從“百度”被黑事件看網絡安全問題

方聶平 湖北經濟學院

今年1月12日，baidu.com域名被劫持，此次網站被“黑”事件創下了百度創建以來最大的一次斷網事故。據業內專家估計，百度第三季度總營業收入為人民幣12.787億元，平均每日營運額達1420萬元，斷網損失至少在700萬元以上。百度多個小時無法訪問，還給很多需要通過搜索引擎帶來流量的企業網站帶來了損失，具體數目無法估計。百度被黑后，其CEO李彥宏發出了“史無前例”這樣的驚嘆。的確，網絡中“黑客”無所不在，連“百度”也不能幸免于其黑手。

而就在百度被“黑”之后的兩天,1月14日,全球搜索引擎巨頭谷歌也爆出考慮關閉“谷歌中國”網站以及中國辦事處,而谷歌稱緣由之一便是網絡黑客攻擊的威脅。這一系列的事件發生，似乎上演著2010年中國互聯網的賀歲劇。

事實上,不論是為百度提供域名服務的服務器被非法篡改,還是谷歌所言關于網絡攻擊方面的“擔憂”,都共同折射出一個問題,即互聯網公司在走向國際化時所面臨的安全問題,特別是來自黑客的攻擊。其涉及到國家的政府機構、軍事、文教等諸多領域，存儲、傳輸和處理著政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。網絡安全已成為互聯網經濟時代不得不面對的重要問題。

一、無所不在的網絡觸角

我國于1994年正式接入互聯網，經過15年的發展，中國互聯網已完成了從無到有繁榮的過程，基礎設施飛速發展，寬帶大規模普及，用戶數量急劇攀增，中國已經成為互聯網大國。據中國互聯網絡信息中心（CNNIC）發布的第 25次中國互聯網發展統計報告顯示，截至2009年12月31日中國網民規模達到3.84億人，普及率達到28.9%，達到世界平均水平。2009年中國IPv4地址量達到2.32億，域名總數為1682萬，其中80%為.CN域名，我國互聯網的影響在深度和廣度上有了新的發展。到如今，涌現出了一大批世界知名的門戶網站、電子商務、網絡游戲等服務商和內容商，新浪、搜狐、阿里巴巴、百度、盛大網絡、世紀互聯等一個個響當當的名字讓世界刮目相看。互聯網的跨越和轉身，帶動了中國信息化的全面普及和發展，成為了我國重要的經濟體系支柱之一。互聯網的出現，極大地影響乃至改變了人們的生活方式和商業模式。如今，網絡政務、網絡購物、網絡金融服務、網絡媒體、網絡電話、網絡廣告、電子郵件、網絡招聘、網上租賃等與網絡相關的事物，正以一日千里的速度迅速發展。

1.網絡政務。近年來，我國大力建設電子政務，對外開通了政府網站，截至2009年，全國已開通4.5萬多個政府門戶網站，縣以上政府機構的網站擁有率達到80%，在教育、醫療衛生、就業、社會保障等人民群眾最關心的問題上，提供了便捷的基本公共服務。中國現有上百萬個論壇，2億多個博客，中國政府十分重視民眾在互聯網上表達的意見，發揮了互聯網在保護群眾的知情權、表達權、參與權、監督權方面的積極作用。

2.網絡購物。金融危機客觀上促進了網絡購物的發展。2009年企業進駐C2C或自建B2C平臺的數量增加迅速，增加了網絡購物市場的商品供應量。從用戶端來看，隨著網購觀念的普及，網絡購物已經漸成網民消費生活的習慣。據CNNIC監測，2009年中國網絡購物市場交易規模達到2500億，較2008年翻番增長。2009年商務交易類應用的用戶規模增長最快，平均年增幅68%。其中，網上支付用戶年增幅80.9%，在所有應用中排名第一，網絡購物用戶規模增長了45.9%。僅2008年中國電子商務帶動的包裹量就超過5億件，截止2009年12月，電子商務的總網站數就達到 1.56萬家，同比增長32.34%，其中B2C網站數超過了 9400家，同比猛增43.79%。

3.網絡金融服務。在網絡經濟時代，銀行通過網絡一方面實現內部經營管理一體化和決策層、執行層的直接溝通，通過收集客戶信息，從而不斷滿足客戶日益多元化、個性化的需求；另一方面網絡銀行向客戶提供全天候、大范圍、跨地區乃至跨國界的實時金融服務，網上客戶可以通過網絡隨時隨地取得銀行服務，而且一筆交易往往可以在幾分鐘甚至幾秒鐘完成，這樣就大大提高了銀行的服務效率。2009年，網絡炒股用戶規模為5678萬人，占比14.8%，網絡炒股、網上銀行用戶規模分別增長了67.0%和62.3%。

4.網絡教育。隨著中國信息化程度和網民對網絡教育認知程度的提高，網絡教育市場規模增長速度很快。網絡以其獨有的優勢，向受教育者和學習者提供一種網絡教和學的環境，傳遞數字化內容，開展以學習者為中心的非面授教育活動。網絡教育可以靈活的利用時間，節約能源，可以說是資源利用最大化的靈活教學模式。2005年我國網絡教育市場規模超過百億元，2007年達130多億，在2009年中國網絡市場規模達到360億元，2010年將達到441億元。

5.網絡銷售。由于網絡銷售商業模式的高效性、簡便性、低成本等特點，使得幾乎所有企業都千方百計地向網絡經濟靠攏。一個企業不上網，就很難在競爭中生存，網絡使產品推廣打破了時間﹑空間的屏障，同時使跨國銷售變得容易。今年1月14日，艾瑞咨詢分析師發布分析報告指出，2009年中國網絡經濟規模達743億元，同比08年 569億元上漲30.7%，遠遠高于中國經濟8.7%左右的增速，體現出新經濟特有的朝氣與活力。預計 2010年互聯網經濟增速有望提升到50%以上，年營收規模將超1000億元。

二、各國打響網絡安全“保衛戰”

隨著互聯網的發展和網絡技術的不斷進步，網絡安全問題已經成為令世界各國政府頗為撓頭的問題。網絡涉及到國家的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、能源資源數據、科研數據等重要信息，甚至是國家機密。國際網絡犯罪分子通過黑客入侵、工業間諜和信用卡欺詐等活動，令各國在經濟、軍事等方面蒙受嚴重損失。致使各國都打響了網絡安全的“保衛戰”。

1.美國。作為高度依賴網絡的國家，美國歷來將網絡安全視作國家安全的重要環節，奧巴馬在總統競選時，曾批評布什政府在解決網絡威脅方面過于緩慢。2009年1月，新上任的奧巴馬總統要求對美國網絡安全戰略和行動進行調查評述，并在此基礎上由美國聯邦審計署于2009年3月10日發布了關于《美國國家網絡安全戰略：需要進行的關鍵改進》的報告，對需要進一步加強的網絡安全關鍵領域和改進美國國家網絡安全戰略提出了建議。2009年2月26日，奧巴馬發布2010年財政預算。其中包括投資3.55億美元用以加強美國公共部門與私營部門的網絡安全，加強網絡安全技術研發，支持“國家網絡安全部”的基本運作及“國家網絡安全綜合計劃”。據悉，美國2006年和2008年先后進行了代號為“網絡風暴Ⅰ”、“網絡風暴Ⅱ”的網絡攻防對抗演習。而初步定于2010年的“網絡風暴Ⅲ”演習已經開始籌備，屆時將有包括日本的15個國家參與。此外，美國是世界上最主要的過濾軟件生產國，同時，美國掌握著國際互聯網的根服務器，就相當于掌握了全球互聯網的命脈，這不得不說也是一件很有殺傷力的事情。

2.英國。國際網絡犯罪分子通過行業間諜和信用卡欺詐等活動令英國經濟每年損失“數十億英鎊”。為應對此類網絡犯罪事件，英國首相戈登·布朗已宣布設立網絡安全辦公室和網絡安全運營中心，前者負責協調政府各部門網絡安全計劃，后者負責協調政府和民間機構主要電腦系統的安全保護工作。網絡安全運營中心將作為英國政府最新國家安全戰略的核心，并隸屬英國三大情報機構之一的政府通信總部。此外，英國還計劃征召包括黑客在內的網絡精英保衛網絡安全。

3.德國。2005年，德國政府進一步制定了全國性的 IT安全計劃，建立了電腦緊急情況應對中心。該計劃從3個方面加強全國電腦及網絡安全，一是早期預防、二是發現漏洞迅速反應，三是不斷提高安全標準。2008年，德國政府批準了一項頗受爭議的反恐法案以加強對互聯網的監管。該法案允許警方在特別授權的情況下，通過向嫌疑人發送帶有木馬病毒的匿名電子郵件來實現對該嫌疑人電腦的監控，目的是防止恐怖分子利用互聯網向德國發動攻擊，保證德國互聯網安全，便于警方調查追蹤嫌疑人。

4.日本。日本充分借鑒國際經驗制定本國的標準，制定了《信息處理服務業實施信息安全對策事業所的認定制度》等文件，為日本重要信息網絡的安全管理和第三方風險評估提供了標準。同時，日本政府還設立了跨部門的“有關信息安全的各省廳局長會議”，并專門組建了“網絡警察”。

為了防止通過網絡進行的高科技犯罪，日本完成了新法案概要。根據法案概要，對于計算機病毒，將在刑法內新增“制造不當指令電磁記錄等罪”的條款。將對計算機病毒的制造、傳播、入侵等行為以及獲取和保存行為進行處罰。關于法定刑法，對計算機病毒的制造、傳播和入侵行為，將處3年以下徒刑或者處50萬日元以下罰款，對計算機病毒的獲取和保管行為處2年以下徒刑或者30萬日元以下罰款。

5.韓國。韓國在《促進資訊與電信網絡應用方案》中新增了一項病毒法規。2004年年初，韓國宣布成立國家網絡安全中心，這個隸屬于韓國國家情報院的機構的任務是保護國家通信網絡不受恐怖襲擊。據悉，該中心的人員來自韓國情報保護振興院、國家保安技術研究所、財政經濟部、國防部、行政自治部、信息通信部、大檢查廳和警察廳等部門。中心將對來自國內外的各種威脅情報進行綜合分析，在發現攻擊跡象時協助各級機關制訂安全對策，并在發生緊急狀況時負責預報和發出警報。該中心同時負責發放國家網絡宣傳資料，加強預防等工作。

三、我國面臨的網絡安全問題及應對

我國“百度”網站被黑事件雖然并非是孤立的事件，但它警示了我國網絡安全的嚴重性。事實上，我國網絡安全的問題一直都存在。

2005年，中國國家計算機網絡應急技術處理協調中心對網絡攻擊曾進行了抽樣監測，發現境外22萬臺主機曾對我國大陸發起過攻擊。境外約有1.6萬個IP對大陸的僵尸主機實施控制。在網站頁面被篡改方面，大陸被篡改網站總數達到24477個，其中政府網站被篡改數量為3831個，占整個大陸地區被篡改網站的16%。

2006年的調查顯示，全國有81%的個人電腦感染過“間諜軟件”，有的電腦感染“間諜軟件”的數目甚至多達25種，而另一項對2066家企業的調查結果反映，全國有80%的企業反映有“間諜軟件”問題。“間諜軟件”的危害已經比病毒更為嚴重，成為危害國防信息安全的頭號“殺手”。

2007年，中國大陸被“僵尸程序”感染的IP更多，成千上萬臺被僵尸程序感染的電腦可以通過控制服務器來集中操控，而用戶卻毫不知情，仿佛沒有自主意識的僵尸一般。相關部門就此發現了境外間諜機構實施的一次大規模網絡竊密行動，攻擊對象全是中國政府和軍隊以及國防科研機構、軍工企業網絡，受到攻擊的單位遍及我國絕大部分省、自治區、直轄市，甚至還包括我國十幾個駐外機構。在該案中被境外情報部門控制的電腦和網絡達數百個，瘋狂采用“狼群戰術”、“蛙跳攻擊”等對我進行網絡竊密和情報滲透，竊密內容涉及政治、軍事、外交、經濟、醫療衛生等多個領域。

2008年，來自中國互聯網協會有關統計表明，中國大陸受到來自境外的網絡攻擊數量同比增長了148%，中國是網絡黑客攻擊的受害國。

據有關抽樣數據顯示，僅2009年我國被境外控制的計算機IP地址就達100多萬個，被黑客組織篆改的網站多達4.2萬個。在受網絡病毒威脅方面，去年我國僅被“飛客”蠕蟲一種網絡病毒感染的計算機數量每月就達 1800萬臺，占全球感染主機總量的30%，位列全球第一。可以說，我國是網絡攻擊最大的受害者。

國務院新聞辦公室主任王晨近日在談到網絡安全時說，目前我國網絡安全的主要問題有：一、網絡淫穢色情等有害信息嚴重危害未成年人身心健康；二、網絡黑客攻擊、網絡病毒等嚴重威脅網絡運行安全；三、網絡欺詐、網絡盜竊等網絡犯罪活動直接危害公共財產安全。這些問題日益引起社會各界的關注，不僅是我國而且也成為世界各國共同面臨的重大問題。

盡管我國與世界發達國家相比，互聯網的發展還相對落后，我國的網絡安全問題的存在難以避免，但我們絕不可掉以輕心，尤其是百度網站被黑事件的出現，更應該引起我們的高度警覺，進一步強化其應對措施。

1.提高思想認識，加強技術防范。大多數人認為，用幾種殺毒軟件和防火墻就能保障網絡信息的安全，但這遠遠不夠。要想有效地解決網絡安全問題，首先要在思想意識上筑起一道“防護墻”，如組織相關單位的信息安全管理人員開展不同層次的安全培訓，開展廣泛的、經常性的信息網絡安全知識和相關法律的宣傳教育。其次要注意養成良好的上網習慣，不登錄和瀏覽來歷不明的網站；養成到官方站點和可信站點下載程序的習慣；不輕易安裝不知用途的軟件；不輕易執行附件中的EXE和COM等可執行程序；使用一些帶網頁木馬攔截功能的安全輔助工具等。要在技術上進行跟進，如采用防火墻、IDS代理服務器、安全過濾器、用戶證書授權、訪問控制、數據加密、流量監測、漏洞掃描、安全審計和備份恢復等安全技術。

2．借鑒國外先進立法經驗，加強網絡安全保障體系建設與網絡監管力度。我國關于網絡安全的法規有欠缺，缺少大多數發達國家已經制定的有關電子商務的法律，所以應將網絡安全方面的立法問題加以完善，以加強網絡的“行業自律”。同時，應加大監管力度，建立起由公安機關、工商、文化、通信等相關部門組成的綜合監管體系，共同采集證據，有力打擊犯罪行為。中國應當在法律上從嚴，在技術上考慮實行后臺實名制。例如,互聯網上出現的QQ幣失竊案件,由于我國現有法律沒有相關規定,從而造成這類案件無法受理,而國外對此類情形早已規定,可以按照實際財產損失進行評估。目前，我國在這方面正在不斷完善，2009年，我國工信部先后出臺了《互聯網網絡安全信息通報實施辦法》和《木馬和僵尸網絡監測和處置機制》，先后多次組織專項治理行動，有效遏制了木馬和僵尸網絡傳播。同時，中國互聯網協會組織基礎電信運營企業、網絡安全廠商、網絡安全廠商、增值服務提供商、搜索引擎、域名注冊機構等成立了“中國反網絡病毒聯盟”并簽署自律公約，凈化了網絡環境。

3.加大研發投入力度，加強網絡安全技術自主研發的能力。我國的高性能、核心級網絡安全設備大部分都是進口的，屬于自己的核心產品較少。這在很大程度上造成了對國外網絡安全產品的依賴性，對我國的網絡信息安全造成了一定的影響。因此，我們應該加強自身網絡安全技術的研發能力，提高我國網絡安全實際操作能力。我們應該加大對自主研發產品方面的投入,爭取在盡可能短的時間內生產出以自主知識產權技術為核心的產品,取代外國產品。其次國家應該加大網絡安全產品方面的資金投入,改善高新技術企業生存環境,并給予稅收、貸款等方面的政策傾斜和扶持,鼓勵其吸收國內外各種資金注入。正如我國倪光南院士認為，我們必須堅定不移地推進UOF標準，帶動中國的辦公軟件、操作系統、CPU等核心技術和產業的發展。

4.開展國際交流，加強國際合作。世界各國的國情不同，經濟發展程度不同、文化傳統不同，因此依法管理互聯網的辦法也不完全相同。我國要注重吸取各國互聯網的有益經驗，目前我國在互聯網方面的方針政策和管理辦法符合中國的國情和許多國家的通行做法。自2004年起我國積極參與東盟各國的網絡安全合作，多次參加東盟組織的安全應急演練。2009年，還分別與東盟和上合組織成員國簽定了《中國—東盟電信監管理事會關于網絡安全問題的合作框架》和《上合組織成員國保障國際信息安全政府間合作協定》。

5.加大人才培養力度，盡力吸引人才，留住人才。目前,我國信息網絡安全人才存在較大缺口,在培養方面的投入也有較大的欠缺。企業留住人才較難，其流失率很大，幾乎都在國外或國內的跨國公司中，為國外做研發。與美國相比,我國信息網絡安全人數不足全國網民人數的萬分之一,我們應該利用各種資源,對政府領導、工作人員、網絡管理人員等,分別進行有針對性的培訓，如在大專院校開設相關專業,在研究機構培養專門人才,而且還可以利用現有防病毒軟件公司等專業機構來培養信息網絡安全人員，以提高我們應對互聯網迅猛發展和復雜形勢的能力。▲