论网络发展与安全对策
曲成义
一、抓住网络发展带来的历史机遇
——互联网的起飞是二十世纪末信息技术领域最使人振奋的重大事件。它已遍及180多个国家,容纳了60多万 个网络,接入了2000多万台计算机,为1亿多用户提供多样化的网络与信息服务,展示了未来信息高速公路的雏型。
Internet中包容了人类文明共有的信息宝藏,600多个大型联网图书馆,400多个联网的学术文献库,2000多种网上杂志,900多种新闻报纸的网络板,50多万个Web网页站点,总计近100多万个信息源正在为人类提供信息资源的交流和共享。有400多万学者在网上进行学术交流和合作开发与研究,一种崭新的计算机支持下的合作模式(CSCW)正在网上发展之中,将成为面向二十一世纪科学研究的网络工作环境。除了原来电子邮件、新闻论坛等文本信息交流之外,网上电话(Internet Phone)、网上传真、静态图像及视频都正在Internet中不断发展与完善,为人类通信联络提供综合性工具的时代已经为时不远了。采用Internet体系结构的企业内网(Intranet)和外网(Extranet)正在成为网络发展的新热点,在发达国家中,50~60%和大型企业正在构造Intranet,由于它适应当今“企业重构“(Reenginering)和快速响应市场变化的潮流,因而展现出强大的生命力。
——随着经济发展的全球化,以及电子商务模式、规范和软件的成熟,Internet将会成为世界贸易的公共平台。当前已有近十万家企业和2000家银行开始参与网上的商业和金融业务。据估计,2000年网络购物和网络交易额可能达到2000亿美元。Internet的发展为市场带来了巨大的商机,除了为大企业带来展示其实力的广阔空间外,特别是对中小企业也提供了平等同步的机会 ,美国Netscape、Yahoo、Checkpoint等一些小型网络产品公司的暴发即是利用了Internet提供的机遇。Internet带来的大市场正在催生一个Internet的产业,如网络的建设业、网络通信业、网络内容(Content)提供业、网络消费业和网络安全管理业等。据有关报导,到2000年,Internet的采购和服务带来的市场总额将达到6000亿美元。
——以Intetnet为代表的信息网络正在成为二十一世纪全球最重要的基础设施,一个网络经济和网络社会的时代即将到来。我们要抓住当前网络发展带来的难得机遇,发展我国的网络,推动科研教育的发展,培养现代化人材,促进经贸发展,带动信息产业,加速我国信息化的进程。我国从1994年正式起动Internet的建设,发展迅速,目前用户已70万,入网计算机30万台,注册域名近5000个。但是我们基数还很小,作为一个最大的发展中国家还不相称。我国应抓住历史机遇,采取果断措施,迎头赶上世界潮流,加快我国Internet/Intranet的发展。大力推动公网建设,积极鼓励专网的成长,促进网络的互连互通,推动高性能试验示范网的起动,扶持自主的网络产品和产业,完善网络建设和运行的标准与法规,迎接网络发展新高潮的到来。
二、正视网络发展带来的巨大风险
——随着网络经济和网络社会时代的到来,网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为国家重要基础设施的网络的安全和可靠将成为世界各国共同关注的焦点。而Internet原有的跨国界性、无主管性,不设防性、缺少法律约束性,为各国带来机遇的同时也带来了巨大的风险。由于各国的文化传统、价值观念和政治信仰的差异也引起了新的冲突和忧虑。为了使
Internet/Intranet在我国能健康地发展必须要重视这些风险和冲突。
1.抵制不良信息的入侵和污染
——Internet是一个无政府的文化自由王国,特别是美国的一些色情内容经营商在上亿美元利益驱动下,开放淫秽网点,大量制作色情网页。各种流派人物也在网上散布邪教、暴力、教唆等内容。一些政客为了达到其政治目的,利用网络进行政治攻击和煽动。虽然这些不良信息在Internet的一百多万个信息源中不足1%,但是危害和负面影响是不容忽视的。最大限度减少其负面影响已经引起了世界上众多国家的注意。我国政府对此采取了积极的对策,国务院信息办和国家各安全职能部门都从管理、教育、法规和技术上采取了明确的措施,并将继续采取进一步措施,维护我国的社会主义精神文明建设。
2.打击网上“黑客”和计算机犯罪
——近年来随着Internet的发展,利用网络安全的脆弱性,黑客在网上的攻击活动每年正在以10倍的速度增长, 形形色色的黑客攻击者是一个各怀鬼胎的复杂群体,把网上任何漏洞和缺陷作为靶子,无孔不入。如:修改网页进行恶作剧,非法进入主机破坏程序,串入银行网络转移金额,窃取网上信息兴风作浪,进行电子邮件骚扰,阻塞用户和窃取密码等等。政府、军事和金融网络更是他们攻击的主要目标。美国司法部主页被纳粹标志所取代,美国空军站点由于黑客攻击不得不暂时关闭,美国金融界由于计算机犯罪造成的金额损失每年计近百亿美元。近几年来,我国网络受黑客侵犯事件也屡屡发生,且呈明显上升趋势。为了确保网络的健康发展和网络电子化业务的广泛应用,应加大对黑客和计算机犯罪的打击力度,加强对网络安全的防护。
3.抑制网络病毒的蔓延和破坏
——计算机病毒被发现十多年来,其种类以几何级数在增涨。其活体病毒已达14000种,病毒机理和变种不断演变,为检测与消除带来更大的难度,成为计算机及其网络发展的一大公害。它破坏计算机的正常工作和信息正常的存贮,严重时使计算机系统陷于瘫痪。1988年美国的“莫里斯”网络病毒案件,一天之内使“Internet上6000台计算机染上病毒,损失金额9000万美元。当前随邮件和数据包的网络病毒花样翻新,给Internet用户带来了很大麻烦。我国计算机病毒新样品每年都在增加,公安部门从病毒防治的各个方面进行了大力的有效工作。抑制网络病毒的蔓延已是当务之急。
4.严防网上机要信息的扩散
——办公自动化和电子文档为提高管理的效率、改善管理质量和提供科学决策起到了极大的推动作用。Internet的Web网站和电子邮件为信息交流和共享提供了方便的手段。网上电子商务正在展示出其美好的远景。在当今信息化网络开放的环境下,怎样使国家的机要信息、企业敏感性信息和个人隐私信息,不随着一般信息而扩散和流失,是当前保护国家利益、企业和个人权益的重要课题。应采用立法、管理、电子密级标签和其基础设施等综合配套办法,建立网络电子信息及电子文档的安全保密管理的新机制。
5.警惕信息间谍的潜入
——利用网络获取政治情报和经济情报,在当前是政治间谍和经济间谍活动的重要领域之一。利用政府机构和企业在网上信息活动的漏洞,窃取高新技术领域、经济决策以及军事战略等信息,是一种以较小代价获取重大利益的手段。根据美国联邦调查局的统计美国本身受谍报入侵事件正以每年300%的速度增加,使其产业、经济和政治活动受很大的损失。我国网络的发展还处于起步的阶段,随着网络应用在政府、军事和经济的深化,必须保持足够的警惕,特别是对要害部门要防患于未然。
6.将网络的脆弱性减到最小
——Internet是逐步发展和演变来的,其可靠性和可用性存在很多弱点,特别是在网络规模迅速扩大,用户量猛增,业务类型多样化的情况下,系统资源不足将成为瓶颈,系统和应用工具可靠性的弱点也将暴露出来。1996年,美国最大的联机信息服务网络(American Online)瘫痪了10小时,对其700万用户产生了巨大的影响。随着经济和管理活动对网络依赖程度的加深,网络的瘫痪将会对国家、部门和企业带来巨大的损失。因此在建设Internet/Intranet时高度重视其可靠性和可用性,使其保持在连续运转、高负荷和应急情况下的运行能力。
7. 网络装备过分依赖国外产品的局面应改变
——我国网络建设的软件和硬件产品基本上依赖于从国外进口,特别是网络安全产品在没有自主权和自控权的情况下引进使用,潜伏着很大的风险。如嵌入式固件病毒,安全产品的隐性通道和可恢复密钥的密码等威胁因素都可带来很大危害和受制于人,必须认真对待。首先要解决信息网络安全产品的自主权和自控权问题,进一步则需尽快建立起自主的网络安全产品和产业。
8.要正视信息战的风险
——在信息网络已经成为国家的重要基础设施情况下,信息战将是一种跨国界、隐蔽性、低花费和跨领域(军事、经济、社会、资源)进行的无硝烟的战争。基高技术性和战争情报的不确定性给信息战的防御带来较大的难度。美国国防部专门组织了“信息战执行委员会”研究国家信息战的战略,并对所属的网络和 Interent网点进行大量的攻击演练。国家级的金融支付中心、证券交易中心、空中管制中心、电信网管中心、铁路调度
中心、军事指挥中心等等必将成为信息战的主攻目标。我国在信息化进程中对此必须早有准备。 一个全局性的信息战防御战略在国家信息基础建设中将是至关重要的。
三、迎接网络发展提出的挑战
——发展Internet及其应用是时代发展的需求,迎接挑战、抵制威胁和化解风险是社会的责任。我们要最大限度地减少负面影响,兴利除弊,推动国家信息网络的健康发展。
1.健全国家信息网络安全组织机构
——应从领导层、技术层、职能层和基础层全面进行组织建设。国务院信息化工作领导小组与国际联网成立了安全工作组及其专家组,国家安全部、公安部、国家保密局等职能部门,也进一步加强了信息化安全的组织和协调分工。基础层建设是指为了落实安全法规、政策、标准、运行和实施所必须建立的保障实体,即“安全基础设施”的建设。
2.开展信息网络安全战略研究
——为了把握网络安全的全局,应对下列战略课题进行深入的研究:
在高收益和高风险条件下,网络发展与网络安全相互制约和依存的模式;
由于卫星移动通信和直播卫星的发展,应进一步探索在“信息海关”个人化趋势下,信息安全职责和安全机制的模式;
随着网络的发展,用户资源(个体和团体)还要进一步网络化(包括信息资源、软件资源、业务处理资源、文档资源等),保护知识产权、个人隐私、企业秘密、国家主权的机理和模式;
全局性、跨领域(军事、经济、政治、社会、资源等)的信息战的防御战略。
3.加强安全技术的开发和应用
密码技术是安全的核心技术,特别是商业密码在未来电子商务中将有大量的需求,要求开放又安全,既要保密又能被监视,使之成为为社会提供普遍性服务的一种安全工具。应加速对商业密码标准、芯片、算法、协议、CAPI加密框架、密钥恢复等技术的开发。
认证技术可对责任者进行授权、监督、审计和仲裁。应开展对数字签名、证书授权(CA)、动态口令、统一代码制度和认证基础设施的开发和研究。
开展访问控制技术的研究,包括内容选择平台(PICS)、系统和数据库的访问控制、防火墙和安全隧道等技术。
病毒的检测、预防、清除技术。
文本、声音、图片和视频的内容识别、分类和过滤技术。
网络隐患扫描技术。
系统安全监测、报警和审计技术。
4.开发网络安全标准
随着Internet的发展和电子商务的应用,国际上一些大的标准化集团都在制定相关的安全标准,如:ISO、ITU、IEEE、ECMA、ANSI、NCSC、SA、DOD。特别是 Internet 的IETF和W3C以及大的信息产业集团,都在Internet安全标准方面作了大量的工作,对Internet安全技术开发和安全产品研制起到了推动作用。
我国应尽快跟踪和形容下列标准:SNMP3(ISOC)、IPV6(IETF)、PICS(W3C)、SSL(Netscape)、S-HTTP(ELT等)、SET(Visa、Mastercard)、X509(ITU)、FPKI(NIST)、EES(NIST、NSA、KRA)、CA(NIST)、PKCS(RSA等)、ICF (HP等)、ADS(NIST)、CC(6国集团)、TCSEC(NCSC)、CAPI(NIST、NSA、X/OPEN、 Microsoft), 以及S/MIMI、PEM、PGP等。
在与国际标准等同、等效和参照的原则下,尽快制订我国自己的Internet的安全标准,特别是商业密码算法、密码协议和CAPI等商业密码标准。
5.推动网络安全产品研制和产业的形成
由于网络建设市场的需求,美国现在涉足安全产品的厂商近500家,成为美国 Internet/Intranet/Extranet网络产业的重要组成部分,随着电子商务和企业网络的迅速发展,安全产品的市场每年正以20~30%的速度增长,到二十一世纪初将形成近百亿美元的市场分额。我国目前安全产品的研究机构和生产厂商有50~60家,成果的孵化率、产品化和市场占有率都很低,尚未形成规模和配套体系。
网络安全产品的自控权和自主权是网络安全的重要保障,抓紧网络安全产品的开发,将其作为网络产品市场的切入点,应该通过税收、贷款、授权和采购等相关政策扶持我国自主的网络安全产品产业,占领我国的网络市场。
国务院信息办已组织二十几个部门开展了安全技术和安全产品的研制,在国家有关部门的支持下已初见成效。
网络安全产品市场需要:防火墙、代理服务器、安全路由器、安全调制解调器、加密、安全IC卡、安全监控、安全隧道、防治病毒产品、数字签名、电子证书授权系统(CA)、电子标签、防隐患扫描工具、安全电子交易软件、安全系统平台、高安全加密芯片等产品。
6.强化网络安全管理和安全立法工作
随着网络安全威胁和增加和面临的巨大风险,为了规范网络建设者、运营者和使用者的网上行为,网络安全管理和安全立法成为各国政府共同关心的问题。据国家安全部96年对42个国家的调查统计:针对Internet安全制订专用法规的国家占33%,修订原有法规的占70%,实行审查和监管的占93%,已有执法案例的占26%。涉及到打击黑客和计算机犯罪、抵制淫侮内容、保护知识产权、维护个人隐私、保障数据安全、信息流过境、网络经营、密码产品出口限制、密码产品进口许可证、文本和邮件加密限制……等。
我国政府十分重视Internet的管理立法工作,在国际联网安全工作组的领导下,国务院信息办协同国家有关安全职能部门,积极推动网络安全管理和安全立法工作。1996年2月颁布了《中华人民共和国计算机信息网络国际联网管理暂行办法》,1997年12月颁布了《中国互联网络域名注册暂行管理办法》和《中国互联网域名注册实施细则》等。
正在制订中的法规有“进行国际联网管理办法”、“互联网经营服务业管理办法”、“信息上网管理办法”。
尚需进一步考虑的法规,如“信息安全法”、“电子凭证(票据)法”、“计算机犯罪刑法”、“网上知识产权保护法”、“信息流过境法”、商业密码开发与应用法规“等。
7. 逐步推进“安全基础设施”的建设
真正使安全管理和安全控制走向有序和有效的轨道,必须建立相应的“安全基础设施”,为网络安全提供最基本的保障。
需要逐步建立的安全基础设施包括:“国际出入口(信息海关)监控中心”、“安全产品评测认证中心”、“病毒检测和防治中心”、“关键网络系统灾难恢复中心”、“系统攻击和反攻击中心”、“电子保密标签监管中心”、“网络安全紧急处置中心”、“电子交易证书授权中心”、“密钥恢复监管中心”、“公钥基础设施与监管中心”、“信息战防御研究中心”等。
在国务院信息化工作领导小组的领导下,“国际出入口监控中心”和“安全产品评测认证中心”已初步建成,一些中心正在建设和设想之中,大部分尚属空白,需要认真论证和具体筹划,应有计划推进它们的建立。
8.重视网络安全的教育,提高安全意识。
——重视信息化的安全教育,培养一批信息化安全的专门人材是网络安全之本。提高全民的信息化的安全意识,使网络安全建立在法律约束之下的自律行为是实现网络安全的重要因素。