把好网络安全的大门
随着信息技术与信息产业的发展,网络与信息安全问题及其对经济发展、国家安全和社会稳定的重大影响,正日益突出地显现出来。在信息化的进程中,国家的安全与经济的安全越来越不可分割,经济安全越来越依赖于信息化基础设施的安全程度。信息安全已经成为维护国家安全及社会稳定的热点问题。将国家信息安全放在战略高度来进行审视,是我们当前面临的一项十分紧迫的任务。
当今,计算机网络已经在各行各业中广泛应用,如何加强网络安全是人们普遍关注的一个重要问题。保证电子信息的有效性、安全性成为突出的大问题。如果不能保障信息安全,就不能获得信息化的效率和效益,在国际“信息战”威胁和国内外高技术犯罪的干扰下,社会的经济生活就难以健康、有序地进行,国家的安全更无法确保。21世纪的战争很可能告别“残酷”和“漫长”而变得“斯文”和“迅速”:人们听不到恐怖的爆炸声、看不见血肉横飞的场面,但突然之间所有的电视频道充斥着入侵者的嘴脸、电脑因病毒的侵袭而损坏、军队的指挥系统陷入瘫痪。此时的军队成了“盲军”,经济也全面崩溃……面对这种网络闪电战,遭到打击的国家全无还手之力。
在挑战面前,我国上到党和国家领导人,下到专家学者和普通百姓,对网络的信息安全都十分关心。国务院有关领导在听取了何德全院士所做的信息安全知识讲座后说,有关部门要认真研究制定信息安全的有关政策,采取有力措施,推进信息安全技术的研究和开发。专家和学者认为,信息网络是高科技发展的结晶,要保护信息网络安全,必须在技术、法规等方面进行完善,这也是最基础、最重要的措施。 网络安全的现状
中国信息安全的形势是比较严峻的。其主要表现在:基础信息产业薄弱,严重依赖国外,如一些关键技术和设备掌握在国外的网络产品提供商手中;信息与网络安全的防护能力比较弱,据调查显示,我国有高达百分之七十三的计算机曾遭受过病毒感染,而且多次感染现象非常严重;全社会的信息安全意识不高,特别是部分网管人员的安全意识较淡薄,对安全问题存在侥幸心理,没有做任何的安全措施,导致许多网站的安全防护水平很低;对引进的技术和设备缺乏有效的管理和技术改造;国家信息安全立法不完善,难以适应规范网络发展和打击网络犯罪的需要;信息犯罪在我国有快速发展蔓延的趋势;等等。
基础信息产业比较薄弱。电脑硬件面临外国的遏制和封锁的威胁。我国电脑制造业对许多核心部件的研发、生产能力很弱,关键部位完全处于受制于人的地位。本土的信息技术企业相当程度上还处在“装配”阶段。电脑软件面临市场垄断和价格歧视。目前,计算机、通信、广播电视等与信息化相关的核心技术,基本被国外公司所垄断。 信息与网络安全的防护能力很弱,许多应用系统处于不设防状态,具有极大的风险性和危险性。在所披露的网络安全事件中,80%是“黑客”破解了登录密码设置程序而直接侵入计算机的。在普遍使用的UNIX操作系统中,仅采用8位字符进行登录密码的设置,“黑客”通过对总共128个字符进行重新组合,利用当前网络协议存在的缺陷,很容易窃得密码而进入网络。
为阻止“黑客”们通过反复尝试而侵入计算机,应当安装防火墙和防止病毒入侵的软件,并在网络层采取诸如一次性登录密码、智能卡、生物统计校验技术等安全保护机制,在应用层编码传输过程中也要尽可能地采用先进、复杂的加密技术,从而有效地阻止“黑客”的侵入。 对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。从国外引进的电脑硬件、软件中可能隐藏着“特洛伊木马”,一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的着“特洛伊木马”就有可能在某种秘密指令下激活,造成电脑网络、电信系统瘫痪。海湾战争期间,由于隐伏在伊拉克从国外购进的军事设备中的病毒大规模地爆发,导致伊拉克防空系统瘫痪,从而使其丧失了制空权。
近年来,我国陆续出台了一些规范信息网络的法律、法规及行政规章,可以说在“加强管理”方面迈出了一大步,但存在的问题仍不容忽视:缺少必要的基本法,立法层次低、多头管理,难以适应规范网络发展和打击网络犯罪的需要。比如,我国刑法对计算机犯罪的主体仅限定为自然人,而对其处罚却既没有罚金刑,也没有资格刑;而在诉讼法中也缺少对“电子证据”的规定;另外,缺少大多数发达国家及一大批发展中国家有关电子商务的法律。我国网络基础设施已列世界第二,但网上经营的数额在世界上还排不上名次,原因之一就是我们缺乏法律规范,阻碍了网络市场的发展。 信息犯罪在我国有快速发展蔓延的趋势。现在我国网络应用和建设还不成熟,黑客行为严重威胁着在网上传输的各类金融交易、机密文件和科技情报等。
网络安全建设的对策
我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段,正在进入网络信息安全的研究阶段。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是,信息安全是一个国家的综合集成系统,它的规划、管理需要国家进行科学的、强有力的干预和导向。 推动信息安全产业的发展。要加强自主的信息和网络技术的开发,尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台,并予以优惠政策。从安全体系整体的高度开展强力度的研究工作,从而为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑,并为信息网络安全的工程实现奠定坚实基础。
当前,急需重点组织研究开发以下关键技术:唯一性身份识别技术、数字签名技术、信息的完整性校验检测技术、信息的加解密保护技术、密钥管理技术、安全审计跟踪技术、安全信息系统的构作集成技术、系统的安全评测技术、电子信息系统电磁信息泄露防护技术等。 加快信息安全立法。应该加快有关法规的研究,及早建立我国信息安全的法规体系。首先应当考虑制订以下法规:信息安全法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息教育法、电子信息进出境法。江泽民总书记提出的“积极发展,加强管理,趋利避害,为我所用,努力在全球信息网络化的发展中占据主动地位”的指示,为我国运用法律手段保障和促进信息网络的健康发展指明了方向。
加大信息安全投入。信息安全设备设施的研制需要高强度的资金投入,建议通过国家投入、部门投入和社会融资的途径筹措。按照国家保密委的政策,安全设施建设费用应不低于基础设施15%的投入;具体到电子政务方面,计委有关文件中提出了大型设备的定点采购的政策。以北京为例,打造2008年奥运会,北京市决定在未来5年中,对城市基础设施建设投入1800亿元人民币,其中300亿元用于信息化建设,奠定“数字北京”的基础,初步实现电子政务和电子商务。而确保奥运信息系统的安全性则是重中之重。它不仅涉及到加密的保障体系,还要提防远程攻击。
我国专家建议,我们应当尽快研发出符合国家信息安全要求、先进、实用的本土网络技术,建立具有自主知识产权的民族网络,从而实现动态、全方位、经得起攻击的网络安全体系;建立计算机病毒防治和应急体系以及病毒事故分析制度,对系统风险进行评估,以减少损失。此外,还应当加强对国内用户进行多方面的计算机安全知识教育,以防患于未然。 借鉴国外网络安全建设经验
加强国家信息安全机构及职能。应当尽早成立计算机紧急反应小组,切实保证我国的信息安全技术和装备体系,使我们有足够的能力预防和抗击敌对势力可能对我国发动的信息战争和高技术犯罪活动。目前,在美国、英国和法国等许多国家,计算机紧急反应小组(CERT)已经建立并担负任务,对侵入政府信息系统的突发事件能做出快速的反应。比如,美国国防情报系统局的CERT和美国国家安全局的国家安全行动中心的信息保护组织及国防情报安全局的自动化系统安全事件处理小组,一年四季全天候对各种非法侵入计算机的行为做出紧急反应。
建立计算机网络安全评估指导小组。目前,北约的许多国家都已成立专门的机构,对那些IT安全保护产品(比如加密技术、杀毒软件和防火墙)进行严格的评价、验证和批准。欧盟对IT产品的评估遵循两种标准:一是由12个国家共同签署的信息技术安全评估细则;二是相互监督准则。这是在1998年由5个国家签署的标准,2000年10月澳大利亚和新西兰也加入了进来。1999年2月,法国成立了信息系统安全指导小组(DSIC),在计算机网络设备的采办和建立过程中发挥咨询指导的作用,并负责这些设备在使用过程中的安全问题。英国国防发展研究局(DERA)也行使同样的作用。
重视信息安全基础研究和对计算机网络管理人员的训练。大力培养信息安全的专业人才,为各部门输送信息基础设施安全运行的骨干力量。各国在招募和吸收计算机网络防御骨干的同时,都重视对计算机网络管理人员的训练,因为计算机网络的防护依赖于经验的积累。去年,美军进行了TurboChallenge等多项计算机防护演习,其中包括计算机进攻战,并加强了日常的训练。在防御演练及对病毒的实际防护中,既对计算机网络的防护进行了检验,又训练了人员。
发展具有识别和确认能力的公共基础设施,对不同层次的信息网络进行安全保护十分重要。英国正在进行一项加强信息安全的法案,目的在于将各个层次、级别的网络连接起来的同时,减少信息泄露的危险,以保护信息安全。英国国家发展研究局建成了名为“紫色珀涅罗珀”的演示方案,此方案使用自选标号处理方法,允许计算机系统在使用像WindowsNT的软件的情况下,使信息在不同层次上安全传输。欧盟的其它一些国家也相继开始了类似的工作,以适应不同层次网络互联的趋势,同时保证信息的安全。
在网络信息建设中,安全是基础。在发展和建设网络工程的时候,千万不能忘了网络安全这块基石。令人兴奋的是,我们国家已充分认识这一问题的重要性并已开始着手行动。今年《财富》论坛科技版块的首要议题就是网络安全,今后我们无疑要大力发展网络安全产业。我们应当抓住机遇,调整管理体系和管理手段。这个时候,任何懈怠和无所作为就成了亟需克服的障碍。这绝非危言耸听!
《科技日报》