信息網(wǎng)絡(luò)已經(jīng)覆蓋國家的政治、經(jīng)濟、軍事、文化、科技和社會等諸多領(lǐng)域,涉及許多政府宏觀決策信息、金融證券信息、科研技術(shù)信息等重要內(nèi)容的存儲、傳輸,其中許多是較為敏感的信息,甚至涉及國家機密。因此,信息網(wǎng)絡(luò)安全成為一國經(jīng)濟社會發(fā)展的重要保證,也是各國在非傳統(tǒng)國家安全領(lǐng)域競逐的新焦點。在微觀領(lǐng)域,互聯(lián)網(wǎng)在給人們帶來便利的同時,其信息安全亦成為一個不容忽視的問題。由于技術(shù)上的缺陷以及思想上缺乏重視等原因,現(xiàn)代網(wǎng)絡(luò)信息社會中存在各種各樣的網(wǎng)絡(luò)安全威脅。
網(wǎng)絡(luò)信息安全領(lǐng)域包括信息、經(jīng)濟、政治、文化、社會以及金融、生態(tài)、資源等眾多方面。網(wǎng)絡(luò)信息安全問題有別于傳統(tǒng)的安全領(lǐng)域威脅形式,多數(shù)具有形式多變、不易覺察等特點,如網(wǎng)絡(luò)謠言給社會及個人帶來了嚴重的影響,網(wǎng)絡(luò)詐騙使個人、銀行和政府蒙受重大經(jīng)濟損失,網(wǎng)絡(luò)犯罪危及公民的人身安全等。
2015年網(wǎng)絡(luò)信息安全泄露事件層出不窮:1月5日,機鋒科技被曝泄露2300萬用戶信息,其中包括用戶名、注冊郵箱、加密后的密碼等信息; 2月11日,據(jù)漏洞盒子白帽子提交的報告顯示,知名連鎖酒店桔子、錦江之星、速八、布丁,高端酒店集團萬豪(麗思卡爾頓酒店等)、喜達屋(喜來登、艾美酒店等)、洲際(假日酒店等),等等網(wǎng)站存在高危漏洞,顧客信息被大量泄露,涉及顧客姓名、身份證、手機號、房間號、房型、家庭住址、信用卡、郵箱地址等大量敏感信息;2月27日,江蘇省公安廳發(fā)布通知稱,由主營安防產(chǎn)品的??低暽a(chǎn)的監(jiān)控設(shè)備存在嚴重安全隱患,部分設(shè)備已被境外控制,并要求各地立即進行全面清查,開展安全加固,消除安全隱患;4月22日,媒體報道,重慶、上海、山西、沈陽、貴州、河南等超30個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬用戶的社保信息可能被泄露,包括個人身份證、社保參保、財務(wù)、薪酬、房屋等敏感信息;5月21日,中國人壽廣東分公司10萬份保單或遭泄露,保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息一覽無余;10月19日,網(wǎng)易郵箱過億用戶敏感信息遭泄露,包括用戶名、密碼、登錄IP以及用戶生日等。諸多網(wǎng)絡(luò)安全事件給我們敲響了警鐘,網(wǎng)絡(luò)信息安全管理必須受到國家、企業(yè)和個人的高度重視。
網(wǎng)絡(luò)安全問題的表現(xiàn)形式
不同于傳統(tǒng)安全問題,網(wǎng)絡(luò)信息安全問題具有傳播迅速、發(fā)生突然、跨國流動、破壞性大等特點,其主要表現(xiàn)形式有計算機病毒和黑客攻擊兩種。
計算機病毒。計算機病毒是類似生物病毒的程序,它會復(fù)制自己并傳播到其他宿主身上,對宿主造成損害。計算機病毒的宿主也是程序,通常是操作系統(tǒng),被感染后會進一步傳染到其他程序和電腦。總體來看,計算機病毒有木馬病毒、蠕蟲病毒、腳本病毒等不同類型。計算機病毒在傳播期間一般會隱蔽自己,由特定的條件觸發(fā),并開始產(chǎn)生破壞,其具有的不良特征包括傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性和破壞性,通常表現(xiàn)兩種以上所述的特征就可以認定該程序是病毒。近年來,隨著信息技術(shù)的發(fā)展,計算機病毒也越來越猖狂,并且在危害性和傳播性上對國家互聯(lián)網(wǎng)的安全更具有危害性。
黑客攻擊。黑客攻擊是目前危害性比較大的網(wǎng)絡(luò)信息安全威脅形式,它往往由具有極高操控性的網(wǎng)絡(luò)黑客策劃和實施的對攻擊目標進行的破壞、竊取資料、信息復(fù)制等行為。隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)黑客也像計算機病毒的發(fā)展一樣手段越來越高明,形式越來越隱蔽,破壞性也越來越大,給各國的信息安全系統(tǒng)造成了嚴重的威脅。同時,一些黑客甚至被某些國家的政府部門所授意對另一國的信息系統(tǒng)進行刺探和攻擊,從而牟取利益。
網(wǎng)絡(luò)信息安全問題的成因
系統(tǒng)自身的漏洞和管理問題。從被入侵的信息系統(tǒng)來看,大部分都存在一定的系統(tǒng)漏洞或者管理問題,正是因為這些系統(tǒng)自身問題的存在,使得系統(tǒng)容易成為各種網(wǎng)絡(luò)信息侵犯的對象。其中破壞最嚴重且最難以防范的就是系統(tǒng)管理員或信息安全管理員的違規(guī)行為,由于其身份的特殊性,信息安全相關(guān)人員與外部人士勾結(jié)進行有損信息安全的行為,不僅難以查處,而且一旦造成對信息安全的破壞,后果也十分嚴重。
網(wǎng)絡(luò)信息安全管理產(chǎn)品過分依賴進口。由于我國的信息產(chǎn)業(yè)在發(fā)展上起步較晚,國外對信息產(chǎn)業(yè)技術(shù)輸出進行嚴格限制,很多發(fā)達國家對我國信息產(chǎn)業(yè)發(fā)展采取遏制政策,阻礙信息產(chǎn)業(yè)技術(shù)輸出,我國信息產(chǎn)業(yè)的發(fā)展一直處于比較被動和相對落后的地位。這導(dǎo)致目前我國信息產(chǎn)業(yè)關(guān)鍵部件和技術(shù)嚴重依賴進口,并且在關(guān)鍵領(lǐng)域易受到攻擊和破壞。從硬件設(shè)備來看,目前我國國民經(jīng)濟各行業(yè)使用的計算機中央處理器絕大部分需要進口。雖然從整體性能上來說,我國研發(fā)的大型計算機已經(jīng)處于世界領(lǐng)先地位,但是其核心處理器仍無法擺脫進口依賴。近年來我國的信息裝備產(chǎn)業(yè)發(fā)展迅速,但其中很多核心零部件都來自以美國為代表的原始設(shè)備制造商,國內(nèi)廠商仍然處于簡單組裝、加工的低利潤環(huán)節(jié)。從軟件方面來看,目前我國絕大部分計算機網(wǎng)絡(luò)(包括軍用網(wǎng)絡(luò))所安裝和使用的操作系統(tǒng)都是美國公司的產(chǎn)品,美國微軟幾乎壟斷了我國電腦軟件的操作平臺和核心市場,離開了微軟的操作系統(tǒng),國產(chǎn)的軟件都將難以運行。這不僅造成了網(wǎng)絡(luò)信息安全管理技術(shù)受制于人,同時也導(dǎo)致了管理能力的嚴重不足。同時,企業(yè)信息化建設(shè)的管理軟件也有90%以上依賴外企,國外軟件巨頭不僅以此獲取高額利潤,同時對我國信息安全管理的獨立性和安全性也構(gòu)成了威脅。
網(wǎng)絡(luò)信息安全意識淡薄。由于我國的信息化產(chǎn)業(yè)還處于快速發(fā)展時期,企業(yè)和政府將重點放在了信息設(shè)備開發(fā)和信息技術(shù)提高上,忽略了網(wǎng)絡(luò)信息安全的管理,造成系統(tǒng)漏洞頻出,容易引發(fā)信息安全事故。網(wǎng)絡(luò)信息具有傳播迅速、途徑隱蔽等特點,對其監(jiān)管較為困難,常常出現(xiàn)滯后性。目前我國整個社會的網(wǎng)絡(luò)安全意識比較淡薄,對信息安全也缺乏常識性的了解,對于開展網(wǎng)絡(luò)信息管理工作極為不利。
網(wǎng)絡(luò)信息安全管理立法不完善。自上世紀90年代以來,我國先后出臺多部涉及互聯(lián)網(wǎng)信息安全的法規(guī)、條例和辦法,如《中華人民共和國計算機信息系統(tǒng)安全保護條例》《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》《通信網(wǎng)絡(luò)安全防護管理辦法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》以及《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等,這些法規(guī)、條例、辦法從不同方面對互聯(lián)網(wǎng)參與行為主體的活動進行了規(guī)范。同時,憲法、刑法、國家安全法、國家秘密法、治安管理處罰條例、商用密碼管理條例等法律、法規(guī)也在維護信息安全方面提供了一定的法律依據(jù)。
雖然國家制定了眾多的法規(guī)、條例、辦法,但仍然難以形成對網(wǎng)絡(luò)信息犯罪的有效約束,主要有以下幾個原因:從頒布者來看,其多為國務(wù)院、工業(yè)和信息化部、公安部等行政部門,這種部門法規(guī)的效力和權(quán)威與國家法律相比仍有一定的差距;從內(nèi)容來看,對侵害互聯(lián)網(wǎng)個人信息安全的行為的界定、處置依據(jù)比較模糊,對各類互聯(lián)網(wǎng)參與主體的責任劃分不夠清晰明確,特別是對互聯(lián)網(wǎng)信息企業(yè)在信息安全人員隊伍建設(shè)、設(shè)備投入方面沒有明確的規(guī)定,難以適應(yīng)當前嚴峻的互聯(lián)網(wǎng)個人信息安全形勢;從實施效果來看,部分法規(guī)在執(zhí)行力度上還不夠,甚至停留在說教層面,在具體實踐中沒有得到很好的執(zhí)行,也沒有形成約束力。
網(wǎng)絡(luò)信息安全困境的解決之道
從政策層面大力扶持網(wǎng)絡(luò)信息安全產(chǎn)業(yè)。信息安全是信息產(chǎn)業(yè)化發(fā)展的基石和保證,一個安全和規(guī)范的網(wǎng)絡(luò)信息環(huán)境需要信息產(chǎn)業(yè)提供堅定的物質(zhì)和技術(shù)支持。由于長期來我國信息產(chǎn)業(yè)的核心技術(shù)來源于西方發(fā)達國家,從根本上就受到牽制,必須提升我國信息產(chǎn)業(yè)的自主創(chuàng)新能力,跳出現(xiàn)在的發(fā)展困境。在科研方面,國家應(yīng)當鼓勵高校、研究院及企業(yè)類研究單位進行網(wǎng)絡(luò)信息安全方面的技術(shù)研究,為信息化產(chǎn)業(yè)發(fā)展提供核心的技術(shù)支持。
加強政府在組織監(jiān)管、懲治信息安全違法行為方面的力度。政府作為信息安全管理的主體,在信息安全管理方面需要發(fā)揮主導(dǎo)性作用。借鑒其他國家信息安全管理的先進經(jīng)驗,同時與我國的自身特色相結(jié)合,以維護國家利益為基本出發(fā)點,完善與信息安全相關(guān)的司法和行政管理體系,使得相關(guān)部門起到管理和督促作用。對于網(wǎng)絡(luò)信息的傳播與發(fā)布,需要以國家為監(jiān)管主體,各類企業(yè)積極參與,維護國家與公眾的利益和安全,防止網(wǎng)絡(luò)成為損害國家、個人利益的平臺。
提高公民的網(wǎng)絡(luò)信息安全意識。近年來,網(wǎng)絡(luò)詐騙案件層出不窮,一方面是因為犯罪分子通過不法途徑買賣用戶信息,另一方面則是由于我國公民缺乏信息安全意識,在一些危險網(wǎng)站上留下個人信息。因此,提高公民的網(wǎng)絡(luò)安全意識對于避免網(wǎng)絡(luò)詐騙、解決網(wǎng)絡(luò)安全問題意義重大。應(yīng)加強網(wǎng)絡(luò)信息安全的宣傳工作,加大宣傳力度,擴大宣傳范圍,從網(wǎng)絡(luò)詐騙案件的受害者年齡和人群分布來看,要重點加強針對中老年和偏遠地區(qū)的知識普及與宣傳工作。
建立和完善網(wǎng)絡(luò)信息安全管理方面的法律法規(guī)。建立和完善網(wǎng)絡(luò)信息安全方面的相關(guān)法律法規(guī),是保證網(wǎng)絡(luò)信息安全的基礎(chǔ)。網(wǎng)絡(luò)信息安全立法也應(yīng)做到與時俱進,使法律的條款能夠充分反映信息技術(shù)發(fā)展水平。
(本文作者為北京科技大學東凌經(jīng)濟管理學院管理科學與工程系教授、博導(dǎo))