发布时间:2023-10-02 17:24:19
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇加强网络安全治理范例,将为您的写作提供有力的支持和灵感!
一、欧美国家的互联网安全治理
1.美国的互联网安全治理。1946年第一台计算机在美国研制成功,第三次科技革命也在美国发端,由此推动了美国数十年来网络信息技术的迅猛发展,这一发展过程也是互联网的治理过程:用法律法规保障公民的网络信息安全及实体基础设施的安全。如早在1966年就制定的《信息自由法》、1976年制定的《阳光下的政务法》、1978年制定的《总统档案法》和《计算机犯罪法》、1987年制定的《计算机安全法》《2001年关键基础设施信息安全法案》、2002年SNAS学会的《保护赛伯空间安全的国家战略》等法律法规,有效地保护了公民的网络信息安全及实体基础设施的安全,这其中也保护了全美大中小学数千万学生的互联网使用安全。
2.欧盟的互联网安全治理。2000年,欧盟委员会提出了“电子欧洲”行动计划,主要目标是在欧洲实现信息社会,并重视对互联网的安全治理:
首先,是注重未成年人网络安全的保护。一是在2009年2月10日第六个“加强网络安全日”,欧盟与全球17家知名网络服务提供商共同签署了《保证未成年人上网安全协议》,这17家网络公司包括Facebook、MySpace、Google、YouTube、Yahoo、Europe等业界顶级社交网站,要求它们要协同做好未成年人的网络安全保护;二是对移动运营商进行规范。从2007年开始,与28家移动运营商签署了《为青少年和儿童创造安全的手机使用环境的框架协议》,协议包括对内容进行分级、严控未成年人访问成人内容、撤查清理违法内容等,呼吁青少年和父母意识到问题的严重性。这一系列举措对我们在网络时代如何加强校园互联网治理具有很好的借鉴意义。
其次,是在法律规范下有效监管互联网。上世纪90年代,欧盟了4个关于网络和信息安全的法律文件,即《关于信息安全决议》《关于计算机犯罪的协定》《关于打击信息系统犯罪的框架决议》和《关于建立欧洲网络和信息安全机构的规则》等4个文件,把公共信息作为管制的重点。并在1997年9月15日了《电信部门个人数据处理和隐私保护指令》以保护互联网个人隐私信息。
从以上美欧的互联网治理看,这些国家和地区应对网络社会的措施和实践有着其成功的一面。“他山之石,可以攻玉”。在网络时代加强我国校园互联网安全管理,我们也应该有应对措施和部署。
二、我国校园互联网安全治理现状
校园网与互联网相连,在享受互联网信息方便快捷的同时,也给校园网的安全管理带来了新的挑战,而校园网的安全状况又直接影响到学校的教学、科研、管理等多方面的活动。我国校园互联网管理的主要特点是:用户规模大、自主意识强、环境开放、动态性强,管理上相对复杂。
在我国校园网络大规模建设和普及的过程中,一些问题和弊端逐渐凸显。主要表现在:师生网络安全意识薄弱,网络执法人员不足;校园学生用户缺乏自律和约束;校园网络安全治理方面的资金、人力投入不足,相应的硬件和软件相对滞后,未能驾驭行之有效的网络安全防御体系。我们应该根据以上校园网安全管理中的实际情况,借鉴他国先进的互联网安全治理经验,构建校园网络安全防御系统,推动校园网络安全管理逐步走向完善。
三、我国校园互联网安全治理对策
1.提高校园师生网络技术素质,构建自主防御堡垒
人是校园互联网安全治理环节中最重要的因素。“大多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。”如果校园师生严重缺乏网络安全基本技术素质,网络安全堡垒将不攻自破。所以,对学校师生有计划地进行网络安全技能培训是校园网络安全的首要任务。其中,新生入学教育和新员工岗前培训是提高网络技术素质的好时机。培训内容可涉及查杀毒、病毒库升级、程序安装、对操作系统进行及时更新、弥补各种网络漏洞等,并就常见的网络安全威胁问题进行培训,提高师生的网络安全防护技能。
2.完善网络安全法制化建设,依法保障校园网络安全
网络安全管理的法制化,是校园网络安全管理的必然趋势。只有构建完善的网络安全法律体系,建立健全网络信息技术管理的规章制度,才能科学有序地应对校园网络信息安全面临的挑战,做到有法可依,有章可循,进而实现网络安全的综合治理。一是要落实现行的法律文件,如《关于维护互联网安全的决定》、《互联网网络安全信息通报实施办法》等。二是要及时出台缺位的规章条例,缓解法律法规的单一性和滞后性带来的弊端,如出台《未成年人信息安全保护法》、《网络游戏管理法》等。三是要各级各类学校主动制订适用于自己院校的规章制度,来保障校园互联网的安全运行,如制定《校园网安全管理实施办法》《校园网络管理人员职责》《校园网管理记录簿》《校园网络安全事件记录簿》等,实现校园网络安全管理的规范化和科学化。
3.加强校园网络安全教育,保障未成年人网络安全
根据中国互联网信息中心公布数据显示,截至2010年底,在4.5亿的中国网民中,青少年网民占46.3%,达2.12亿人,其中未成年人超过9,858万人。在未成年人网络安全教育问题上,学校尽管承担着主要的责任和义务。但以目前的中国互联网生存状态,家长也依然承担着为未成年人创造安全互联网环境的主要任务,并在孩子们学习网络安全知识的过程中起着主导作用。因此,学校要保持与家庭、社会三方之间的密切联系,要做好对未成年人安全上网的指引工作,提供有利于青少年身心健康的积极向上的互联网信息,屏蔽有害信息,集合三方的引导力量,切实保障未成年人网络安全。
4.完善校园网络安全的组织建设,构建科学化安全管理体系
网络技术的发展日新月异,完善的组织建设和科学的管理体系是我国校园网安全治理的可持续发展重要保障。可以成立“校园网络安全管理委员会”等专门组织,完善网络安全管理规章制度,建立专门的网络安全管理队伍,根据自身条件构建科学的校园网络安全管理体系。新时期网络安全的严峻形势,要求校园建立网络舆情的预警、干预、评估的科学化安全管理体系以及时对网络安全动态及安全状况做出评估和预测,并有科学应对预案,保证网络安全防范体系的良性发展,确保它的有效性和先进性。
二、产生网络文化的背景和网络文化的构成
计算机网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然或恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。在此基础上,本文提出网络安全文化的概念,它是安全文化和网络文化相互渗透的结果。它继承了安全文化与网络文化的共性,同时又具自己的特性。因此,我们认为网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则,是每个人对网络安全的价值观和行为准则的总和。
三、网络安全文化的作用过程
网络是计算机技术与通信技术的结合,它从一开始就是为人们通信服务,它的根本任务始终是信息共享与交流,它的主体是人,客体是信息。网络安全文化则产生于人的网络信息活动并影响人的网络信息活动,它的影响过程是全过程的,即从信息的收集、加工、存储,到传输的整个过程。网络安全文化存在于人的心里,是引导和规范人的网络行为的“心镜”。人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。 它和行为主体的动机、情绪、态度等要素一起作用于主体,在很大程度上影响着主体的行为,并使得网络更加安全和谐,因此培育优秀、先进的网络安全文化具有重大的现实意义和作用。
四、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
五、计算机网络安全的防范措施
左晓栋在接受本报记者采访时指出,网络安全战略是一个国家网络安全工作的顶层设计。“早在2014年2月,中央网络安全和信息化领导小组第一次会议上就要求,中央网信小组要发挥集中统一领导作用,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力。《网络安全法》第四条明确规定,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。国家互联网信息办公室制定并公开《国家网络空间安全战略》,就是落实上述要求。”
近年来,网络安全成为影响全球经济安全运行、政治稳定发展的重要因素,国际社会和各国都在探索如何加强对网络安全问题的治理。据不完全统计,目前有70个左右的国家和地区都制定和更新了网络安全战略,美国等西方国家在不断加大网络安全领域的立法。左晓栋提到:“出台《网络安全法》,可以补上我国参与国际网络安全治理的短板。从国际看,制定国家网络安全战略也是通行做法。这次我们国家《国家网络空间安全战略》,相当于补上了这一个缺憾。”
发达国家在网络空间治理方面早有行动,欧美、日本、韩国在个人信息保护、网络安全保护等方面立法比较早,而我国的《网络安全法》相对滞后,针对此现象,谢永江谈到:“我们国家的立法思路可能是成熟一部、完善一部,颁布一部。我们国家网络安全方面的立法在2000年后,是国务院和各部委出台的,这可能是执法的需要,网络技术变化很快,如果总是求全责备,可能就很难出台。可以先出台,再不断完善。立法的思维和模式要转变,才能更好地适应网络快速发展的特性。通过法治手段实现对网络社会的有效治理,迅速推进和加强网络立法工作,是当前落实依法治国方略的重要任务。就互联网立法而言,我国应当采取专门立法的模式,不宜制定一部大而全的‘互联网管理法’。”
《网络安全法》制定的根本目标,马民虎总结说:“《网络安全法》遵循网络运行和网络社会自身的发展规律、特点,从维护网络安全、国家安全、社会公共利益、促进经济社会信息化发展的客观需求出发,以国家总体安全观为现阶段互联网治理的指导思想,将保障网络安全、维护网络空间和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展作为根本目标。”
《网络安全法》的出台,意义深远。对外能够在国际合作竞争中,为保障国家和国民利益争取更多主动权;对内能够完善网络安全的法律制度,提高全社会的网络安全意识和网络安全的保护水平。
正如左晓栋总结所言:“制定《网络安全法》是落实国家总体安全观的重要举措,它的出台意义重大。”他认为其意义体现在以下几个方面:
一是作为我国首部网络空间管理基本法,是网络安全法制体系的重要基础;二是为我国维护网络提供了最主要的法律依据;三是明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求;四是成为网络参与者普遍遵守的法律准则和依据。
内容:“举旗”与“指路”
《网络安全法》是我国网络安全的基本法,确立了我国网络安全的基本法律框架。左晓栋认为可以从四个方面理解这一论述:一是明确了部门、企业、社会组织和个人维护网络安全的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。
谢永江强调,《网络安全法》一方面总结并完善了现有的制度,也填补了网络安全领域的一些空白。“其中最重要的一点是加强了关键基础设施的安全,在等保的基础上强化了对关键基础设施的保护。另外《网络安全法》完善了网络信息、个人信息的保护,理顺了网络的监管机制,将网信部门的统筹协调职能做了明确规定,在监测预警、应急处置方面做了明确规定。强化了法律责任,以前因为没有人大层面的法律,相关的法律处罚比较轻,没有发挥应有的作用。
《国家网络空间安全战略》与《网络安全法》有着怎样的关系?“两者是相辅相成的关系。《网络安全法》从法律上规定了我国在网络空间安全领域的基本制度,相关主体在网络空间安全方面的权利、义务和责任;《国家网络空间安全战略》则从政策层面对外宣示了我国在网络空间安全领域的基本目标、原则和任务。法律具有较大的稳定性,战略则会根据形势变化不断更新。”谢永江如是说。
二者的都有着深远的意义。谢永江指出:“一方面,我们国家已成为网络发展大国,社会政治经济生活对网络的依赖程度不断增强,正从网络大国向网络强国迈进,对信息化需求日益增强,对网络的依赖程度加深,越是依赖就越需要安全的网络环境,必须将网络安全与发展同步。没有网络安全就没有国家安全。另一方面,网络入侵、网络攻击、倒卖个人信息等情况不容乐观,这些都在客观上促成了安全立法颁布,为网络空间、国家安全、企业安全还有个人安全提供更多的保护。国际上,一些网络霸权国家利用他们的技术优势实现对别国的网络监听、监视,严重威胁了我国的网络空间安全,出台《网络安全法》和《国家网络空间安全战略》除了要打击网络违法犯罪,另一方面也是要促进、推动我同网络空间安全技术的发展。”
左晓栋认为,《国家网络空间安全战略》具有对外、对内两方面的作用,对外是“举旗”、“划线”,即宣示中国对网络空间安全的基本立场和主张,明确中国在网络空间的重大利益;对内是“指路”,是指导国家网络安全工作的纲领性文件,即指导今后若干年网络安全工作的开展。“《国家网络空间安全战略》指出,当前和今后一个时期国家网络空间安全工作的战略任务是坚定捍卫网络空间、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。”
《网络安全法》针对当前我国网络安全领域的突出问题,明确规定了网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题,对于打造健康的网络生态环境将发挥积极作用。左晓栋说:“总体上讲,有利于依法S护网络空间和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。具体而言,其为各方参与互联网上的行为提供了重要的准则,对网络产品和服务提供者的安全义务作了明确的规定。”
中国互联网20年发展报告分十一章节:
一、中国互联网波澜壮阔的20年
回顾中国互联网发展的二十年历程,总体上经历了基础初创期、产业形成期、快速发展期,而目前正处于融合创新期。
二、互联网成为国家经济社会运行的重大公共基础设施
体现在四个方面:宽带网络规模建设水平国际领先;骨干网络持续演化升级;应用基础设施快速发展;互联网关键资源拥有量大幅增长。
三、中国互联网技术产业实现创新跨越发展
体现在三个方面:网络技术自主创新能力显著增强;智能终端制造业加快赶超;新技术应用不断培育形成新业态。
四、互联网加速经济转型升级
中国全面推动互联网与经济的深度融合,基于互联网的融合发展新模式、新业态不断涌现:电子商务引领互联网经济发展,网络零售交易规模跃居全球首位;互联网信息服务创新活跃,移动互联网成为互联网信息服务的加速器;“互联网+”驱动产业融合发展。
在“互联网+”驱动产业融合发展方面,报告中提到,以移动互联网为代表的新技术不断驱动线上线下(O2O)互动融合,旅游、租车约车、餐饮外卖等服务业基于O2O模式的产品种类和服务形态日益丰富,O2O成为大众创业、万众创新最活跃的领域。
并且,余额宝、百发在线、微博钱包、微支付、京保贝等互联网金融产品,个体网络借贷(P2P )、众筹等一批新兴业务,降低了金融服务的门槛,丰富了人们投融资渠道和方式。
五、互联网有力提升公共服务水平
中国注重利用互联网的普惠、便捷、共享特性,加快推进社会化应用,体现在:电子政务打造在线政府;互联网推进优质教育资源社会共享;互联网推动医疗健康服务精准化、个性化;互联网促进人的均衡发展。
六、健康向上的网络文化繁荣发展
中国大力发展健康向上的网络文化,培育和践行社会主义核心价值观,激发正能量、弘扬主旋律,这表现在:网络文化是社会主义文化建设的重要内容;中国特色网络信息传播格局基本形成;互联网传播力影响力明显提升;互联网积极传播中国声音。网络文化产业和文化事业蓬勃发展。
七、网络安全保障能力持续提升
没有网络安全就没有国家安全,中国坚持以安全保发展、以发展促安全,在推动互联网发展的同时加强网络安全保障能力建设:网络安全制度体系日益健全;网络安全技术产业体系初步建立;网络安全防护能力显著增强;学科建设不断加强、网络安全意识明显提高。
八、网络空间法治化加速推进
中国坚持依法治网、依法办网、依法上网,加强网络立法,严格网络执法,引导全网守法,并在以下几个方面做出了努力:互联网法律法规不断健全;网络空间生态治理规范有序;网络法治意识和网络素养明显增强。
九、互联网治理体系在探索中逐步完善
中国高度重视互联网治理,不断调整完善互联网管理领导体制,表现在:互联网管理领导体制调整完善;政府引领、多方参与治理模式初步形成;积极参与全球互联网治理。
十、互联网发展的中国经验
[2] 任丙强,孙龙.我国互联网信息内容安全及治理模式研究[J].2007,1.
[3] 孙 龙.社会公众的网络信息安全意识及监管需求研究[J].对四个城市3774位网民的问卷调查与分析.2007,1.
[4] 李国武.从ICP视角看我国网络信息内容安全的治理[J].2007,1.
[5] 任丙强.我国互联网内容管制的现状及存在的问题[J].2007,1.
[6] 林阳,祝智庭.中国网络信息安全教育研究.
规范网络秩序,营造良好舆论环境,是治国理政、定国安邦的大事。指出:“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。”的讲话,指出了当前网络空间存在的问题和亟待改善的现象,蕴含着对广大网民的期待。网络不是法外之地,同样需要建立良好的秩序。我们要一手抓正能量传播,一手抓网络生态治理,大力培育积极健康、向上向善的网络空间文化,为广大网民特别是青少年朋友营造一个风清气正的网络生态环境。
建设网络城市,让人民群众有更多获得感
近年来,国家对互联网的重视程度前所未有,“互联网+”、中国制造2025、创新创业、大数据等系列重大政策密集出台。全面落实国家战略,促进互联网向更高目标、更深层次发展,是我们共同的使命和任务。我们要全面落实“宽带中国”战略,大力实施“提速降费”行动,创建“全光网”城市,实现全市所有区县光纤网络全覆盖,不断提升100M光纤接入能力覆盖城市家庭比例,提升4G网络服务能力,率先引入5G网络部署,推进IPv6在LTE网络中的部署应用。推动区域通信网络资费改革,鼓励民营企业参与宽带建设运营,促进良性竞争,提升宽带性价比,加强电信资费公示和监测,进一步完善流量跨月不清零、流量转增等服务,让用户享受更多优惠,让人民群众有更多获得感。
二、建构主义视角下国家网络安全的内涵
阿诺德•沃尔夫弗斯在《冲突与合作》中将“安全”从主客观两个角度进行了分析,他认为客观意义层面的安全指的是指所拥有的价值不存在现实威胁的状态,重在强调客观事实和结果;而主观层面则更集中于主观的安全与否,指不受价值攻击和威胁的恐惧和不安,强调感觉,重在不安全感和恐惧的形成。理解“安全”也需要理解安全的反面——不安全——也就是威胁和恐惧。安全状态是一种二元结合、相互影响的理想状态。相反,对于威胁的界定和控制能够有效地保证安全状态的存续。对于一个国家而言,内部威胁和外部威胁也截然不同,“在国际维度上被认为安全的行为,可以是内向的也可以是外向的,换言之,可以是防卫性的,也可以是进攻性的。防卫是对现状的维护,是对自身内部的保护,而进攻则是对现状的改变和对现有格局的突破,是对外的行为。”网络安全包含了两个层面的主旨讨论,一层是“网络”的本体和主旨的描述规划了问题的主要来源和考查范围,另一层是“安全”所隐含的理论背景、发展趋势和本质诉求。“网络”的内涵已经伴随着计算机技术的发展,通讯技术、互联网技术、云计算、物联网、大数据等技术的不断推动而不断被补充,但是对其“安全”问题的探讨一直是伴随其技术发展重要性不断上升的核心问题。安全问题,就安全的属性而言,绝大多数学者认为:“安全是一个具有二元结构的问题,包括主客观两个方面,客观是指外界现状和客观现实,而主观则是对人们心理状态和感觉的强调。”这就将安全问题划入由客观安全和主观安全组成的二元体系。从这个安全观的角度出发,安全问题涉及到从宏观、中观到微观的影响范围,具体而言,就落实到国家安全、社会安全以及个人安全。网络已经深入到国家发展和人民日常生活的方方面面,其重要作用几乎涵盖了所有方面。所以,当下网络和信息安全就成为安全问题所要讨论的重要部分,其牵涉到技术方面的开发和控制,同时在网络系统和信息传播过程中的环节安全问题也有着重要的影响机制。网络安全关系上至国家信息安全、社会协调,下至民心稳定、个体隐私,对其防御、保护和治理是我们面临的新挑战。“网络安全因为网络化的进程和网络对现实生活更大范围的介入,使得其安全问题不仅指网上生活的安全,保证网上生活、交易、信息的安全性,同时也拓展到了网下生活的安全,就是与网络关联的每个人的生活都是安全的,不论个人主体是主动介入还是被动介入。”网络安全的内涵是丰富、复杂并且多元的,其顺着网络发展的触角延伸到了国家运行、社会运转和人民生活的各个层面,它已经不仅是技术开发阶段的安全问题,在其被使用和利用的过程中,以及衍生出的其他和网络相关的问题都属于网络安全涵盖的范畴。“网络安全若从其本质而言是网络上的信息安全。从更广义的层面上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究和探索领域。”国务院信息化办公室副主任王秀军从“防护对象”和“维护手段”两个方面定位网络安全问题,她认为:“在不同时期,网络安全的称谓和解释都有所不同,其内涵在不断深化,外延在不断扩展,而目前备受关注的网络安全包括技术安全、数据安全、应用安全、渠道安全、资本安全、意识形态安全等方面。”网络安全的议题随着时代变迁、技术创新、社会变革和国家建设的步伐,其理论内涵和外延在不断被重构和丰富,对国家安全、国家利益、公共安全、经济建设和社会稳定等方面的重要意义不言而喻,成为国家战略选择过程中不能忽视和回避的战略性问题。在中央网络安全和信息化领导小组第一次会议上的讲话中,在强调了网络安全和信息化的重要作用之后,强调网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,将网络安全视为关乎国家安全的重要命题,也是互联网日益发达的今天,国家安全议题所出现的新挑战、新任务,网络安全甚至成为关乎国家安全的必要安全指标之一。
(一)“网络安全”建构“国家安全”。
网络安全已成为国家安全大议题下众多安全要素的重要组成部分,无论是从客观还是主观层面,我国国家安全理论方面的建设都为国家安全这一重要国家议题提供了丰富的智力资源和理论成果。“国家安全是维护国家和的根本前提,没有国家安全其他无从谈起,而国家安全也是推进国家经济可持续、稳健发展和实现全社会稳定运行的安全基础。”从国家层面出发,安全议题可分为内部安全和外部安全,内部安全始终作为国家系统内的重大安全问题,涉及社会稳定、公共安全以及微观的个人安全等,而外部安全则涉及在全球化环境下国际间竞争,以国家为单位应对外国网络攻击、入侵和信息泄露等问题。网络安全作为一种重要的战略资源,其行为主体并不再限于国家或者权威机构,而将使用权力下放到了每一个个人,同时将构建网络安全保障国家安全的义务具体到个人。“由于网络世界的非对称性、去中心性和碎片性,网络犯罪主体的追踪范围已经扩大到个人、组织甚至国家。”个人、组织和国家都是通过网络安全来维护国家整体安全的基本单位。宏观的国家安全被划分成不同的领域:“政治、经济、科技、文化、军事、社会”的安全。目前,我国新的总体国家安全观谋求的是集“政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系,回应当下错综复杂的各类安全挑战。”所以,网络安全对于我国的完整、政治安全等核心安全问题有着重要保障意义,同时对于经济发展、社会运行和公共安全有着重要的建构意义。
(二)“网络安全”保障“国家利益”。
“杜查希克认为国家利益有五个永恒的要素:①国家实体的生存,主要指国民和国土的存在;②基本价值的生存,如自由、民主、独立、平等;③基本政治制度的维持;④经济的发展;⑤领土和完整。”无论是信息还是网络都是国家重要的战略资源,网络安全和信息化是国家重要资源的维护对象和途径。国家利益同样涉及内部利益和外部利益,内部利益是国家实现外部利益的前提和保证,内部和外部利益也相互影响。而网络安全的内涵指涉的是一个全局、全方位和全空间的安全意义,不仅对我国内部国家利益——国家的存在及存在状态以及内部价值的建构、经济繁荣、政治稳定有着提供安全保障的作用,同时对外部的国家利益——比如国际中存在、国际地位和国际竞争的公平和展开有着重要的建构意义。在网络构建空间中,能否能够在意识形态领域获得主动权和话语权,很大程度上决定我国国家利益的实现。
(三)“网络安全”建构“空间安全”。
网络是一个国家重要的战略资源已成为世界共识,网络建设属于国家基础设施建设的重要环节,对于一个国家而言,倘若涉及国计民生的基础性设施被控制、威慑、攻击或者破坏,从结构主义的观点出发,这个国家整个运行系统必然面临威胁。新《国家安全法》以法律的形式明确了“维护国家网络空间”。网络,已经成为新的空间要素而客观存在,“信息”是在巴西演讲别提出的概念,是继陆、海、空、天之外的国家第五大空间,网络空间的保护和管理,是对连接这个国家的经济、政治、文化和社会的空间的总体关照,同时,网络空间也成为拉动经济发展、维护国家安全、传播先进文化、促进国际交流的主导动力来源。我国将网络安全上升到国家安全的高度,将网络建设升级至国家层面的议题,此举标志着中国这个世界上名副其实的互联网大国——拥有最多的网民数量、运行最庞大的互联网应用市场、具备最强大的科技发展动力,树立从网络大国到网络强国的发展目标的矢志不移的决心。国家首先要充分认识到网络安全议题的重要性、关键性和紧迫性,再以网络安全为原点辐射和管理逻辑起点,促进国家其他安全问题的落实和跟进——完整、信息公开、隐私保护、经济稳健、政治稳定和公共安全以及全民安全。
三、我国国家网络安全的战略分析
结合中国的具体国情和网络自身的特性,2014年是中国进入互联网世界的第20年,并且多项针对网络安全与发展的政策和措施相继出台、落到实处。中国要以2014年为发展元年,确定中国网络安全国家战略六点基本原则:(1)法律底线——保护公民隐私及国家到个人最基本的权益,发挥法规和市场规律的力量;(2)合作先行——鼓励合作,国内跨地区、跨行业、跨部门合作,国际上寻求积极合作机会;(3)职责明确——明确各部门的义务和责任,也明确各安全责任主体的责任和义务;(4)遵循规律——尊重互联网客观特点和发展规律、市场经济规律、政治制度和社会文化特征,不能将网络建设视为割裂之要素,更不能反其道而行之;(5)制造共识——群众基础培养和意识形态基础,为主观安全的构建而努力,建立一种全新的安全防护及管理机制以应对日益严峻的网络安全状况;(6)应对灵活——尊重网络空间规律和特点,提高灵活性,部门建制要符合需求,增加垂直纵深力度,减少层级和多部门分散。在以上六点原则基础上,结合我国互联网发展水平、现实社会的发展特点,在思想与对话并重、现实与虚拟并驾的前提下落实我国网络安全的发展战略。
(一)整体观念,要树立总体国家安全发展观。
对我国而言,网络技术的全球范围普及和发展既是机遇也是挑战,出现了新的发展契机,但同时也使国家发展的外部环境变得更加复杂,网络空间的无远弗届让个体网民的信息安全风险加大,在全球化大局的驱动和全世界各国齐头并进的格局下,加强网络空间治理成为国家的重要议题和国际间各国新的博弈。“从进入20世纪以来人类的空间实践来看,人类社会空间的转换集中体现在三个维度:城市化空间、全球化空间和网络空间。”我国网络发展面临的国际局势可描述为:存在竞争关系,在寻求合作的背后是资源的争夺、技术的博弈和实力的对抗,而且国际形势并不乐观,网络攻击和控制始终存在。而国内形势则是:地区发展不平衡,政策覆盖不平衡,受互联网影响大,数字鸿沟始终存在,网络安全问题频发而且呈现形式多样,例如网络诈骗、网络流言甚至是网络犯罪等。“国家不可能是一种完全独立的权力,应该在经济方面寻找它的基础,而为了不陷入经济主义,又必须借助于‘多元决定论’去考察国家的‘相对自主性’。”国家权力机构正是具有这种“相对自主性”的特点,从中国国家本身出发,“总体国家安全观”是对内对外双向建设和治理中的概括性战略,是作为国家权力的高度将“安全”议题多元化,将“网络安全”作为整个国家安全总战略的一部分,“总体国家安全观”既面向国内大局,同时也以整体的形式防御和应对外部国际局势。“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂”将“网络安全”纳入到总体国家安全观中,打造国家安全“命运共同体”。2014年4月15日,在主持召开中央国家安全委员会第一次会议时提出:坚持总体国家安全观,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。总体安全观从国家角度确定网络大安全范围,从政治治理和国家角度规制了网络安全。“贯彻以人民安全为宗旨的总体国家安全观,既要着眼于实现全体人民的安全,又要体现到保障每个人的安全上。”
(二)强制与认同并行,国内与国外并重。
1.“强制”与“同意”:“葛兰西把国家看作是政治社会和市民社会的结合,是强制和同意的结合。”由此在践行网络安全执行的主体讨论中,“强制”和“同意”是网络安全在政治社会和市民社会的双向核心即政治层面的执行力,“政治统治是以执行某种社会职能为基础,而且政治统治只有在它执行了它的这种社会职能时才能持续下去。”同时,来自市民社会的“同意”反映出网络安全意识形态层面的民意基础和舆论基础。在网络安全治理过程中,问题复杂,层级重复而且建制部门之间的职能也有重合和覆盖,这时,国家的建制和从政治高度出发、从市民社会微观表现议题都规定了网络安全防御、维护和合作的要求。
2.“国内规制,国际塑造”是指在网络安全的战略考量中需要考虑的“国内”和“国际”的双向维度,也是综合大环境要素和全球化的趋势:以国内安全带动国际安全。“吉登斯认为不能将全球化仅仅视为经济方面的全球化,实际上全球化涉及到全球的军事、政治、文化等各个方面,它甚至深入到个人的行为、思想和日常生活。”即使是在全球化的巨大浪潮和国际间加强交流的语境之下,问题和归属问题都是不能忽视和妥协的关键问题,而网络和归属也直接关乎国家的网络安全水平。网络安全作为国家安全总体战略的一部分和重要基础安全,一定要建立“统一领导,多维治理”的战略部署格局,国内以规范和治理为主,国际上则是合作与防御并存。中国的国家网络建设需要在国际上获得合法性、国际认同和国际地位,中国的网龄尚轻,在国际舞台上还有很大塑造空间,现在是定义中国国家网络地位的阶段,所以,国际视野中以“塑造”战略为主,同时加强自身防御能力,开展有条件有范围的国际合作和共享,既分享网络治理经验和理念,同时也要加强核心技术保密和网络系统安全不被攻击和胁迫,确保在去边界、去中心的网络空间中保持独立自主同时开放包容的角色和定位。
(三)从“防御”到“自生”再到“引导”的多层级战略防御。
防御是我国网络安全战略的执行前提,是最为基础的目标;自生是在防御基础上提出的新要求,就是要加强自主创新能力,减少对大国技术生产的依赖;引导是中国国家网络安全战略最宏大的目标,从国内内部安全的角度而言,内部引导是规划国家内部网络建设建制,从某种意义上说,只有大国乃至超级大国,才会有这样的需求和意识。将国家权威投射在网络空间范围内,并努力将整个国际网络空间纳入到本国的控制系统。从“目标界定与威胁认定”的角度出发,“威胁认定究其本质说是一个‘归因’过程,换言之,这是一个主观与客观相结合的过程,而非纯粹的客观判定。‘归因’之于威胁认定,就是‘科学地找到令人满意的威胁来源’”。放眼全球化和自身建设,实现防御、自生、引导三个层级的目标。实现“保护我国关键网络基础设施安全及自身防御能力、提高自身的自主研发和技术开发能力,网络安全的设备安全和技术安全、规制国内安全网络和在国际关系中获得话语权和主动权”三大层次上的战略目标。
(四)上达国家下至个人的多主体多层级的有序安全体系建设。
从划分安全主体的分层级战略出发——相对于本国而言的国外势力主体、国家、企业和个人。这项战略有助于细化责任归属,切实提高治理效率。第一层级,即最高层级,也是安全问题的核心主体。网络安全的最高层级首先是国家安全,具体也包括一些核心机构和重要职能部门的安全。随着国家网络化的程度越来越高,网络被应用到生活和管理的更多方面,从而也对网络安全提出了更高的要求,其蕴藏的风险也更大;其次是全球化语境中相对于自身国家而言的外国主体,即和国家本身既是竞争又是合作的关系的主体,他们在网络安全领域的身份具有二重性:网络安全的主要威胁主体和国际环境中的合作主体。第二层级涉及企业安全。互联网改变了企业的运营模式、组织手段和服务方式,网络化的程度越来越高,同时移动互联网的兴起和发展,使得各个移动终端、移动手机和可穿戴设备、人工智能等都成为一个网络入口,管理成本更高,终端碎片化,也就大大增加了攻击企业内网和信息外流的风险。如此这般,对企业层级的保护也需要被纳入到网络安全议题的日程上来。互联网时代每个位移范围的手机都可以变成一个Wi-Fi,对企业的网络攻击可以绕开防火墙,从攻击员工个人入手,再对单位发起攻击,这同样需要网络安全解决方案的保护。第三个层次则是个体安全。以上提到的移动互联网技术和终端的发展使网络的入口变得极其复杂和多样,智能手机、移动终端、可穿戴设备和人工智能以及物联网技术,用户信息通过各种能够感知和不能感知的渠道和方式被无处不在的终端搜集、传输和处理,一旦被攻破,个人隐私便会泄漏,对个人隐私权的保护就存在威胁。同时,个人也是网络空间中散落的个体和小的传播媒介,个人力量也有在网络空间制造威胁和巨大传播流、传播话题的能力。这三个层级的主体战略提供了一个从宏观到微观的战略层次:对网络空间和信息化流程中的各责任主体进行规制、引导和保护,他们受到的安全威胁与能够制造的安全威胁同样值得重视。与此同时,我国国家网络安全战略还要提高应对灵活性和预案预警能力,建设国家规格的网络安全数据库,强化数据保护。随着互联网技术的丰富和演进,不断提高国家适应网络发展但是又不受制受控于网络技术的应对能力和技术水平;硬件发展的同时国家的软实力也要相应支持跟进,加强人才队伍的培训和建设;运用垂直纵深的管理模式,寻求政策平衡、区域平衡和国际平衡三者之间的平衡点。网络安全的度要拿捏把握,在保护安全的前提下不能限制了网络使用,压抑了网络本身的发展潜质,这不只是权利获取问题,也不只是信息使用问题,更是国家经济发展问题。从国家宏观治理的角度出发,减少政策性和可避免的鸿沟的出现,以免出现其他一系列的连锁反应。决策者的认知对于决策的制定至关重要,认知变化成为政策变化的主要动力,研究国家网络安全问题要树立“问题导向”的思路——威胁存在的可能性和形式以及评估体系,建立相应的安全相应系统,安全意识的培训和疏导,提高抵御风险和威胁的能力,国家层面的安全保护以及国际网络安全合作,既驾驭全球网络技术发展的东风同时也辩证理性地看待这其中伴随的裹挟和冲击。“生于忧患,死于安乐”。要树立国家网络安全的危机意识。网络世界日新月异,也为国家的治理和调控提出挑战,如何应战、利用、协调和维护对于国家、政府、企业和个人都任重而道远。首先技术开发方面即不能受制于人,要掌握充分自主和驾驭空间:将主动权和对技术的控制权牢牢掌握在本国能力可及范围,硬件、软件都不再受制于人,安全掌握在自己手中,国家网络安全预警系统建设先行,降低安全威胁。提升国民网络素养,筑起网络安全的高墙。“我国要举国家之力动员全民共同努力最终建立起多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作的网络空间。”经过五年技术研发、调试和攻关,我国自主研发的“网络身份证”技术等大规模服务技术难题已被悉数攻克,网络安全的客观安全要求有过硬的技术支持和坚实的管理系统。在网络安全的硬件执行力和网络身份管理方面,已经建立起全国唯一的“公安部公民网络身份识别系统”。这是中国公安部针对网络虚拟的社会管理,为切实保护公民网络安全而采取的重要安全举措。建立网络身份管理的基础框架,是构成网络社会法治化的管理基础,是形成中国网络信任与身份管理体系的有益探索,这也是建立互联网治理有效的数据库建设以及后续跟进的长期有效的基础保障。同时,我国已经连续两年举行网络安全周活动,切实将网络安全作为公民教育的一部分落到实处,从个人层面抵抗网络安全风险和威胁,增强网络安全与自我保护意识,树立网络安全观念,建设最具有群众基础和社会共识的网络安全保护网,引导公众健康使用网络,共建健康文明的网络大环境,实现网络安全从上至下的分层布局和有序管理。
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
0引言
目前,人们在使用计算机时,常常会遇到一些危及信息安全的问题和故障,给用户带来损失和麻烦,新时期用户对于计算机应用环境安全的要求不断提高。新时期用户对于安全的计算机应用环境的要求不断提高,需要相关部门结合现有的网络信息安全技术管理问题,探究网络信息安全技术管理的有效策略。
1目前危及网络信息安全的主要因素
1.1互联网自身的风险因素
互联网本身是一个复杂的虚拟空间形态,内容众多,涉及面广,覆盖范围大,其中还涉及各类硬件、软件、设备、数据和信息等资源,这一复杂的网络系统能够同时接收不同渠道传递的数据信息,而不同渠道的信息资源质量良莠不齐,还有很多信息本身带有一定的危险因素,或者是携带病毒,这些都会带来互联网系统的安全问题,这是互联网自身存在的风险和漏洞,也是造成网络信息安全问题出现的根本原因。
1.2病毒威胁和黑客攻击的风险因素
互联网平台包含大量的硬软件,这些硬软件是互联网系统的重要组成部分,一些不法分子或者商家通过在相关软件和硬件中插入病毒,以达到对不同计算机设备进行破坏的目的,甚至存在一些高技术水准的网络黑客恶意攻击其他用户计算机系统,窃取重要信息和数据,篡改程序、文件信息等,造成对方计算机用户的计算机系统瘫痪,信息丢失和被篡改,后果十分严重。
2计算机网络信息安全的管理现状
现阶段,计算机网络信息安全已经成为全民关注的热点话题之一,人们迫切需要一个安全的网络环境来保障他们各项网络活动和交易的完成。但是就目前的网络信息安全技术管理现状来看,情况并不乐观。首先,我国尚未建立起比较完善的网络信息安全管理制度,没有建立全面的一体化的安全管理规划,导致网络信息安全技术管理工作的开展缺乏规范和指导,管理成效不理想;其次,在网络信息安全的相关防范技术的宣传和教育上,相关企业和部门也没有做好预防和宣传工作,计算机用户虽然知道网络信息安全的重要性,但是缺乏相应的防范知识和能力,导致他们在计算机应用中依然无法做好安全防范准备,在应对安全侵袭问题时束手无策;再次,在网络信息安全技术的掌握上,计算机用户也处于较低的水平,他们不能有效运用相应的技术管理手段来维护计算机网络信息的安全,导致计算机系统受到安全威胁;最后,相关硬软件的安全防护措施上也存在一定缺陷,从而导致安全漏洞出现。
3网络信息安全技术管理的有效策略
3.1制定安全管理制度,实现一体化安全管理
为大力推进网络信息安全管理创新工作的开展,推进网络信息高效运转,提高应对网络安全事件的能力,相关企业和部门需要采取一系列措施,提升信息网络安全管理水平。首先,健全工作制度。制定《网络安全事件应急预案》《信息系统账号和权限管理制度》《网络信息安全管理办法》等一系列制度,从不同角度和层面完善信息网络系统安全管理体系;第二,不断完善防病毒体系。更换一批老化的安全设备,更新防毒墙、病毒库和系统漏洞补丁;常态化开展重要信息系统和政府网站安全自查、检查等工作;第三,强化日常监测。采用“人工+自动监测”方式,坚持每日读网,对门户网站等重要系统进行监测,及时发现网络不连通、链接失效等问题,杜绝“不及时、不准确、不回应、不实用”等问题发生;第四,加快建立应急队伍。从网络信息安全相关技术服务单位中选择相关专家和技术人员与信息技术应用人员组成网络安全应急技术支撑队伍,并保持紧密联系,建立长效沟通协调机制,在发生安全事件时,合力解决问题。相关部门要增强政治意识、大局意识和责任意识,建立网络安全管控协调机制,涉事部门必须无条件支持网络信息处置相关安排。要高度重视网络安全问题和不实信息内容,形成一盘棋思想,做到守土有责,属地管理,谁主管谁负责。各应急联动部门要做到24小时在线监测,并统一处置流程,统一上报渠道,做到不漏报、不搁置、不走形式,违规必追责,追责必惩处。要有担当,讲政治,顾大局,担负起网络信息内容线上处置的主责和线下处置的监督责任。要强化底线思维,做到教育疏导到位,认真解决到位。
3.2加强网络信息安全宣传,提升安全防范意识
网络安全不仅事关国家安全和国家发展,也直接关系到每一个网民的切身利益。要精心组织网络安全宣传周活动,深入宣传贯彻《网络安全法》,大力培育积极健康、向上向善的网络文化,持续加强网络空间治理,严厉打击各类网络违法犯罪活动,整合各方力量,共同落实国家网络安全战略,推动形成全社会重视网络安全、维护网络安全的良好局面。地区要定期开展网络信息安全宣传教育工作,例如在网络与信息安全宣传周以“网络安全为师生,网络安全靠师生”为主题,开展活动内容丰富、形式多样的宣传活动。活动期间充分利用官方微信公众平台、微博平台等新媒体宣传媒介,以及专题网站、广播、电子屏幕、宣传海报和横幅等方式宣传活动方案内容及网络与信息安全知识。还可举办网络与信息安全知识讲座教职工专场、网络与信息安全知识讲座学生专场、网络与信息安全知识视频培训、知识问答等活动,发放网络安全法宣传册等材料。通过专题网站国家有关网络与信息安全法律法规、网络与信息安全知识。为了更好地落实网络与信息安全责任制,活动期间学校和企业与各部门、院(系)签订网络与信息安全责任书。通过活动宣传网络安全法律法规,普及基本的网络与信息安全知识,使广大群众增强网络安全防范意识,提高网络和信息安全防护技能。
3.3强化技术防范,促进安全应用
在计算机的使用过程中,要不断强化网络信息安全的技术防范措施,强化专管员履职能力。制定办公设备信息安全定期检查考核制度,专管员每周不定期对设备涉密信息及安全使用情况进行抽查,对员工使用办公机具和生产客户端、信息管理、外来U盘、中转申请使用及审批、机具感染病毒等多方面进行监测,发现问题按照考核办法处理,落实好激励制度。重视信息安全硬件设施的规范使用。在畅通数据传输通道的同时,注重信息安全硬件设施的规范使用,定期更新维护防毒软件,大力降低安全风险,确保网络信息安全,防患于未然。建立安全防护体系,强化关键信息基础数据保护。梳理包括三级网元、DNS等在内的23个网络关键信息基础设施,并在等级保护的基础上,进一步加强安全防护工作。此外,还要加强互联网网络空间安全工作,建设移动互联网恶意程序监测和处置系统、僵木蠕监测和处置系统、异常流量监测和处置系统,对各类恶意程序进行监测处置。还要加强治理,防范打击通讯信息诈骗。从业务源头和技术防范方面加强治理,切实防范打击通讯信息诈骗。加强重要信息系统监控和管理工作。严格内外网使用规定,禁止内外网混用,严格病毒防范,禁止随意使用各类数据传输媒介,规范税务网络信息安全行为。加强网络终端监管,建立安全监控和管理机制,实时对违规使用网络的行为和计算机病毒进行监控,对发现的违规行为和计算机病毒及时进行处理,并通知使用单位进行整改。及时升级管理系统。对已经运行的财务软件系统做好硬件软件的日常维护工作,及时修补漏洞,更新系统。同时,在财政业务内、外网统一安装防火墙和做好数据的备份工作。通过这样全面的安全防护措施的实施,确保网络运营的安全高效进行。
3.4完善网络硬软件建设,强化软件维护和管理
要促进计算机的高效应用,还需要不断加强网络软、硬件安全建设。做到日常与新态并重,软、硬件建设相结合,硬件上下功夫,软件上重管理,在做好网络日常管理的同时,定期检查网络节点,定时进行漏洞扫描,落实网络安全域边界的访问措施和策略。购置新一代应用防火墙、防病毒网关、上网行为管理网关和关键网络核心路由、交换硬件和网络审计系统、安全审计系统和网络运维管理系统等软件系统,确保内外网络出口安全运维。针对网络运营中存在的漏洞,必须要尽快采取相应的技术措施。为强化网络安全漏洞管理,首先要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;然后要强制执行重要信息系统上线前漏洞检测,尽量在源头堵住漏洞;最后对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,应实施强制召回,避免造成更大的损失。
4结论
网络环境复杂多变,其中涉及的人员众多,覆盖面较广,网络信息安全技术管理是确保计算机应用的关键要素,针对网络信息安全管理中存在的固有问题,相关硬软件运营商、网络运营商等都需要尽快采取有效的安全技术防护和管理措施,针对突出的网络信息安全漏洞问题,采取相应的解决方案,确保构建安全的网络信息环境,为计算机的高效应用提供良好的环境。
参考文献:
[1]杨雨锋.计算机网络与信息安全防范措施探究——评《计算机网络与信息安全技术》[J].新闻与写作,2016(9):125.
[2]谢剑.虚拟专用网络技术在计算机网络信息安全中的应用价值研究[J].信息化建设,2016(4):63-64.
[3]高山山.基于网络信息安全技术管理下的计算机应用探究[J].科技创新与应用,2015(33):106.
一、引言
在中央网络安全和信息化领导小组第一次会议强调“没有网络安全,就没有国家安全”[1]。如今以互联网为核心的网络空间已成为第五大战略空间,互联网安全问题已引起了各国的高度重视。尤其2013年的“棱镜门”事件,使得国际社会和普通公众对网络安全的空前关注。过去的几年间我国互联网安全状况总体平稳。但是从相关数据上看,我国互联网仍然存在较多安全隐患。对广大网民、社会经济和国家安全均造成不同程度的威胁和挑战。本综述重点阐述我国互联网所面临的安全威胁现状和未来发展趋势。
二、我国互联网安全现状简介
(一)基础信息网络安全形势分析
我国基础网络安全防护水平已有较大改进,但仍存在诸多信息系统安全风险,尤其是DNS面临安全漏洞、DOS攻击等威胁,从而引发一些安全风险。下面从四个方面进行分析:
1.基础网络安全防护水平得以进一步提高
2013年基础电信企业高度重视网络安全防护工作,对全网开展了网络单元和业务系统的定级备案调整工作,网络单元开展了符合性评测和风险评估,各企业符合性评测达标率均在97%以上。检测中还着重加大了用户个人信息保护工作的检查力度,通过安全隐患的测试和修复,有效降低了通信网络的安全风险。
2.基础网络信息系统仍存在诸多安全风险
2013年国家信息安全漏洞共享平台通报了漏洞风险事件518起,较其去年增长超过了一倍。其中软硬件、信息泄露、权限绕过、SQL注入、弱口令等类型漏洞较多,分别占42.1%、15.3%、12.7%、12.0%和11.2%。对此,各企业均积极响应,及时进行修复加固处理。但仍有部分接入层网络设备被攻击、控制,网络单元稳定运行及用户数据安全存在威胁,我国对国家级有组织攻击风险的基础网络整体防御能力仍然很薄弱。
3.DNS系统依然是影响互联网安全、稳定运行的薄弱环节
域名解析服务的安全问题直接影响到网络的稳定运行。但由于域名注册服务机构的域名管理存在漏洞,攻击者可以轻易篡改域名解析记录,从而导致用户的正常访问受到严重影响。此外,针对域名系统的拒绝服务攻击日益严重。直接针对DNS系统发起的攻击,不仅能导致目标网站瘫痪,而且还会牵连到大量无辜网站,从而造成极其严重的后果。
4.承载互联网业务的基础信息网络频现安全问题
伴随着基础网络设施的不断完善,承载互联网业务的基础信息网络业务类型日益增多,急需引入新的安全风险机制。例如2013年7月22日,腾讯的微信业务出现了故障,全国大约有6000多万用户无法正常使用[2]。同年部分互联网公司的网站域名在某些地区被劫持,甚至强行插入广告,某些宽带接入商的小区路由器对部分网站进行劫持跳转等事件。随着互联网业务的不断创新所导致的安全问题不断演化,如何及时、有效的解决和应对,这就需要互联网服务提供商和基础电信企业共同努力。
(二)公共互联网治理形势分析
2013年工信部组织开展了防范治理黑客地下产业链专项行动,及时处置木马僵尸网络等网络攻击威胁,取得一定成效。但网络设备后门、个人信息泄露等事件依旧频繁出现,表明公网环境仍然存在较多安全问题。虽然专项行动下我国境内感染主机数量总体略有降低,但感染远程控制类木马的主机数量有小幅上涨趋势,这对用户主机极具危害性。
1.众多网络设备后门依然存在
据CNVD统计,2013年共收集各类安全漏洞7854个,其中高危漏洞2607个,软硬件漏洞505个,都较2012年有所增长。同时,CNVD分析验证了Cisco、D-LINK、Netgear等厂商的路由器存在后门,黑客可由此直接控制路由器,进一步发起窃取信息、DNS劫持、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全。
2.个人信息泄露问题仍面临挑战
云计算、物联网、移动互联网、社交网络等互联网新技术、新业务正改变个人信息收集和使用方式,个人信息的可控性逐步削弱,姓名、身份证号、消费记录等重要信息面临泄露风险。例如,2013年的“查开房”事件[3]。
(三)移动互联网环境分析
移动互联网恶意程序数量正呈现出大幅增长态势,恶意程序的制作、、预装、传播等初步形成一条完整利益链条,移动互联网生态环境、亟须加强管理。
1.安卓平台的恶意程序呈爆发式增长
2013年,CNCERT自主监测和交换捕获的移动互联网恶意程序样本中的99.5%是针对安卓平台。其中71.5%是恶意扣费程序,较2012年有大幅度增长。
2.手机恶意程序传播渠道多样化
2013年,据CNCERT监测发现移动互联网恶意程序传播次数达到1296万余次,移动互联网恶意程序下载链接1207万个,用于传播移动互联网恶意程序的域名15247个、IP地址60976个。这些域名包括移动应用商店、论坛、网盘、博客等众多类型。为此,CNCERT组织开展了8次移动互联网恶意程序治理行动。同年,中国反网络病毒联盟(ANVA)建立了“移动互联网应用自律白名单”机制,公布了首批“移动互联网应用自律白名单”。
(四)经济信息安全威胁分析
2013年的互联网与金融行业深度融合,以余额宝、现金宝、理财通等为代表的互联网金融产品市场火爆,。但与此同时,钓鱼攻击也呈现跨平台发展趋势,在线交易系统防护稍有不慎即可引发连锁效应,影响金融安全和信息消费。
1.跨平台钓鱼攻击呈增长态势
除了传统互联网的钓鱼网站之外,黑客还结合移动互联网,利用仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的钓鱼欺诈攻击,危害用户经济利益。例如,黑客利用安卓系统的“签名验证绕过”高危漏洞,制作散播大量仿冒国内主流银行等金融机构的移动应用,诱导用户安装,盗取用户银行账户信息。
2.在线交易系统安全问题的连锁效应
随着互联网金融市场的异常火爆,互联网和移动通信技术降低了使用门槛,在带来便利的同时也引入新的安全风险。
例如,支付宝钱包客户端iOS版的手势密码漏洞,导致系统安全问题出现后,风险也随之传导至关联的银行、证券、电商等其他行业,产生连锁反应。
(五)政府网站面临威胁分析
政府网站因其公信力高、影响力大,容易成为黑客攻击目标。相对部委网站而言,地方政府网站更易遭受攻击。
1.地方政府网站成为黑客攻击的“重灾区”
据CNCERT监测,2013年,政府网站被篡改数量为2430个,较2012年增长了34.9%,其中大多数地方政府网站,这是由于地方政府网站存在技术和管理水平瓶颈,而且一些部门对预警通报置若罔闻,导致安全威胁长期存在很容易成为黑客实施进一步攻击的跳板。
2.境外黑客组织频繁攻击我国政府网站
2013年,境外“匿名者”、“阿尔及利亚黑客”等多个黑客组织曾对我国政府网站发起频繁攻击。其主要利用网站漏洞预先植入后门,对网站实施控制后遂发起攻击。
(六)大量境外地址的频繁攻击威胁
国家级有组织网络攻击行为显著增多,给国家关键基础设施和重要信息系统带来严重威胁和挑战。
1.国家背景的有组织攻击
2013年6月以来,斯诺登曝光“棱镜计划”[4]等多项美国家安全局网络监控项目,披露美国情报机构对多个国家和民众长期实施监听和网络渗透攻击。国家安全和互联网用户隐私安全面临严重威胁。
2.大量境外地址的攻击威胁
境外主机通过植入后门对境内网站实施远程控制,其中针对我国的钓鱼站点有90.2%位于境外,通过木马僵尸网络,41.1%主机被境外所控制。为此,CNCERT不断加强与国际CERT组织间的网络安全合作,完善跨境网络安全事件处置协作机制。
三、我国互联网安全对策
(一)加快网络安全战略和相关政策制定,统筹规划网络安全保障能力
随着“棱镜门”和国家级APT事件持续发酵,应尽快制定符合我国国情的国家级网络信息安全战略,明确应对网络安全威胁的战略目标、指导思想和方针,为维护国家网络空间安全提供战略指导;同时,应制定相关配套法规政策,明确相关主体工作内容和责任义务。
(二)加大网络安全投入,提高网络安全意识
建议相关行业、企业和政府部门,加大网络设备和技术研发方面的投入,强化安全保障和管理,提高应对网络安全新风险能力,减少因技术不断发展引起的网络安全隐患。
(三)加强网络安全技术手段建设,提高网络攻击追溯能力
针对传统攻击以及互联网新技术新业务可能引发的新攻击,建议强化网络安全技术手段的研究和建设,进一步提高网络攻击的威胁监测、全局感知、预警防护、应急处置、协同联动等能力。
(四)提高核心设备国产化水平,加快完善信息安全审查制度
建议加强网络关键设备、核心技术的研发和推广,提高重点行业和重要信息系统联网设备软硬件的国产化水平,提升软硬件产品和服务的自主可控能力。同时,建议尽快完善信息安全审查制度框架,明确信息产品的审查范围和审查内容,进一步增强国家信息和网络安全保护水平。
(五)加强移动互联网恶意程序治理,维护良性移动生态环境
建议政府主管部门加大移动互联网监管力度,督促企业落实各项责任,加强对移动互联网应用商店、增值电信企业经营者的网络安全管理,建立健全标准规范以明确应用程序制作者和应用商店的责任。
(六)加强网民网络安全意识,提升全民网络安全防护能力
建议政府、企业、安全厂商和社会组织等共同努力,提升网民的网络安全防范意识和技能。防范个人主机或移动终端的木马僵尸网络操控,防止财产损失和个人信息泄露。
参考文献
[1]人民日报(数字报)[DB/OL].http://.cn
[2]新华网[DB/OL].http://
[3]百度百科[DB/OL].http://
在我国,尤其是2000年以后,随着互联网逐步进入商用领域和实行市场化运作,我国有关互联网的立法活动也呈上升趋势,国家制定了一系列与互联网相关的政策与法律,这些政策与法律具有管理、促进以及保障互联网产业发展的作用。为了适应“互联网+”时代产业的发展,我国也在积极完善相关政策法律。
制定数据开放立法及政策,促进大数据产业及信息化发展
大数据正成为继互联网、云计算、移动互联网和物联网之后引起广泛关注的新概念,将像能源、材料一样,成为战略性资源。美国政府已将大数据视为强化美国竞争力的关键因素之一,把大数据研究和生产提高到国家战略层面。可以预见,大数据应用将给中国经济发展带来新的机遇,深刻影响零售、金融、教育、医疗、能源等传统行业。
抓住大数据的机遇,中国将站在现代化的制高点上。我国信息化法治建设中,应紧紧抓住该历史机遇,制定大数据开放相关立法及政策,积极开展大数据技术应用,充分发挥示范效应,促进大数据产业发展及我国信息化建设。
建立与产业发展相适应的平台责任制度,促进互联网产业及信息化发展
近年来,我国互联网立法对互联网平台所应承担责任的要求有所提升。包括已经制定或正在征求意见的相关立法都体现了该趋势,如《消费者权益保护法》、《食品安全法》、《互联网食品药品经营监督管理办法》等。这些法律的出台,解决了消费者网络维权的难题,但同时也要兼顾行业的发展,这就要求建立与产业发展相适应的平台责任制度,促进互联网产业及信息化发展。
首先,过度严格的第三方平台责任,将加大企业运营成本,有可能影响互联网产业发展。近年来我国已成为继美国之后全球最重要的互联网力量,对我国经济社会发展产生了巨大的辐射作用,这得益于我国互联网行业处于与产业发展相适应的政策法律环境。国务院的《关于促进信息消费扩大内需的若干意见》要求拓展新兴信息服务业态,丰富信息消费内容,拓宽电子商务发展空间等。同时,第三方平台不具备法定安全监管等职能,缺乏必要监管手段与监管能力,难以承担安全监管责任。
其次,要求平台承担食品安全责任与当前国际立法趋势不一致。第三方交易平台责任问题是当前各国互联网发展中都面临的问题,目前美欧日韩等相关立法均未要求平台承担食品安全责任,而是要求平台履行合理注意义务,根据过错承担有限责任。我国《侵权责任法》、《信息网络传播权保护条例》等立法也采纳了类似立场,引入“避风港”等原则,对平台责任问题进行限制。
尽快出台网络安全战略,加强网络安全立法
加强网络安全立法是大势所趋。从2003年开始,美国相继了《网络空间国家战略》、《网络空间政策评估报告》、《网络空间可信身份标识战略》及《网络空间国际战略》。
从欧盟成员国来看,2005年,德国通过了其《信息基础设施保护国家计划》;2006年,瑞典制定了《改善瑞典网络安全战略》;2007年,爱沙尼亚在受到严重网络攻击后,于2008年了欧盟第一个广泛的国家层面的网络安全战略。2013年2月,欧盟委员会了第一个欧盟范围的《网络安全战略—一个开放、可信、安全的网络空间》。目前,欧盟已有10个成员国了国家网络安全战略。一些成员国正在制定网络安全战略,部分即将。
此外,韩国、日本等国也纷纷网络安全战略,阐述其网络空间的相关立场、主张及措施等。
建议我国尽快出台《网络安全战略》,加强网络安全顶层设计,完善网络安全相关立法。
积极推动中国互联网企业参与互联网国际治理
美国国家电信和信息管理局在2014年3月14日的官方声明中表示有意将网络域名管理权力移交给由全球利益相关方组成的社群。此举意味着比起原先美国一国独大的管理模式,多方介入的互联网治理将给予各国政府、企业更大的空间。中国互联网企业属于其界定的“全球多方利益相关者”,有能力参与相关事务并有所作为。
建议推动我国企业积极参与ICANN等相关会议及活动,主动发声,形成国际影响力。目前ICANN会议通常设有供公众发言的论坛环节,ISP和各类机构也可以加入ICANN支持组织或者咨询委员会,参与域名系统管理进程。通过参与国际互联网治理相关论坛、工作组和提交行业意见的方式,可打造我国互联网企业与全球互联网行业机构和用户之间的良性互动,主动介入相关事务并形成国际影响力。掌握相关技术标准规则制定权,才能对我国信息化提供强有力保障。
建立与我国互联网产业发展相适应的个人信息保护制度
大数据时代,个人信息保护已成为不可逆转的趋势,并成为全球互联网产业立法热点。欧美对于“被遗忘权”的争论肯定还会持续很长一段时间。俄罗斯最新法律规定,所有收集俄罗斯公民信息的互联网公司都应当将这些数据存储在俄罗斯国内。以上均反映了个人数据保护加强的趋势。
我国个人信息保护的法律规定比较零散。目前,我国没有关于保护个人信息的专门立法,现有立法中对个人信息保护的规定分散在各个法律、法规、规章中,缺乏体系。此外,我国对网络环境下个人信息保护相关的立法主要针对网络信息安全制定,其出发点在于网络安全。
为了更好地保护个人信息,建议我国立法中建立与我国互联网产业发展相适应的个人信息保护制度,明确个人信息的监管机构与职责,明确个人信息处理者的权利与义务,建立与产业发展相适应的个人信息保护制度。此外,还应该切实提高个人信息保护的观念和意识,加强行业自律,推行行业个人信息保护宣言、建议、指南等。
互联网管理由“监管”向“治理”转变
这位不愿透露姓名的处长表示,在互联网上偷盗虚拟账号绝对是一个暴利行业,并且已经形成了一条完整复杂的分销套现利益链条,国家公安机关针对某一案例的监察、取证、逮捕却往往需要几年。
8月28日下午,在“2007安全中国――计算机恶意程序治理法律环境高层研讨会”上,来自国务院信息化办公室、信息产业部、公安部、国家反病毒中心、中国互联网协会等8大政府部门代表、20家专业机构和互联网企业的代表,一致表达了对目前互联网安全现状的担心,并对因法律漏洞造成的互联网安全威胁表示相当震惊。
网民饱受恶意程序侵害
自2005年开始,以弹出广告、篡改浏览器首页、劫持浏览器等为目的的恶意软件程序在中国互联网上肆意泛滥。至2006年下半年,恶意软件的泛滥引起了网民的极大愤慨,也激起了社会舆论的强烈关注,各大安全厂商也提供了多种清除恶意软件的工具。但是病毒、木马、蠕虫等恶意软件程序依然猖獗不已,而只有“熊猫烧香”等少数案例受到惩治。
据金山毒霸2007年上半年互联网安全报告显示,今年上半年金山毒霸共截获新增病毒样本总计11万种,与去年同期增加了23%。其中木马病毒新增数占总病毒新增数的68.71%,高达7.6万种。另据统计,国内约4000万个人网银用户中有八成以上习惯在网上进行交易或炒股。
国家计算机网络应急技术处理协调中心副主任黄澄清告诉记者,经济利益已经成为病毒等恶意程序制造者最大的驱动力。恶意程序制造者已经不再是以炫耀自己的技术为目的,也不再是单打独斗,而是结成了团伙,有的人负责盗取银行或网游账号、有的人负责销赃,从而形成了一整条黑色产业链。从事此类恶意行为的成本很低、收益很大,但调查处理的成本却很高,这是其愈演愈烈的根本原因之一 。
网络安全立法有望突破
“恶意盗窃互联网交易平台上的账号、密码的行为,不仅严重地侵害了用户权益,挫伤了用户感情,也极大地损害了企业的权益。为了保护广大互联网用户和企业的切身权益,我们呼吁国家尽快出台相关法律法规,切实治理木马等计算机恶意程序问题,还用户一个安全、健康的互联网环境。”腾讯公司首席行政官陈一丹表示,针对QQ的盗号木马已经对腾讯QQ的用户体验构成了极大破坏。
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
首先,要深刻认识网络安全工作的重要性和紧迫性。党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。