【摘要】随着我国互联网的快速发展,人们的生活与工作都与互联网建立了紧密的联系,同时互联网的安全问题也日益突出,信息网络安全正面临着严峻挑战。本文分析了我国信息网络安全的现状,简述了我国互联网存在的各种安全漏洞及面临的重大挑战,给出了一些维护我国信息网络安全的策略方法,并对我国互联网的安全和发展进行了新的展望。
【关键词】信息网络安全;现状分析;挑战;策略方法
【中图分类号】TP393.08【文献标志码】A【文章编号】1003-0166(2016)01-0001-04
作者简介:王钲淇,国家计算机网络应急技术处理协调中心助理工程师,研究方向:信息网络安全
1引言
随着云计算、移动互联网、大数据等新兴技术应用的广泛深入,信息技术已经渗透到社会、经济、政治、军事、文化等社会生活的各个方面,已经成为人们生活中不可或缺的重要组成部分。据2015年第35次中国互联网络发展状况统计报告,截至2014年12月,我国互联网普及率为47.9%,是2005年(8.5%)的5.6倍,人们对互联网的依赖程度在不断上升。特别是新一代移动通信技术(3G/4G)的规模化应用,使得用户入网方式更加灵活便捷,时时处处在线也成为现实[1]。但著名的“棱镜门”事件给全球信息安全领域敲响了警钟,人们在享受这种便利的同时,面临的信息安全风险也将进一步加剧,面临的信息安全问题威胁也将更加突出。截至2014年,已有40多个国家颁布了网络空间国家安全战略,我国政府也更加重视信息网络安全,于2014年2月成立了中央网络安全和信息化领导小组,集中资源研究我国的网络安全和信息化发展战略,并于2015年7月向全社会公布了《中华人民共和国网络安全法(草案)》,标志着我国对网络安全更加重视。但由于以美国为首的西方发达国家在信息技术和产业领域拥有先发优势,使得我国网络空间安全形势更加严峻。习近平总书记在2015年的中央网络安全和信息化领导小组第一次会议上指出“没有网络安全就没有国家安全”,这显示出我国对国家网络安全和信息化发展战略的高度重视,2015年的政府工作报告中也第一次提及“维护网络安全”,把信息网络安全问题提高到了国家战略的高度[2]。
2我国信息网络安全现状及面临的挑战
2.1新一代网络关键基础设施依赖程度加深
近十年来,随着互联网的急速发展,基于互联网的各种产业和应用快速改变了商贸、物流、教育、机械制造等各行各业,使得社会生活中许多行业都构筑在互联网之上,互联网成为了社会生活中重要的基础设施。而互联网的最初设想与原型概念来源于美国,不管是网络协议地址管理,还是重要资源管理,都基本处于美国的控制之下。如,全世界13个根域名服务器中有9个来自美国,美国还拥有世界上最大的网络带宽、最先进的海底光缆技术、最多的光缆数量;Google、facebook、twitter、youtube等一系列具有全球影响力的网站,使其在信息服务领域占据了绝对的竞争优势;美国在操作系统、芯片、通信设备等核心软硬件方面拥有最领先的技术能力;思科、Juniper、微软、甲骨文、IBM等占据全球市场大部分份额等等。这些资源优势使得全球的信息系统都不得不依赖于其进行建设,使得我国关键基础设施建设的依赖程度加深,由此引发的安全隐患不容忽视,重新审视、更新提高我国现有的网络基础设施,构建适应当代信息网络安全和发展的高科技、高智能、新型化、安全性强的新一代互联网基础设施迫在眉睫。
然而,我国现有的网络基础信息产业相对缺乏专业知识和丰富经验,大多是依赖进口国外的科技装备发展起来的,存在设计相对复杂、集约化程度低、开放性不足、调整速度慢等技术难题,已经远远无法满足新一代互联网对基础网络设施更安全、更发达、更快速、更开放的需求。其挑战体现在以下几个方面:一是互联网功能设计复杂,耦合度较高,可扩展性较差。网络设备的设计和功能在最初的研发和建造时就已经紧密关联,如果设计师没有灵活的应变和调节能力,就会为之后的调整和研发带来许多的问题和庞大的工作量,导致轮换周期长、更新困难。二是缺乏统一运营和集约管理。对于互联网平台来说,最重要的就是无边界集约运营,而网络资源作为其中的核心和基础,如果不能化零为整,成功形成一盘棋、一个网络,不能做到快速、集约、一致的调用,那么互联网的运行能力和互联网产业的发展前景都会事倍功半。三是互联网的分离性和开放性不足,缺少服务能力和相关产品。许多种不同的业务混在一起,由于它们对延迟、丢包等具体质量指标的要求都不同,会导致需要高质量指标的业务得不到保障、低质量指标的业务成本过高。这些问题在以电话、短信为主的通信时代或许问题不大,但是在强调互联网时代的今天,是远远不能满足人们需求的。四是互联网设施的动态调整能力不够。现在已有的基础互联网设施既不能调节网络和设备之间的利用效率、有效率地引导流量,也不能根据流量变化而灵活调整自身,不能保证有热点事件或突发事件时互联网用户对网络的需要。
2.2信息网络安全监管难度加大
针对信息网络安全领域面临的更加复杂的国际信息安全环境,世界各国都成立了专门的管理机构。如,美国国家安全委员会成立国家保密政策委员会和信息系统安全保密委员会;英国2009年成立国家网络安全办公室和网络安全行动中心;德国设立国家网络委员会和国家网络反应中心;俄罗斯成立国家信息政策委员会,统一部署国内网络安全工作[3]。我国虽然2011年也成立了国家互联网信息办公室,2014年成立了中央网络安全和信息化领导小组,但我国的网络管理体制由于历史原因,依然存在国家信息安全相关管理部门各自为政、政府各部门独立管理造成的管理层级低、效率低、难度大等问题,极大地影响了国家对信息网络安全的管理效率和管理成果,这样很难有效防范国内的网络犯罪和境外情报机构的攻击,使得政府在实行网络监管方面监管力度不够大、监管范围不够广、监管程度不够深,加之我国信息网络安全管理机构存在资源分散、信息共享少、专职管理人员和技术人员缺乏等不足,对随时可能出现的安全问题无法形成有效合力,无法应对有组织的高强度的攻击,信息网络安全监管难度加大。同时,随着互联网的快速发展,我国对相关法规的执行也缺乏力度,国内虽已陆陆续续地颁布了一系列的互联网相关立法,然而其中相关部门规章和其他规范性文件较多,行政性立法较多,有关民事商事的立法较少,相关法律法规显得明显不足。而且互联网是本世纪新兴产物,发展历史较短,技术更新过快,开放性强,所以国内管理互联网的经验不足,相关的互联网立法显得相对滞后、不成熟,主要体现在以下几个方面:一是立法层次较低。
我国目前为止针对互联网出台的法律很少,即使把所有与互联网有关的法律都包含进去,数量也不多,而且很多从规定的内容和形式上来看,只能说是准法律,不是严格意义上的法律,多是部门规章和规范性文件,比如《关于维护信息网络安全的决定》更像是立法解释。不难看出我国的信息网络安全有关立法的层次较低,且多以规章规范为主,严格意义上的法律较少,覆盖面也不广。而且立法层次不足也会损害我国有关网络立法的法治形象。二是协调性较差,有些法律甚至互相冲突。我国互联网立法多出于行政管理需要,以规章规范为主,将许多义务和责任强加给互联网用户和互联网产业,而很少提及用户们的权利,有着很大的管理色彩。尤其是有关网络谣言、网络舆论、公民隐私等方面,很少有专门的法律法规予以保护,比如“某某门”、“人肉搜索”等现象层出不穷。公民的通信自由权和隐私权等基本权利在互联网的开放性下被冲击得支离破碎,并没有得到有效保护。三是立法还存在大量空白点。从我国互联网立法可以看出,现有的立法多以行政性立法为主,侧重管理规范,在民事商事等与人民密切相关的方面较为欠缺,对公民通信权、隐私权、青少年保护等方面的法律法规更是缺少。而在国外,各国普遍都很重视互联网对未成年人的侵害,比如美国的《1998年儿童在线隐私保护法》、德国的《阻碍网页登陆法》等[4]。即使近年来有关部门已经开始网上整治并取得一定成效,但是由于缺乏有力的相关立法支持,整治力度还不够,效果还不足。同时我国在电子商务方面的综合性立法也落后于美国、英国、澳大利亚等国家。
2.3新技术应用带来的信息网络安全威胁更加复杂、多样
随着新一代移动通信技术(3G/4G)商用的规模化发展,信息网络的全覆盖、即时性特征更加显现,使得互联网更具有开放性,信息的生产更加自由、传输渠道更加多样、网络应用更加丰富,在线的每一个人都可以成为信息生产、传输、应用的单位,网络病毒、安全漏洞、黑客等影响范围日益加深,甚至波及全球互联网用户,加之,以下一代互联网为代表的新兴技术应用中普遍提供了匿名通信、加密邮件等功能,使得网络的隐匿性越来越强,这一方面有助于保护用户的通信隐私,但同时也给网络安全事件的监测预警带来了很大的障碍,给政府采取措施保障信息网络安全带来极大的挑战。一是信息网络安全漏洞大量存在。如,Windows十大安全漏洞、Unix十大安全隐患等网络安全漏洞问题大量存在,严重的威胁到了互联网的安全。2013年,安卓平台和苹果平台的安全漏洞都不断增多,2015年7月谷歌主密钥被发现漏洞并很快发生恶意利用现象,8月安卓系统加密架构被证实存在漏洞并对比特币钱包应用产生影响,9月苹果移动操作系统iOS7仅放出2天就被发现多处漏洞。据国家互联网应急中心统计,2014年全年国家互联网应急中心通报的漏洞事件多达9069件,比较2013年,增长了整整3倍[5]。2014年“心脏滴血”“破壳”等漏洞先后爆发,由于其所涉及的均为互联网基础应用或协议,应用范围十分广泛,因此漏洞危害级别非常高,影响范围也波及整个互联网。二是网络病毒泛滥。互联网对广大民众敞开大门的同时,也为不法份子制造、传播病毒提供了便利,蠕虫、木马等病毒屡见不鲜、花样繁多,电脑资料被偷、网银被盗等事件频繁发生,不管对个人还是对企业、国家,都造成了大量损失,给人们使用互联网造成极大的不安全影响[6]。比如1988年11月的Morris蠕虫事件,导致互联网主体全部瘫痪;2001年的红色代码事件,将计算机病毒、木马程序和网络蠕虫融为一体,造成了严重危害和重大损失;美联社的Twitter账号于2014年4月被黑并发布总统受伤的虚假消息,导致美国股市暴跌,大盘损失价值达2000亿美元。
2.4网络传媒的“双刃剑”效应进一步加剧
互联网以其广泛的覆盖面、强大功能为人类社会的发展和进步发挥重要作用,为人们的社会经济生活提供便利的同时,其技术的超前性和不可控性导致网络安全治理滞后的问题也更加突出,网络犯罪、网络舆论和网络谣言等网络传媒安全问题不断升级,网络传媒安全治理更加复杂,其面临的挑战主要是:一是网民安全意识淡薄。《公众网络安全意识调查报告(2015)》显示,我国17.07%的网民几乎从不更换账号和密码,85.11%的网民不经阅读就直接同意用户相关协议,38.94%的网民经常使用无密码的WIFI来进行网上支付,55.18%的网民曾经遇到过网络诈骗,36.97%的网民随意进行二维扫码认证,49.23%的手机网民不正规地下载各种应用。这充分体现了我国大量的互联网用户上网习惯不安全、缺乏网络安全意识,导致网络犯罪案件频发,加大了执法的难度。二是网络犯罪屡禁不止。网络犯罪主要分为三大类型,分别是针对计算机网络实施的网络犯罪、犯罪事实主要在网络上的犯罪和以互联网作为辅助工具和勾联手段的犯罪,它们都是以牟取利益为犯罪的主要目的,这些网络犯罪之间相互交缠、交织不断。同时,传统犯罪与网络犯罪结合的趋势越来越明显,犯罪团伙利用境外网络信息资源实施网络犯罪也越来越普遍,跨市、跨省、跨国等跨区域网络犯罪更是日益增多,已慢慢成为常态。三是网络谣言和网络舆论放大了现实问题。如,扰乱工作秩序的谣言,在一些国内重大突发事故发生后,一些网民会故意对死伤人数和政府举措进行造谣,来煽动网民评论;针对名人的谣言,严重侵犯了名人的隐私权和名誉权,给当事人造成了恶劣的影响;与反腐工作有关的谣言,把航班晚点与抓捕贪官相联系,进一步激化矛盾;与人民生活密切相关的养生保健类谣言,造谣说某些食物不能吃,对与这类食物相关的产业造成极大的损失;为了打击竞争对手,针对某些国内或国际知名的大品牌的谣言,列出一些图表来证明其存在安全问题或者质量问题,这种行为会给这些企业甚至整个产业造成巨大影响。四是利用网络实现政治企图的态势进一步加剧。一些非法组织有目的、有计划地利用互联网,不断宣传歪教邪说,妄图打乱人心,影响社会秩序和人民生活。这些反动政治信息的散播,给国家带来了极其恶劣的政治影响,严重损害国家和人民的利益。例如众所周知的“法轮功”就是利用无国界限制的信息空间进行反党反政府活动。
3加强我国信息网络安全的对策建议
3.1加大对信息网络核心技术集成创新支持力度
美国等发达国家在信息和网络关键资源、核心技术、信息内容和用户数据等方面拥有垄断优势,使得我国在这些领域的技术自主可控水平较低,给我国的信息和网络安全带来严重挑战。但随着信息和网络新技术新业务的不断涌现,其本身的技术发展也从单纯的由技术型驱动转变为应用型驱动,使得技术的集成创新和应用模式创新越来越重要,这为我国信息网络技术依靠后发优势和市场优势实现突破式发展开辟了新的空间。我国应紧紧围绕新一代互联网核心技术,加大引进、消化、吸收的力度,在新一代互联网核心技术集成创新方面加大研发投入。同时,有效聚合政府、高校、科研院所、企业等的资源优势,打造新一代互联网产学研金自主研发平台,集国家的力量在集成创新方面走出一条自主创新的道路,在核心技术研发、网络安全保证、监管机构优化、企业竞争意识等方面获得较大提升,使我国成为最大的互联网综合服务国,推进我国的互联网技术平台逐步完善、国产核心技术不断成熟,从而实现我国信息网络安全稳定、快速发展,向不断完善互联网结构的道路迈出坚实的步伐。
3.2依托互联网+后发优势取得信息网络安全技术新突破
只有拥有成熟的核心技术研发基础,才能奠定互联网的安全稳定和未来发展的基础,因此,在加强集成创新技术研发、支持互联网新兴产业发展,不断提高我国互联网技术研发基础的同时,我们应更加关注互联网应用带来的巨大市场空间,发挥大众创业、万众创新的体制机制优势,充分挖掘互联网+的市场空间,依托互联网+后发优势取得信息网络安全技术新突破。一是要在工业互联网运用方面取得新突破。未来的工业生产将广泛通过云服务、云制造等来提升产品附加值、降低生产成本、提高生产效率,要以众创、众包、众筹、众扶等推动企业生产模式和组织方式变革,构建强大的智慧化工业互联网新机制,赢得市场竞争先机,以此来倒逼信息网络安全技术的提升。二是要在互联网应用模式创新方面取得新突破。未来的互联网将提供更加便捷的生活方式,将可能通过智能终端与网络完成远程医疗、远程教育、车联网、智慧节能型建筑等服务的线上线下的无缝对接,提供更加智能的基于社会大数据的社会管理综合决策机制,这些应用的普及将对信息网络安全技术提出更高的要求,在应用的同时不断促进信息网络安全技术的提升。
3.3多措并举提高互联网用户的安全意识
据统计,2014年,我国网民规模已达6.49亿,全年共计新增网民3117万人。互联网用户的安全意识国家信息网络安全稳定的根本,只有每个互联网用户都重视信息网络安全、都具有高度的信息网络安全知识,才能构成国家信息网络安全基础,从根本上去保证我国的信息网络安全。因此,政府部门应该运用电视、多媒体、网络、报纸、社区科普平台等积极宣传信息网络安全知识,定期以社区为基本单位组织信息网络安全培训班,促进互联网用户加强信息网络安全方面的自我学习能力提升,形成良好的信息网络安全意识,提高公民对网络犯罪行为、网络不良信息等的独立判断能力和高度警觉性,这样才能把我国的信息网络安全提升到更高的层次。同时,要加大信息网络安全技术人才的培养力度,在普通高校开设与信息网络安全相关的基础性专业,弥补我国在信息网络安全方面的人才培养和人才储备缺口,推动建立多层次、全方位的信息网络安全人才培养模式,加大全体网民的信息网络安全意识,构建完备的信息网络安全人才培养体系[7]。
3.4构建完善的信息网络安全防护体系
对于现有的信息网络安全防护体系,其一,要针对互联网存在的安全漏洞和各种威胁,展开既全面又具有针对性的网络安全评估、测试和加固,要定期对其进行安全评测和评估升级,督促其不断发现并改善自身存在的安全隐患、弥补自己的安全漏洞,降低网络风险,提高自身抵抗威胁入侵的能力,防患于未然,把许多威胁扼杀在摇篮中,让损失达到最小。相关的工作在国内外都已积极开展,而且效果良好,证明这个措施是有效可行的。其二,对于国内的信息网络安全管理来说,需要不断加强监督和管理,提高预警和应急防范能力。充分发挥互联网自身的特殊优势,利用互联网开放性强、实行性强、多功能信息交互的能力,建立和完善各政府部门间快速高效的信息网络安全事件应急和处理体制。加大对互联网核心技术的投入,为互联网监管提供有力的技术支持,提高网络安全信息获取、监测预警、应急处理以及沟通协调能力。其三,要进一步完善我国的国家级病毒特征库和漏洞库,认真对待已知的、认真预防未知的病毒、木马和蠕虫等入侵程序,提高互联网的安全防护能力,加大对病毒等地下产业活动的发现、抑制和取证能力。其四,要加快与信息网络安全相关的立法工作。既要明确网络安全的基本原则,调整现有的网络监管体制,确立好网络安全的核心领导机制,明确各个互联网产业、互联网用户的权利和义务,进而制定出正确合理的网络安全基本法;又要针对互联网快速发展中遇到的新情况、新问题,修改完善已有的相关法律,在有法可依的基础上,加强新一代互联网建设,提高信息技术的运用水平,鼓励支持合法守法的互联网产业,推进互联网信息化、产业化和法律规范化的深度结合。
参考文献
[1]中国互联网络信息中心.2015年第35次中国互联网络发展状况统计报告[R].2015-02-03.
[2]2014年国际信息安全形势将更加严峻[EB/OL].(2014-05-26).[2015-11-01].
[3]王洪涛.国外主要国家网络安全战略的特点及其动向[J/OL].(2012-05-08).[2015-11-01].
[4]顾文华.网络信息安全立法研究[D].内蒙古大学,2011-11.
[5]国家互联网应急中心.2014年我国互联网网络安全态势报告[R].2015-04-30.
[6]陈忠平.网络安全[M].清华大学出版社,2011.
[7]康建辉,宋振华.高校网络安全人才培养模式研究[J].商场现代化,2008(01):257-258.
[8]赛迪.我国互联网安全状况分析[J].信息安全与通信保密,2002,04:14-15.
[9]严妍媛.我国互联网安全形势及应对策略浅析[J].电子制作,2013,10:107-108.
[10]谢玮.我国互联网安全形势分析与对策[J].电信网技术,2009(03):31-35.
[11]麦克卢尔,斯卡姆布智,库尔茨.黑客大曝光:网络安全机密与解决方案[M].清华大学出版社,2013.
[12]张冰.我国互联网网络安全与应急响应[D].国家计算机网络应急技术处理协调中心,2013(3).
[13]纪明葵.没有硝烟的战争正在危急人类[N].(2015-01-04).[2015-11-01].
[14]林志智.互联网立法:无规矩不成方圆[J].中国电信业,2009(11):34-36.
作者:王钲淇 单位:国家计算机网络应急技术处理协调中心
相关专题:北京航空航天大学学报 燕山大学学报
