網(wǎng)絡(luò)安全問題初探

王珍偉WANG Zhen-wei

（河北工程大學(xué)，邯鄲056038）

0 引言

網(wǎng)絡(luò)是虛擬的，但網(wǎng)絡(luò)上的風(fēng)險(xiǎn)和隱患卻實(shí)實(shí)在在存在，如影隨形。當(dāng)今時(shí)代，網(wǎng)絡(luò)快速進(jìn)入并改變了人們的生活，但人們對網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范意識卻沒有同步跟上。從個(gè)人信息被泄露到消費(fèi)者錢包在網(wǎng)上“被拉開”，從互聯(lián)網(wǎng)金融風(fēng)生水起背后的安全隱患到“棱鏡門”事件，近年來，網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，給人們敲響了警鐘。

1 網(wǎng)上信息安全的法律保護(hù)

2014年是我國接入國際互聯(lián)網(wǎng)20周年。中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報(bào)告顯示，截至2013年底，我國網(wǎng)民規(guī)模突破6億人，手機(jī)用戶超過12億。我國已成為當(dāng)之無愧的網(wǎng)絡(luò)大國，但是各種網(wǎng)絡(luò)安全問題也隨之而來。根據(jù)中國互聯(lián)網(wǎng)協(xié)會(huì)統(tǒng)計(jì)消息，65.5%的網(wǎng)站存在安全漏洞，過去一年，中國網(wǎng)民在網(wǎng)上的損失接近1500億元人民幣。非法獲取和買賣個(gè)人信息已經(jīng)嚴(yán)重威脅公民財(cái)產(chǎn)安全乃至社會(huì)秩序，公民個(gè)人信息保護(hù)問題亟待解決。若不解決網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)強(qiáng)國夢就不可能實(shí)現(xiàn)。當(dāng)前，我國出臺了電信、互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)、消費(fèi)者權(quán)益保護(hù)等相關(guān)的法律法規(guī)，但實(shí)際操作中缺乏系統(tǒng)性，存在較多問題。因此，強(qiáng)化網(wǎng)絡(luò)保障需要國家及相關(guān)部門在立法和監(jiān)管同步的基礎(chǔ)上實(shí)現(xiàn)真正意義上的有法可依，推進(jìn)民主。可見，我國的網(wǎng)絡(luò)和信息安全，已成為國家安全的戰(zhàn)略組成部分。國家在十八屆三中全會(huì)上就明確指出：堅(jiān)持積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，加大依法管理網(wǎng)絡(luò)力度，加快完善互聯(lián)網(wǎng)管理領(lǐng)導(dǎo)體制，確保國家網(wǎng)絡(luò)和信息安全。

2 網(wǎng)上信息安全的技術(shù)保護(hù)

網(wǎng)絡(luò)信息泄漏是當(dāng)前比較重要的網(wǎng)絡(luò)問題之一。調(diào)查顯示，逾七成網(wǎng)民遭遇過信息安全問題。近年來，個(gè)人信息安全的事件層出不窮。據(jù)《2013年中國網(wǎng)民信息安全狀況研究報(bào)告》顯示：2013年下半年，74.1%的國內(nèi)網(wǎng)民遇到過信息安全問題，因信息安全事件而造成的個(gè)人經(jīng)濟(jì)損失達(dá)196.3億元。

信息泄漏不外乎四種情況：①經(jīng)營者對經(jīng)營活動(dòng)中收集的消費(fèi)者個(gè)人信息，在管理上存在諸多的安全漏洞，典型的如國內(nèi)多家航空公司被曝乘客信息泄露；②經(jīng)營者將經(jīng)營活動(dòng)中掌握的個(gè)人信息進(jìn)行買賣而獲取非法利益，形成個(gè)人信息買賣的地下產(chǎn)業(yè)；③經(jīng)營者對采集到的個(gè)人數(shù)據(jù)，未經(jīng)許可進(jìn)行二次開發(fā)利用，進(jìn)行定向強(qiáng)制推銷；④經(jīng)營者利用非法收集到的消費(fèi)者個(gè)人信息實(shí)施詐騙。

我國關(guān)于互聯(lián)網(wǎng)信息保護(hù)領(lǐng)域的立法缺乏系統(tǒng)性，對用戶信息保護(hù)方面的立法散見于2012年全國人大常委會(huì)出臺的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、2013年工信部《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)之中，缺乏系統(tǒng)性，并且在實(shí)際的操作上還存在較多的問題。當(dāng)用戶感受到危害的時(shí)候，其網(wǎng)絡(luò)信息已經(jīng)經(jīng)過了好幾道手，意識到信息被泄露時(shí)，已經(jīng)過去了很長時(shí)間，查找源頭相當(dāng)困難。筆者建議建立一個(gè)專門的信息管理系統(tǒng)，利用先進(jìn)的技術(shù)手段，使所有需要采集信息時(shí)都能顯示，這樣就能找到信息泄露的源頭，從而保護(hù)網(wǎng)絡(luò)信息安全。

3 網(wǎng)上信息安全的管理

目前，我國已在網(wǎng)絡(luò)信息安全管理方面作了許多嘗試，但是管理部門分而散之、各管一攤，以致信息保護(hù)力度逐漸弱化?，F(xiàn)在對網(wǎng)絡(luò)信息的保護(hù)層級不夠，部門規(guī)章僅僅限定在部門業(yè)務(wù)范圍之內(nèi)，無法管理職責(zé)范圍之外的東西。而且，在網(wǎng)絡(luò)信息安全保護(hù)方面，不同的部門、不同的行業(yè)之間如何協(xié)調(diào)對接，如何分配各自的權(quán)利義務(wù)，現(xiàn)在并沒有明確的規(guī)定。網(wǎng)絡(luò)攻擊、信息泄漏等案件越來越多，亟須明確相關(guān)各方的法律權(quán)利、責(zé)任及任務(wù)；政府機(jī)構(gòu)為提高行政效率而進(jìn)行的信息共享，同樣亟須得到法律的規(guī)范。

維護(hù)我國網(wǎng)絡(luò)安全，需要完善相關(guān)法律制度，做到事前規(guī)范、事后監(jiān)管。①要加強(qiáng)信息安全產(chǎn)業(yè)頂層設(shè)計(jì)，盡快出臺國家信息安全戰(zhàn)略；②要建立信息安全產(chǎn)業(yè)支撐力量，引導(dǎo)重點(diǎn)企業(yè)面向信息安全實(shí)施戰(zhàn)略轉(zhuǎn)型；③要設(shè)立國家信息安全重大工程，加強(qiáng)國家重要信息系統(tǒng)的安全防線；④要建立重點(diǎn)行業(yè)信息安全監(jiān)管制度，將信息安全工作納入重點(diǎn)企業(yè)年度經(jīng)營業(yè)績考核；⑤要設(shè)立信息安全審查制度，通過審查和監(jiān)管努力肅清互聯(lián)網(wǎng)中的不安全因素。

另外，網(wǎng)民有必要使用一些網(wǎng)絡(luò)安全產(chǎn)品，并注意選擇正規(guī)企業(yè)的產(chǎn)品，不要讓維護(hù)網(wǎng)絡(luò)安全的產(chǎn)品反而成為安全隱患。盡量不要下載來源不明或來源不可信的應(yīng)用，因?yàn)檫@些應(yīng)用往往容易造成數(shù)據(jù)泄露、感染病毒，或產(chǎn)生額外費(fèi)用等。政府在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)信息保護(hù)方面必須有所作為。要盡快形成我們國家獨(dú)立自主的網(wǎng)絡(luò)安全技術(shù)體系，加快技術(shù)創(chuàng)新步伐，把國家網(wǎng)絡(luò)建立在關(guān)鍵設(shè)備自主創(chuàng)新的基礎(chǔ)之上。只有擁有獨(dú)立自主的安全技術(shù)體系，才可能真正維護(hù)國家和民眾的網(wǎng)絡(luò)安全。

4 網(wǎng)上信息安全的保護(hù)措施

①防火墻產(chǎn)品：目前，傳統(tǒng)的防火墻設(shè)備或者IPS設(shè)備，只能針對網(wǎng)絡(luò)層和傳輸層進(jìn)行攻擊防護(hù)，面對網(wǎng)絡(luò)的第七層——應(yīng)用層的各種攻擊常常束手無策。下一代防火墻可以完整覆蓋組織單位網(wǎng)絡(luò)建設(shè)的安全需求。它可以分析出網(wǎng)絡(luò)中的應(yīng)用類型、應(yīng)用內(nèi)容中的威脅和攻擊、威脅帶走的數(shù)據(jù)內(nèi)容，并能實(shí)現(xiàn)報(bào)表呈現(xiàn)，實(shí)現(xiàn)真正的L2-7層統(tǒng)一的安全可視化。②VPN設(shè)備：VPN設(shè)備（如思科ASA5520-BUN-K9）能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問等進(jìn)行實(shí)時(shí)監(jiān)控，它集高安全性和高可擴(kuò)展性于一身，為用戶提供全面的保護(hù)。③系統(tǒng)日志審計(jì)工具：系統(tǒng)日志是大多數(shù)系統(tǒng)具備的功能。系統(tǒng)日志能夠?yàn)橛脩籼峁┯嘘P(guān)系統(tǒng)安全的參考信息。系統(tǒng)運(yùn)行過程中，網(wǎng)絡(luò)管理員應(yīng)該盡量優(yōu)化配置系統(tǒng)日志，盡量擴(kuò)充其信息儲(chǔ)量，這樣有助于從中篩選出更多有價(jià)值的信息。④信息網(wǎng)關(guān)：信息網(wǎng)關(guān)為計(jì)算機(jī)內(nèi)的電子文件引入了密級、電子印章和網(wǎng)關(guān)證的概念。信息網(wǎng)關(guān)的作用是對網(wǎng)絡(luò)文件的網(wǎng)管證進(jìn)行審核，檢查輸入或輸出的文件是否已加密，確保文件傳輸路徑安全可靠，避免攜帶病毒等安全威脅的文件威脅系統(tǒng)安全。⑤授權(quán)和身份認(rèn)證系統(tǒng)：授權(quán)和身份認(rèn)證系統(tǒng)加強(qiáng)其原有的基于賬戶和口令的控制，具有授權(quán)、訪問控制、用戶身份識別、對等實(shí)體鑒別、抗抵賴等功能。信息加密是信息安全應(yīng)用中最早開展的有效手段之一。信息加密的目的是保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。⑥安全路由器：安全路由器提供了某些基于地址或服務(wù)的過濾機(jī)制，可以在一定程度上限制網(wǎng)絡(luò)訪問。⑦安全性分析工具：安全性分析工具用于自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的安全漏洞，給出安全性分析報(bào)告。⑧安全檢測預(yù)警系統(tǒng)：它的任務(wù)是對互聯(lián)網(wǎng)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控，同時(shí)搜尋具有威脅性的可疑數(shù)據(jù)流，并根據(jù)系統(tǒng)安全策略的規(guī)定及時(shí)預(yù)警，記錄可疑數(shù)據(jù)流，當(dāng)有非法侵入時(shí)第一時(shí)間阻斷其侵入路徑，進(jìn)一步跟蹤事件涉及的主機(jī)等。

5 結(jié)論

網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題。沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。政府、各個(gè)網(wǎng)絡(luò)站點(diǎn)和個(gè)人用戶應(yīng)該高度重視網(wǎng)絡(luò)安全問題，提高安全保障和防護(hù)意識，同時(shí)網(wǎng)絡(luò)管理人員也應(yīng)該提高道德素質(zhì)和職業(yè)操守，堅(jiān)持信息安全保護(hù)常抓不懈，攜手共建一個(gè)安全高效的互聯(lián)網(wǎng)環(huán)境。

[1]王娜.淺談互聯(lián)網(wǎng)背景下的信息資源管理[J].中小企業(yè)管理與科技(下旬刊),2013(03).

[2]王文交,錢宗峰,胡明.“影子”互聯(lián)網(wǎng)對我國信息安全領(lǐng)域的影響[J].價(jià)值工程,2012(23).

[3]張文雷,石紅波,石紅舟.互聯(lián)網(wǎng)信息安全問題的防范對策和政府責(zé)任[J].改革與戰(zhàn)略,2006(04).