信息技术的广泛应用,在使人们的沟通不断跨越时间和空间的限制的同时,也加大了人们的疏离感。人转化成数字符号,使得信任越来越重要。但诚信文化的建设也更加艰难。在信任缺失的条件下,网络安全变成了覆巢之下的危卵。
所以,网络安全治理的第一要务必然是明确网络世界的法律义务与责任。在网络世界中,哪些可为?哪些不可为?如何确定不良网络行为的惩罚标准?就像网络设施是各种应用的基础一样,这些也是网络安全治理的基础。
信息网络技术虽已不是什么新鲜事物,但其巨大的渗透率,使得传统社会、经济形态不断变革。巨大的生长能量也使技术本身复杂而多变,这些都让确定网络行为的法律责任极具挑战性。
当然,无论是电信网还是互联网,其安全问题都具有很深的技术背景。因此,也有一些人将安全的希望寄托在下一代网的建立上。但是,下一代网虽然能有更完善的架构,但也无法做到完美。在海量信息之下,这些微小的缺陷也有可能被放大。因此,单纯依靠技术保障网络安全的想法并不现实。
在这种情况下,网络安全就不再单纯是网络部门甚至信息产业的问题,其治理也必然需要更多层次的努力共同推动,比如反盗版之于网络病毒,征信制度之于垃圾短信。
事实上,与其说网络安全是一个目标,倒不如说其是一个过程,一个培育网络社会的过程。
下文试图通过罗列网络安全七大挑战和其治理方案,探寻新型网络社会的建设路径。
网络破坏
危害:对网络设施的直接物理破坏是所有危及网络安全的“原罪”,包括盗割电线电缆、野蛮施工破坏通信光缆等。这些行为往往形成通信安全事故,并且会涉及到公共安全。
治理:1.破坏公用电信设施的动机往往是为了贪图钱财,追逐利益。因此,惩治破坏公用电信设施罪的设立是必须的,同时应注重具有针对性。
2.采用冗余的网络拓扑结构。所有的电信网设计中,都应把节点、链路的备份和冗余作为保证网络可靠性的必要措施。
互联互通
危害:人为阻碍互联互通的手法越来越隐秘,越来越多地采用删除、修改、增加电信网计算机系统中存储、处理或者传输的数据和应用程序等手段,阻碍或者破坏电信网间互联互通。
治理:1.由于路权限制,新兴电信运营企业未经电信设施产权人同意擅自使用他人电信设施。产权人则基于物权基础上的排除妨害请求权而中断或清除被依附在其设施上的电信设施。从根本上解决这一矛盾应完善法律法规,强制先进入者出租、出售其电信设施。
2.无论采用任何隐秘手段,人为故意阻断网间互联互通,影响公众的通信安全,达到一定程度的社会危害性的,就应当认为是犯罪。对此除了明确法律处罚外,监管部门还应加大技术检查力度,取得实际证据。
计费安全
危害:在电信业务趋向丰富化、细分化的今天,计费方式趋向复杂和交叉,用户帐户被盗用的可能性也相应提高。同时,呆账、坏帐和欠费损失困扰着所有电信运营商。
治理:1.用户身份和信用度的有效管理对有效减少呆帐、坏帐和欠费问题十分必要。
2.采用安全监控系统,实施漏洞扫描与网络入侵检测。通过模拟各种攻击手法来检查可能存在的安全漏洞,并对网络攻击进行一定的自动处理。
垃圾邮件
危害:2005年,我国用户收到的垃圾邮件数量已是正常邮件的两倍。垃圾邮件首造成企业资源的浪费,进而降低整个网络的运行效率。另一方面也降低了员工的工作效率。病毒、黑客、网络诈骗等也借助垃圾邮件这一便利渠道肆虐横行。
治理:1.制定反垃圾邮件法和完善的配套措施。信息产业部近日出台了《互联网电子邮件服务管理办法》。卡巴斯基中国公司副总裁陈诗峰表示,相比美国颁布的《反垃圾邮件法》,《办法》由于仅仅是一个行政法规,在很多细节,比如举证、惩罚措施等方面很难起到应用的效果。美国的经验也表明,单纯依靠规范性立法也难以解决垃圾邮件问题。因此,应围绕反垃圾邮件制定更完善的配套措施。
2.建立起结合网关、服务器和应用层多层次的垃圾邮件过滤技术。目前国内外通常的反垃圾邮件技术,大都是基于黑名单、规则库关键字内容过滤的原理工作的,这种解决方案存在众多软肋。趋势科技公司高级产品管理和技术顾问齐军表示,传统的分散到用户层进行反垃圾邮件的方法工作量太大,效果也不好,因此最好是基于网关进行集中防御。
网络病毒
危害:互联网在设计之初没有充分考虑安全威胁,许多网络协议和应用没有提供必要的安全服务。互联网也因此成为病毒传播最好、最快的途径之一。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散。可能造成信息泄漏、文件丢失、机器死机等不安全因素。
治理:1.规范软件生产。清华大学段海新教授表示,随着软件越来越复杂,其中所包含的安全漏洞也越来越多。特别是由于市场竞争,一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场,留下了大量的安全隐患。
2.加大反盗版力度。盗版软件、影视资源的传播也给网络安全带来了一定的隐患。从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
3.部署IPv6,缓解地址不足。业界普遍认为,庞大的地址空间可以大大减缓病毒或蠕虫扫描的速度,从而降低病毒或蠕虫的影响。段海新教授表示,IPv6无尽的地址空间允许我们不进行地址转换,这对于加强安全管理和攻击追踪提供了可行的机制。
垃圾短信
危害:随着我国移动通信的快速发展,手机短信已经成为人们普遍使用的信息沟通方式,各种不良短信也开始泛滥。常见的垃圾短信包括:一、假冒银行或银联名义发送手机违法短信息进行诈骗或者敲诈勒索公私财物的;二、散布淫秽、色情、赌博、暴力、凶杀、恐怖内容或者教唆犯罪、传授犯罪方法的;三、非法销售枪支、弹药、爆炸物、走私车、毒品、迷魂药、淫秽物品、假钞、假发票或者明知是犯罪所得赃物的;四、发布假中奖、假婚介、假招聘,或者引诱、介绍他人卖淫嫖娼的;五、多次发送干扰他人正常生活的,以及含有其他违反宪法、法律、行政法规禁止性规定内容的。
治理:1.建立并落实手机实名制。针对手机诈骗现象严重的问题,韩国早在2001年起,就采取一户一网、机号一体的手机号码入网登记制,从而建立起一个责任追查的垃圾短信治理系统。
2.出台《个人信息保护法》,加强对个人资料的保护。随着网络的普及,各种侵犯个人资料的案件频繁发生,应该出台相关法规,要求电信业务运营商不得在没有特定目的、超出特定或任意变更特定目的的情况下搜集、处理和利用个人资料;应对个人资料采取合理的安全保护措施,以防止资料的丢失、非法接触、毁损、利用、修改和揭露等危险的发生,并对基础电信运营商设定相关义务。
非法网站
危害:2004年底起,网上先后出现了假冒中国银行、农业银行、工商银行的网站,这些冒牌网站的共同特点是网址及页面均与真网站相似。不法分子通过设立假冒银行网站,试图骗取该行用户的账号和密码。由于制作一个新的假冒网站并不需要很高的技术及很大的成本,一些假冒网站具有很强的生命力。
治理:1.推行网站备案。2005年3月起,信息产业部在全国范围内开展了互联网站备案登记工作。今后,公众只要登陆信息产业部的ICP备案系统,就可以查看网站是否具有合法身份。当然,在此过程中,要加强对公众的网络安全教育。
2.明确IDC(服务器租赁、托管)代理商的责任。目前,很多个人网站都通过服务器租赁、托管实现建站,但很多IDC代理商的不规范经营为假冒网站的出现保留了空间。