7月4日消息,2012年中国计算机网络安全年会今日在西安举行,工业和信息化部通信保障局熊四皓副局长发表了“当前互联网安全几个热点问题和应对思考”的演讲。
| |
工业和信息化部通信保障局熊四皓副局长 |
以下为演讲实录:
尊敬的沈昌祥院士,各位来宾,女士们,先生们,上午好!很高兴参加由国家计算机网络应急技术处理协调中心主办的2012年中国计算机网络安全年会。
经过多年的快速发展,我国信息化建设和信息通信产业发展取得了巨大的成就,信息通信网络已经成为国家的关键基础设施,互联网在国家政治、经济、文化、军事等方面的战略性地位日益突出。近年来,在全行业的共同努力下,我国基础通信网络安全状况总体平稳,安全防护水平明显提升,网络安全事件应急处置工作水平显著提高。但我们也要清醒的看到,网络空间安全威胁形态日趋复杂,安全攸关利益主体日趋多元,网络空间安全与传统政治、经济、军事安全紧密结合、相互转化,网络安全事件频发,网络违法犯罪行为猖獗,新技术新业务快速发展引发的新型网络安全问题不断增加。总的来看,“十二五”期间的网络安全形势将更加严峻,面临的挑战将更加巨大。
当前,我国互联网网络安全的热点问题主要有:
一是构建网络信任体系是当前制约我国互联网发展的最大安全挑战。网络安全工作的目的和归宿是实现网络信任。只有在可信的网络环境里,电子商务、电子政务才能得到有力发展,网络犯罪、网上虚假信息和谣言传播才能得到有效遏制,互联网作为新兴生产力对经济社会发展的革命性促进作用才能得到充分发挥。
目前,我国互联网诚信体系建设还刚刚起步,存在的问题还很多。比如网络钓鱼、仿冒网站、钓鱼短信等网络欺诈行为十分突出,给用户和企业造成严重损失;伪造地址发动网络攻击,利用虚假身份毁坏公民个人和企业声誉的情况比较常见(据CNCERT统计,DDoS的70%是由虚假地址发起);网络信任问题成为制约云计算和电子商务发展和普及的主要障碍之一;互联网用户个人信息窃取和贩卖问题突出,社会公众和企业使用互联网的信心受到抑制。
网络信任体系建设是复杂的系统工程,涉及网络身份管理、网上行为管理、打击网络犯罪、网络法制建设、网络基础设施建设、网民道德和安全意识教育等诸多方面,需要国家从全局和战略的角度加强统筹规划,需要政府、企业、用户、行业组织、技术支持机构共同努力。当前应着重抓好网络信任体系建设的突出矛盾和问题,加强网络身份管理,推行网络证书制度,并在电子商务、电子政务等领域率先启用;在移动互联网、云计算、物联网、下一代互联网等新兴产业发展进程中要同步考虑解决网络信任的问题,不能走先发展再治理的老路;要求运营企业加强监测手段建设,提高网络安全事件的发现和追踪溯源能力;启动源地址认证工作,减少通过仿冒IP地址发起的网络攻击行为;提高对木马僵尸网络等网上恶意程序的监测发现能力,持续开展治理行动,完善相关法律,进一步明确网络犯罪的量刑,加大执法力度。
二是移动互联网快速发展带来的网络安全问题日益突出。近年来,移动互联网已经成为信息产业中发展最快、创新最活跃的领域。宽带无线通信技术的演进和移动智能终端的普及为移动互联网的发展注入了强大的动力。移动支付、基于移动用户位置信息的服务等各类创新应用不断涌现,极大的丰富了用户的业务体验。移动智能终端、应用软件和软件商店的紧密结合,构成移动互联网独特的业务运营模式,深刻的影响着用户的消费习惯和产业格局。与此同时,移动互联网和智能终端的安全问题也备受关注。一方面互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓延。另一方面移动互联网终端与用户利益密切相关,恶意吸费、用户信息窃取、诱骗欺诈、网络攻击等恶意行为的影响和危害十分突出。分析移动互联网安全日益凸显的原因,至少包括以下方面:一是在互联网的可信可管没有从根本上解决的情况下,作为移动通信和互联网融合的产物,移动互联网安全依然没有可靠保证。二是移动智能终端、操作系统和应用软件尚处于发展演进当中,自身安全和相关安全产业走向成熟还有很长的路。三是智能终端有限的存储和计算能力、宽带无线网络和有限的空口资源使移动互联网安全防护的可扩展性大大降低。四是黑客地下产业链日益将互联网作为攫取经济利益的目标,移动用户安全防范意识和技能的薄弱进一步加剧了安全威胁。五是我国移动互联网和智能终端自主可控能力不强,距国际先进水平还有相当大的差距。
当前我部重点从以下方面开展工作:一是围绕智能终端、应用商店带来的用户信息泄露、手机恶意程序等问题开展研究和安全评估,根据评估结果对移动互联网企业和终端厂商提出整改要求。二是指导互联网企业和技术机构开展移动互联网恶意程序监测、处置,净化移动互联网环境。三是在手机进网许可环节,对手机操作系统和预装应用程序开展安全检测工作,防止手机带病入网。四是研究强化手机应用商店安全监管,督促落实应用商店经营者安全责任,加强安全检查。五是支持手机安全产业发展,指导中国互联网协会加强反网络病毒联盟建设,建立手机恶意程序举报机制,发挥社会和舆论监督作用。
三是用户个人信息安全问题引发社会广泛关注。近年来网上网下窃取和贩卖用户信息的违法犯罪行为屡禁不止,严重侵害用户利益。金融、教育、医疗、电信、房地产、物流等领域掌握了大量用户信息,但不同程度存在滥用和贩卖用户信息的行为。保护用户信息安全是一项系统工程,需要多部门合作,立法、行政、技术、自律等多措并举。工信部作为行业主管部门,做好电信和互联网行业的用户信息保护工作是我部职责。客观的说,电信和互联网行业在用户信息保护方面,还有不少工作需要进一步加强。去年年底, CSDN、天涯社区网站发生用户信息泄露事件,涉及3700多万注册用户。分析用户信息泄露事件频发的原因:一是随着互联网发展和普及,网上采集和存储了越来越多的用户信息,客观上增加了用户信息泄露的风险和保护难度。二是企业安全意识不强,安全管理制度不健全,网络安全防护水平不高,给黑客入侵或不法分子贩卖用户信息以可乘之机。三是网络违法犯罪行为猖獗,网上网下窃取贩卖用户信息的行为普遍。四是我国缺乏用户信息保护的专门法律,现有法律无法适应打击危害用户信息安全犯罪的需要。现有刑法仅规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履行职责或提供服务过程中获得的公民个人信息出售或者非法提供给他人应受到法律处罚”,而对其他行为主体出售或非法提供用户信息的行为,以及在中间环节传播和贩卖用户信息的行为处罚缺乏规定。
为保护电信和互联网领域用户信息安全,我部印发了《规范互联网信息服务市场若干规定》,对互联网企业收集、使用和保管用户信息做出了规定;印发了《通信网络安全防护管理办法》和《电话用户信息登记保护管理规定》,要求企业提高网络和系统防范黑客攻击的能力,规范电话用户登记信息保护工作,保护用户信息安全;妥善处理了CSDN、天涯等网站信息泄露事件;持续开展网上木马程序监测清理工作,配合公安机关打击涉及用户信息的犯罪行为。尽管如此,保护用户信息安全的形势仍然十分艰巨,发生重大用户信息泄露的风险仍不能完全消除,做好这项工作仍需要各方的不断努力。
四是网络安全威胁不断演化升级。近年来,分布式拒绝服务攻击出现了一些新形势和新特点,黑客组织从利用普通被控“肉鸡”发动攻击向利用具有高带宽的IDC机房转移,从短时间、突发性攻击向高级别、持续性APT攻击转变,以瘫痪竞争对手服务、谋取不当竞争利益为目标的网络攻击日渐增多。“震网”(Stuxnet)、Duqu(音“读取”)、“火焰”病毒的相继出现,表明互联网恶意程序向工业控制系统、能源、交通、金融、电力等重要行业系统快速延伸。针对网络安全威胁新形势和网络攻击新特点,我部将进一步加强新型网络安全威胁分析研究,加强网络安全监管,不断提高通信网络抵御大规模网络攻击的能力,加强网络安全技术手段和能力建设,加强部门间协调配合,共同维护网络安全。
以上就是我对当前网络安全热点问题一些粗浅思考,请各位业界同仁和专家多提宝贵意见,并在今后的工作中继续支持我部网络安全管理工作。谢谢大家。