《論我國(guó)信息安全面臨的挑戰(zhàn)與對(duì)策》

《論我國(guó)信息安全面臨的挑戰(zhàn)與對(duì)策》

近年來(lái)，利用信息網(wǎng)絡(luò)的安全漏洞或后門(mén)竊取、倒賣涉密信息獲取利益，或在互聯(lián)網(wǎng)上惡意公開(kāi)個(gè)人私密信息的事件頻繁發(fā)生；而傳統(tǒng)網(wǎng)絡(luò)IP化、設(shè)備實(shí)現(xiàn)軟件化、3G業(yè)務(wù)等新技術(shù)、新形式的出現(xiàn)，電信網(wǎng)、互聯(lián)網(wǎng)和重要信息系統(tǒng)面臨的安全形勢(shì)越來(lái)越嚴(yán)峻。尤其是公共電話網(wǎng)絡(luò)，已逐漸變成繼互聯(lián)網(wǎng)、短信網(wǎng)絡(luò)之后一個(gè)新的騷擾平臺(tái)，僅在2008年有記錄可查的騷擾電話數(shù)量就超過(guò)9000萬(wàn)次，而未被投訴和發(fā)現(xiàn)的騷擾電話數(shù)量則至少超過(guò)2億次。從事網(wǎng)絡(luò)與信息安全管理、研究和技術(shù)開(kāi)發(fā)的專家呼吁：加快信息安全立法步伐，推動(dòng)網(wǎng)絡(luò)和信息安全管理由事件驅(qū)動(dòng)向長(zhǎng)效機(jī)制轉(zhuǎn)變，以保證國(guó)家信息化發(fā)展戰(zhàn)略的順利實(shí)施。一、日益尖銳的安全問(wèn)題信息化正快速融入中國(guó)社會(huì)的各個(gè)領(lǐng)域，電子政務(wù)、電子商務(wù)、數(shù)字企業(yè)、數(shù)字社區(qū)、遠(yuǎn)程教育、網(wǎng)絡(luò)銀行……整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)信息系統(tǒng)已形成強(qiáng)烈依賴。同時(shí)，網(wǎng)絡(luò)和信息安全問(wèn)題也日益尖銳。國(guó)家工業(yè)和信息化部電信研究院通信標(biāo)準(zhǔn)專家、高級(jí)工程師呂軍接受《望》新聞周刊采訪時(shí)認(rèn)為，除物理安全方面一直存在的盜割線纜、基站設(shè)備被盜、施工破壞等安全威脅外，網(wǎng)絡(luò)和信息安全面臨的挑戰(zhàn)主要包括：1、泄密竊密危害加大。辦公自動(dòng)化和家庭計(jì)算機(jī)的普遍應(yīng)用，信息的獲取方法、存儲(chǔ)形態(tài)、傳輸渠道和處理方式都發(fā)生了前所未有的變化，帶來(lái)了泄密渠道增多、信息可控性減弱、保密監(jiān)管難度增大等問(wèn)題，泄密、竊密所造成的危害不斷加大。由于信息網(wǎng)絡(luò)越來(lái)越開(kāi)放，為惡意攻擊者實(shí)施遠(yuǎn)程攻擊，竊取國(guó)家機(jī)密、軍事機(jī)密、商業(yè)秘密及個(gè)人隱私等信息創(chuàng)造了條件。惡意攻擊者通過(guò)竊取、倒賣涉密信息獲取利益，或在互聯(lián)網(wǎng)上惡意公開(kāi)個(gè)人私密信息達(dá)到其不可告人的目的。2、核心設(shè)備安全漏洞或后門(mén)難以防控。目前，我國(guó)信息系統(tǒng)和網(wǎng)絡(luò)中有大量國(guó)外廠商生產(chǎn)的設(shè)備，這些設(shè)備使用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、芯片也大多數(shù)是由國(guó)外廠商生產(chǎn)，由于外方通常不可能提供設(shè)備核心技術(shù)和專利，我方很難判斷設(shè)備是否存在“后門(mén)”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據(jù)調(diào)查，一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開(kāi)發(fā)過(guò)程中有意預(yù)留，也可能是無(wú)意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實(shí)施入侵，修改或破壞設(shè)備程序，或從設(shè)備中竊取機(jī)密數(shù)據(jù)和信息。3、病毒泛濫防不勝防。據(jù)公安部發(fā)布的《2008年全國(guó)信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)病毒疫情調(diào)查報(bào)告》，在已發(fā)生的網(wǎng)絡(luò)信息安全事件中，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的情況占全部類型的72%。木馬、間諜病毒的猖獗是導(dǎo)致網(wǎng)絡(luò)和信息安全事件日益增多的重要因素之一。另?yè)?jù)金山軟件發(fā)布的中國(guó)電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告，僅2009年5月，新增電腦病毒、木馬240萬(wàn)個(gè)，感染電腦數(shù)量為2000多萬(wàn)臺(tái)次；據(jù)瑞星“云安全”數(shù)據(jù)中心發(fā)布的統(tǒng)計(jì)數(shù)據(jù)，2009年上半年度截獲的掛馬網(wǎng)站(網(wǎng)頁(yè)數(shù)量)總數(shù)目為2.9億個(gè)，平均每天截獲162萬(wàn)個(gè)。這些數(shù)據(jù)顯示，病毒、木馬、蠕蟲(chóng)泛濫將長(zhǎng)期影響網(wǎng)絡(luò)和信息安全整體情況。4、網(wǎng)絡(luò)攻擊從技術(shù)炫耀轉(zhuǎn)向利益驅(qū)動(dòng)。當(dāng)前我國(guó)的信息與網(wǎng)絡(luò)安全防護(hù)能力尚處于初級(jí)階段，不少應(yīng)用系統(tǒng)仍處于不設(shè)防狀態(tài)，大批中小型政府網(wǎng)站、企業(yè)網(wǎng)站因缺乏專業(yè)的防護(hù)能力而成為“黑客”入侵的最大受害者。國(guó)防科技大學(xué)的一項(xiàng)研究表明，我國(guó)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過(guò)境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。有統(tǒng)計(jì)顯示，今年1到5月，全國(guó)有3萬(wàn)多個(gè)網(wǎng)站遭到“黑客”入侵。而新開(kāi)通的國(guó)防部網(wǎng)站從上線運(yùn)行第一天起就受到大量的、不間斷的攻擊，僅第一個(gè)月內(nèi)受到的攻擊就達(dá)230多萬(wàn)次。目前，網(wǎng)絡(luò)攻擊已從原始的技術(shù)炫耀逐漸轉(zhuǎn)向利益驅(qū)動(dòng)，黑客的手段更多樣、更高明，分工更明確，很多攻擊和破壞行為不再是個(gè)體行為，而是分工明確的合作行為。例如，病毒編寫(xiě)和制造者由過(guò)去的“損人不利己”轉(zhuǎn)向以獲取利益為主要目的，病毒的編寫(xiě)、病毒的傳播方式和數(shù)量等均發(fā)生了顛覆性的變化。黑客制造病毒已進(jìn)入“產(chǎn)業(yè)化”和“自動(dòng)化”階段，甚至形成了“產(chǎn)、供、銷”一條龍服務(wù)。全球被少數(shù)黑客組織或個(gè)人控制的僵尸網(wǎng)絡(luò)規(guī)模越來(lái)越龐大，向外租賃“肉雞”實(shí)施惡意攻擊已經(jīng)成為這些僵尸網(wǎng)絡(luò)賺錢的主要途徑。制造病毒、傳播病毒、盜竊賬戶信息、第三方平臺(tái)銷贓、洗錢，可以說(shuō)，利益驅(qū)動(dòng)下的非法病毒產(chǎn)業(yè)鏈已基本形成。二、新技術(shù)帶來(lái)新的安全挑戰(zhàn)近年來(lái)，國(guó)內(nèi)電信網(wǎng)絡(luò)已由過(guò)去單一的語(yǔ)音交換網(wǎng)絡(luò)，逐步演進(jìn)為一個(gè)可提供語(yǔ)音、數(shù)據(jù)、多媒體業(yè)務(wù)的綜合性網(wǎng)絡(luò)。IP技術(shù)成為電信網(wǎng)絡(luò)的核心。據(jù)呂軍介紹，IP技術(shù)的應(yīng)用有助于電信業(yè)務(wù)的多樣化發(fā)展，有利于降低網(wǎng)絡(luò)建設(shè)成本、滿足用戶個(gè)性化需求。但基于IP技術(shù)的網(wǎng)絡(luò)有其先天缺陷，開(kāi)放的網(wǎng)絡(luò)形式引入了IP技術(shù)特有的安全威脅，傳統(tǒng)電信網(wǎng)封閉性受到破壞。另一方面，為了實(shí)現(xiàn)靈活的網(wǎng)絡(luò)配置、降低成本，電信設(shè)備功能逐漸趨于軟件化，很多傳統(tǒng)電信設(shè)備功能被移植到計(jì)算機(jī)系統(tǒng)中，一些專用板卡和設(shè)備的功能被軟件系統(tǒng)所替代。設(shè)備軟件化引入新的安全威脅，例如，病毒、木馬、蠕蟲(chóng)具備了生存環(huán)境；復(fù)雜的操作系統(tǒng)影響到設(shè)備的穩(wěn)定性和安全性；公開(kāi)的操作系統(tǒng)安全漏洞以及開(kāi)放的遠(yuǎn)程端口易被惡意人員利用，等等。隨著3G網(wǎng)絡(luò)IP化、寬帶化建設(shè)進(jìn)程的完成，使得移動(dòng)網(wǎng)絡(luò)也將面臨與互聯(lián)網(wǎng)類似的安全性問(wèn)題。特別是用戶終端種類的多樣化，手機(jī)、PDA、計(jì)算機(jī)等都可直接接入3G網(wǎng)絡(luò)，給惡意攻擊者提供了更多靈活的接入方式和強(qiáng)大的終端能力。另外，3G網(wǎng)絡(luò)可提供更豐富的業(yè)務(wù)內(nèi)容，用戶能夠靈活地上傳和下載各種數(shù)據(jù)、語(yǔ)音、多媒體業(yè)務(wù)，基于業(yè)務(wù)內(nèi)容的信息安全問(wèn)題也將隨之出現(xiàn)。呂軍指出，3G應(yīng)用所帶來(lái)的安全威脅遠(yuǎn)遠(yuǎn)大于2G時(shí)代的移動(dòng)通信網(wǎng)。當(dāng)前，電信網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)融合度越來(lái)越高，信息技術(shù)、業(yè)務(wù)形式越來(lái)越豐富，安全隱患也隨之增多，例如：電子商務(wù)、網(wǎng)上銀行、手機(jī)支付等業(yè)務(wù)可能造成個(gè)人賬號(hào)被竊和網(wǎng)上欺詐；網(wǎng)上社區(qū)、手機(jī)交友、虛擬世界可能引發(fā)虛擬犯罪、國(guó)家或商業(yè)機(jī)密泄露；而網(wǎng)絡(luò)視頻、個(gè)人博客等被廣泛應(yīng)用的同時(shí)，也為非法、色情內(nèi)容的大面積擴(kuò)散提供了新的渠道。據(jù)12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心報(bào)告，2009年7至9月份連續(xù)3個(gè)月，我國(guó)垃圾和不良信息舉報(bào)數(shù)量持續(xù)走高，僅9月份就收到不良與垃圾信息舉報(bào)12萬(wàn)多起，其中互聯(lián)網(wǎng)24000起，移動(dòng)通信網(wǎng)和固定通信網(wǎng)加起來(lái)近10萬(wàn)起。垃圾郵件、垃圾短信、色情、騷擾電話等垃圾與不良信息，在占用大量通信資源、嚴(yán)重影響人們正常生活的同時(shí)，更伴隨著潛在的安全風(fēng)險(xiǎn)和社會(huì)不穩(wěn)定因素。據(jù)呂軍提供的數(shù)據(jù)，全國(guó)固定和移動(dòng)電話用戶數(shù)量突破10億。2008年全年有記錄可查的騷擾電話數(shù)量就超過(guò)了9000萬(wàn)次，而未被發(fā)現(xiàn)的騷擾電話數(shù)量據(jù)估計(jì)至少超過(guò)2億次。在一些特定時(shí)期，騷擾電話被作為一種技術(shù)攻擊手段，干擾國(guó)內(nèi)行政機(jī)關(guān)的正常工作開(kāi)展。信息騷擾從互聯(lián)網(wǎng)向傳統(tǒng)電信網(wǎng)絡(luò)轉(zhuǎn)移，這是一種值得重視的動(dòng)態(tài)。呂軍解釋說(shuō)，由于傳統(tǒng)電話網(wǎng)絡(luò)通信的實(shí)時(shí)性、安全性需求高，用戶的信息和通信內(nèi)容受法律保護(hù)，如何在用戶無(wú)感的前提下，在海量的電話通信信息中找到騷擾電話并進(jìn)行實(shí)時(shí)攔截處理，同時(shí)又使技術(shù)方案易于部署、快速靈活，不影響電信網(wǎng)絡(luò)正常業(yè)務(wù)的進(jìn)行，成為我國(guó)網(wǎng)絡(luò)與信息安全工作的新主題。三、加快信息安全立法是當(dāng)務(wù)之急從發(fā)達(dá)國(guó)家經(jīng)驗(yàn)看，網(wǎng)絡(luò)健康發(fā)展和有效管理被作為衡量國(guó)家綜合實(shí)力的最重要因素之一，而完善的法律基礎(chǔ)是促進(jìn)網(wǎng)絡(luò)和信息安全工作的重要條件。美國(guó)、俄羅斯、歐洲以及韓國(guó)、新加坡等大批國(guó)家紛紛出臺(tái)了相關(guān)的發(fā)展戰(zhàn)略和法律法規(guī)，網(wǎng)絡(luò)和信息安全得到普遍重視。尤其是美國(guó)，依托立法，將網(wǎng)絡(luò)和信息安全工作融入到社會(huì)生活的各個(gè)層面，圍繞網(wǎng)絡(luò)和信息安全形成一套完整的國(guó)家戰(zhàn)略。近年來(lái)，發(fā)達(dá)國(guó)家都在積極推行信息安全改革，在戰(zhàn)略上，把信息安全作為“核”和“太空”之外的第三種網(wǎng)絡(luò)威懾力量；在技術(shù)上，大力度宣傳智慧地球、物聯(lián)網(wǎng)、云計(jì)算、WINDOWS7等新系統(tǒng)、新技術(shù)、新概念。對(duì)于中國(guó)而言，這無(wú)疑是一個(gè)挑戰(zhàn)。從總體上看，我國(guó)自2003年出臺(tái)第一部綱領(lǐng)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》以來(lái)，其間除了2005年頒布的信息安全領(lǐng)域內(nèi)第一部法律《電子簽名法》外，網(wǎng)絡(luò)與信息安全工作主要依賴于中央和各部委陸續(xù)出臺(tái)的管理政策、文件進(jìn)行指導(dǎo)，尚未上升到法律的高度。隨著國(guó)家信息化戰(zhàn)略的推進(jìn)，法律制定方面的嚴(yán)重滯后，已對(duì)信息安全管理規(guī)范化、產(chǎn)業(yè)化帶來(lái)不利影響。呂軍認(rèn)為，這種不利影響主要表現(xiàn)在：一方面，網(wǎng)絡(luò)和信息安全工作需要大量的人、財(cái)、物的投入，而且?guī)?lái)的效果和回報(bào)也是隱性的，在沒(méi)有明確的法律約束情況下，企業(yè)開(kāi)展網(wǎng)絡(luò)和信息安全工作缺少有效的指導(dǎo)和動(dòng)力；另一方面，政府部門(mén)對(duì)網(wǎng)絡(luò)和信息安全工作的管理也缺少法律依據(jù)。因此，建立法律和法規(guī)體系是強(qiáng)化網(wǎng)絡(luò)和信息安全的當(dāng)務(wù)之急，也是國(guó)家信息化戰(zhàn)略長(zhǎng)期、科學(xué)有效實(shí)施的基礎(chǔ)保障。四、強(qiáng)化自主創(chuàng)新、自主可控能力信息安全是國(guó)家安全的重要內(nèi)容，在信息安全技術(shù)開(kāi)發(fā)中必須強(qiáng)化自主創(chuàng)新、自主可控能力，這已成為多方共識(shí)。9月中旬在北京舉行的“2009國(guó)家部委及各級(jí)政府、國(guó)有企業(yè)信息安全等級(jí)保護(hù)峰會(huì)”上，與會(huì)的150多名信息安全領(lǐng)域的專家、政府官員以及金融、電信、經(jīng)濟(jì)管理等研究者，以不同的方式表達(dá)了共同的憂慮：目前我國(guó)金融、電力、能源、電信等重要行業(yè)和信息基礎(chǔ)設(shè)施中采用的中高端產(chǎn)品、核心技術(shù)和關(guān)鍵服務(wù)仍嚴(yán)重依賴國(guó)外，難以做到“自主”，這是我國(guó)網(wǎng)絡(luò)與信息安全潛在的風(fēng)險(xiǎn)之一。其實(shí)，前一階段國(guó)外炒作的IC卡安全問(wèn)題以及近年來(lái)出現(xiàn)的微軟的“黑屏事件”，已敲響警鐘了。中國(guó)是通信大國(guó)、網(wǎng)絡(luò)大國(guó)，擁有世界第一的網(wǎng)民數(shù)量，但國(guó)際互聯(lián)網(wǎng)的“根”并不在中國(guó)，中國(guó)信息系統(tǒng)建設(shè)中使用的操作系統(tǒng)、關(guān)鍵芯片和核心軟件也幾乎全部依賴進(jìn)口。若一直由國(guó)外品牌掌握核心技術(shù)和產(chǎn)品，不僅民族產(chǎn)業(yè)發(fā)展受阻，國(guó)家通信安全也將面臨威脅。因而，開(kāi)發(fā)并推廣應(yīng)用具有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，是保證國(guó)家信息化發(fā)展戰(zhàn)略順利實(shí)施的重要環(huán)節(jié)。近年來(lái)，以工業(yè)和信息化部為代表的政府主管部門(mén)，積極引導(dǎo)和組織符合安全保密資質(zhì)的科研院所、企業(yè)共同參與網(wǎng)絡(luò)和信息安全工作，無(wú)論是在設(shè)備研發(fā)是在技術(shù)解決方案制定上都取得了進(jìn)展，推出了一批優(yōu)秀的自主、可控的實(shí)用技術(shù)和產(chǎn)品。例如，針對(duì)日益嚴(yán)重的電話騷擾難題，新近研制成功并投入使用的“終端電話網(wǎng)安全防護(hù)系統(tǒng)”，被認(rèn)為“在電話信息溯源和識(shí)別技術(shù)等方面取得了突破，初步解決了電話網(wǎng)通信安全方面的一些難題?！睋?jù)呂軍介紹，“終端型電話網(wǎng)安全防護(hù)系統(tǒng)”是由工業(yè)和信息化部電信傳輸研究所與北京鵬博士安全信息技術(shù)有限公司聯(lián)合開(kāi)發(fā)的面向被叫用戶的防范技術(shù)。該系統(tǒng)曾被用于奧運(yùn)安保的前期防范工程，設(shè)備基本穩(wěn)定，防范效果較為明顯。經(jīng)過(guò)一年多更大范圍的實(shí)際應(yīng)用，證明其屏蔽和攔截非法的語(yǔ)音騷擾效果顯著。據(jù)了解，我國(guó)信息安全產(chǎn)業(yè)從上世紀(jì)90年代中期起步，至今已發(fā)展成為擁有自主知識(shí)產(chǎn)權(quán)、種類齊全、品種眾多的完整體系，并逐漸形成了自己的優(yōu)秀品牌。目前，國(guó)內(nèi)有專門(mén)從事信息安全產(chǎn)業(yè)的企業(yè)1300家以上，其中有自主研發(fā)能力的占30%左右。但從產(chǎn)業(yè)整體實(shí)力看，尚不足以與強(qiáng)國(guó)匹敵。據(jù)中國(guó)信息安全測(cè)評(píng)中心發(fā)布的最新測(cè)評(píng)結(jié)果，目前信息安全產(chǎn)品的三個(gè)新問(wèn)題較為普遍：貼牌生產(chǎn)過(guò)程中，其實(shí)只是將外來(lái)產(chǎn)品包裝直接換掉和把軟件界面漢化；“借用”別的產(chǎn)品的軟件模塊；只是將源代碼改頭換面，實(shí)際并沒(méi)有掌握核心技術(shù)。這三個(gè)新問(wèn)題會(huì)產(chǎn)生相應(yīng)的信息安全漏洞。漏洞是信息技術(shù)、產(chǎn)品、系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷。據(jù)公安部網(wǎng)絡(luò)安全專家提供的材料，近年來(lái)國(guó)內(nèi)大量的網(wǎng)絡(luò)泄密竊密案件及其他信息安全問(wèn)題均與漏洞的存在相關(guān)。為有效防范“漏洞”對(duì)信息系統(tǒng)的安全損害，11月3日我國(guó)信息安全“國(guó)家漏洞庫(kù)”正式投入運(yùn)行，并對(duì)外開(kāi)展漏洞分析與風(fēng)險(xiǎn)評(píng)估服務(wù)。據(jù)中國(guó)信息安全測(cè)評(píng)中心主任吳世忠介紹