我国互联网事业发展迅速,网络安全和信息化工作取得显著进步和成绩,但同时也出现不少问题。我国拥有7亿网民,网络空间是亿万民众共同的精神家园,网络与信息安全已成为我国互联网健康发展必须面对的严重问题。依法加强网络空间治理,让互联网更好造福国家和人民。
近日,习近平主持召开网络安全和信息化工作座谈会,会上分析了当前互联网发展新情况新动向,介绍了信息化发展新技术新趋势。习近平强调,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。我们要依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,为广大网民特别是青少年营造一个风清气正的网络空间。
1 网络安全的概念及特征
1.1 网络安全的概念
国际标准化组织(ISO)对计算机网络系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说,最重要的就是内部信息上的安全加密以及保护。当前世界正在经历一场信息化时代的大变革,人们可以在几秒钟内将信息传递到全世界的任何地方,因此,加强网络安全势在必行。
1.2 网络安全应具有特征
网络安全应具有以下五个方面的特征:
(1)保密性——信息不泄露给非授权用户、实体或过程,或供其利用的特性;
(2)完整性——数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;
(3)可用性——可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息;
(4)可控性——对信息的传播及内容具有控制能力;
(5)可审查性——出现的安全问题时提供依据与手段。
2 网络安全现状分析
近几年来,网络已成为人们工作、学习、生活的便捷工具和丰富资源,与此同时,网络脆弱的一面也逐渐显露。这与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,如果这个问题不能得到很好的解决,将会严重地影响到网络的应用。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。
网络的互联性、共享性、开放性,既给人类带来了便捷又带来了威胁。不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此我们在利用网络的同时,也要防止网络的侵害。目前我国的网络系统和协议还存在很多问题,还不够健全和完善,计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个重要持续更新和提高的领域。
3 我国网络安全与信息化法制建设面临的主要挑战
我国网络安全与信息化法制伴随国家信息化发展,初步形成了覆盖网络与信息安全、电子政务、电子商务、互联网治理、信息权益保护等信息社会核心领域的规范体系,但仍然存在以下问题:一是高位阶的立法非常少,一些重要领域规范缺乏;二是一些立法制定时间早,无法适应现代网络社会的快速发展;三是一些立法更多考虑的是建设、安全、秩序与管理等需要,未能对应用、创新、权利与发展等给予同等考虑;四是个别立法形同虚设,制定后不能用、不管用、难执行、难遵守;五是网络安全与信息化行政执法部门普遍重事前审批、轻事中监管,违法行为有时无法得到及时遏制,执法有效性与公信力均不足;六是网络空间存在的不正当竞争现象,网络违法犯罪行为屡禁不止,少数网民守法意识不强,网络社会秩序亟待规范。
此外,我们要走出网络安全认识的误区。首先,安装了防火墙并不意味着你的电脑是绝对安全的。防火墙只能加强安全性,它的防护作用是有限的,它本身也可能存在安全问题,有可能被黑客攻破;其次,安全评估并不意味着安全扫描,安全评估产品只是简单地把安全扫描后的结果进行说明并给建议,对结果并没有进行任何的处理。
4 目前网络中存在的主要安全威胁
4.1 网络自身的脆弱性
任何事物的运用都会有它的两面性,网络也不例外,安全系统脆弱是计算机网络与生俱来的致命弱点。互联网的开放性、共享性和国际性等特点,可以让任何人在任何有网络的地方传输和获取各种信息,可以说世界上任何一个计算机网络都不是绝对安全的。
4.2 计算机病毒
病毒的设计者运用病毒侵入对计算机进行插入破坏或者数据破坏和代码破坏,它主要是通过复制、运行程序等操作进行传播,如人们经常使用的优盘、移动硬盘、光盘和网络等都是传播计算机病毒的主要途经。2003年8月,冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出,8天内导致全球电脑用户损失高达20亿美元之多。
4.3 黑客攻击
近几年,计算机病毒、黑客木马猖狂肆虐,利用工具软件,通过计算机网络非法进入他人计算机系统,制造并传播病毒。其破坏活动包括:截取重要信息、改动信息、获取巨额资金,以及攻击网上服务器使其工作瘫痪等。这给计算机用户的信息安全带来了极大的安全隐患和巨大的经济损失。美国媒体《彭博社》整理出了“2014年最具代表性的七大网络入侵事件”:(1)土耳其石油管道事件;
(2)伊朗黑客瞄准航空公司系统;
(3)JP摩根被黑事件;
(4)索尼影业被黑事件;
(5)美国社区医疗系统被黑;
(6)大型零售商家被黑;
(7)心脏流血(Heartbleed)和Shellshock,从中我们看到,黑客入侵方式已经越来越聪明和致命。
4.4 系统漏洞
网络软件由于自身设计和结构不可能百分之百的无缺陷或者无漏洞,而这些漏洞虽说可以通过版本的不断升级来克服,但从发现问题到升级这段时间,一个小小的漏洞就会被计算机病毒和恶意程序所利用,成为黑客进攻的首选目标,一旦连接入互联网,危险就悄然而至。
4.5 网络犯罪
近几年,网络犯罪成倍增长,给社会造成了极大的负面影响,受害者经济损失巨大。网络犯罪不受时间、地点、条件限制,容易操作,匿名网络犯罪分子的踪迹不易追查,目前已成为严重的全球性威胁。据悉,2015年我国法院审理的电信网络诈骗犯罪案件已逾千件。
5 计算机网络安全和信息化的防护策略
5.1 管理体制上的安全防护策略
5.1.1 成立组织机构
2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
5.1.2 法律保护手段
1973年瑞士通过了世界上第一部保护计算机的法律;美国联邦政府颁布了《伪造存取手段及计算机诈骗与滥用法》和《联邦计算机安全法》;1992年国际经济合作与发展组织发表了关于信息系统的平白无故指南;我国于1997年3月通过新刑法首次规定了计算机犯罪,即破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能和信息系统中储存、处理、传输的数据和应用程序进行破坏,造成计算机信息系统不能正常运行,后果严重的行为。此外还出台了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联风儿管理暂行规定》等法律、法规。
5.1.3 管理保护手段
首先,要建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用和泄密;其次相关部门要大力落实安全制度,建立一个良好的安全保护责任制度,逐步形成管理的文献,做到有据可循,加强监管。
5.2 专业技术上的安全防护策略
5.2.1 防病毒技术
电脑病毒防治,应采取以“防”为主,以“治”为辅的方法。应该谨慎使用公共和共享的软件、密切关注有关媒体发布的反病毒信息、对重要信息进入备份、安装正版杀毒软件、限制网上可执行代码的交换。
5.2.2 防火墙和免疫墙技术
二者作用略有不同。防火墙的作用是通过在内网和外网之间、专网与公网之间的边界上构造的一个保护屏障,保护内部网免受非法用户的侵入。而免疫墙是管理内网的,对内网进行安全防范和管理的方案,承担来自内部攻击的防御和保护。二者各负其责。
5.2.3 入侵检测技术
入侵检测是检测非法入侵网络的行为,是近年出现的新型网络安全技术,一般而言,误用检测技术和异常监测技术是入侵检测所采用的技术。它能够对付来自内外网络的攻击。
5.2.4 安全扫描技术
安全扫描技术与防火墙、入侵检测技术相互配合,从而有效提高网络的安全性,成为又一类重要的网络安全技术。通过对网络的扫描,网络管理员可以了解网络运行的应用服务和安全配置,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。
5.2.5 数据加密技术
数据加密技术采用一些加密算法和密码对数据进行交换和处理,使得没有对应密钥的人难以破解,从而达到数据保密的目的,防止非法访问。
5.2.6 PKI技术
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,提供了身份认证、数据的机密性、信息的完整性和不可抵赖性的安全服务。PKI可以解决绝大多数网络安全问题,它的广泛应用能满足人们网络交易安全保障的需求,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN)、Web交互安全到电子商务、电子政务、电子事务安全的众多领域,技术己趋于成熟。
5.3 用户自身要提高安全意识和责任观念
例如,美国的计算机协会(The Association of Computing Machinery)是一个全国性的组织,它希望它的成员支持下列一般的伦理道德和职业行为规范:
(1)为社会和人类作出贡献;
(2) 避免伤害他人;
(3)要诚实可靠;
(4) 要公正并且不采取歧视性行为;
(5)尊重包括版权和专利在内的财产权;
(6) 尊重知识产权;
(7)尊重他人的隐私;
(8)保守秘密。
又如南加利福尼亚大学网络伦理声明(the Network Ethics Statement University of Southern California)指出了六种不道德网络行为类型:
(1)有意地造成网络交通混乱或擅自闯入网络及其相联的系统;
(2)商业性地或欺骗性地利用大学计算机资源;
(3)偷窃资料、设备或智力成果;
(4)未经许可接近他人的文件;
(5)在公共用户场合做出引起混乱或造成破坏的行动;
(6)伪造函件信息。
安全隐患是个社会问题,需要我们提高安全意识和责任观念,养成良好的上网习惯,不下载和浏览来历不明的程序和网页;尽量不使用外来的移动存储设备;及时更新杀毒软件和操作系统中的漏洞;不轻易安装不知用途的软件;绝不用来历不明的启动盘去引导硬盘;定期对引导系统进行查毒、杀毒,对杀毒软件要及时进行升级;不轻易执行附件中的EXE和COM等可执行程序等。
6 总结
我国互联网事业快速发展,计算机网络安全工作是一项长期的任务,面对越来越快的信息化进步,各种新技术也不断出现和应用,网络安全不仅仅是技术问题,同时也是一个安全管理问题,做到未雨绸缪,防患于未然,让人们真正享受到网络的无穷魅力。“网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。”
作者:蒋丽丽 来源:电子技术与软件工程 2016年10期
