網絡安全，信息時代的嚴峻考題

網絡安全問題已成為信息時代人類共同面臨的挑戰，國內的網絡安全問題也日益突出。具體表現為：計算機系統受病毒感染和破壞的情況相當嚴重；電腦黑客活動已形成重要威脅；信息基礎設施面臨網絡安全的挑戰；信息系統在預測、反應、防范和恢復能力方面存在許多薄弱環節；網絡政治顛覆活動頻繁。

近一個時期以來，我國的網絡安全問題警報頻傳：

2006年9月11日，百度曾在遭受其有史以來最大規模的DDOS黑客攻擊，導致百度搜索服務在全國各地出現了近30分鐘的故障。

2006年12月10日開始，中國招商網連續一個多月，每天都在遭受不明攻擊，中國招商網不停地采取各種措施應對。一個多月來先后把服務器換了4個機房，并且4次更換IP地址，但是，攻擊沒有停止過。攻擊者將惡意代碼嵌入網站，造成大量網站訪問者的電腦感染病毒并被攻擊者控制，用于發動針對某一網站的攻擊，并對網絡安全造成嚴重威脅。

尤其讓網民們談毒色變的是今年年初的“熊貓燒香”事件，那只憨態可掬、頷首敬香的“熊貓”除而不盡，讓人們吃盡了苦頭，反病毒工程師們將它命名為“尼姆亞”。兩個多月以來，感染“熊貓燒香”病毒的個人用戶已經高達幾百萬，受害企業用戶更是達到上千家，多數企業業務因此停頓，直接和間接損失無法估量。

據《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》顯示，2006年被截獲的新病毒共有23萬之眾，幾乎等于以往所有病毒數量的總和。新病毒中90％以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，極大地威脅著網絡用戶的信息安全。據報道，通過用戶在淘寶網、阿里巴巴等網上的用戶資料，猜測用戶銀行卡密碼的方式，進而實施轉賬套取用戶的資金。隨著“網上大盜”數量的不斷增多，這一黑色產業也在不斷壯大和分工。目前已經發展為包括木馬制造、木馬傳播、密碼竊取、洗錢等環節在內完整產業鏈形態。這場病毒與反病毒的戰爭，暴露了我們網絡安全體系的脆弱，敲響了網絡安全的警鐘，引起了廣大電腦用戶以及相關管理部門的共同關注。

網絡安全問題的產生

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享，開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題；

一是信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。

二是在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

三是網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。

四是隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓，包括國防通信設施、動力控制網、金融系統和政府網站等。

我國網絡安全問題日益突出

目前，我國網絡安全問題日益突出的主要標志是：

一是計算機系統遭受病毒感染和破壞的情況相當嚴重。據國家計算機病毒應急處理中心副主任張健介紹，從國家計算機病毒應急處理中心日常監測結果看來，計算機病毒呈現出異常活躍的態勢。據2001年調查，我國約73％的計算機用戶曾感染病毒，2003年上半年升至83％。其中，感染3次以上的用戶高達59％，而且病毒的破壞性較大，被病毒破壞全部數據的占14％，破壞部分數據的占57％。

二是電腦黑客活動已形成重要威脅。網絡信息系統具有致命的脆弱性、易受攻擊性和開放性，從國內情況來看，目前我國95％與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

三是信息基礎設施面臨網絡安全的挑戰。面對信息安全的嚴峻形勢，我國的網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。據英國《簡氏戰略報告》和其它網絡組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。近年來，國內與網絡有關的各類違法行為以每年30％的速度遞增。據某市信息安全管理部門統計，2003年第1季度內，該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統癱瘓。該市某公司的鏡像網站在10月份1個月內，就遭到從外部100多個IP地址發起的惡意攻擊。

四是網絡政治顛覆活動頻繁。近年來，國內外反動勢力利用互聯網組黨結社，進行針對我國黨和政府的非法組織和串聯活動，猖獗頻繁，屢禁不止。尤其是一些非法組織有計劃地通過網絡渠道，宣傳異教邪說，妄圖擾亂人心，擾亂社會秩序。例如，據媒體報道，“法輪功”非法組織就是在美國設網站，利用無國界的信息空間進行反政府活動。

黑客地下產業鏈形成

不久前，國家計算機網絡應急技術處理協調中心發布《2006年網絡安全工作報告》公告稱，我國網絡安全事故同比有大幅度增加，其中國內政府機構網頁篡改事件、國內外商業機構網頁被仿冒事件和針對互聯網企業拒絕服務攻擊事件的影響最為嚴重。

該報告指出，僵尸網絡和木馬威脅非常嚴重，攻擊者非法利益目的更加明確、行為更加囂張，黑客地下產業鏈基本形成。惡意代碼成為黑客入侵用戶主機、構建僵尸網絡進而竊取用戶重要信息并控制受害計算機發起大規模攻擊的重要手段。國家計算機網絡應急技術處理協調中心每天能發現新的漏洞攻擊型惡意代碼96個，每天捕獲次數3069次。

國家計算機網絡應急技術處理協調中心稱，我國互聯網用戶和信息系統遭受攻擊的情況不容樂觀。

在木馬方面，國家計算機網絡應急技術處理協調中心抽樣發現，2006年我國大陸地區大約有4.5萬個IP地址(包含動態IP)的主機被植入木馬，比同期增加1倍。

在僵尸網絡方面，去年我國大陸大約有1000多萬個IP地址主機被植入僵尸程序。境外1.6萬個IP對中國大陸的僵尸主機進行控制，主要位于美國、韓國等。

在網頁篡改方面，2006年中國大陸被篡改的網站達到24477個，同比增長約1倍。其中gov網站被篡改數量為3831個。

2006年，與用戶密切相關的漏洞有87個，同比增長16％。其中部分漏洞嚴重威脅互聯網運行安全，大多數漏洞對用戶的系統造成嚴重威脅。

2006年，與安全漏洞關系密切的“零日攻擊(漏洞公布當日就出現攻擊手段)”現象明顯增加。

國家計算機網絡應急技術處理協調中心認為，我國公共互聯網網絡安全令人擔憂。未來，在利益驅動下，網絡安全事故將更加頻繁、隱蔽和復雜。

網絡不安全引發一系列社會問題

網絡安全是互聯網正常運行的基礎，就像建設一棟高樓大廈一樣，如果基礎不打牢，這棟大廈隨時都有坍塌的危險。可見，網絡安全如果得不到保障，將對互聯網發展帶來諸多不利影響。

首先，會造成人們對通信網的不信任。運營商建設的通信網本身具有全程全網的性質，其中的一處出現問題，就會影響到全部。

其次，會造成網民對互聯網的恐懼心理。現在人們上網，比以前上網有～大區別，區別在于現在上網要求互動、表達的愿望強烈多了。

再次，會使得人們不敢開放網上銀行業務，從而使得正常間交易受到影響。

總之，隨著信息化進程的深入和互聯網的迅速發展，人們的工作、學習和生活方式正在發生巨大變化，效率大為提高，信息資源得到最大程度的共享。但必須看到，緊隨信息化發展而來的網絡安全問題日漸凸出，如果不很好地解決這個問題，必將阻礙信息化發展的進程。

缺乏自主的計算機網絡和軟件核心技術

我國信息化建設過程中缺乏自主技術支撐。計算機安全存在三大黑洞：CPU芯片、操作系統和數據庫、網關軟件大多依賴進口。信息安全專家、中國科學院高能物理研究所研究員許榕生曾一針見血地點出我國信息系統的要害：“我們的網絡發展很快，但安全狀況如何7現在有很多人投很多錢去建網絡，實際上并不清楚它只有一半根基，建的是沒有防范的網。有的網絡顧問公司建了很多網，市場布好，但建的是課網，沒有保護，就像房產公司蓋了很多樓，門窗都不加鎖就交付給業主去住。”我國計算機網絡所使用的網管設備和軟件基本上是舶來品，這些因素使我國計算機網絡的安全性能大大降低，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

安全意識淡薄是網絡安全的瓶頸

目前，在網絡安全問題上還存在不少認知盲區和制約因素。網絡是新生事物，許多人一接觸就忙著用于學習、工作和娛樂等，對網絡信息的安全性無暇顧及，安全意識相當淡薄，對網絡信息不安全的事實認識不足。與此同時，網絡經營者和機構用戶注重的是網絡效應，對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看，網絡信息安全處于被動的封堵漏洞狀態，從上到下普遍存在僥幸心理，沒有形成主動防范、積極應對的全民意識，更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。近年來，國家和各級職能部門在信息安全方面已做了大量努力，但就范圍、影響和效果來講，迄今所采取的信息安全保護措施和有關計劃還不能從根本上解決目前的被動局面，整個信息安全系統在迅速反應、快速行動和預警防范等主要方面，缺少方向感、敏感度和應對能力。

運行管理機制存在缺陷和不足

運行管理是過程管理，是實現全網安全和動態安全的關鍵。有關信息安全的政策、計劃和管理手段等最終都會在運行管理機制上體現出來。就目前的運行管理機制來看，有以下幾方面的缺陷和不足。

一是網絡安全管理方面人才匱乏：由于互聯網通信成本極低，分布式客戶服務器和不同種類配置不斷出新和發展。按理，由于技術應用的擴展，技術的管理也應同步擴展，但從事系統管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向。信息安全技術管理方面的人才無論是數量還是水平，都無法適應信息安全形勢的需要。

二是安全措施不到位：互聯網越來越具有綜合性、和動態性特點，這同時也是互聯網不安全因素的原因所在。然而，網絡用戶對此缺乏認識，未進入安全就緒狀態就急于操作，結果導致敏感數據暴露，使系統遭受風險。配置不當或過時的操作系統、郵件程序和內部網絡都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發現和及時查堵安全漏洞。當廠商發布補丁或升級軟件來解決安全問題時，許多用戶的系統不進行同步升級，原因是管理者未充分意識到網絡不安全的風險所在，未引起重視。

三是缺乏綜合性的解決方案：面對復雜的不斷變化的互聯網世界，大多數用戶缺乏綜合性的安全管理解決方案，稍有安全意識的用戶越來越依賴“銀彈”方案(如防火墻和加密技術)，但這些用戶也就此產生了虛假的安全感，漸漸喪失警惕。實際上，一次性使用種方案并不能保證系統一勞永逸和高枕無憂，網絡安全問題遠遠不是防毒軟件和防火墻能夠解決的，也不是大量標準安全產品簡單堆砌就能解決的。近年來，國外的一些互聯網安全產品廠商及時應變，由防病毒軟件供應商轉變為企業安全解決方案的提供者，他們相繼在我國推出多種全面的企業安全解決方案，包括風險評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網、防病毒和內容過濾解決方案，以及企業管理解決方案等 整套綜合性安全管理解決方案。

缺乏制度化的防范機制

不少單位沒有從管理制度上建立相應的安全防范機制，在整個運行過程中，缺乏行之有效的安全檢查和應對保護制度。不完善的制度滋長了網絡管理者和內部人士自身的違法行為。許多網絡犯罪行為(尤其是非法操作)都是因為內部聯網電腦和系統管理制度疏于管理而得逞的。同時，政策法規難以適應網絡發展的需要，信息立法還存在相當多的空白。個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等信息空間正常運作所需的配套法規尚不健全。由于網絡作案手段新、時間短、不留痕跡等特點，給偵破和審理網上犯罪案件帶來極大困難。

全國人大代表張學東說，“網絡犯罪日益猖獗，制定網絡安全法已經迫在眉睫。”在十屆全國人大五次會議上，張學東列舉了一系列令人觸目驚心的網絡犯罪數據：2005年，全國計算機信息系統的病毒感染率為80％，全年暴發的新病毒數量達7.28萬個，遭受間諜軟件襲擊的用戶由上一年的30％猛增到90％；2005年，全國有9100多個網站被惡意篡改并報案，其中政府網站2027個：2006年1月，又有391個政府網站被惡意篡改……張學東說，“利用互聯網犯罪，成本低而效率很高，攻擊性也遠遠大于傳統犯罪方式。網絡犯罪的數量越來越多，但是我國對于網絡犯罪的立法卻相對滯后。” 張學東認為，我國缺乏健全的網絡犯罪法律體系，對網絡犯罪的打擊也很被動。相關法律又往往過于概括與宏觀，可操作性不強，難以對網絡犯罪形成真正的制度化打擊與防范。在制定新的網絡安全法過程中，立法思想應當從懲治傳統的“計算機犯罪”轉移到懲治“網絡犯罪”，增加“竊用計算機網絡服務罪”“提供計算機網絡犯罪工具罪”等新的罪名。同時，將“非法入侵計算機信息系統罪”中被侵入的計算機信息系統的范圍從“國家事務、國防建設、尖端科學技術領域”擴大到“經濟建設、公共信息服務領域”，給予所有合法計算機網絡用戶以同樣的保護。

如何應對我國網絡安全問題

就政府層面來說，解決網絡安全問題應當盡快采納以下幾點建議：

(1)在國家層面上盡快提出一個具有戰略眼光的“國家網絡安全計劃”。充分研究和分析國家在信息領域的利益和所面臨的內外部威脅，結合我國國情制定的計劃能全面加強和指導國家政治、軍事、經濟、文化以及社會生活各個領域的網絡安全防范體系，并投入足夠的資金加強關鍵基礎設施的信息安全保護。

(2)建立有效的國家信息安全管理體系。改變原來職能不匹配、重疊、交叉和相互沖突等不合理狀況，提高政府的管理職能和效率。

(3)加快出臺相關法律法規。改變目前一些相關法律法規太籠統、缺乏操作性的現狀，對各種信息主體的權利、義務和法律責任，做出明晰的法律界定。

(4)在信息技術尤其是信息安全關鍵產品的研發方面，提供全局性的具有超前意識的發展目標和相關產業政策，保障信息技術產業和信息安全產品市場有序發展。

(5)加強我國信息安全基礎設施建設，建立一個功能齊備、全局協調的安全技術平臺(包括應急響應、技術防范和公共密鑰基礎設施(PKI)等系統)，與信息安全管理體系相互支撐和配合。

網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。我國日益開放并融入世界，但加強安全監管和建立保護屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會議上說：“信息安全是涉及我國經濟發展、社會發展和國家安全的重大問題。近年來，隨著國際政治形勢的發展，以及經濟全球化過程的加快，人們越來越清楚，信息時代所引發的信息安全問題不僅涉及國家的經濟安全、金融安全，同時也涉及國家的國防安全、政治安全和文化安全。因此，可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。信息安全的重要性怎么強調也不過分。”目前我國政府、相關部門和有識之士都把網絡監管提到新的高度，上海市負責信息安全工作的部門提出采用非對稱戰略構建上海信息安全防御體系，其核心是在技術處于弱勢的情況下，用強化管理體系來提高網絡安全整體水平。衷心希望在不久的將來，我國信息安全工作能跟隨信息化發展，上一個新臺階。

(責任編輯 趙忠范)