信息網(wǎng)絡(luò)已經(jīng)覆蓋國(guó)家的政治、經(jīng)濟(jì)、軍事、文化、科技和社會(huì)等諸多領(lǐng)域,涉及許多政府宏觀決策信息、金融證券信息、科研技術(shù)信息等重要內(nèi)容的存儲(chǔ)、傳輸,其中許多是較為敏感的信息,甚至涉及國(guó)家機(jī)密。因此,信息網(wǎng)絡(luò)安全成為一國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的重要保證,也是各國(guó)在非傳統(tǒng)國(guó)家安全領(lǐng)域競(jìng)逐的新焦點(diǎn)。在微觀領(lǐng)域,互聯(lián)網(wǎng)在給人們帶來(lái)便利的同時(shí),其信息安全亦成為一個(gè)不容忽視的問(wèn)題。由于技術(shù)上的缺陷以及思想上缺乏重視等原因,現(xiàn)代網(wǎng)絡(luò)信息社會(huì)中存在各種各樣的網(wǎng)絡(luò)安全威脅。
網(wǎng)絡(luò)信息安全領(lǐng)域包括信息、經(jīng)濟(jì)、政治、文化、社會(huì)以及金融、生態(tài)、資源等眾多方面。網(wǎng)絡(luò)信息安全問(wèn)題有別于傳統(tǒng)的安全領(lǐng)域威脅形式,多數(shù)具有形式多變、不易覺(jué)察等特點(diǎn),如網(wǎng)絡(luò)謠言給社會(huì)及個(gè)人帶來(lái)了嚴(yán)重的影響,網(wǎng)絡(luò)詐騙使個(gè)人、銀行和政府蒙受重大經(jīng)濟(jì)損失,網(wǎng)絡(luò)犯罪危及公民的人身安全等。
2015年網(wǎng)絡(luò)信息安全泄露事件層出不窮:1月5日,機(jī)鋒科技被曝泄露2300萬(wàn)用戶(hù)信息,其中包括用戶(hù)名、注冊(cè)郵箱、加密后的密碼等信息; 2月11日,據(jù)漏洞盒子白帽子提交的報(bào)告顯示,知名連鎖酒店桔子、錦江之星、速八、布丁,高端酒店集團(tuán)萬(wàn)豪(麗思卡爾頓酒店等)、喜達(dá)屋(喜來(lái)登、艾美酒店等)、洲際(假日酒店等),等等網(wǎng)站存在高危漏洞,顧客信息被大量泄露,涉及顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、家庭住址、信用卡、郵箱地址等大量敏感信息;2月27日,江蘇省公安廳發(fā)布通知稱(chēng),由主營(yíng)安防產(chǎn)品的??低暽a(chǎn)的監(jiān)控設(shè)備存在嚴(yán)重安全隱患,部分設(shè)備已被境外控制,并要求各地立即進(jìn)行全面清查,開(kāi)展安全加固,消除安全隱患;4月22日,媒體報(bào)道,重慶、上海、山西、沈陽(yáng)、貴州、河南等超30個(gè)省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬(wàn)用戶(hù)的社保信息可能被泄露,包括個(gè)人身份證、社保參保、財(cái)務(wù)、薪酬、房屋等敏感信息;5月21日,中國(guó)人壽廣東分公司10萬(wàn)份保單或遭泄露,保單信息、微信支付信息、客戶(hù)姓名、電話、身份證、住址、收入、職業(yè)等敏感信息一覽無(wú)余;10月19日,網(wǎng)易郵箱過(guò)億用戶(hù)敏感信息遭泄露,包括用戶(hù)名、密碼、登錄IP以及用戶(hù)生日等。諸多網(wǎng)絡(luò)安全事件給我們敲響了警鐘,網(wǎng)絡(luò)信息安全管理必須受到國(guó)家、企業(yè)和個(gè)人的高度重視。
網(wǎng)絡(luò)安全問(wèn)題的表現(xiàn)形式
不同于傳統(tǒng)安全問(wèn)題,網(wǎng)絡(luò)信息安全問(wèn)題具有傳播迅速、發(fā)生突然、跨國(guó)流動(dòng)、破壞性大等特點(diǎn),其主要表現(xiàn)形式有計(jì)算機(jī)病毒和黑客攻擊兩種。
計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是類(lèi)似生物病毒的程序,它會(huì)復(fù)制自己并傳播到其他宿主身上,對(duì)宿主造成損害。計(jì)算機(jī)病毒的宿主也是程序,通常是操作系統(tǒng),被感染后會(huì)進(jìn)一步傳染到其他程序和電腦。總體來(lái)看,計(jì)算機(jī)病毒有木馬病毒、蠕蟲(chóng)病毒、腳本病毒等不同類(lèi)型。計(jì)算機(jī)病毒在傳播期間一般會(huì)隱蔽自己,由特定的條件觸發(fā),并開(kāi)始產(chǎn)生破壞,其具有的不良特征包括傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性和破壞性,通常表現(xiàn)兩種以上所述的特征就可以認(rèn)定該程序是病毒。近年來(lái),隨著信息技術(shù)的發(fā)展,計(jì)算機(jī)病毒也越來(lái)越猖狂,并且在危害性和傳播性上對(duì)國(guó)家互聯(lián)網(wǎng)的安全更具有危害性。
黑客攻擊。黑客攻擊是目前危害性比較大的網(wǎng)絡(luò)信息安全威脅形式,它往往由具有極高操控性的網(wǎng)絡(luò)黑客策劃和實(shí)施的對(duì)攻擊目標(biāo)進(jìn)行的破壞、竊取資料、信息復(fù)制等行為。隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)黑客也像計(jì)算機(jī)病毒的發(fā)展一樣手段越來(lái)越高明,形式越來(lái)越隱蔽,破壞性也越來(lái)越大,給各國(guó)的信息安全系統(tǒng)造成了嚴(yán)重的威脅。同時(shí),一些黑客甚至被某些國(guó)家的政府部門(mén)所授意對(duì)另一國(guó)的信息系統(tǒng)進(jìn)行刺探和攻擊,從而牟取利益。
網(wǎng)絡(luò)信息安全問(wèn)題的成因
系統(tǒng)自身的漏洞和管理問(wèn)題。從被入侵的信息系統(tǒng)來(lái)看,大部分都存在一定的系統(tǒng)漏洞或者管理問(wèn)題,正是因?yàn)檫@些系統(tǒng)自身問(wèn)題的存在,使得系統(tǒng)容易成為各種網(wǎng)絡(luò)信息侵犯的對(duì)象。其中破壞最嚴(yán)重且最難以防范的就是系統(tǒng)管理員或信息安全管理員的違規(guī)行為,由于其身份的特殊性,信息安全相關(guān)人員與外部人士勾結(jié)進(jìn)行有損信息安全的行為,不僅難以查處,而且一旦造成對(duì)信息安全的破壞,后果也十分嚴(yán)重。
網(wǎng)絡(luò)信息安全管理產(chǎn)品過(guò)分依賴(lài)進(jìn)口。由于我國(guó)的信息產(chǎn)業(yè)在發(fā)展上起步較晚,國(guó)外對(duì)信息產(chǎn)業(yè)技術(shù)輸出進(jìn)行嚴(yán)格限制,很多發(fā)達(dá)國(guó)家對(duì)我國(guó)信息產(chǎn)業(yè)發(fā)展采取遏制政策,阻礙信息產(chǎn)業(yè)技術(shù)輸出,我國(guó)信息產(chǎn)業(yè)的發(fā)展一直處于比較被動(dòng)和相對(duì)落后的地位。這導(dǎo)致目前我國(guó)信息產(chǎn)業(yè)關(guān)鍵部件和技術(shù)嚴(yán)重依賴(lài)進(jìn)口,并且在關(guān)鍵領(lǐng)域易受到攻擊和破壞。從硬件設(shè)備來(lái)看,目前我國(guó)國(guó)民經(jīng)濟(jì)各行業(yè)使用的計(jì)算機(jī)中央處理器絕大部分需要進(jìn)口。雖然從整體性能上來(lái)說(shuō),我國(guó)研發(fā)的大型計(jì)算機(jī)已經(jīng)處于世界領(lǐng)先地位,但是其核心處理器仍無(wú)法擺脫進(jìn)口依賴(lài)。近年來(lái)我國(guó)的信息裝備產(chǎn)業(yè)發(fā)展迅速,但其中很多核心零部件都來(lái)自以美國(guó)為代表的原始設(shè)備制造商,國(guó)內(nèi)廠商仍然處于簡(jiǎn)單組裝、加工的低利潤(rùn)環(huán)節(jié)。從軟件方面來(lái)看,目前我國(guó)絕大部分計(jì)算機(jī)網(wǎng)絡(luò)(包括軍用網(wǎng)絡(luò))所安裝和使用的操作系統(tǒng)都是美國(guó)公司的產(chǎn)品,美國(guó)微軟幾乎壟斷了我國(guó)電腦軟件的操作平臺(tái)和核心市場(chǎng),離開(kāi)了微軟的操作系統(tǒng),國(guó)產(chǎn)的軟件都將難以運(yùn)行。這不僅造成了網(wǎng)絡(luò)信息安全管理技術(shù)受制于人,同時(shí)也導(dǎo)致了管理能力的嚴(yán)重不足。同時(shí),企業(yè)信息化建設(shè)的管理軟件也有90%以上依賴(lài)外企,國(guó)外軟件巨頭不僅以此獲取高額利潤(rùn),同時(shí)對(duì)我國(guó)信息安全管理的獨(dú)立性和安全性也構(gòu)成了威脅。
網(wǎng)絡(luò)信息安全意識(shí)淡薄。由于我國(guó)的信息化產(chǎn)業(yè)還處于快速發(fā)展時(shí)期,企業(yè)和政府將重點(diǎn)放在了信息設(shè)備開(kāi)發(fā)和信息技術(shù)提高上,忽略了網(wǎng)絡(luò)信息安全的管理,造成系統(tǒng)漏洞頻出,容易引發(fā)信息安全事故。網(wǎng)絡(luò)信息具有傳播迅速、途徑隱蔽等特點(diǎn),對(duì)其監(jiān)管較為困難,常常出現(xiàn)滯后性。目前我國(guó)整個(gè)社會(huì)的網(wǎng)絡(luò)安全意識(shí)比較淡薄,對(duì)信息安全也缺乏常識(shí)性的了解,對(duì)于開(kāi)展網(wǎng)絡(luò)信息管理工作極為不利。
網(wǎng)絡(luò)信息安全管理立法不完善。自上世紀(jì)90年代以來(lái),我國(guó)先后出臺(tái)多部涉及互聯(lián)網(wǎng)信息安全的法規(guī)、條例和辦法,如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》以及《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等,這些法規(guī)、條例、辦法從不同方面對(duì)互聯(lián)網(wǎng)參與行為主體的活動(dòng)進(jìn)行了規(guī)范。同時(shí),憲法、刑法、國(guó)家安全法、國(guó)家秘密法、治安管理處罰條例、商用密碼管理?xiàng)l例等法律、法規(guī)也在維護(hù)信息安全方面提供了一定的法律依據(jù)。
雖然國(guó)家制定了眾多的法規(guī)、條例、辦法,但仍然難以形成對(duì)網(wǎng)絡(luò)信息犯罪的有效約束,主要有以下幾個(gè)原因:從頒布者來(lái)看,其多為國(guó)務(wù)院、工業(yè)和信息化部、公安部等行政部門(mén),這種部門(mén)法規(guī)的效力和權(quán)威與國(guó)家法律相比仍有一定的差距;從內(nèi)容來(lái)看,對(duì)侵害互聯(lián)網(wǎng)個(gè)人信息安全的行為的界定、處置依據(jù)比較模糊,對(duì)各類(lèi)互聯(lián)網(wǎng)參與主體的責(zé)任劃分不夠清晰明確,特別是對(duì)互聯(lián)網(wǎng)信息企業(yè)在信息安全人員隊(duì)伍建設(shè)、設(shè)備投入方面沒(méi)有明確的規(guī)定,難以適應(yīng)當(dāng)前嚴(yán)峻的互聯(lián)網(wǎng)個(gè)人信息安全形勢(shì);從實(shí)施效果來(lái)看,部分法規(guī)在執(zhí)行力度上還不夠,甚至停留在說(shuō)教層面,在具體實(shí)踐中沒(méi)有得到很好的執(zhí)行,也沒(méi)有形成約束力。
網(wǎng)絡(luò)信息安全困境的解決之道
從政策層面大力扶持網(wǎng)絡(luò)信息安全產(chǎn)業(yè)。信息安全是信息產(chǎn)業(yè)化發(fā)展的基石和保證,一個(gè)安全和規(guī)范的網(wǎng)絡(luò)信息環(huán)境需要信息產(chǎn)業(yè)提供堅(jiān)定的物質(zhì)和技術(shù)支持。由于長(zhǎng)期來(lái)我國(guó)信息產(chǎn)業(yè)的核心技術(shù)來(lái)源于西方發(fā)達(dá)國(guó)家,從根本上就受到牽制,必須提升我國(guó)信息產(chǎn)業(yè)的自主創(chuàng)新能力,跳出現(xiàn)在的發(fā)展困境。在科研方面,國(guó)家應(yīng)當(dāng)鼓勵(lì)高校、研究院及企業(yè)類(lèi)研究單位進(jìn)行網(wǎng)絡(luò)信息安全方面的技術(shù)研究,為信息化產(chǎn)業(yè)發(fā)展提供核心的技術(shù)支持。
加強(qiáng)政府在組織監(jiān)管、懲治信息安全違法行為方面的力度。政府作為信息安全管理的主體,在信息安全管理方面需要發(fā)揮主導(dǎo)性作用。借鑒其他國(guó)家信息安全管理的先進(jìn)經(jīng)驗(yàn),同時(shí)與我國(guó)的自身特色相結(jié)合,以維護(hù)國(guó)家利益為基本出發(fā)點(diǎn),完善與信息安全相關(guān)的司法和行政管理體系,使得相關(guān)部門(mén)起到管理和督促作用。對(duì)于網(wǎng)絡(luò)信息的傳播與發(fā)布,需要以國(guó)家為監(jiān)管主體,各類(lèi)企業(yè)積極參與,維護(hù)國(guó)家與公眾的利益和安全,防止網(wǎng)絡(luò)成為損害國(guó)家、個(gè)人利益的平臺(tái)。
提高公民的網(wǎng)絡(luò)信息安全意識(shí)。近年來(lái),網(wǎng)絡(luò)詐騙案件層出不窮,一方面是因?yàn)榉缸锓肿油ㄟ^(guò)不法途徑買(mǎi)賣(mài)用戶(hù)信息,另一方面則是由于我國(guó)公民缺乏信息安全意識(shí),在一些危險(xiǎn)網(wǎng)站上留下個(gè)人信息。因此,提高公民的網(wǎng)絡(luò)安全意識(shí)對(duì)于避免網(wǎng)絡(luò)詐騙、解決網(wǎng)絡(luò)安全問(wèn)題意義重大。應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全的宣傳工作,加大宣傳力度,擴(kuò)大宣傳范圍,從網(wǎng)絡(luò)詐騙案件的受害者年齡和人群分布來(lái)看,要重點(diǎn)加強(qiáng)針對(duì)中老年和偏遠(yuǎn)地區(qū)的知識(shí)普及與宣傳工作。
建立和完善網(wǎng)絡(luò)信息安全管理方面的法律法規(guī)。建立和完善網(wǎng)絡(luò)信息安全方面的相關(guān)法律法規(guī),是保證網(wǎng)絡(luò)信息安全的基礎(chǔ)。網(wǎng)絡(luò)信息安全立法也應(yīng)做到與時(shí)俱進(jìn),使法律的條款能夠充分反映信息技術(shù)發(fā)展水平。
(本文作者為北京科技大學(xué)東凌經(jīng)濟(jì)管理學(xué)院管理科學(xué)與工程系教授、博導(dǎo))