全漏洞。
漏洞是信息技术、产品、系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷。据公安部网络安全专家提供的材料,近年来国内大量的网络泄密窃密案件及其他信息安全问题均与漏洞的存在相关。为有效防范“漏洞”对信息系统的安全损害,11月3日我国信息安全“国家漏洞库”正式投入运行,并对外开展漏洞分析与风险评估服务。据中国信息安全测评中心主任吴世忠介绍,“国家漏洞库”的建设是信息安全保障工作中一项极为关键的基础性和长期性工作,一方面,通过各种渠道在整个互联网范围内,不分国界地收集漏洞数据和一些补丁措施等信息并及时发布,让公众第一时间了解并解决自己信息系统存在的问题;另一方面,国家漏洞库也可提供一些宏观态势的基础分析数据。
“其实,这正是朝着信息技术自主、可控的方向去努力”,吴世忠认为,信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,就必须保证其是可知可控的,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有数”。
信息安全问题随着国家信息化战略的推广凸显其重要地位。信息安全不仅给国家信息化进程带来现实的挑战,而且基于信息网络的渗透、攻防、电子战等概念,也影响到国防安全,给国家与国家之间带来新的竞争关系,直接影响到国家安全和社会稳定。多位从事信息安全研究的专家呼吁,政府主管部门和相关部门应发挥主导和指导作用,形成政府多级联动机制,指导、监督、管理各级电信运营商、互联网运营商和重要信息系统运营企业,避免网络和信息安全工作演变为工程、项目等短期行为,推动网络和信息安全管理由事件驱动向长效机制转变。
(本文不涉密)
责任编辑:
上一篇:企业信息安全“三步走”