信息网络已经覆盖国家的政治、经济、军事、文化、科技和社会等诸多领域,涉及许多政府宏观决策信息、金融证券信息、科研技术信息等重要内容的存储、传输,其中许多是较为敏感的信息,甚至涉及国家机密。因此,信息网络安全成为一国经济社会发展的重要保证,也是各国在非传统国家安全领域竞逐的新焦点。在微观领域,互联网在给人们带来便利的同时,其信息安全亦成为一个不容忽视的问题。由于技术上的缺陷以及思想上缺乏重视等原因,现代网络信息社会中存在各种各样的网络安全威胁。
网络信息安全领域包括信息、经济、政治、文化、社会以及金融、生态、资源等众多方面。网络信息安全问题有别于传统的安全领域威胁形式,多数具有形式多变、不易觉察等特点,如网络谣言给社会及个人带来了严重的影响,网络诈骗使个人、银行和政府蒙受重大经济损失,网络犯罪危及公民的人身安全等。
2015年网络信息安全泄露事件层出不穷:1月5日,机锋科技被曝泄露2300万用户信息,其中包括用户名、注册邮箱、加密后的密码等信息; 2月11日,据漏洞盒子白帽子提交的报告显示,知名连锁酒店桔子、锦江之星、速八、布丁,高端酒店集团万豪(丽思卡尔顿酒店等)、喜达屋(喜来登、艾美酒店等)、洲际(假日酒店等),等等网站存在高危漏洞,顾客信息被大量泄露,涉及顾客姓名、身份证、手机号、房间号、房型、家庭住址、信用卡、邮箱地址等大量敏感信息;2月27日,江苏省公安厅发布通知称,由主营安防产品的海康威视生产的监控设备存在严重安全隐患,部分设备已被境外控制,并要求各地立即进行全面清查,开展安全加固,消除安全隐患;4月22日,媒体报道,重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能被泄露,包括个人身份证、社保参保、财务、薪酬信息网络、房屋等敏感信息;5月21日,中国人寿广东分公司10万份保单或遭泄露,保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息一览无余;10月19日,网易邮箱过亿用户敏感信息遭泄露,包括用户名、密码、登录IP以及用户生日等。诸多网络安全事件给我们敲响了警钟,网络信息安全管理必须受到国家、企业和个人的高度重视。
不同于传统安全问题,网络信息安全问题具有传播迅速、发生突然、跨国流动、破坏性大等特点,其主要表现形式有计算机病毒和黑客攻击两种。
计算机病毒。计算机病毒是类似生物病毒的程序,它会复制自己并传播到其他宿主身上,对宿主造成损害。计算机病毒的宿主也是程序,通常是操作系统,被感染后会进一步传染到其他程序和电脑。总体来看,计算机病毒有木马病毒、蠕虫病毒、脚本病毒等不同类型。计算机病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏,其具有的不良特征包括传播性、隐蔽性、感染性、潜伏性、可激发性和破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。近年来,随着信息技术的发展,计算机病毒也越来越猖狂,并且在危害性和传播性上对国家互联网的安全更具有危害性。
黑客攻击。黑客攻击是目前危害性比较大的网络信息安全威胁形式,它往往由具有极高操控性的网络黑客策划和实施的对攻击目标进行的破坏、窃取资料、信息复制等行为。随着信息技术的不断发展,网络黑客也像计算机病毒的发展一样手段越来越高明,形式越来越隐蔽,破坏性也越来越大,给各国的信息安全系统造成了严重的威胁。同时,一些黑客甚至被某些国家的政府部门所授意对另一国的信息系统进行刺探和攻击,从而牟取利益。
系统自身的漏洞和管理问题。从被入侵的信息系统来看,大部分都存在一定的系统漏洞或者管理问题,正是因为这些系统自身问题的存在,使得系统容易成为各种网络信息侵犯的对象。其中破坏最严重且最难以防范的就是系统管理员或信息安全管理员的违规行为,由于其身份的特殊性,信息安全相关人员与外部人士勾结进行有损信息安全的行为,不仅难以查处,而且一旦造成对信息安全的破坏,后果也十分严重。
网络信息安全管理产品过分依赖进口。由于我国的信息产业在发展上起步较晚,国外对信息产业技术输出进行严格限制,很多发达国家对我国信息产业发展采取遏制政策,阻碍信息产业技术输出,我国信息产业的发展一直处于比较被动和相对落后的地位。这导致目前我国信息产业关键部件和技术严重依赖进口,并且在关键领域易受到攻击和破坏。从硬件设备来看,目前我国国民经济各行业使用的计算机中央处理器绝大部分需要进口。虽然从整体性能上来说,我国研发的大型计算机已经处于世界领先地位,但是其核心处理器仍无法摆脱进口依赖。近年来我国的信息装备产业发展迅速,但其中很多核心零部件都来自以美国为代表的原始设备制造商,国内厂商仍然处于简单组装、加工的低利润环节。从软件方面来看,目前我国绝大部分计算机网络(包括军用网络)所安装和使用的操作系统都是美国公司的产品,美国微软几乎垄断了我国电脑软件的操作平台和核心市场,离开了微软的操作系统,国产的软件都将难以运行。这不仅造成了网络信息安全管理技术受制于人,同时也导致了管理能力的严重不足。同时,企业信息化建设的管理软件也有90%以上依赖外企,国外软件巨头不仅以此获取高额利润,同时对我国信息安全管理的独立性和安全性也构成了威胁。
网络信息安全意识淡薄。由于我国的信息化产业还处于快速发展时期,企业和政府将重点放在了信息设备开发和信息技术提高上,忽略了网络信息安全的管理,造成系统漏洞频出,容易引发信息安全事故。网络信息具有传播迅速、途径隐蔽等特点,对其监管较为困难,常常出现滞后性。目前我国整个社会的网络安全意识比较淡薄,对信息安全也缺乏常识性的了解,对于开展网络信息管理工作极为不利。
网络信息安全管理立法不完善。自上世纪90年代以来,我国先后出台多部涉及互联网信息安全的法规、条例和办法,如《中华人民共和国计算机信息系统安全保护条例》《互联网网络安全信息通报实施办法》《计算机信息网络国际联网安全保护管理办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子邮件服务管理办法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等,这些法规、条例、办法从不同方面对互联网参与行为主体的活动进行了规范。同时,宪法、刑法、国家安全法、国家秘密法、治安管理处罚条例、商用密码管理条例等法律、法规也在维护信息安全方面提供了一定的法律依据。
虽然国家制定了众多的法规、条例、办法,但仍然难以形成对网络信息犯罪的有效约束,主要有以下几个原因:从颁布者来看,其多为国务院、工业和信息化部、公安部等行政部门,这种部门法规的效力和权威与国家法律相比仍有一定的差距;从内容来看,对侵害互联网个人信息安全的行为的界定、处置依据比较模糊,对各类互联网参与主体的责任划分不够清晰明确,特别是对互联网信息企业在信息安全人员队伍建设、设备投入方面没有明确的规定,难以适应当前严峻的互联网个人信息安全形势;从实施效果来看,部分法规在执行力度上还不够,甚至停留在说教层面,在具体实践中没有得到很好的执行,也没有形成约束力。
从政策层面大力扶持网络信息安全产业。信息安全是信息产业化发展的基石和保证,一个安全和规范的网络信息环境需要信息产业提供坚定的物质和技术支持。由于长期来我国信息产业的核心技术来源于西方发达国家,从根本上就受到牵制,必须提升我国信息产业的自主创新能力,跳出现在的发展困境。在科研方面,国家应当鼓励高校、研究院及企业类研究单位进行网络信息安全方面的技术研究,为信息化产业发展提供核心的技术支持。
加强政府在组织监管、惩治信息安全违法行为方面的力度。政府作为信息安全管理的主体,在信息安全管理方面需要发挥主导性作用。借鉴其他国家信息安全管理的先进经验,同时与我国的自身特色相结合,以维护国家利益为基本出发点,完善与信息安全相关的司法和行政管理体系,使得相关部门起到管理和督促作用。对于网络信息的传播与发布,需要以国家为监管主体,各类企业积极参与,维护国家与公众的利益和安全,防止网络成为损害国家、个人利益的平台。
提高公民的网络信息安全意识。近年来,网络诈骗案件层出不穷,一方面是因为犯罪分子通过不法途径买卖用户信息,另一方面则是由于我国公民缺乏信息安全意识,在一些危险网站上留下个人信息。因此,提高公民的网络安全意识对于避免网络诈骗、解决网络安全问题意义重大。应加强网络信息安全的宣传工作,加大宣传力度,扩大宣传范围,从网络诈骗案件的受害者年龄和人群分布来看,要重点加强针对中老年和偏远地区的知识普及与宣传工作。
建立和完善网络信息安全管理方面的法律法规。建立和完善网络信息安全方面的相关法律法规,是保证网络信息安全的基础。网络信息安全立法也应做到与时俱进,使法律的条款能够充分反映信息技术发展水平。