关于加强网络信息安全的几点思考
——从“熊猫烧香”案暴露出的隐患谈起
张锡杰
[摘要]本文结合“熊猫烧香”案暴露出的隐患,提出加强网络信息安全的几点思考:切实增强国民的网络信息安全防范意识;构建维护国家信息安全的应急和长效预防机制;加强互联网的行业自律和社会监督;进一步加强信息立法工作。
2007年元旦至春节期间,“熊猫烧香”病毒肆虐神州,一个多月时间全国就有上百万互联网用户和单位的局域网遭受破坏。被感染的电脑出现瘫痪,所有可执行文件被改成“熊猫手持三炷香”的图案,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。其传播速度、危害范围都是空前的,一时间人们谈“熊猫”色变。由于病毒制造者还以自己出售和由他人代卖的方式在网络销售该病毒,导致该病毒的各种变种在网上大面积传播。《瑞星2006安全报告》、《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》,将其列为十大病毒之首、2006年度的“毒王”。[1]
网络病毒一直是互联网用户心中的阴影,虽然“熊猫烧香”病毒走了,然而“灰鸽子”、“木马”等病毒却一波未平,一波又起。人们疑惑地问:难道网络就没有安全的时候了吗?我们的电脑安全该如何保障?或许,深入剖析一下“熊猫烧香”病毒案,能够带给我们一些亡羊补牢的思考与启示。
党中央、国务院非常重视信息安全工作。2006年印发的《2006-2020年国家信息安全战略报告》,专门强调了建设国家信息安全保障体系、加强互联网治理问题。2007年1月23日中共中央政治局第三十八次集体学习会,专门学习研究了加强网络文化建设和管理,切实把互联网建设好、利用好、管理好的问题。本文结合“熊猫烧香”案暴露出的安全隐患,提出加强网络信息安全的几点思考:
一、必须切实增强国民的网络信息安全防范意识
党的十六大确定了我国“以信息化带动工业化、以工业化促进信息化、走新型工业化道路”的发展战略,把信息化提到国家战略的高度,作为解决现实紧迫问题和发展难题的重要手段,成为支撑经济社会发展的重要基础设施。目前,我国的电话用户、网络规模已经位居世界第一,互联网用户和宽带接入用户均位居世界第二(据最新统计数据显示,截止今年一季度,互联网用户已达1.44亿户)。信息产业对经济增长贡献度稳步上升:2005年,信息产业增加值占国内生产总值的比重达到72%,对经济增长的贡献度达到16.6%;电子信息产品制造业出口额占出口总额的比重已超过30%;掌握了一批具有自主知识产权的关键技术;部分骨干企业的国际竞争力不断增强。[2]随着信息技术的快速发展与互联网逐渐普及,信息化把人们的许多梦想变为了现实,带来了诸多便捷。可以说,我们现在是一半生活在物质世界中,一半生活在虚拟的网络世界中。
但是,我们也应看到,在我国,计算机网络是一个新兴的领域,历史才10多年时间。许多网民上网看重的是计算机网络的便捷性,但对互联网的开放性、社会性所带来的网络和信息安全隐患却认识不足,信息安全意识相当淡薄。同时,不少网民还缺乏最基本的网络安全防范知识和良好的上网习惯。反病毒专家们指出,“熊猫烧香”病毒在技术上并无多少过人之处,但在传播手段上却有所“创新”,特别是利用了广大网民的疏忽,如对一些内含病毒的诱惑性网页或邮件缺乏防备、经常使用盗版软件、计算机安全级别设置过低、以及忽视系统和应用软件的升级等,从而导致数以千计的企业受到侵害,数以百万计的个人用户“中招”,教训是非常深刻的。
互联网是一把双刃剑。在给经济社会带来深刻影响的同时,其日益凸显的信息安全问题也对人民的正常生活和国家的安全体系构成了威胁。目前信息安全已影响到政治、经济、文化等方面,对这一严峻形势特别是“信息战”的影响,我们应当有清醒的认识。当前,计算机病毒越来越“凶”, 黑客攻击日益增多,网上窃密及有害信息传播事件不断发生,网络安全问题十分突出,而相当多的人信息安全意识却非常淡薄,缺乏应有的认识和警惕性,或麻木不仁,或不以为然。资料显示,“熊猫烧香”病毒和不久前大规模爆发的“灰鸽子”病毒制造者的目的,主要还是非法牟利。试想,如果这些病毒制造者被赋予了政治或军事目的,其后果就不只是经济上的损失了!我国既是一个崛起的信息发展大国, 同时又是一个信息弱国,信息安全是关系到我国未来生存和发展的大问题。因此,大力加强全社会的网络信息安全教育,提高国民的信息安全防范意识,已成了当前信息化建设中需要解决的一个紧迫而突出的问题。
二、必须构建维护国家信息安全的应急和长效预防机制
加强网络与信息安全的管理,是网络安全运行与健康发展的前提和保障。不论是过去所说的三分技术、七分管理,还是现在强调的技术与管理并重,都把管理工作置于一个非常重要的地位。应当说,这些年我们在网络信息安全管理方面做了大量工作,也取得了一定成效,但从总体水平讲,我们的信息安全防范工作仍处在封堵漏洞、事后补救的被动应付状态,特别是经常性的网络监管工作很不到位。这一点在“熊猫烧香”病毒肆虐过程中暴露得非常突出。“熊猫烧香”病毒制造者李俊,早在2003年就制造了“武汉男生”病毒、后来又制造了“武汉男生2005”病毒及“QQ尾巴”病毒。对于这样一个有着深刻背景的“黑客”,谁去“查处”了?怎么“防范”的?又是怎样“运用必要的行政手段,规范网上行为,堵塞不良信息传播和扩散渠道”的?虽然一些地方和部门也制定了一些网络和信息安全方面的管理办法,但大多贴在墙上或锁在柜子里,没有真正落到实处。李俊等人更是嚣张之极,根本不把国家监管部门和反病毒专家放在眼里。“熊猫烧香”病毒肆虐时,一群软件高手自发地在论坛上组织起来,贴出一份份详细的病毒分析报告。然而令人“震惊”的是,病毒作者似乎对这些高手的动向了如指掌。每过一段时间,他就会在病毒新变种中留言,感谢这些高手关注他制造的病毒。如果不是他有意或无意中露出“WHBoy”的马脚,恐怕还不知费多少周折才能破获这一病毒案。[3]
信息安全不仅需要强有力的信息科学技术作支撑,还需要有健全、完善的体系作保障。“熊猫烧香”病毒在短时间内大面积传播感染的事实,从反面说明现在的网络安全问题,不是某一项防病毒技术或杀毒软件,也不是某一、二个反病毒厂家就能完全解决问题的。杀毒毕竟是一种事后的补救措施,更何况病毒造成的损失有些是无法弥补的。因此,只有构建起具有超前的预防技术、完善的监控体系、健全的应急指挥和处置机构的长效机制,才能从源头上、在萌芽状态预防和控制病毒和有害信息的传播,筑起保障我国信息安全的钢铁长城。为此,一些专家建议,应当“建立健全国家网络空间安全的危机管理系统”,这一系统的主要职责是:第一,对网络空间可能出现的各种风险、威胁、攻击进行分析与评价;第二,进行预防、预警以及网络安全事故的管理;第三,回应各种网络安全事故与威胁,并及时恢复和确保网络空间;第四,维持重要的信息基础设施的正常运转。[4]
当前,应大力加强国家信息安全保障体系建设,努力探索和把握信息化与信息安全的内在规律,积极防御,综合防范,主动应对信息安全挑战。要积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究,掌握核心安全技术,同时要加强密码技术的开发利用,提高网络关键设备的技术防范能力。要整合力量,优化信息安全资源配置,引导反病毒企业提高站位,从保证国家互联网信息安全的全局出发,思考和确定企业发展战略,积极研发系统的反病毒服务器产品、网络产品和定制产品,而不仅仅是把精力放在个人反病毒产品的研发和生产上。要建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,不断提高信息安全的基础支撑能力、网络舆论宣传驾驭能力和我国在国际信息安全领域的影响力。最近,信息产业部为建立综合治理网络环境的长效机制,明确提出了“三谁原则”,即“谁主管,谁负责”,“谁经营,谁负责”,“谁接入,谁负责”。截止目前,电信企业协助相关部门依法关闭非法网站900余个,有效净化了网络环境。[5]
三、必须加强互联网的行业自律,提高从业者的职业道德
网络空间不应当是一个“无政府社会”,而应当是一个秩序井然的“法治社会”。要维护网络空间的有序运作,创造新型的信息文明,除了通过加强政府监管和立法来进行保障,还必须进一步加强互联网的行业自律,大力提高从业者和网民的职业道德素质。
在反思“熊猫烧香”病毒为什么能够肆虐的教训时,有的反病毒专家指出,一些病毒制造者以前曾是网络安全员,由于受经济利益驱动,加入了制造、贩卖、传播病毒的黑客队伍。这是应当引起重视的一个问题。另据《科技日报》报道,春节以来肆虐网上、危害远超出“熊猫烧香”的“灰鸽子”病毒,原本是一种远程控制软件,后来被心存不轨的人利用,制作出了能使他人计算机成为“肉鸡”(即计算机感染病毒后任人控制摆布)的病毒;更有圈内人士自曝贩卖“肉鸡”的传销经验,读后令人不寒而栗。[6]这也从反面说明,建立健全以自我约束共识为基础的、可供遵循的网络礼节和自律规范,是建立一个规范有序的网络空间,创造新型的信息文明的当务之急。
由于近年来我国互联网用户迅猛扩展,导致网络空间基本上处于无政府状态。所以,当前,首先要抓紧制定和完善互联网规范,加强行业自律以及社会监督。行业自律虽不具有法律效力,也没有强制力,但它是广大互联网用户为维护互联网正常秩序而形成的共识和自我约束规范。国外互联网上的自律,一般通过用户与服务提供商签订合同,在享受网络便捷服务的同时,必须遵守已建立起来的基本规范,如果违反便自动出局,或者别的用户便不愿与他互动交流。其次,要采取切实措施提高从业者和网民的道德素质。一是通过教育和培训,提高现有从业人员的自我规范、自我约束的意识,二是通过宣传教育和社会监督,培养广大网民文明上网、安全上网的习惯,为维护互联网空间的规范有序和健康发展提供诚信支撑。
四、必须进一步加强信息立法工作
法律是保障互联网安全的一道利器。近年来,网络安全问题日益增多,计算机违法犯罪活动呈上升趋势,其中一个很重要的原因,就在于法制的滞后和缺失,没有能对一些企图利用制造病毒谋取不义之财的不法分子形成心理威慑,促使其不敢为。《计算机信息网络国际联网安全保护管理办法》虽明确规定了制造和传播病毒是违法的,但对于木马、黑客程序、“流氓软件”等并没有明确的界定,特别是信息安全方面的责任如何认定、如何赔偿等方面较为空白,受损用户想要通过法律手段维护自己的权益有一定难度。这也是黑客们至今还肆无忌惮的一个重要原因。
应当说,这些年我们在信息安全领域的法制建设方面做了大量工作,但是,相对于网络信息技术的迅猛发展及其在经济社会生活各方面日益显著的作用,互联网立法工作滞后和不完善的问题也日益突出。因此,应当充分认识加强信息安全立法的紧迫性、重要性,强化信息化的相应立法工作,抓紧建立和完善国家信息安全法律框架,积极推进《信息安全条例》的起草及《互联网信息服务管理办法》的修改完善,加强对新技术、新业务引发的信息安全问题及其对策的研究,尤其是应尽快研究制定有关网络安全和公众无形财产保护的法律法规,用法律法规威慑病毒制造者和非法牟利者,打击网络犯罪,保障网络空间的有序运作,为公众提供一个良好的网络环境,切实维护好国家的政治、经济、文化和信息安全。
[参考文献]
[1]方政军,周健森,刘可.熊猫烧香病毒案告破[N].北京日报,2007-02-13.[2]中共中央办公厅、国务院办公厅2006-2020年国家信息化发展战略[R].新华社北京2006年5月8日[3]杨健.“熊猫烧香”烧痛了谁[N].人民日报,2007-02-05.[4]张成福,唐钧.信息化风险管理:基本战略与政策选择[J].中国行政管理,2007(2)[5]余建斌.信息部:确立“三谁原则”,净化网络环境[N].人民日报,2007-06-15[6]蒋秀娟,张卫东,宋大维.电脑“毒王”到底该怎样铲除?[N].科技日报,2007-03-29
(作者单位:北京电子科技学院研究员,北京 100070)