信息安全战略日趋重要
来源:经济杂志 更新时间:2012-11-01

 今年5月上旬,国务院总理温家宝主持召开国务院常务会议,专题研究部署推进信息化发展、保障信息安全工作。会议指出,加快推进信息化建设,建立健全信息安全保障体系,对于调整经济结构,转变发展方式,保障和改善民生,维护国家安全,具有重大意义。在互联网技术迅速发展的今天,信息安全也被更为广泛的大众阶层所关注。本刊编辑部基于此特刊发信息安全专题,让读者更为深入了解信息安全问题。

  目前,我国的信息安全事件和事故的频繁发生,这和老百姓最为直接的就是个人网络账号被盗。据赛门铁克诺顿公司9月11日发布的诺顿安全报告显示,从2011年7月至2012年7月,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元。同期,中国估计有超过2.57亿人成为网络犯罪受害者,直接经济损失达人民币2890亿元。

  针对日趋严重的网络安全问题。工信部通信保障局网络安全处副处长付景广对记者说,工信部建立了通讯行业和网络安全防护、应急演练等等,以保障网络运行的稳定和安全。“针对网络钓鱼、垃圾信息等危险用户的切实利益问题,我们与中国互联网协会、中国网络互联网信息中心等建立了相关的机制,以净化网络环境。”

  信息安全风险管理需常态化

  国家信息化专家咨询委员会委员、国家信息化中国专家委员会副主任宁家骏认为,当前,信息安全形势变化总体来说是国家信息安全形势的一种表现。2010年前后可以看到美国进一步调整它的国家信息安全战略,俄罗斯、纽约也在调整,日本更明确把国家的安全防范对象转向我们国家。“9·11恐怖事件”发生后,美国的多部门独立管理,多种模式逐渐感到没有办法适应信息时代国家安全战略调整需求。所以,它先后整合了一些部门通管他们信息安全技术,另外也任命了公安局的局长出任网络司令部的司令整合军内的信息战略领域。

  在当前我们必须看到我们国家的网络信息安全工作面临新的复杂的形势。进入新世纪以来,经济、社会发展对我们信息网络和信息化的依赖程度越来越高,现在我们可以说金融、交通、电力、水务等都离不开信息网络。

  宁家骏指出,信息网络的发展已经成为推动社会和经济发展的重要力量,也是各国竞争的制高点。一方面我们看到信息化的大势不可逆转,但是同时我们要必须看到,随着我们中国的迅速崛起,也引起了国际社会的广泛关注。在这种背景下,在全球网络空间国际竞争日趋激烈的背景下,我们的信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫,面对国内和国际形势,必须进一步提高对我们重要性系统的信息安全保障体系建设的高度重视和对风险的应对能力。

  特别是在当前互联网这种特性——规模庞大、带宽持续增长和应用逻辑日益复杂的情况下,如果继续在不同的安全领域中间各自为战将不能适应信息安全新的发展要求。如何处理这种信息访问的瓶颈?如何应对这种开放协议的安全事件?如何来解决我们应用软件中安全漏洞难以避免的现实?宁家骏认为,这些问题要求我们必须解决在信息安全保障中全局协同的问题,同时要提高我们的效能,提高我们对事件处置能力和事前应急预警的能力。

  在世界竞争日趋复杂的环境中,已经发生的一些重大信息安全事件对我国的发展产生不同的损失,对我国信息安全的重要性提出了更加紧迫的要求。特别是我们看到威胁在不断的演变,有些部门的人觉得自己的电脑没有什么可以保密的文件,疏忽管理。其实恰恰不然,很多的隐蔽性的网络攻击就是把这些看似没有价值的电脑作为网络攻击的第一个跳板。特别是当前移动互联网的发展,智能终端的广泛应用已经成为当前在网络攻击中的一个最好的获利的平台。

  所以,国外每年银行卡信息被盗损失的金额非常巨大,特别是在当前我们这种移动终端,包括山寨手机内置的一些软件,包括我们恶意捆绑那些流氓的软件,使得我们的手机不仅仅是被吸取话费,而且把病毒传播开来。宁家骏说:“未来一方面是信息化安全技术,一方面是面临这种复杂的环境,使我们应对危机的难度在增加。所以,我们必须看到我们存在明显的不足,清醒的认识到这种日益增加的战略层面的巨大的威胁,包括我们很多的技术手段。同时,我们必须要解决这种各自为战的,要克服这种谁主管、谁负责的局限性。”

  “我们又必须看到风险管理的滞后和非常态化。当前,我们重视了风险评估工作,但是往往我们对风险的理解常常是限定在技术层面,而没有考虑到相关方的核心力。”宁家骏说,“我们的风险评估常常基于静态,没有真正的开展常态化的、动态的持续的监管。特别是我们个人信息的保护严重的滞后,所以在这里既有我们用户和企业的意识淡薄,更有我们法律的欠缺,也有我们相应的服务和管理上的约束的不足。”

  手机信息安全不容忽视

  黑客的入侵手法日益更新,传统的网络安全问题正逐渐向移动互联网等领域延伸。付景广介绍,手机终端与PC终端面临的问题没有本质的区别,都面临木马病毒等问题。但是,手机的缴费和扣费功能更容易受到黑客的关注。调查发现有些木马病毒可以操控手机,定制收费业务,造成用户的经济损失,有的还可以远程窃取手机的位置信息和通话记录等,导致用户隐私泄露。

  今年以来,社会上有一些企业搜集用户的个人信息引起人们关注。付景广说:“我们需要增强安全意识,这与现实生活中的偷盗诈骗等相比,手机的安全问题和虚拟性、空间地域性,使网络的安全问题变得更加隐蔽和复杂。”他认为,人们只有树立起正确的防范意识,才会自觉地养成良好的防范举措。但是,还有很多在信息产业中的从业人员对信息安全的防范也是一知半解。

  最近,工信部发文明确要求:

  第一,手机制造企业和行业协会要承担起指导用户安全使用手机的责任,加强风险提示等。

  第二,加强应用商店安全管理,控制手机恶意程序的渠道。对捆绑恶意功能的程序必须加大力度处理;另一方面开办应用商店的基础企业,移动互联网企业和手机制造企业要切实履行好各自的责任和安全的审核机制。

  第三,加强信息安全能力建设。网络是人与人的交流,做好网络安全工作在技术方面有两难:一是发现难;二是追查难。在手机安全技术方面,围绕手机操作系统和挖掘手机病毒的样本分析,安全性和手机评估等,建立健全手机安全威胁的检测举报机制。

  第四,维护网络安全政府责无旁贷,还需要充分发挥社会的力量,由市场为手机用户提供上网环境下防盗门和灭火器。在提高全社会的网络安全上,企业起到了非常重要的作用。