网络与信息系统的内容安全

1 影响网络与信息系统内容安全的原因探讨

1.1 计算机系统落后，跟不上时代

近两年来，微软公司不断更新了其在计算机领域的WINDOWS系统。但是，据市场调查公司NetMarketShare所公布的数据显示，Windows 7目前在计算机操作系统市场的占有率高达55.99%，超过了Windows 8和8.1的总和。对于2015年夏季即将到来的Windows 10系统更新，用户是否能够按时进行系统升级，微软公司表示压力巨大。毋庸置疑，若用户不选择更新，依然坚持使用旧版本的操作系统，由于存在系统漏洞与后门得不到及时修补，这就为黑客入侵、病毒入侵埋下了巨大的隐患。

1.2 网络固有的开放性

开放性是网络固有的特征。在互联网高速发展的今天，随着各类旅游网、购物网、婚恋网、学习网、投资网、招聘网等网站的建立，许多人已经越来越习惯通过网络进行各种人际交流、情感交往与资金交易。另外，在网络时代，人们使用微信支付、支付宝支付的频率越来越高，尤其是年轻一代，他们经常在网络游戏中使用游戏货币进行虚拟交易。由于缺乏网络安全意识，他们的个人信息与资金财产经常受到极大的威胁。

1.3 互联网企业容灾能力较差

2015年5月27日下午，支付宝出现长达2个小时的大规模瘫痪。在事故发生的2小时内，国内很多支付宝用户在PC端和移动端均无法转账付款。针对此次事故，支付宝方面对外公布发生事故的原因是“光纤被挖断”。无独有偶，仅仅时隔一天的时间，2015年5月28日上午11点，携程网出现了持续12小时的宕机故障。最终，携程网站直至当晚11时才得以恢复正常，而携程官网给出的原因就是“员工错误操作”。两次严重的网络安全事故都反映出互联网企业在容灾能力上的漏洞。

2 对我国网络与信息系统内容安全现状的一些认识

2.1 虽然成绩喜人，但问题仍然堪忧

近几年来，随着政府与国内众多网络厂商的共同努力，我国互联网和信息化工作取得了显著发展成就。据统计，截至 2014年12月底，我国网站总量保持规模化发展，为364.7万个，网站使用的独立域名为481.2万余个，互联网接入服务商达1068家，网民规模达6.49亿，手机网民规模达5.57亿，互联网普及率达到47.9%。成绩是喜人的，但是我们应该看到，在互联网和信息化工作全面开展的同时，网络与信息化的迅猛发展也带来许多网络安全问题，例如有意或无意地修改或破坏系统；利用网络的互联性与匿名性，散布虚假信息；制造钓鱼软件，实施网络诈骗，窃取他人资产；利用木马程序非法收集个人信息，如家庭住址、通话记录、银行账号，甚至交易密码等，并公开叫卖。2015年5月，国家互联网安全中心等机构联合发布了2015年《中国移动支付安全绿皮书》，报告数据显示，在2015年第一季度中，国内支付购物类恶意程序达到1147个；接到网络诈骗报案4920例，其中手机用户报案1147例，报案总金额为831.8万元，人均损失7252元。

2.2 起步晚、发展慢，处处受制于人

不可否认的是，相对于西方发达国家的网络发展水平而言，我国在网络基础设施建设、网络专业人才教育、网络技术研发等方面起步都要晚很多。当国内一些网络技术公司发展成型，需要进一步扩展壮大的时候，却发现国内的网络市场早已经被外来厂商所占领，若想重新进入市场和获得用户的认可需要付出艰苦的努力。同时，我国网络安全技术大大落后于国际先进水平，始终处在世界网络安全产业链的低端。虽然经过几年的发展，我国的网络安全技术得到了显著的提高，但仍不乐观。例如，我国网络安全领域研发的商品品种还不够广泛，质量也不能完全保证。另外，我国网络安全技术在国产化自主可控研发过程中依然面临着非常多的难题，而这些难题绝大多数需要外来厂商帮助解决，对外来厂商的依存度很高，存在着严重的安全隐患。造成如此现状的原因主要有：部分地方政府及企业用户对国产网络安全技术的不信赖；互联网企业创新意识薄弱，容易走跟随战略；各部门、各行业、各地区间互通性较差；研究的网络安全技术大多处于示范阶段，商业化应用不足等。

2.3 专门的信息安全人才缺乏，质量也有待提高

近年来，随着网络时代的迅猛发展，网络安全存在不少的问题。因此，伴随网络安全问题，市场对信息安全专业人才的需求越来越大。据中华英才网2014年的就业报告显示，我国现有符合新型网络人才要求的技术型人才缺口人数就高达60万。另外，高校信息安全专业人才教育与企业的实际需求存在错位，主要在于高校开设的信息安全专业往往侧重于信息安全基础理论知识的讲解与传授，知识更新速度以及职业技能操作远远落后于时代进步与技术更新，使得大部分毕业生所掌握的信息安全技术过于陈旧，缺乏实际操作技能和经验，无法满足市场需求。

2.4 网络安全管理工作较弱，网络安全立法、执法方面存在漏洞

长期以来，我国在网络安全管理工作层面，一度存在管理体制分散、管理力度不够等问题。此外，与西方发达国家相比，我国还没有对网络安全的立法、执法有严格的制度标准，仅靠一些民事法规作为法律手段。在此背景下，用户一旦遇到网络安全事故，他们就无法拿起有力的法律武器来维护、保障自身应有的权利，即使采取民事诉讼手段，获取赔偿的胜诉率也不大。总而言之，我国的网络安全管理工作无法适应当前网络时代的发展需要。

3 关于我国网络与信息系统内容安全如何健康发展的几点建议

3.1 继续深化网络安全的宣传工作

网络安全的宣传工作是有效防范网络安全事故的重要工作。我国人口众多，虽然绝大多数省市的各级公安单位、政府单位以及学校单位都已经普及了相关的网络安全知识，并制订了网络安全事故的应急预案。但是，由于网络安全宣传力度不够，甚至宣传工作出现了“走形式”“跑马灯”等不良做法，导致各省市每年依然存在数以万计的网络安全事故，以此造成的财产损失也非常巨大。为此，网络安全的宣传工作显得尤为重要。

2015年6月1日，由中央网信办、中央编办、教育部、科技部、工业和信息化部、公安部、新闻出版广电总局、中国人民银行、共青团中央、中国科协共十部门联合主办的“第二届国家网络安全宣传周”启动仪式在中国科学技术馆举行。宣传周期间，中央电视台《焦点访谈》《今日说法》《第二届国家网络安全宣传周特别节目》《佳片有约》等节目相继做了宣传工作。此外，第二届国家网络安全宣传周的官方网站、官方微信也通过各种途径积极进行辅助宣传工作。在未来几年，我国政府将继续深化网络安全的宣传工作，这已经成为新时代下我国网络技术发展的必然要求与必然趋势。

3.2 继续提高网络安全事故应急处理协调能力

通过2015年5月27日支付宝宕机事件以及5月28日携程网瘫痪事件，虽然二者发生事故的原因不同，但我们可以看出，当前我国互联网企业还没有建立严密的信息安全体系，并且没有很强的应急处理协调能力。2015年5月27－28日，以“智能网络•安全护航”为主题的“2015年中国计算机网络安全大会（第 12届）”在湖北省武汉市召开。此次会议再次重申了对网络安全事故应急处理协调能力的重要性。

3.3 进一步加强高校信息安全专业人才体系建设

确保我国网络与信息系统内容安全的健康发展，最关键的就是信息安全专业人才的培养，而信息安全专业人才的培养，最关键的就是进一步加强高校信息安全专业人才体系建设。

第一，制订信息安全专业人才的培养标准。尽快制订信息安全专业一级学科博士和硕士学位基本要求、本科专业教学质量国家标准、职业院校网络与信息系统安全专业教学标准，以促进网络与信息安全人才建设的体系化、规模化、系统化，保证人才质量。

第二，探索信息安全专业创新人才的培养机制。高校应积极采取“校企联合”的方式，通过建立实习基地，统筹安排网络与信息安全类专业学生到国内、国外参加学习、交流，按照企业的指定需求协同培养人才。

第三，与网信办、教育部积极沟通，共同制订信息安全专业人才培养目标、共同开设相关课程和编写教材、共同实施培养过程、共同评价培养质量。同时，依靠国家提出的最新计划与要求，努力培养出更多的信息安全专业人才。

第四，加强信息安全学科的师资队伍建设。信息安全专业是一个新兴的交叉专业，做好人才培养工作，师资队伍是关键。因此，高校要定期组织信息安全学科的青年骨干教师进行业务培训与考核评价，必要时与企业联合举办学习交流活动，让他们到知名互联网企业参观学习或由知名企业的信息安全专家对其培训指导，以不断提升他们的教学能力与职业素质。

第五，加强信息安全学科的经费投入与基础设置建设。费投入与基础设置建设是进一步加强高校信息安全专业人才体系建设的物质基础。

第六，鼓励学生积极参与国际网络与信息安全人才竞争。近两年来，世界各国对网络与信息安全人才的需求竞争越来越激烈。很多发达国家提出了非常优厚的条件吸引我国的网络与信息安全人才去国外学习。针对于此，我国也应通过各种人才发展计划，一方面留住国内人才，另一方面吸引国外高端人才到中国来参加工作，从而进一步推进我国网络与信息安全工作稳步进行。

3.4 进一步规范网络安全标准化工作

网络安全标准化工作是将技术、人才、管理等要素最终科学的、有效的汇集到实施层面的重要手段，对实现国家网络安全保障具有重要意义。当前，网络安全标准化工作已经成为网络安全工作能力提升的助推器、耦合器以及技术创新的重要手段，更是对我国国家安全和社会持续、健康发展具有重要的意义。

第一，进一步加强网络安全标准化顶层设计，在处理问题时要从问题的本质出发，要做好顶层设计，全面推进网络安全标准工作的科学性、合理性。

第二，进一步推进关键标准的制修订工作。据国信办统计，截至2015年4月，全国信息安全标准化技术委员会共组织申报信息安全国家标准290项，其中284项已获批立项，正式发布国家标准149项。这其中有部分标准对我国网络安全体系建设具有重要的作用，需要标准化人员具有与时俱进的工作态度，严谨、准确、及时地对那些与网络时代发展不符的旧标准进行修订。

第三，进一步加强标准的实施力度与宣传力度。标准的效果还在于实施，而实施的力度与标准宣贯力度有很大关系。在当前各种新媒体蓬勃的时代，更多应用各类新媒体平台来丰富标准的宣贯和传播途径，从标准制修订征集意见开始，加大宣传和影响力度，建立广大民众对“国家网络安全标准”的品牌认可。

3.5 加强信息存储安全技术的研发与创新

第一，加强存储控制芯片的研发与创新。目前，无论是国际市场，还是国内市场，存储控制芯片尽管种类繁多，但绝大多数的应用环境都比较单一，工艺水平也不高。即使与西方发达国家相比，我国的存储控制芯片技术水平也与西方发达国家相比差距极小。因此，我国芯片企业必须抓住这个历史机遇，积极通过国际合作、引进吸收等方式，快速驶进世界存储控制芯片的快车道，并在世界范围内站稳脚跟，并赢得一席之地。

第二，加强存储信息加密技术的研发与创新。一般而言，存储信息加密主要通过信息源加密和透明存储加密两种方式进行。但是，信息源加密存在很大缺陷，用户体验性差；而我国各个行业领域使用的计算机系统都是来自于国外，透明存储加密也不能有效防御系统漏洞和数据库软件后门。为此，我国信息安全设备厂商应积极开拓创新，研发适于我国网络现状的存储信息加密技术。

第三，加强结合生物密码的身份认证和访问控制技术的研发与创新。生物密码包括生理特征密码和行为特征密码。生理特征如使用者的指纹、掌纹、视网膜、虹膜、面像、人体气味等；行为特征如使用者的叩击节奏声纹、笔迹、行走步态等。与生理特征相比，基于行为特征的身份识别和访问控制，具有更强的安全性和隐蔽性，可以提高个人信息存储的安全。