中国互联网络信息中心分析师 李长江
2010年11月11日,淘宝商城联合百余家知名品牌进行五折大促销,在这场活动中,仅参与购买的用户数就有2100万,使全国主要的银行的网银系统集体堵塞。
对于这次淘宝五折促销事件,很多人会从各种角度进行解读,但很少有人从网络安全的角度去认识这一现象。确实如此,假如你去问某个网民,你认为互联网安全吗?他可能会说,“我上网经常中毒,QQ号被盗了好几次,互联网真不安全。”等等类似的话。其实,网络安全的范畴远不只这些。它包含了技术和非技术角度。
近年来,随着我国互联网的蓬勃发展,对网络安全的关注度也显著提升。不过,目前,大家主要关注病毒、木马、网络攻击等这些技术角度。在此,CNNIC分析师李长江从非技术角度,提出自己对网络安全的两点新看法,希望政府、业界引起重视。
第一,我国超大规模的网民对互联网服务的可靠运行提出了巨大的考验
目前,我国互联网超过4亿人,平时每天大约有3亿人在使用互联网,超过很多国家的一国总人口。这么多的网民,在互联网上进行浏览新闻、发帖、观看视频、电子支付等各种操作,对网站的正常响应能力提出了很高的技术水平要求。根据目前国内网站的技术条件,在有大量的更新操作的情况下,现有的这些网站并发访问量能达到千万用户规模的为数不多。在这样的技术限制下,假如全国10%的网民同时访问一个网站,很多网站将无法正常服务,与此相关的经济社会的运行将受到极大的影响。淘宝五折促销事件即是最近的此类典型事件。另外,2007年10月30日,北京奥运会门票面向境内公众第二阶段预售正式启动,上午9时至10时,官方票务网站的浏览量达到了800万次,由于瞬间访问数量过大,技术系统应对不畅,造成很多申购者无法及时提交申请。还有诸如,中纪委监察部举报网站访问量过大,一度被刷爆等事件。
第二,安全威胁领域从自身扩展到外界,显著提高了信息安全防护的难度
在传统的信息安全保障中,企业只要做好本单位的信息安全防护工作,就能够在很大程度上保障信息安全。但是,互联网是一个复杂系统,保障互联网安全是一个系统工程,互联网链条上的每一方的信息安全工作是紧密相关、互相影响的,尤其是互联网基础资源的安全,更是在其中起着至关重要的作用。在这种情况下,企业要保证自己的信息安全,除了加强内部技术和管理两方面的保障工作外,还需要外界相关机构也能做到信息安全,否则,很可能会发生安全事件或受到波及。比如此前爆发的百度域名劫持事件、暴风影音事件,虽然这两家公司自身也有一些技术上和管理上的因素(比如只注重.com域名,不注重.cn域名;软件策略的不合理),但更主要的原因是外界的域名注册服务机构的管理制度存在漏洞、DNS解析服务的瘫痪等。在外部的网络威胁对本企业的影响越来越大的背景下,企业单凭自己保障自身信息安全的难度提高了,或许已经成为不可能完成的任务。因此,广泛的合作,尤其是互联网地址资源机构的参与便成为当前网络安全保障工作的重中之重。