新形势下加强我国网络与信息安全的思考

2014-04-08 10:36
河南社会科学 2014年10期
关键词:信息安全网络安全

宋 今

(北京大学,北京 海淀 100871)

网络与信息安全是一个发展的课题,不同的角度、应用和环境中,具有不同的含义,一般包括网络安全和信息安全两个层面[1]。网络安全包括硬件平台、操作系统、数据库、应用软件等系统自身安全、可靠和可控、连续、高效的运行服务安全。信息安全则主要是指数据的安全,包括数据的真实性、可靠性、完整性、保密性、可用性、可审查性、可认证性和抗抵赖性等。

网络与信息安全从其本质上讲是网络上的信息安全。这里的信息是指以电磁信号为主要形式,在计算机网络系统各个物理位置、逻辑区域、存储和传输介质中进行获取、处理、存储、传输和利用的数据信息。网络与信息安全就是通过计算机网络技术和监督管理手段,使网络系统的硬件、软件、数据库等受到保护,防止信息被非授权地访问、使用、泄露、分解、修改和毁坏,最大可能不因为外界意外因素而被破坏或泄密,保证系统持续稳定的运行,保证网络服务的通畅,使用户获得使用信息的安全感[2]。

一、我国网络与信息安全现状

(一)垃圾短信、垃圾邮件、不良信息泛滥

工信部数据显示,2013年1 至9月我国移动短信息业务量约6970.4 亿条,其中垃圾短信占全部短信量的20%左右;互联网用户58%的邮件为垃圾邮件。这些信息多以商品广告、服务类信息为主,其中不少内容涉及黄、赌、毒等违法信息,有的甚至涉及邪教、反动言论等。由于垃圾短信和垃圾邮件具有反复性、欺骗性、不健康性和传播速度快等特点,严重干扰人们的正常生活。违法和不良信息举报中心数据显示,2013年11月78690 件次举报,其中淫秽色情占80.1%、诈骗占12%、赌博占2.4%、侵权占1.8%、攻击党和政府占0.5%、违背社会公德占0.5%、病毒占0.3%、违背宪法原则占0.3%、宣扬邪教占0.1%、私服外挂占0.1%、其他占1.4%。色情、暴力、赌博、网络谣言、邪教、反动言论等不良信息网上泛滥,引发了诸多违法犯罪和社会问题,严重威胁社会和谐稳定,危及国家安全。

(二)计算机病毒、黑客、网络犯罪活动猖獗

当前,病毒、木马、蠕虫等计算机病毒异常活跃,网站后门、网络钓鱼呈大幅增长态势,黑客活动日趋频繁,直接影响网民和企业权益,阻碍行业健康发展。针对特定目标的有组织高级可持续攻击(APT攻击)日渐增多,网络信息系统安全面临严峻挑战。我国约有七成的计算机用户曾感染病毒,有的用户还曾经多次感染。移动互联网恶意程序数量急剧增长、快速繁衍和扩散,大量窃取用户手机个人信息,危害用户隐私安全和经济安全。拒绝服务攻击技术手段日趋综合化、复杂化,黑客组织从利用普通被控“肉鸡”发动攻击向利用具有高带宽的IDC 机房转移,从短时间、突发性攻击向高级别、持续性APT 攻击转变,以瘫痪竞争对手服务、谋取不当竞争利益为目标的网络攻击日渐增多,严重威胁我国互联网的整体运行安全。“匿名者”“幽灵躯壳”“反共黑客”等黑客组织频繁发动对我国的网络攻击,不断向工业控制、能源、交通、金融、电力、国防等重要行业系统快速延伸,严重威胁重要基础信息数据安全,影响国家事务和经济社会运行。

(三)个人信息泄露严重,网络政治颠覆活动频繁

大量手机号码、家庭住址、通话记录、银行账号、甚至交易密码等个人信息被手机、智能终端、公共通信系统的木马、蠕虫等恶意程序非法收集、公开叫卖,严重侵害了用户的个人隐私,造成企业和个人经济损失,影响社会和谐稳定。国内外反动势力利用互联网组党结社,进行针对党和国家的非法组织和串联活动。尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。

(四)新技术、新应用安全监管问题突出

随着移动互联网、云计算、物联网、下一代互联网等新技术,以及社交网络、即时通信工具等新应用的快速发展,微信、微博等新兴社交媒体和即时通信工具得到了极大的繁荣。由于这些应用媒体属性强、传播快、影响大、覆盖广、社会动员能力强,其上承载的网络谣言、诈骗信息等有害内容严重侵蚀社会诚信,瓦解社会道德基础。面对此类新技术、新应用用户的快速增长,如何加强网络法制建设和舆论引导,确保网络信息传播秩序和国家安全、社会稳定,已经成为摆在我们面前的现实突出问题。

冰冻三尺,非一日之寒,网络与信息安全问题的产生有其客观和主观的必然。

二、我国网络与信息安全存在问题的原因

(一)网络与信息安全领导体制不完善

我国现行互联网管理领导体制不完善,顶层设计不充分,过分强调自身和领域的特点,忽略了整体效益,没有形成合力,实际管理力度不够,政策的执行和监督不到位,导致立法滞后、多头管理、职责交叉、权责不一、效率不高。

(二)网络与信息安全法律法规不健全

我国现有的网络信息安全管理方面的法律法规层次不高、调整范围狭小,法律少、行政规章多、结构不合理、不成体系,导致大量网络侵权、犯罪行为惩治无法可依;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,导致司法实践中各地、各部门的认定标准、处罚程序不一,司法效果差,有法难依;法规内容不完善,制定周期太长,时间上滞后;监督力度不够,有法不依、执法不严。

(三)网络与信息安全技术监管手段落后

我国信息化建设过程中缺乏自主的计算机网络和软件核心技术。从终端、网络、服务器、存储到系统软件,关键技术应用被微软、思科、IBM、英特尔、甲骨文、高通、谷歌、苹果、三星等国外企业牵制,交通、金融、能源、电力、国防等核心信息系统90%以上使用国外产品。由于缺乏自主技术,我国的网络始终处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络与信息安全极其脆弱。与此同时,由于管理措施落后,网络与信息安全管理缺位严重。

(四)网络与信息安全意识淡薄

安全意识淡薄是网络与信息安全的瓶颈。目前,在网络与信息安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人刚接触就忙着用于学习、工作、生活和娱乐,对网络信息的安全性无暇顾及,安全意识淡薄。“网络时代,人人面前都有‘麦克风’,人人都是新闻发言人,人人都有话语权,人人都是新闻记者”,缺乏安全意识的网络用户导致了网络谣言、不良信息的泛滥和个人信息的泄露。与此同时,网络经营者和机构用户注重的是网络效益,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动地封堵漏洞状态,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

三、加强我国网络与信息安全的建议

(一)加强顶层设计,完善互联网监管领导体制

目前世界上已有40 多个国家公开颁布国家级网络空间安全战略,明确网络空间战略地位,并随着形势的变化不断出台和调整相关政策。我国网络安全防护也迫切需要走出技术维护和配合的低层次水平,上升到统一筹划、综合防护的战略高度。

按照党的十八届三中全会要求,加快构建集中统一的国家互联网监管体系,整合相关机构职能,明确权责分工和监管边界,落实好分级管理、属地管理责任,形成从技术到内容、从日常安全到打击犯罪的互联网管理合力和党委统一领导、政府加强管理、企业依法运营、网民自律良性互动、全社会共同参与的互联网管理工作格局。充分发挥中央网络安全和信息化领导小组集中统一领导作用,着眼国家的长治久安,统筹各领域相关的网络安全问题,制定必要的网络安全发展战略,推动国家网络安全和信息化法治建设,不断增强安全保障能力。

(二)积极推进立法,提高互联网管理法治化水平

依法管理网络无疑是实现网络社会长治久安的根本所在,网络社会迫切需要契约和法治精神。没有法律制约和保障,互联网的自由与安全核心将不复存在。必须依法治网、依法管网,严厉打击整治网络违法犯罪活动。

党的十八届三中全会明确要求,坚持积极利用、科学发展、依法管理、确保安全的互联网管理方针,加大依法管理网络力度,加强网络与信息安全立法和实施监督工作,成立统一、权威、专门的网络与信息安全立法组织和管理机构[3]。对我国互联网法律体系进行全面规划、设计、实施监督与协调,加快建设具有我国特点的互联网安全法律体系。积极推动互联网管理立法工作,组织制定网络安全审查、网络信息安全管理、通信网络安全防护、互联网安全接入等标准,全面梳理、修订、完善已颁布的各项法律法规,形成一个层次合理、内容严密、权威性高、执行力强的法律体系。制定相关法律法规和标准,做到有法可依、依法办事。规范和提高部门执法、司法业务水平,坚持严格执法、公正司法,提高网络监管法治化水平,维护国家安全和社会秩序,保障网民合法权益[4]。加强法律的教育和宣传工作,培养网民知法和守法意识,文明网上行为,强化行业自律,促进网络发展,净化网络环境,营造活跃、开放、繁荣的网络环境,使互联网成为一个充满真实、互信、包容、健康、有底线、轻松自由的平台。

(三)鼓励科技创新,丰富互联网技术监管手段

网络社会是一个技术的社会,管理互联网必须采取“魔高一尺、道高一丈”的技术监管手段。要加大网络与信息安全关键核心技术研发的支持力度,大力支持发展具备自主知识产权的核心技术,加强对于信息的处理与保密能力,增加对互联网安全保障基础技术研发的资金投入,制定全面的信息技术、网络技术研究发展战略,扶持和壮大网络与信息安全产业,加强应用试点示范,解决科研成果转化问题,发展信息安全产品和服务,构建全产业链协同发展的格局。

积极跟踪、研究国际信息安全领域的先进理论和前沿技术,加紧对移动互联网、物联网、云计算等前沿尖端技术的自主开发和应用,支持具有自主知识产权和自有品牌的信息安全产品研发。制定优惠政策,鼓励颠覆性、革命性技术和网络架构创新,保障我国互联网核心自主、安全可控。加快国产技术和装备的应用推广,逐步实现政府部门和重要领域国产化替代。强化技术手段体系化建设,丰富对互联网世界每一用户、每一进程、每一网络、每一终端、每一设备、每一系统、每一数据、每一接口的全环节、全周期监管技术手段,建立和完善从技术到内容,从日常安全到打击犯罪的互联网监管技术兵器库,确保互联网可管理,有手段,能管理。

(四)落实日常监管,完善应急处置保障体系

加强对互联网系统、用户、进程、数据和行为的全环节、全领域和全生命周期日常监管,保障网络与信息安全。加强对网络国际关口的安全监测、行为审计和入侵防御,防范国外非法用户、数据、进程和应用的入侵,保障网络边防安全;强化信息安全基础设施建设,落实进网设备检验检测、进网许可和用户实名制备案制度,鼓励引导“上网实名、网上匿名”上网方式,尊重网民自主性和隐私,增强网民自律意识、规范网络行为,保障境内网络社会规范有序运行;尽快完善信息安全审查制度,逐步建立信息安全审查点,重点强化政府部门的信息安全服务,组织政府机关和重点安全领域的信息检查;强化电信业务经营许可和非经营性互联网信息服务备案制度,加强对即时通信和社交网络的管理,保障网络与信息系统运行安全;落实互联网信息服务管理办法,规范互联网信息发布,加强对移动互联网上网行为审计和管控,开展对地下黑色产业链的治理工作,尤其是加强对木马病毒的防范,对钓鱼网站等进行及时的监管与处理,积极开展源头打击,实现标本兼治,保障网络信息的通畅与安全[5]。

建立健全网络与信息安全预警和应急处置机制,完善国家互联网应急响应管理体系,提高突发事件应急处置能力和水平。加强网上信息巡查、舆情研判、预警发布、有害信息处置工作机制,积极开展网络与信息安全事件的预防、监测、发现、预警和协调处置工作,维护消费者合法权益,促进公共网络环境的安全,保障基础信息网络和网上重要信息系统的安全运行[6]。

四、结语

美国“斯诺登事件”以来,网络与信息安全引起人们广泛的关注,网络与信息安全的问题也越来越受到人们的重视。以上总结了我国网络与信息安全的现状及存在四个方面的问题,分析了问题产生的主要原因,并进一步探讨了加强我国网络与信息安全的四个方面。世界上不存在绝对安全的网络,也没有绝对安全的信息,我们必须与时俱进,综合考虑影响网络与信息安全方方面面的因素,才可能确保网络与信息安全。

[1]王凤英,程震.网络与信息安全[M].北京:中国铁道出版社,2006.

[2]田园.网络安全教程[M].北京:人民邮电出版社,2009.

[3]《中共中央关于全面深化改革若干重大问题的决定》辅导读本[M].北京:人民出版社,2013.

[4]汪玉凯.中央网络安全与信息化领导小组的由来及其影响[EB/OL].http://theory.people.com.cn/n/2014/0303/c40531-24510897.html.

[5]新华社.中央网络安全和信息化领导小组第一次会议召开[EB/OL].http://www.gov.cn/ldhd/2014-02/27/content_2625036.htm.

[6]“计算机网络安全的六大指标详述”[N].人民日报,2008-04-05(12).

猜你喜欢
信息安全网络安全
《信息安全与通信保密》征稿函
网络安全
信息安全专业人才培养探索与实践
网络安全人才培养应“实战化”
上网时如何注意网络安全?
保护信息安全要滴水不漏
高校信息安全防护
计算机网络安全
保护个人信息安全刻不容缓
网络安全监测数据分析——2015年11月