新形势下安全防御之道
我国IT基础设施严重依赖国外,为信息安全埋下隐患。专家认为,需要综合防御才能保证信息系统安全。
安全形势严峻
互联网高度发展,让我国的关键系统面临着有史以来最严重的安全威胁。主要体现在以下几个方面。
基础设施依赖国外,信息安全基础薄弱。
虽然我国计算机制造业有了很大的进步,但是,在硬件方面,许多核心部件、技术严重依赖国外,缺乏具有自主知识产权的产品;软件方面则面对国外产品市场垄断和价格歧视的威胁。目前,我国使用的计算机多数来自国外,芯片、操作系统更是被外国垄断,计算机信息赖以存在的物质基础非常薄弱,因此,在此基础上我们自己研制开发的应用软件的安全性能也非常薄弱。开放性的网络导致网络的技术是全开放的,任何个人和团体都可能获得,因而网络所面临的破坏和攻击将是多方面的。
系统漏洞不断,补丁更新慢。
大量系统漏洞的发现,使计算机网络很容易遭受攻击。研究显示,网络攻击者热衷于攻击新发现的漏洞,在所有新攻击方法中,64%的攻击针对一年之内发现的漏洞。专家预测,在今后相当一段时间内,利用被广泛应用的软件中的漏洞的攻击方式将继续大行其道。只要漏洞被披露,黑客们用来开发新蠕虫病毒的时间就会缩短。电子邮件是我们使用得最多的功能,而垃圾邮件和病毒是使用电子邮件面临的两大困扰。同时,间谍软件也在用户不知情的情况下监听用户的网络连接,收集并发送有关用户的信息。当前很多杀毒软件对有害软件的识别能力还很低,清除有害软件比清除病毒更加困难。
病毒木马破坏力高,防范手段滞后。
计算机病毒在同一次攻击中,可能不仅仅有病毒攻击、黑客攻击,还包含隐通道攻击、拒绝服务攻击、口令攻击、路由攻击、中间人攻击等多种方式,有的攻击易于修改从而产生新的变种,有的具有蠕虫的特点,可以利用网络进行传播,有些病毒还具有了黑客程序的功能,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。除了在传播手法上的丰富和加强外,现在的病毒已经越来越注意保护自身:有些病毒对自身的代码进行随机加密和压缩,以避免被杀毒程序识别;还有些蠕虫病毒通过多种方式、多种途径攻击和破坏网络,现在的网络安全仅仅靠防火墙保护已经远远不够。
专业知识有限,自我防护弱。
用户对网络的依赖程度不断提高,安全事件频繁爆发,网络安全受到越来越高的重视,因此网络安全设备和软件成了必备的设施。但是,由于现在的蠕虫病毒和黑客软件在性能和功能上较过去都有了很大的提高,并且在功能上进行了整合,因此,现在的网络安全技术仅仅可以对付已知的、被分析过的攻击,却没有缓和、预防攻击的能力。面对未来越来越多的新病毒,在大规模攻击爆发的初期就有效地阻止攻击进行,为网络安全提供保障,将是十分困难的事情。再加上,国内许多单位或个人的网络安全专业知识十分有限,信息与网络安全的自我防护能力很弱,因此网络和应用系统经常处于不设防状态。
制度难以落实,管理漏洞百出。
要确保安全就要树立“三分技术、七分管理”的思想。安全是一种“买不到”的东西,需要建立一个有效的信息安全体系。要建立有效的信息安全体系,首先需要在好的信息安全治理的基础上制定出相关的管理策略和规章制度,然后才是在安全产品及技术的帮助下搭建起整个架构。如果顺序反了,就不可能得到一个真正意义上的安全防护体系。我们现在对信息安全的管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式上,不能从根本上避免降低各类风险,也不能降低信息安全故障导致的综合损失。据统计,在所有安全事故中,人为的疏忽占57%,外部恶意攻击占24%,病毒占14%,用户误操作占5%。如果进行了管理上的加强,有70%以上的安全事故是可以避免的。
新形势下的应对措施
针对这些安全威胁,国家应该从制度、体系、立法、技术发展和人才培养上进行整体提升,才能真正保障国家信息安全。
将网络信息安全应急纳入国家应急体系。
当前,我国并没有把网络信息安全应急纳入国家安全和基础设施的安全应急体系中,本人认为这是不应该的,必须立即纳入相关体系中。网络信息安全应急体系的建设不仅关系到政治、经济、产业、社会的正常运转,还关系到国家安全和社会的根本稳定。我国许多行业与领域的信息化的运营体制是集中模式,而为此配套的灾难备份、业务连续性和服务保障体系十分脆弱。我国的信息安全应急服务市场却令人担忧,主要表现在大部分服务市场被国外公司占据,市场利润由外国公司分割。因此,必须要建立扶持制度,支持我国网络信息应急企业的发展。
建立健全国家网络信息安全管理体系。
我国急需完善信息安全工作机制,构建信息安全管理体系。首先,需要加强组织管理,提高预警和通报能力,应在中央建立一个具有高度权威的信息安全领导组织,从国家安全的高度实施重大决策,统一指挥,协调各方关系;其次,应当按照归口管理、分级负责的原则,明确各部门在信息安全保密工作中的权力与职责,各负其责,促使信息安全措施的具体落实;第三,应当本着以我为主的思路,理顺技术发展体制,尽快建立起与我国信息系统发展相适应的安全技术发展体制,形成研究、开发、应用一条龙式的技术保障体系,及时发布重大网络信息安全问题和计算机病毒疫情预警信息,有效防范和降低损失。
加强网络信息安全立法。
网络信息安全问题的解决有赖于技术的不断创新,但仅依靠技术手段还远远不够。对于实现网络信息安全而言,将技术规范法律化,建立法律规范中的制裁机制和补偿机制是不可或缺的,应当及时建立并不断完善各项信息安全的法规、制度,坚持依法办事。目前,中国现行的政策法规有许多难以适应网络发展的需要,信息立法还存在相当多的缺陷和空白,个人隐私保护法、数据库保护法、数字媒体法、数字签名法、计算机犯罪法及计算机安全监管法等所需的配套法规还未制定,使信息犯罪有空可钻。因此,迫切需要加强信息立法的理论研究,健全完善我国的信息安全法规体系。
发展具有自主知识产权的核心技术。
我们不能期望本国的信息安全建立在引进别国先进技术的基础之上。要彻底解决我国的信息安全问题,当务之急是加强自主创新,大力开发我国自己的硬件技术、操作系统以及其他关键性的网络安全技术。加大国产安全产品的开发力度,增加对自主研制产品方面的投入,争取在尽可能短的时间内生产出以自主知识产权技术为核心的产品,采用国外的产品,也应该走引进、消化、吸收的道路。加大对信息安全产业的投入力度,不能仅仅从经营出发、完全以经济效益作为判断依据,而首先应当考虑自主安全可控的目标。
打造高素质的科技人才队伍。
我国信息产业起步较晚,信息化程度尚处低水平状态。我国信息安全领域在人才培养、队伍建设上没有得到应有的重视,信息安全教育培训缺乏。随着我国各级部门对信息安全认识的不断提高,对信息安全技术人才的培养也应该逐渐加强。因此,我国应该对信息安全人才的培养从战略上给予重视,加大信息安全理论的研究和论证,建设高校中相应专业的设置,加强高等级安全技术人员的选拔培养,加强与地方甚至国外技术交流,及时掌握国际上最新的防范手段和技术措施,培养一支我国的高素质高水平的信息安全保障人才群体,在未来的网络信息战中取得制胜的主动权。
安全警报:
暴风影音被挂马
近日,瑞星“云安全”系统截获的数据表明,国内最大的视频播放软件暴风影音内嵌网页被植入木马。截至1月6日,瑞星已拦截到28000多名网民访问该带毒网页。根据瑞星公司技术部门分析,被植入木马的网页为暴风影音软件主界面右方的内嵌迷你资讯页,用户安装了最新的暴风影音2009版之后,播放视频时会自动打开那个网页,因此访问量非常大,在短短的时间之内,才侵袭了如此多的网民。据了解,暴风影音被植入的木马地址为:“http://%%%%.opmm8899.cn/***/fxx.Htm”。瑞星安全专家警告网民,如果在1月6日上午使用过暴风影音2009软件的,最好把杀毒软件升级到最新版,并对自己的电脑进行全面扫描,以免遭到该木马的侵害。