网络安全威胁和网络监管的现状、问题
与对策研究
摘要
随着互联网的快速普与和各种网络应用的不断出现,网络安全已成为国家安全的重要容,各种网络安全事件不断发生,网络安全威胁从单一的病毒威胁逐渐发展为恶意软件,勒索软件,间谍软件等新的趋势,危害不断加大。由于我国互联网起步较晚,监管体系不够完善和全面,
1 / 36
从技术上来说,仍然跟不上西方国家的发展步伐,因此在网络安全的防上存在着滞后现象,甚至有“心有余而力不足”之感。在互联网高速发达的时代,网络监管的不力将对网络世界带来不可预测的危害,网络安全关系到个人、企业甚至国家的安危,因此加强网络监管是当前迫不与待的任务。为了提高互联网的安全性,各监管部门要规自身的监管职权,防止滥用职权,注意保护用户的通信自由和通信秘密,加强网络监管和网络自由之间的和谐发展,为构建和谐的网络空间贡献一份力量。 关键词:信息安全,网络安全,网络安全威胁,网络监管,保护。
ABSTRACT
The Ministry of the Public Security, other government departments as well as the Internet professional associations and so on all should improve the investment of the manpower, the physical resource, the technology to take the measures to manage the Internet. The establishment of
ComputerEmergencyResponseTeamCoordinationCenter, CNITSEC
2 / 36
(ChinaInformationTechnologySecurityCertificationCenter) and other departments has greatly promoted the internet management. However, as our Internet started late, the supervising and managing system is insufficiently perfect and comprehensive. The technology is behind that of the Western country the development, so as the network security management and supervision. The existing legal laws and regulations regarding the current network security development situation, appear gradually deficient and not the integrity, so they were unable to satisfy the various network security threats. The present supervision and management departments are not responsible enough to supervise the Internet, and what’s more, lots of enterprises have close relation with government departments, so there is the regional protectionism phenomenon which prevent network supervising and managing significant barriers. As the Internet develops rapidly, the lack of network supervision and
management will bring the unpredictable harms to the network world, the enhancement of network supervision and management will be the current impatient duty. In order to enhance the security, the public security system should strengthen golden shield project, classified information security protection appraisal, public information network safe supervision and as well as the training of professionals. Next, the departments related should strengthen the manpower and physical resource as soon as possible. Finally, the legal laws and regulations formulation department should consummate the existing legal laws and regulations make the new laws to suits the new
security menace. To improve the security of the Internet, different departments, according to their own rights and obligation, should make different evaluation standards to analyze the evaluation result, and also should do information security
3 / 36
risk evaluation regularly. They should build
management systems to define the function, obligation and rights of each departments or even each person. What’s more, they should do some education to customers to strengthen the sense of security, as well as to build response system to emergency.
KEYWORDS: information security, network security, network security menace, network supervision, security protection。
绪论
随着网络技术的高速发展,现实社会中的政治、经济、文化、军事等诸多领域和利益已经全面映射到开放的互联网体系里。互联网以其传播的与时性、形式的多样性、容的海量性、交流的互动性、表达的自由性、空间的开放性,吸引着愈来愈多的人去关注它。B2B、B2C、C2C等业务的快速发展给用户带来了更多的便捷,使得互联网越来越受到青睐,而同时也产生了更多的负面作用。众所周知,病毒和蠕虫威胁着互联网的安全,是网络安全的最大威胁之一,但随着互联网的发展和普与,
4 / 36
网络、网络欺诈、间谍软件(Spyware)、恶意软件(Rascal ware)、僵尸网络(Botnet)等成为网络安全威胁新的因素。随着网络安全威胁呈现新的特点和趋势,网络监管的问题也呈现在我们面前。国外的互联网发展历史长,在互联网开始应用时就已经意识到信息安全的威胁问题。网络安全问题一直是以政府为主导,采用技术手段和通过一系列的立法来进行监督和管理,从而保障国家信息安全。近年来,国在网络监管方面的技术研究不断投入,行政法规和监管部门大量成立,立法工作也得到了重视和加强,较大程度地缓解了网络安全监管无法可依的尴尬境地。但随着网络安全问题的日益多样化和网络安全威胁呈现新的发展趋势,网络监管部门如何有效整合现有的各种安全资源,优化协调各监管部门的职能,加强网络监管力度,全面提升防、应对网络安全威胁的整体实力,已成为当前网络安全建设的一项刻不容缓的现实任务。
5 / 36
目 录
摘 要1 ABSTRACT2 绪论4 第一章 概述2 1 网络安全威胁2
第二章 网络安全威胁和网络监管的现状5 1 网络安全威胁6 2 国外网络监管7 2.1 国外网络监管的历史7 2.2 国外网络监管的现状9
3 国网络监管10
3.1 国网络监管的历史10 3.2 国网络监管的现状11
第三章 网络安全威胁和网络监管的问题12 1 网络安全威胁的问题12 2 政府其他部门网络监管的问题17 3 法律法规和行业自律规的问题19 4 网络监管和网络自由之间的问题20 第四章 加强网络安全和网络监管的对策21 1 进一步加强对网络安全威胁的防21 2 进一步加强政府其他部门的网络监管23 3 进一步健全法律法规和加强行业自律24 4 进一步加强网络监管和网络自由的和谐发展25 结 语26 参考文献28 致30
1 / 36
第一章 概述
1 网络安全威胁
互联网自21 世纪初,在世界各国都得到了前所未有的发展,尤其在中国,可谓 是突飞猛进,可以看到随着互联网的快速发展,虚拟与现实生活越来越难以割裂, 政府、企业发展都与互联网的发展息息相关,个人的生活、工作也越来越依赖于计 算机网络,互联网的发展给整个世界的发展带来了一次伟大的革命。人与人、国与 国之间距离在不断缩小,从“地球村”到“世界是平的”一说,都意味着人类越来越意识到互联网的含义。越来越多的人发现,随着互联网的发展,他们能够找到更多的合作对象和竞争对手,地球上的各个知识中心都将被统一到了单一的全球网络中。但不幸的是,随着网络发展而衍生出来的网络安全问题也时刻在威胁“地球村”的“村民”们,例如计算机病毒、流氓软件、间谍软件等等。由于Internet 的开放性和超越组织与无国界等特点,使它在安全性上也同样存在着开放性和无国界性,因此给网民带来了严重的安全隐患问题。那么何为网络安全威胁,网络安全威胁到底会给社会带来怎样的后果呢?
“网络”在英文中对应的是“Network”,其定义为Complex System of lines thatcross。最初的意思是按一定间隔交叉所形成的网状结构物,进而被延伸到社会生活关系中,形容互相作用保持非正式交往以获得多方面帮助或支持的人群,又进而衍生为“计算机网络[2]”的简称,指的是“把分布在不同地理区域的计算机与门的外部设备用通信线路互连成一个规模大、功能强的网络系统,从而使众多的计算机可以方便地互相传递信息,共享信息资源。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和性。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件与其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义来说,凡是涉与到网络上信息的性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉与的容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防外部非法用户的攻击,管理方面则侧重于部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必
2 / 36
须解决的问题之一。
“威胁”一词在现代汉语词典中的解释为:用威力逼迫恫吓使人屈服。网络安 全威胁从字面上来讲,就是网络安全受到威胁,存在着危险。网络安全威胁随着互 联网的不断发展也呈现了一种新的趋势,已经从最初的病毒,比如“CIH”、“冲击波”等传统病毒,逐渐发展为包括特洛伊木马、后门程序、流氓软件、间谍软件、广告软件、网络钓鱼(网络诈骗)、垃圾等等。它往往是集多种特征于一体的混合型威胁。网络上盛行的“勒索软件”就是利用网络进行传播,截取用户的私密信息,进而对用户进行威胁,导致互联网的不健康发展。还有“流氓软件”,在用户不知觉的情况下,强制安装,甚至窃取用户资料,谋取经济利益,威胁网络安全。随着网络安全威胁种类的增多以与形式的多样化,网络安全威胁所带来的后果也日趋严重。
网络安全关乎政治、经济、军事、科技和文化等国家信息安全。根据有关报道,2005年,美国超过300 万的信用卡用户资料由于遭受钓鱼软件而外泄,由此导致用户巨大的财产损失;中国工商银行、中国银行、中国建设银行等金融机构先后成为黑客们模仿的对象,设计了类似的网页,通过网络钓鱼的形式获取利益,而这一现象正在以每个月73%的数字增长,使很多用户对于网络交易的信心大减。在历史上,由于网络的不安全而给军队带来损失的案例也是不计其数。海湾战争前,美军将带有“病毒”的计算机通过法国卖给伊拉克军队。海湾战争初期,美军就对伊军实施了“病毒”战,使其防空指挥控制系统失灵,指挥文书只能靠汽车传递,在整个战争中都处于被动挨打的局面。同样,网络的不安全也影响了人民的生活,对构建和谐社会产生了阻碍。尊重隐私权是每个公民应有的权利,但侵犯信息隐私权的事件在网络上量存在。网络一旦遭到非法攻击,网络操作系统中的用户全称、和办公地点等信息,就可能被复制或篡改,网民的基本信息就得不到保障。在2006 年6 月,公安部公共信息网络安全监察局举办了2006 年度信息网络安全状况与计算机病毒疫情调查活动,由省区市公安厅、局公共信息网络安全监察部门组织本地重要信息系统管理和使用单位、互联网服务单位进行了网上调查。调查容包括2005 年5 月至2006 年5 月发生的网络安全事件、计算机病毒疫情状况和安全管理中存在的问题。调查结果显示,2005 年5 月至2006 年5 月,54%的被调查单位发生过信息网络安全事件,比率上升5%;感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%。在发生的安全事件中,“流氓软件”、“间谍软件”等成为网络安全威胁的新特点。从以上数据,可以看出病毒和蠕虫威胁着互联网的
3 / 36
安全,而且是网络安全的最大威胁,追求网络安全是互联网发展中必须持之以恒的任务,是容不得一点马虎的任务,如果不对网络进行监控和管理,网络安全受到的威胁将是难以预料的。
2 网络监管
网络安全威胁种类的增多和形式的日趋多样化,对网络安全的管理带来了新的 挑战,如何提高网络的安全度,如何防止这种危害的产生,净化网络,减少损失, 保证网络运行的有序正常,便是网络监管的职责所在。IBM 在2005 年和2006 年对 全球首席信息官进行了两次调查,结果显示,信息安全始终是CIO 关心的首要问题, 因此加强网络监管,提升网络安全是网络监管不可推卸的责任。那么,如何来诠释 网络监管的含义呢?
“监管”即监督和管理之意,对于监管的具体定义根据不同领域有不同的含义,在此,监管必须由赋有监管权力的组织机构为了实现某一个特殊的目标,确保公民的正当权利而根据既定的责权,对被监管单位进行行政上的制约和管理。而网络监管,通俗点来讲,就是为了确保网络的安全而由监管部门对网络进行管理,避免互联网受到非法入侵,从而确保个人、企业以与国家的信息安全。从狭义上看,网络监管指的是拥有管理权的政府机关对于网上著作、网上交易等网络商业行为的监督和管理,其目的是保障市场秩序、避免损失。从广义上讲,网络监管不仅仅局限于对商业行为的监管,更包括对于整个网络环境、网络容、网络人群的监控和一定程度上的管理,其容涉与维护网络正常运营,保障网上交易市场秩序和税收,监控政府企业等在网络上公开容的真实合法性,杜绝淫秽、暴力、犯罪等非法信息流通、引导青少年上网等诸多方面。随着互联网应用的增加,网络监管也越来越趋向于第二种含义。监管的主体不仅包括政府部门,也包括各种国际组织、技术协会、民间协会等公共管理机构。有效的网络监管不仅仅局限于技术上的问题,同时也是管理和法律法规的问题。从技术上加强是监管的核心手段。网络监管系统的基础设备最好采用先进的硬件设备,包括防盗、防毁、防电磁信息辐射泄露、抗电磁干扰与电源保护等设备。而且网络是属于高新技术领域的传播工具,它随着现代技术的进步不断翻新传播手段,如果没有合理有效的网络管理技术,就难以有健康发展的网络环境。从管理上来说,目前监管部门成立专门的监管小组,分区域分专业进行监督和管理。网络监管还必须从法律法规上进行强化,制定规的法律法规,并达成行业自律。从某种意义上来说,网络安全威胁的发展促使了网络监管的产生和发展。网络监管所要解决的便是网络安全威胁所带来的一系列问题。在网络监管中,要充分
4 / 36
理解科学管理之父泰罗的“科学管理理论”,管理部门要明确监管目标,制定科学的指导方针,把科学知识和科学研究系统运用于管理实践,科学地挑选和培训监管人员,科学地研究监管过程和监管环境,本着科学的管理思想,充分体现实践性、科学性、规性、协调性、效率性等科学理念。网络安全的监管问题不能仅仅局限于小围或者区域,网络已经普与到了全球各地,因此在监管方面,也应有所延伸,各地的监管政策应得到适当的融合,在要求法律上进行完善的同时,也应从道德建设和技术管理上不断突破,对网络安全威胁形成层层包围,阶段过滤,把网络安全威胁将要造成的危害降低到最低,直至杜绝,从而形成一个有力的监控网络。
第二章 网络安全威胁和网络监管的现状
5 / 36
1 网络安全威胁
图2-1 网络安全管理人员情况
公安部公共信息网络安全监察局《2006 年全国信息网络安全状况调查分析报告》显示,83%的单位都设立了专职或兼职的网络安全管理人员,11%的单位建立了安全组织。80%的单位都使用了防火墙和计算机病毒防治产品,44%的单位采购了信息安全服务,主要采购的服务有系统维护、安全监测、容灾备份与恢复、应急响应、信息安全咨询。在采取安全管理和技术措施方面,68%的单位有存储备份,67%的单位有密码和访问控制,56%的单位制定了安全管理规章制度。这些数据表明,网络用户的安全防是在不断增强并切实采用了措施。
2006 年计算机病毒感染率为74%,继续呈下降趋势;多次感染病毒的比率为52%,比去年减少9%。这说明我国计算机用户的计算机病毒防意识和防能力在增强。
6 / 36
图2-2 计算机病毒感染率
计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、 系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。
图2-3 2006 年-计算机病毒造成的主要威胁
图2-4 病毒造成破坏情况
2 国外网络监管
2.1 国外网络监管的历史
最早的Internet,是由美国国防部高级研究计划局(ARPA)建立的。现代计算机网络的许多概念和方法,如分组交换技术都来自ARPAnet。1977-1979 年,ARPAnet 推出了目前形式的TCP/IP 体系结构和协议。1980 年前后ARPAnet 开始了TCP/IP 协 议的转换工作,并建立了初期的Internet。至1983 年,完成转换。接下来,美国国 家科学基金组织利用TCP/IP 协议建立了全国的教育服务网络。1988 年,Internet 对外开放。1991 年,Internet 的商业用户超过学术用户,进入一个高速发展期。 由于国外在Internet 的发展和建设上投入很多,因此国外网民普与率非常高,尤
7 / 36
其是美国。作为互联网的诞生地和最早使用的国家,美国的互联网非常发达,信息化程度也是世界第一,从购物到旅行,从投资到理财,样样都离不开互联网。网络已经完全融入了美国人的日常生活,也已改变了美国人传统的生活方式。所有的机场、旅馆、图书馆都有无线上网设备或有线上网端口,很多美国人出差都习惯性地带上笔记本电脑,以方便工作和生活。但同样也是美国最先、最深刻的意识到信息安全的威胁。为了确保互联网的安全性,美国政府一直注重采用技术手段和通过一系列的立法来保障国家信息安全,来好地开展网络监管工作。1978 年8 月,佛罗里达通过了《佛罗里达计算机犯罪法》,之后美国共有47 个相继颁布计算机犯罪法。美国政府先后提出了130 多项法案,1981 年还成立了全美计算机安全中心,用于评价商用计算机系统的安全程度和适用围。尤其自“9-11”事件后,美国政府就以保障国土安全和反恐为名颁布了著名的《爱国者法案》,授权有关部门对整个网络进行监控。此外还有《反间谍法》,在限制新闻信息情报和电子通讯方面进行监控和管理。可以看出,美国政府与其重视网络监管,在上一个世纪末,主要是通过行政立法来加强网络监管的力度。
相比较而言,法国的互联网起步较晚,但是自法国意识到互联网的重要性与其 不可逆转的发展趋势以来,互联网的应用就得到了快速积极的发展。目前,法国的 博客人数已经超过了600 万,就是说平均10 个法国人中就有1 个拥有自己的博客。 随着互联网的发展,法国政府也逐渐意识到互联网存在的问题,并开始制定法律法 规对于互联网的安全进行监督和管理。1996 年,法国政府制定了《菲勒修正案》,该法案根据互联网的特点,为在互联网从业人员和用户之间自律解决互联网带来的有关问题提出措施。
欧洲信息技术最发达的德国,其经济和生活领域已被电子信息和通讯服务覆盖。 政府部门的运作、管理和社会生活都已呈现电子化网络化特征。德国在1997 年通过 了《信息和通讯服务规法》,对于互联网容进行限制。通过电子媒介出版、发行和订阅含有鼓吹纳粹国家主义和种族仇恨的言论都属于刑事犯罪而被严格禁 止。
越南自上世纪末开始建设互联网,但由于许多政府官员认为互联网会降低政府 控制公共信息的能力,威胁到国家安全,因此,他们关闭了网吧,没收了计算机。 但从2002 年开始,越南政府又放松了互联网接入的管制,越南人可以注册互联网接 入服务。为了防止和反政府的影响,越南政府规定如果要浏览国外网
16站,必须到政府进行登记,可以说越南整个互联网都在政府的安全系统监管之下。
8 / 36
越南还专门成立一支特警分队,调查在线犯罪和监控违禁出版物在网络空间的传播。 2.2 国外网络监管的现状
在美国,信息安全事件的发生率逐年递增,据计算机紧急事件反应小组(CERT) 统计,仅2002 年上半年就发生了43136 起与安全有关的事件,其中与软件漏洞相关 的事件就达到了2148 起,同时各类攻击手段也呈多样化发展。表2-1 为CERT 统计 数据:
表2-5 CERT 安全事件数据(1988-2003)
从上面的数据,可以看出网络安全事件演变态势,已呈现出逐年递增,且成倍 增长的势头。美国计算机安全协会(CSI)和联邦调查局(FBI)调查得出的结论是:在美国的大公司、金融机构、医疗机构、大学和政府机构中,有90%的人员反映遭受过安全破坏,70%的人员经历过比病毒和雇员滥用网络更严重的破坏,42%的人员声称由于计算机受到攻击而遭受经济损失,总价值超过2.65 亿美元。为了抵御和降低网络安全威胁的影响,美国信息安全主管机构和相关领域在信息安全体系建设、管理和研究方面进行了很多的探索和尝试。政府已将信息系统与网络安全列为今后10 年乃至整个21 世纪的主要安全挑战,全面推出“信息安全保障体系”概念,确定了关键基础设施和重点建设领域,制定了信息访问新政策,将保证国家信息基础设施的安全列为关系到美国国家安危的重大问题。特别在网络监管的法律法规方面,很多都有成熟的组织体系和法律----它们都产生于主动的立法监督。基于法规成立的机构通常设有一个执行理事会,通过审批总结、制定政策、标准和计划来行驶监督管理职责。越来越多的国家和地区认为网络安全问题是一个管理问题,就如“千年虫”问题一样,需要建立一些机构,对一般的安全保护措施提供建议和保证。
美国已经成立了这样的组织。现在欧洲各国的信息战略委员会也有这样的组织,基本都是沿用美国国家安全局的模式,比如加拿大的通讯安全组织,德国的信息技术安全局,英国的通信安全组织。这些管理机构从加密设备、认证系统、虚拟个人
9 / 36
网络、防火墙和侵入监测系统、集成网络管理系统等各种不同类型的防技术,监管网络。新加坡作为亚洲高度信息化的国家之一,对于国家互联网,一直实施较为严格的管理原则。新加坡广播管理局在1996 年就宣布对互联网实行管制,实行分类许可制度。所有提供容服务的互联网服务商都要申请许可证。新加坡广播管理局会定期对网络服务者提供的容进行抽查,互联网接入服务的提供者有义务协助政府对网络非法容的传播进行监管。而且新加坡1996 年又特别制定了《国际互联网法规》,对用户接收互联网不良容和管理手段作了明确规定。俄罗斯政府则将信息列为仅次于核战争的重要位置,于2000 年6 月正式颁布实施了“国家信息安全学说”,明确将信息安全作为俄罗斯国家利益的一个独立组成部分。日本的信息技术战略本部与信息安全会议共同拟定出了信息安全指导方针,并要求它的政府机构制定出具有单位特点的“信息安全基本方针”以与“信息安全对策”。由此可见,各国政府都从立法以与行为上把信息安全问题纳入国家重要的战略目标之一。可见,国外对互联网的监管已经不单单是技术上的管理了,已经形成了相关政府机构和一系列的法律法规来进行监管,从而最大程度的保证了互联网环境的干净和安全。
3 国网络监管
3.1 国网络监管的历史
图2-6 1997 年-2006 年中国网民数量图
虽然我国1994 年才开始接入互联网,但经过十几年的时间,互联网在我国得到 了飞速的发展。2007 年1 月23 日,CNNIC(中国互联网络信息中心,CHINAINTERNET NETWORK INFORMATION CENTER)发布第十九次中国互联网发展状况统计调查报告,截止到2006 年12 月31 日,中国的网民总人数为13700 万人,与2005年同期相比,中国网民总人数较上一年增加了2600 万人,增长率为23.4%。可以看出中国的网民总数呈良好发展趋势。如果将专线上网的数量纳入宽带上网部分,去掉交叉重复的宽带网民,则在中国13700 万网民中,使用xDSL、Cable Modem、专线等宽带上网的网
10 / 36
民达到10400 万人,依此计算,中国使用宽带上网的网民在全部网民中的比例高达75.9%。可见网络已日益成为人们生活中不可缺少的一部分。人们也意识到,无拘无束的网络并非总是那么和谐,网络不能自由存在,一个整洁规,井井有条的网络才是网络发展的真正目标,才是人们需要的网络。因此,互联网已不仅仅是技术上的问题,而且是社会和谐化整体性上的问题。为保障网络秩序,维护网络文明和网络安全,对网络的监管已是网络发展过程中必不可少的程序,已日益受到人们的重视。
为了建构一个有效全面的网络监管系统,近年来,国在网络监管方面的技术 研究不断投入,行政法规和监管部门大量成立,立法工作也得到加强,较大程度地 缓解了网络安全监管无法可依的尴尬境地,体现了政府和社会对网络安全威胁和网 络监管的重视和关注。从1994 年开始,国务院与其各业务主管部门先后颁布了《中华人民国计算机信息系统安全保护条例》、《中华人民国计算机信息网络国际互联网管理暂行规定》、《中华人民国电信条例》、《互联网信息服务管理办法》等行政法规和《中国公用计算机互联网国际联网保护办法》、《计算机信息系统国际联网管理规定》、《计算机病毒防治管理办法》、《教育和网校管理暂行规定》、《互联网电子公告服务规定》、《互联网电子公告服务规定》、《互联网上网服务场所管理办法》等部门规章。2000 年11 月,国务院新闻办和信息产业部就联合发布了《互联从事登载新闻业务管理暂行规定》,用以控制有害信息的传播;2001年4 月,国务院办公厅发布《关于进一步加强互联网上网服务营业场所管理的通知》,为规网吧与网络新闻登载提供了依据;2004 年,全国打击淫秽专项行动全面展开,同年6 月,开通“和不良信息举报中心”;2005 年2 月8 日,信息产业部出台《非经营性互联网信息服务备案管理办法》,对施行实名质备案;同年8 月,新闻出版总署制定出全国首个《网络游戏防沉迷系统》开发标准,限制网民的游戏时间。这一系列的举措和行政法规,对于净化我国互联网环境,监管网络容起到了比较积极作用。 3.2 国网络监管的现状
对于网络安全威胁的主要因素:系统自身漏洞和病毒,国各防病毒软件商和 操作系统公司都在积极研究和开发新的软件和系统或者补丁,来遏制这种威胁。但 面对层出不穷的病毒,木马和系统漏洞,各软件厂商往往处于被动地位,很难有效 控制。随着“熊猫烧香”病毒案的破获,计算机病毒再次成为人们关注的话题。节假日是人们集中上网的时期,计算机病毒的阴影此时更多地威胁着众多网络用户的信息安全。
网络监管的主体涉与政府的许多部门,如对网络经济的监管应该由工商行政部
11 / 36
门进行,而对网络文化的监管则是文化部门的职责,对网上犯罪活动则应当由 公安机关进行查处。如何协调好这些纵横复杂的管理关系,明确权责,形成一个良 好的网络空间确实是一个值得深入研究的问题。对于网络的监管还涉与如何处理政 府监管与网络自由的问题。就目前来看,从官方到民间一直有呼声对互联网的发展 进行管理和监督,为了应对日趋复杂的网络安全问题,创造和谐的网络环境,近年 来,我国政府相继出台了一系列的行政法规和行政规章。中共中央政治局第三十八次集体学习时,中共中央总书记提到“我们必须以积极的态度、创新的精神,大力发展和传播健康向上的网络文化,切实把互联网建设好、利用好、管理好。”的确,中央把互联网作为专门的问题来抓,这在以往的历史上是没有的。从中央外宣办网络宣传局披露的信息来看,国家的领导者已经认识到互联网对于构建和谐社会、维护我国政策方针的重要作用。
目前对互联网的管理主要由宣传、文化、工商、公安、信息产业、教育等部门 参与,涵盖了互联网上网服务营业场所、信息网络安全、打击网络犯罪、打击非法 互联网信息服务、高校互联网服务等管理。有专家指出,虽然这些“多头管理”表面上形成了“齐抓共管”的局面,一个更高级别的专业部门将在全局上统揽互联网管理工作。对外界来说,中央外宣办网络宣传局是一个新的机构,规格应该高于国新办网络局,这表明高层可能会组建一个级别更高的部门专事管理互联网信息。
第三章 网络安全威胁和网络监管的问题
1 网络安全威胁的问题
威胁网络安全的因素有外之分。部威胁有设备的缺陷和故障,有系统的漏
12 / 36
洞,以与技术人员的不安全行为。作为支撑整个网络系统的软件系统都不是百分百 完美的,肯定存在缺陷和漏洞,而这些缺陷和漏洞就会被黑客等一些不法分子利用, 威胁网络安全。有些技术人员为了自己方便设置了软件的“后门”,这些“后门”一般不为外人所知,一旦“后门”打开,其造成的后果将不堪设想。另外,由于缺乏安全意识,一些部员工私自使用拨号或者宽带接入互联网后,使网与外网之间开辟出新的连接通道,从而使来自外部的攻击行为或病毒绕过防火墙或者防病毒工具,直接侵入此计算机,更有甚者利用该机作为跳板,攻击网的其他计算机。因此支撑网络运行的硬件和软件系统都必须有一定级别的安全性,可靠性。而外部威胁因素毋庸置疑就是一些恶意软件、木马、病毒等。随着由于病毒而造成的损失的扩大,越来越多的企业开始意识到安全的重要性。但是由于目前市场上的防病毒软件花色繁多,有些虽具有一样的性质却有不同的命名,总体上,防病毒市场存在混乱的现象,并且国权威的防病毒软件厂商不多,因此,国企事业单位在防病毒,加强网络安全性上有所限制。
除了网络安全威胁的自身的外因素外,网络用户的安全意识也是网络安全威 胁问题日益增多的一个原因。国外的调查显示荷兰等欧洲国家企业网络安全意识亟 待加强。这项调查是在欧洲12 个国家的900 多个企业中进行的,其中英国、爱尔兰 与荷兰三国企业遇到的网络安全问题最多。此外,在接受调查的企业当中,43%的 企业表示只采取了使用口令与虚拟专用网(VPN)等简单的保护措施。对可能遇到的网 络安全问题,22%的企业表示一无所知。对于未来网络安全面临的挑战,绝大多数 被调查的欧洲企业认为是技术问题。47%的企业谈到应设立虚拟专用网和强化使用 者识别等技术,42%的企业意识到应该加强防火墙,39%的企业认为应该加强对非法 进入者的识别监督,30%的企业提到防病毒软件。在管理方面,57%的企业认为应该 加强网络使用者的信息系统安全意识,55%的企业认为应该制定有效的网络监管政 策。法国信息系统安全局总结说,企业无法知道有人非法进入自己网络,以与不能 采取有效措施避免这种现象的发生,是非常危险的。信息系统安全局认为,欧洲企 业对所面临的网络安全问题还缺乏足够认识,使用的技术与目前最先进的相差太远, 采取的其他保护措施也远远不够。
网络从诞生之日到发展至如今的时代,计算机系统也越来越人性化和简单化。操作系统作为网络客户端软件环境,大多数都是以用户为中心的。合法的用户可以在系统执行任何操作。虽然管理员通过技术手段,限定用户的某些行为,但更多的安全措施还是需要用户自身完成。比如:密码控制,用户必须管理好自己的登录密
13 / 36
码,加强密码的安全性和性;运行安全的程序,用户需要自己判断哪些程序是安全的,哪些程序是可能包含病毒的。如果用户的安全意识不强,任意运行文件,就可能无意中装上了木马程序或者流氓软件;如今电子病毒日益猖獗,而作为用户个人使用的工具,也是由用户自己控制,因此保持警惕。在浏览网页时,也可能遇到陷阱。病毒,流氓软件,木马程序很多都是用户浏览一些,非法,不知觉的情况下,强制安装到用户的计算机系统的,窃取用户资料,造成用户不可弥补的损失。当前威胁网络安全的主要有下面几个问题: (1)间谍软件(Spyware)的威胁和问题
据了解,间谍软件大概从2000 年之后开始兴起,发展速度非常快。前不久,美 国一家互联网服务提供商发表一篇报告显示,接近90%的上网电脑中都安装有间谍 软件;在实验过程中,他们对100 万台PC 进行扫描,发现了2900 万个间谍软件,平均 一台电脑29 个。而间谍软件定义缺乏共识,用户厂商各自表述,导致反间谍软件制 造商经常对产品的定义和目标进行修正,这样一来就分散了用户的注意力,用户无 法辨认软件的安全性。通常将间谍软件(Spyware)定义为在用户不知情的情况下,在用户电脑上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些“后门程序”还能使黑客远程操纵用户的电脑。间谍软件通常采用捆绑方式,即和一些免费软件放在一起,当用户因为网络安全意识薄弱,在网上下载了免费软件、浏览了一些不适合的,或者打开了某些恶意的造成。间谍软件(spyware)的一个共同特点是,能够附着在共享文件、可执行图像以与各种免费软件当中,并趁机潜入用户的系统,而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候安装的。一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险工具。
Gartner[16]的分析专家认为,间谍软件就将会变得更具威胁性,已经成为威胁网络安全的一个新的因素。不仅可以窃取口令、信用卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word 和Excel 文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。
随着用户和厂商对间谍软件的重视,各防病毒软件厂商都已推出专门的防间谍 软件的软件和服务,而且用户自身的安全意识也在逐步提高。但由于网络安全威胁
14 / 36
的趋势越来越多,越来越复杂,在技术和监管上应该加强。 (2)恶意软件(Rascalware)的威胁和问题
“恶意软件”(民间人士称为“流氓软件”)在网上横行,威胁网络安全的趋势愈演愈厉害,甚至网民忍无可忍的自发成立“反流氓软件联盟”,并对“流氓软件”提起诉讼。可见,这种威胁十分具有危害性,通过google 搜索“流氓软件”,条目竟达3240000项。针对“流氓软件”在网络上泛滥成灾的现象,很有必要对“流氓软件”统一共识,因此,中国互联网协会联合国30 多家厂商对恶意软件的官方定义如下:
①强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
a) 在安装过程中未提示用户;
b) 在安装过程中未提供明确的选项供用户选择; c)在安装过程中未给用户提供退出安装的功能;
d)在安装过程中提示用户不充分、不明确;(明确充分的提示信息包括但不限
于软件作者、软件名称、软件版本、软件功能等)。
②难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
a)未提供明确的、通用的卸载接口(如Windows 系统下的“程序组”、“控制面板”的“添加或删除程序”);
b)软件卸载时附有额外的强制条件,如卸载时需要连网、输入验证码、回答问 题等。
c)在不受其他软件影响或人为破坏的情况下,不能完全卸载,仍有子程序或模块在运行(如以进程方式);
③浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定或导致用户无常上网的行为。
a)限制用户对浏览器设置的修改;
b)对用户所访问的容擅自进行添加、删除、修改; c)迫使用户访问特定或不能正常上网。
d)修改用户浏览器或操作系统的相关设置导致以上三种现象的行为。 ④广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
15 / 36
a)安装时未告知用户该软件的弹出广告行为; b)弹出的广告无法关闭;
c)广告弹出时未告知用户该弹出广告的软件信息;
⑤恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
a)收集用户信息时,未提示用户有收集信息的行为; b)未提供用户选择是否允许收集信息的选项; c)用户无法查看自己被收集的信息;
⑥恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
a)对其他软件进行虚假说明; b)对其他软件进行错误提示; c)对其他软件进行直接删除。
⑦恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
a)安装时,附带安装已被认定的恶意软件;
b)安装后,通过各种方式安装或运行其他已被认定的恶意软件。 ⑧其他侵犯用户知情权、选择权的恶意行为。 (3)僵尸网络(Botnet)的威胁和问题
僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往 往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮 件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此, 不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐 患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个 僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主 机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
根据安全软件公司赛门铁克此前发布的报告显示,今年上半年全球共有超过450 万台电脑在用户无意识的情况下被黑客远程控制。柯恩巴姆说:“由于僵尸网络的力量在不断集中,因此它已成为当前最为流行的网络犯罪手段。而且,这一力量可以在互联网上被所有恶意行为所操纵”。为了避免被操控主机被其他人非法利用或者窃取数据,CNCERT/CC 在CERT (.cert.org.cn)上发布了专门的清除工具,并
16 / 36
与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作,有效地捣毁了黑客留下的僵尸网络。据itnews..au 报道,安全公司PandaLabs 称,机器人程序(bots)是自动化的蠕虫或者木马。它们把自己安装到计算机中自动执行某些任务,如发送垃圾和把被攻破的计算机转变为僵尸网络等。僵尸网络已经成为一种利润丰厚的商业模式。据介绍,Gaobot 或者Sdbot 在控制僵尸网络方面占主导地位并不是因为这两种恶意软件有特殊的功能,而使因为这两种代码在互联网上的传输更加广泛。PandaLabs 技术经理Luis Corrons 表示,这就意味着任何想要制作机器人程序的犯罪分子都可以利用这两种恶意软件的源代码,并且根据自己的选择进行修改。这样可以使犯罪分子节省许多工作。从上面的数据可以看出僵尸网络控制的计算机数量巨大,已成为网络安全的头号威胁。
2 政府其他部门网络监管的问题
网络监管除了硬件设备和技术上的管理外,现阶段需要政府机构的参与来规 互联网的秩序。近几年,在网络安全监管方面,由政府“搭台”,社会各方“唱戏”也即由政府主导、多方参与的趋势越来越明显。政府主导,多方参与,发挥民间组织作用,强化企业责任,加强国际交流和合作,是保障网络信息安全,促进网络建设健康发展的必要条件。[20]通过政府监管,克服过多市场竞争带来的负面影响,保护网络用户合法权益,防止淫秽、迷信暴力等趣味性低下的不良信息大行其道;保证政府电子政务和电子商务的正常运行,防止病毒、木马程序、流氓软件对电子政务和电子商务信息传输的破坏。现阶段,国对电子商务,网上银行的监管力度不强,各部门各自为政,没有形成一个统一有效的监管网络,且国的一些网络监管部门设备落后,技术欠缺,很难迅速有效的监管。不同的部门监管其实也是各部门传统职能在网上的表现和反映。在信息产业部的指导下,成立了“互联网协会”,依靠行业组织进行行业自律;在公共信息网络安全监察局的指导下,成立了“公安部信息安全等级保护评估中心”。但这种多部门“齐抓共管”的局面使得各部门之间缺乏协调和配合,而且各管理部门的行政级别最高只是局级,无法从全局上统揽互联网管理工作。
(1)全国信息安全标准化技术委员会
经国家标准化管理委员会批准,全国信息安全标准化技术委员会于2002 年4 月 15 日正式成立。该委员会先后发布了《网上银行系统信息安全保障评估准则(报批 稿)》、《信息安全风险评估规(报批稿)》、《信息安全事件管理指南(报批稿)》、《信息安全事件分类分级指南(报批稿)》等一系列标准化文件,为信息安全网络
17 / 36
安全提供了专业的标准化工作建议。信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。
标准化的实施给信息安全带来保障,我国已逐渐重视标准的制定和实施,但是 与其他发达国家相比,仍然存在一些问题。目前安全标准数量远远少于现行的产品 品种。同时,在对标准化的认识上存在一些误区,认为标准是软课题,是一种纯理论而不具有实际操作性的东西,因此在很大程度上得不到重视。并且很多个人与企业都认为,标准化只是政府的事情,因此在日常的操作中忽视了标准化的重要性。信息安全标准关系到国家的安全与经济利益,标准往往成为保护国家利益,促进产业发展的一种重要手段,信息安全标准化是一项涉与面广,组织协调任务重的工作,需要各界的支持和协作。
(2)中国信息安全产品测评认证中心
中国信息安全产品测评认证中心筹建于1997 年,1998 年7 月以“中国互联网络安全产品测评认证中心”的名称试运行。1998 年10 月,经国家质量技术监督局授权为“中国国家信息安全测评认证中心”。1999 年2 月,中国国家信息安全测评认证中心与其安全测试实验室分别通过了“中国产品质量认证机构国家认可委员会”和“中国实验室国家认可委员会”的认可。同年,国家质量技术监督局正式批准并向社会公告了《中国国家信息安全测评认证管理委员会章程》、《中国国家信息安全测评认证管理办法》、《中国国家信息安全认证标志和第一批实施测评认证的信息安全产品目录》等文件。2001 年5 月,中央编制委员会正式批准了认证中心的职能任务和机构编制,将认证中心正式定名为“中国信息安全产品测评认证中心”,英文名称为:ChinaInformation Technology Security Certification Center ,简称:CNITSEC)。
中国信息安全产品测评认证中心依据国家授权对外开展四类认证业务:信息安 全产品认证、信息系统安全认证、信息安全服务资质认证和注册信息安全专业人员 资质认证。并向通过认证的信息安全产品、信息系统、信息安全服务者和信息安全 人员颁发相应证书,获得认证的产品、系统、单位和个人准予使用认证标志。 (3)国家计算机网络应急技术处理协调中心
国家计算机网络应急技术处理协调中心(简称CNCERT/CC)是在信息产业部互 联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急 小组(CERT)共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国 家主要网络信息应用系统以与关键部门提供计算机网络安全的监测、预警、应急、
18 / 36
防等安全服务和技术支持,与时收集、核实、汇总、发布有关互联网安全的权威 性信息。国家级的应急技术处理协调中心比较欠缺对国计算机网络安全应急组织之间的合作和交流以与与国外的应急小组和其他相关组织进行交流和合作,作为协调处理中心更应逐步建设成为中国处理网络安全事件的对外窗口。
3 法律法规和行业自律规的问题
与国外相比,我国的信息化建设起步晚,但互联网的发展速度却非常迅速,网 络业务的快速扩和网民数量的急剧上升给互联网的发展创造了良好的环境,但网 络安全的法律法规还处在严重不足和起步阶段,还没有形成一个对网络安全威胁有 效的约束和制裁。现有的政策法规太笼统、缺乏操作性,难以适应网络发展的需要。 且法律法规有明显的滞后性,滞后的法律在超前的互联网面前总是显得“力不从心”。
法律是约束行为的尺度,在网络世界也一样,对互联网的监管,没有法律是不行的,但只有法律也是不行的。如何来弥补法律滞后和被动性的缺陷呢?这就要用行业自律手段来加强对网络的监管。由中国互联网协会组织30 余家互联网机构共同研究起草的《恶意软件定义》(征求意见稿)于2006 年11 月正式发布。恶意软件, 民间人士定义的“流氓软件”,引起广泛关注以来,中国互联网协会一直在积极研究,“通过行业自律来解决问题”是其一贯主,不过,自从提出这个主以来,各方一直都在怀疑“行业自律”是否能够真正解决问题。一位自嘲为“流氓软件的资深受害者”称,反流氓软件联盟和行业自律是不同的利益群体博弈,而目前我国对“流氓软件”尚未有成形法规,行业自律和法律诉讼从实际情况来看短期都难以见效。一些网友也呼吁政府部门尽快介入,事实上,网络侵权治理、网络治理、SP 综合治理等也都是有政府强制力作为保证的前提下,经过一系列的打击才见成效的。面对恶意软件横行于互联网络,如果没有法律法规的制约和行业的自律行为,单纯依靠政府的监管将会显得过于单薄。我国虽说建立了十多个互联网管理部门,先后颁布了《全国人大常委会<关于维护互联网安全的决定>》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》等一系列法律法规来规互联网,但社会生活总处于发展变化之中,新事物不断涌现,网络立法工作相对于当前网络犯罪,网络暴力,为了经济利益制作传播病毒等网络恶性行为日益严重的情况,显得较为滞后,不能有效地阻止这些恶性行为的发生。目前来看,虽然网络监管力度有所加强,监管技术得到很大的提高,监管法规有所完善,但是仍存在着一些问题,包括各地政策法规不一致,且管理技术发展不平衡,管理机构分工不明确等问题,因此网络监管也
19 / 36
是一项复杂而艰巨且不可能短期完成的任务。
4 网络监管和网络自由之间的问题
网络安全威胁的不断增多,网络技术的不断发展,使得网络监管的围也在不 断扩大。各国都成立了网络监管部门对互联网进行监管,这也使得很多人想到,网 络没有自由了,没有隐私了!
正因为网络的自由,平等,畅所欲言,才吸引了越来越多的人进入网络世界。 我们都知道,用户的客观需促进各种发明和技术的创造和改进的动力源泉。网 络也是如此,由于其自由性,开放性,越来越多的人被吸引,甚至有些人“没了网络,都没法儿工作了”。虽然网络是自由的天地,但如果某个人或某个集体的过分自由妨碍了其他多数人的自由,那么个人和集体的自由就要受到监管了。但是任何一个管理措施的出台,必然要损害一部分人的利益。网络监管如何在严格有效监管与保护公民合法权益之间找到平衡点就成为管理部门必须面对的现实困境。网络是一个虚拟的空间,任何人的访问都是自由的,但这种自由也带来了一系列的问题。
众所周知,网络BBS 由于其整合了新闻讨论群,交谈,电子等功能,具有 简单的用户界面,容易上手,在很大程度上推动了民意的勃发。但由于网络的无国 界性和快速传播性,为了规网络信息的发布和传播,保护知识产权和,2004 年,教育部提出:高校校园网BBS 是校网络用户信息交流的平台,要加强规和 管理,与时发现和删除各类有害信息,严格实行用户实名注册制度。对有害信息防 不力的BBS,要限期整改,对有害信息蔓延、管理失控的BBS 要依法予以关闭。据调查显示,自2005 年实行BBS 实名制之后,BBS 的人气大不如前,某些板块已经半年未见新帖。有些网友甚至感觉“网络的美好就在于它的虚拟,实名以后的BBS 让人觉得恶心。”同样,对于博客实行实名制情况,管理部门称这也是实属无奈之举,正是博客侵权事件时有发生、博客传播势头不减等博客不良现象的出现才使得有关部门要加强博客管理的。但是博客注册的实名制不可避免地在某种程度上使网民的言论自由受到抑制。一方面是博客需要管理,放任自由显然是不行的,另一方面是严格的管理可能阻碍博客的发展,这样两难的境地也给网络监管和网络自由的和谐发展提出了考验。网络实名制(包括BBS 实名制、网络游戏实名制、博客实名制)、个人存款实名制、购房购车实名制等等,随着政府一项项规定的出台,也在近些年被媒体和公众反复提与。网络实名是其中争议较大的一个。调查显示,习惯了在互联网这一虚拟空间中生活的众多网民中,83.5%的人明确反对在网络上搞实名制,59.7%的人更是强调,“网络本来就是虚拟的,不可能实现实名制”。有15.6%的人
20 / 36
对网络实名表示赞同,他们认为,除了官方“有效遏制未成年人沉溺于网络游戏”的说法之外,实名的BBS 和博客可以让网友看到更有责任的言论。可见,在加强网络监管的同时,如何切实保护好网民的自由,做好网络监管和网络自由的和谐发展,也是当前网络监管部门需要面对的一个切实问题。
第四章 加强网络安全和网络监管的对策
1 进一步加强对网络安全威胁的防
为了解决外的网络安全威胁问题,必须进一步加强网络安全威胁的设备防
21 / 36
和增强用户安全意识。 (1)加强设备防
首先,保证网络系统各种设备的物理安全是整个网络系统安全的前提。物理安 全是保护计算机网络设备、设施以与其它媒体免遭地震、水灾、火灾等环境事故以 与人为操作失误或错误与各种计算机犯罪行为导致的破坏过程。它主要包括四个方 面:
①环境安全:对系统所在环境的安全保护,如区域保护和灾难保护; ②设备安全:包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰与电
源保护等;
③媒体安全:包括媒体数据的安全与媒体本身的安全。
④运行安全:应该有专业的技术维护人员对网络的运行进行监控管理,且对系统应实行主备份策略。监视网络运行和安全告警信息,网络各层次审计和日志的分析,网络安全事件的处理等。
其次,要保证网络传输链路的安全。链路安全主要解决网络系统中,链路级点 对点公用信道上的安全。在公共链路上采用一定的安全手段可以保证信息传输的安 全,对抗通信链路上的窃听、篡改、重放、流量分析等攻击。链路加密是解决链路 安全的主要手段,而链路加密主要依靠链路加密机实现。针对网络系统互连的安 全,可以使用硬件防火墙来实现二者的安全访问机制。同时,局域网的连接IP 地 址采用保留地址,既解决了IP 地址不足的问题,也杜绝了与互联网的直接连接。而 且局域网可以用防火墙的VPN 功能来实现信息的性和完整性保护。
第三,要采用网络监控和防系统,并建立网安全管理的制度和对策。外部 入侵的防可以使用硬件防火墙实现,部的信息泄露可以利用防水墙防止信息泄 露。监控系统和防系统结合使用,形成主动性的防御体系。
最后,对于网络设备要定期检测。主要是防火墙,服务器,主机,操作系统等安全检测。利用专业的网络安全检测工具,扫描分析网络系统,检查系统存在的弱点和漏洞,与时更新病毒木马特征库,和流氓软件插件免疫数据库,增强网络安全。 2) 增强用户安全意识
除了依赖基本防护的软硬件设备防外,其实根本的防治之道还是在于用户要有安全意识、要保持良好的计算机与网络使用习惯,也就是说,“人”才是关键。现在很多企业和普通网民还处在一个被动地位,而实际上网络安全防御的主动出击比被动防守更为迫切,安全意识的强化则是主动出击的前提所在。面对网络安全威胁
22 / 36
问题,作为网络的直接使用者,用户如果缺乏自身的安全意识,没有认识到安全威胁的存在,那么在面对网络安全威胁问题时,将束手无策,造成用户的损失。而且用户对于自身的技术与管理状况也缺乏应有的认识,因此,必须加强安全意识,尤其在如今网络安全威胁不断增多,新的威胁因素层出不穷,用户防不胜防的情况下,更要有一个良好的使用习惯,做到未雨绸缪。可见,解决网络安全问题,也是安全意识的问题,最容易也最有效的还是加强用户的安全意识,由网络用户共同负责网络安全,相信网络安全的威胁会得到较大的遏制。
2 进一步加强政府其他部门的网络监管
目前的信息安全管理体系实行的是集权控制和全国统一规模式,从中央到地 方的垂直管理和分层管理相结合。目前的管理状况仍是传统的多方“齐抓共管”。信息产业部、公安部、文化部、宣传部等部门都进入了管理过程,涵盖了互联网上网服务营业场所、信息网络安全、打击网络犯罪、打击非法互联网信息服务、高校互联网服务等管理。这些部门在负责监管各自职能相对应的网络信息时,应该加强沟通和协调,甚至可以成立一个多方组成的具有更高级别的专业部门来组织协调各部门的关系和职能,在全局上统揽互联网管理工作。
网络安全的基础设施和管理都由政府来负责,各网络安全机构应为网络安全标 准、网络安全认证和网络监管综合决策提供服务。因此,政府在成立相关机构后, 应继续提高这些机构的专业服务技术和服务质量。
首先,全国信息安全标准化技术委员会应加快健全完善各信息安全标准的起草 和制定。尽可能地提供全局性的、具有超前意识的标准化。在制定安全管理标准时 注意不能脱离实际,真正了解当前政府、企业与个人的现状和安全需求。信息安全 标准化是一项涉与面广,组织协调任务重的工作,需要各界的支持和协作。在网络 安全和网络监管制度标准化的工作上,信息安全标准化技术委员会应根据网络安全 容的不断深化完善标准,为网络监管部门提供系列标准化文件和工作建议。
其次,中国信息安全产品测评认证中心在对信息安全产品的认证时,不能仅仅 局限在硬件产品和软件产品的认证服务围,还应该加强信息安全服务的认证。 软硬件产品作为技术上的监管措施,具有被动性和滞后性,因此认证中心除了在技 术产品上继续提高自身认证能力和技术水平,扩大认证业务,也应该对信息安全服 务提供系统化的认证管理,同时要着眼建立与国际接轨的网络安全技术和监管技术, 这样才能形成一个非常有效的网络安全管理系统。
最后,国家计算机网络应急技术处理协调中心要发挥作为网络安全部门的主导
23 / 36
作用,加强网络安全的宣传,提高网民安全防意识,安全意识并非是一朝一夕的 事,而是需要网民在平时多加积累和注意。否则只有当来势凶猛的“熊猫烧香”这样的病毒来袭时,网民们才意识到网络安全的重要性。协调中心应根据现实需要不断强化和充实管理职能,加强国计算机网络安全应急组织之间的合作和交流,并与时与国外的应急小组和其他相关组织进行交流和合作,互相借鉴,成为中国处理网络安全事件的对外窗口。
以上的几个主要部门的工作不仅通过突破技术上的漏洞,切断威胁网络安全最 直接的通道,保证网络环境的干净,而且也对网络安全进行约束和监管。以网络主 管部门为代表的政府机关通过政策手段、技术手段,对病毒传播、流氓软件、信息 污染、网络侵权、网络等进行禁止或限制的监管活动,各监管部门加强合作, 理清多头管理现状,协调各部门的责权分配是当前网络监管一项复杂而长期的任务, 单凭某一个政府机构或者研究机构是难以实现的。应更明确的指出各相关政府机构 的责权,处理好交叉问题,开展多方面的沟通和合作,做好官方组织与非官方组织 的协调合作关系。
3 进一步健全法律法规和加强行业自律
加强网络安全管理,不仅要通过加大相关监管力度,更要加强网络立法。国外 的网络立法和互联网的历史几乎相等,但我国却略显滞后,因此,当前阶段,我国 相关监管部门应该与时跟进,积极调查,联合有关部门不断完善当前的法律法规。 同时鼓励互联网行业协会等自愿性组织在制订促进可操作的标准中发挥作用,利用 行业自律组织进一步完善行业规和行业章程。
由于互联网的发展速度十分迅速,短短十几年的时间,从局域到广域,从地区到全球,从有线到无线,其发展之快,对现有的网络法律和需要制定的法律法规来说,是不可能完全跟得上的,而且监管如此巨大的网络空间仅仅依靠政府部门,无论从理论上或是实际操作中,都是不现实的。因此,当前比较可行的方法是通过行业自律来管理,不仅可以在很大程度上减少监管的运行成本,而且也能提高监管效率。如英国因特网监察基金会(Internet Watch Foundation)就是一个自发组成的行业自律组织,其成员由网络业界与业外人士共同组成,以增强和保障委员会的代表性、公正性和权威性,其主要工作是搜寻网络中的非法信息,并将发布这些非法信息的通知网络服务商,以便服务商采取措施,阻止网民访问这些。国的互联网协会也针对目前国相关监管法律滞后的情况,制定发布了《中国互联网行业自律公约》,从行业协会的角度建立我国互联网行业自律机制,规行业从业者行为,依法促进和
24 / 36
保障互联网行业健康发展,其积极意义是非常肯定的。随着行业自律意识的加强,在互联网协会的倡导下,互联网业界先后制定了《互联网搜索引擎服务商抵制淫秽等和不良信息自律规》、《互联禁止传播淫秽、等和不良信息服务自律公约》、《互联网新闻信息服务自律公约》等一系列自律公约和规。
虽然行业自律规只是道德层面的、最底线的要求,不具有强制力,主要靠社 会舆论的督促和人们的自觉遵守,但从目前的网络监管情况和法律法规的约束围 和能力来看,订立自律公约是成本最小、最可行也最快速的解决方式。政府部门在这方面也应加强制定相应的网络安全法规,建立一支由网络专家、犯罪专家、心理学家等组成的知识密集、技术密集的专业队伍。
4 进一步加强网络监管和网络自由的和谐发展
网络有如此快速的发展,自由起到了很大的推动作用,市互联网舆论宣传 领导小组办公室副主任海光教授指出,迅捷发展的互联网络带来网民人数的剧增 和网络群体的快速形成,“网络群体形成更快,类型更多,诉求更明,影响更大,其社会性质越来越凸现,与网下活动交融度、整合度越来越大”;教授同时也指出,根据众多的资料统计,对于互联网人们已形成了共识:“互联网是现代社会最重要的信息集散地,是最快速、最直接、最敏锐发现文化思潮、社会动向的舆论场,是社会意识形态的风向标。”自由的网络空间,给了人们更多发表自我思想的空间和机会,技术的发展,博客的普与,使得这个时代的每个人都可以利用网络自由地发表见解,但不加限制的网络自由将给现实生活带来巨大的危害!尤其在当今网络虚拟社会与现实社会交融的时代,这种任意的网络自由如果不受到现实的监管,将会给社会带来不和谐因素,甚至是动荡和不安。如何在监管的同时保护好网民在网络上的自由,已经成为当前监管部门亟需考虑的问题。
为了处理好这一问题,公安部出台的《互联网安全保护技术措施规定》第四条 就明确提出,“互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。”第五条也明确指出,“公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。”网络监管部门也应加强在行使监管权利时注意保护用户的网络自由,在必要的情况下,比如有证据怀疑某网络用户与犯罪行为有关时,才对其进行监管,绝不可任意无限制地对任何人进行监管;同时最低限度地实行监管,应通过技术手段保证不将监管围任意扩大,将监管严格控制在仅以能够顺利执行管理职能为限。网络监管部门作为行使监管权利的政府机关也应受到
25 / 36
其上级主管部门公安部和国家司法部门的监督,防止网络监管部门滥用职权,避免被监管对象因监管部门不当行为而遭受的损失。网络监管部门也要加大宣传,提倡网民道德自律。自由从来都不是绝对的,自律才是享有自由的前提和基础。西奥多·罗斯扎克在《信息崇拜》里所说:“法律试图跟上技术的发展,而结果总是技术走在前头,这几乎是一个永恒的规律!……在不到一代人的时间里,信息传递技术的发展规模如此之大又如此活跃,法律无力也不宜对之加以严密的规。”网上反映出的一些人道德品质败坏的问题,不是靠某一项法律就能直接判定的。所以,要呵护互联网世界的自由和平等,构建一个和谐有序的网络空间,关键还离不开全体网民的道德自律。
结 语
互联网进入我国十多年来,其影响力越来越大,所承担的社会责任也愈来愈重, 在构建和谐社会的进程中也发挥着更大的作用。但是在全球围,计算机病毒、 各种有害信息和网络犯罪等网络与信息安全问题日渐严重,这不但制约了信息
26 / 36
业的发展,同时也给国家的经济建设和人们的社会生活带来了很多负面影响,保障 信息网络的健康运行,积极推进互联网的有序发展,是我国信息化建设的基本出发 点。在“积极发展,加强管理,趋利避害,为我所用”的方针指导下,互联网产业保持了高速发展的势头。各监管部门和行业协会为形成有序网络发挥了巨大作用,是营造和谐网络空间的中坚力量。构建社会主义和谐社会,是党中央做出的重大战略部署。总书记指出:“构建社会主义和谐社会,是党中央从全面建设小康社会、开创中国特色社会主义事业新局面的全局出发提出的一项重大任务,适应我国改革发展进入关键时期的客观要求,体现了广大群众的根本利益和共同愿望。”信息网络安全对和谐社会的构建起着极为重要的作用。目前国家相关部门已经开始采取适当的措施,保证信息网络的健康发展,从而促进社会的和谐发展。例如,在2006 年2 月,信息产业部启动了以“倡导网络文明、构建和谐环境”为主题的“绿色网络工程”活动,为营造和谐的网络起到了积极的作用。
网络环境的复杂性、多变性,以与信息系统的脆弱性,决定了网络安全威胁的 客观存在。我国日益开放并融入世界,加强安全监管和建立保护屏障不可或缺。原 国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉与我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以与经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉与国家的经济安全、金融安全,同时也涉与国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,市负责信息安全工作的部门提出采用非对称战略构建信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。市互联网舆论宣传领导小组办公室副主任海光教授也提出互联网已不仅仅是技术上的问题,而且是社会和谐化整体性上的问题。不断出现的互联网新技术使网络服务形式更加多样,服务容更加丰富,服务途径更加便捷,公众在享受便利的同时,不可避免地面临着个人资料被窃取和非法扩散的危险,因此必须加强网络监管的力度。但是随着网络监管的加强,网民的自由也受到了一定的限制,如何在网络监管的同时确保网民的网络自由,也是网络监管部门所必须解决的问题。加强监管部门的体制建设,完善监管机制,避免监管部门越权行使,滥用职权,是更好地保障网络监管的基本要素。同时也要加强互联网关联协会的合作,根据协会的特殊性质,形成行业自律,积极发挥其监督和促进作用。最后,努力培养网民的
27 / 36
网络安全和网络监管意识,使他们能够形成主动积极的防意识,从主观能动行上积极抵御,从而为积极营造和谐有序的网络空间,为构建和谐社会贡献力量。
总之,随着新型网络安全威胁的出现,网络监管面临着更大的挑战和任务,网 络监管单位应该树立社会主义荣辱观,加强科学管理和技术创新,积极倡导政府与 企业、企业与企业之间以与与国际相关组织的相互交流和合作,充分调动和发挥社 会各方面的力量,打击网络犯罪行为,加快形成依法监管、行业自律、社会监督、 规有序的互联网信息传播秩序,共同维护信息网络安全,推进信息社会建设。相信网络世界的自由与开放在网络监管的保障下继续保持和发展。不久的将来,在构建和谐社会时代大背景中,信息安全工作随着信息化发展,再上一个新台阶。
参考文献
[1] 蔡名照.积极营造健康向上和谐有序的网络环境[J].信息网络安全,2006,(4). [2] 蔡吉人.信息网络------我们面临的机遇与挑战[J].网络安全技术和应用
2001,(1).
[3] 翔.网络安全新威胁[J].信息网络安全,2006,(4).
28 / 36
[4] 登国. 国外信息安全现状与发展趋势[J].信息网络安全,2007,(1). [5] 军.关于计算机信息网络管制问题的思考[J].科学中国人,2003,(7). [6] 付景广.加强安全防护和应急保持网络持续畅通[J].信息网络安全,2007,(2). [7] 公安部公共信息网络安全监察局. 2006 年全国信息网络安全状况调查分析报
告[R].2006.
[8] 公安部信息安全等级保护评估中心.[EB/OL] web.cspec.gov.cn [9] 郭杰.信息公开与的法律保障[J].信息网络安全,2007,(4). [10] 互联网实验室.中国流氓软件与治理对策研究报告[R].2007. [11] 作者(美)罗斯扎克,译者体仁/苗华健.信息崇拜——计算机神话与 真正的思维艺术,1986.
[12] 马宁.互联网安全法制建设的新阶段─2000 年互联网安全立法综述[J].网 络安全技术和应用,2000,(2).
[13] 欧阳向群.构建安全平台摒弃有害信息[J].信息网络安全,2006,(4). [14] 静,岩.我国信息安全等级保护工作动态[J].信息网络安全,2006,(12). [15] 瑞星公司.2006 年度中国大陆地区电脑病毒疫情&互联网安全报告[R].2006. [16] 红.“金盾工程”通过国家验收[J].信息网络安全,2006,(12). [17] 双龙一剑,穷追不舍的间谍软件[N].电脑报,2003-12-25.
[18] 田捷.中国互联网络法规政策状况的反思[J],环球法律评论,2001,(3). [19] 王渝次.正确认识和理解信息安全风险评估工作[J].信息网络安全,
2006,(4).
[20] 王军.论网络隐私权的保护[J].信息网络安全,2006,(2).
[21] 吴闻,许榕生,秉瀚.构建网络安全体系的必要措施[J].网络安全技术和应
用,2003,(2).
[22] 奚.为构建健康和谐的网络环境而努力[J].信息网络安全,2006,(7). [23] 中华人民国公安部.互联网安全保护技术措施规定2005 年第82 号令
[S],2005.
[24] 中国互联网络信息中心(CNNIC).1997-2006 年中国互联网络发展状况统计
报告[R],2006.
[25] 宏志,蔡渝坤.为数字奥运架构有效的网络应急处置体系[J].信息网络
安全,2006,(2).
[26] 志国.多头并进齐抓共管大力推荐网络信息安全监管工作[J].信息网络
29 / 36
安全,2006,(5).
[27] 志国.互联网发展日新月异,构建和谐网络任重道远[J].信息网络安全,
2007,(5).
[29] ComputerEmergencyResponseTeamCoordinationCenter (CERT/CC)
Statistics 1988-2006 [EB/OL]..cert.org/stats/cert_stats.html,2007-1-16
[30] Matt Curtin.Introduction to Network Security March,1997 [31] Paul Graham (November 2005).Web 2.0.2005.
致
感我的导师海光教授,他严谨细致、一丝不苟的作风一直是我工作、学习中的榜样;他循循善诱的教导和不拘一格的思路给予我无尽的启迪。感他在论文从开题到最终定稿过程中的悉心指导。感MPA 办公室的振全老师,在论文的写作流程上,给了我细心指导,让我和MPA 办公室保持着紧密联系,对我论文的最终完成起到了
30 / 36
很大帮助。感我的同学和同事们,是你们和我共同维系着彼此之间兄弟姐妹的感情。感王晓东同学给予的与时帮助,感媛媛同学的关心支持,感娜娜在工作生活上的鼓励。感我的爸爸妈妈,焉得谖草,言树之背,养育之恩,无以回报,你们永远健康快乐是我最大的心愿。在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的意!
31 / 36
因篇幅问题不能全部显示,请点此查看更多更全内容