我國網(wǎng)絡(luò)安全的現(xiàn)狀及解決建議(2)
我國網(wǎng)絡(luò)安全的現(xiàn)狀及解決建議
4、制約提高我國網(wǎng)絡(luò)安全防范能力的因素
當(dāng)前,制約我國提高網(wǎng)絡(luò)安全防御能力的主要因素有以下幾方面。
4.1 缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù)
我國信息化建設(shè)過程中缺乏自主技術(shù)支撐。計(jì)算機(jī)安全存在三大黑洞:CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進(jìn)口。信息安全專家、中國科學(xué)院高能物理研究所研究員許榕生曾一針見血地點(diǎn)出我國信息系統(tǒng)的要害:“我們的網(wǎng)絡(luò)發(fā)展很快,但安全狀況如何?現(xiàn)在有很多人投很多錢去建網(wǎng)絡(luò),實(shí)際上并不清楚它只有一半根基,建的是沒有防范的網(wǎng)。有的網(wǎng)絡(luò)顧問公司建了很多網(wǎng),市場布好,但建的是裸網(wǎng),沒有保護(hù),就像房產(chǎn)公司蓋了很多樓,門窗都不加鎖就交付給業(yè)主去住。”我國計(jì)算機(jī)網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上是舶來品,這些因素使我國計(jì)算機(jī)網(wǎng)絡(luò)的安全性能大大降低,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4.2 安全意識(shí)淡薄是網(wǎng)絡(luò)安全的瓶頸
目前,在網(wǎng)絡(luò)安全問題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識(shí)相當(dāng)?shù)?,?duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),網(wǎng)絡(luò)經(jīng)營者和機(jī)構(gòu)用戶注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求??傮w上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。近年來,國家和各級(jí)職能部門在信息安全方面已做了大量努力,但就范圍、影響和效果來講,迄今所采取的信息安全保護(hù)措施和有關(guān)計(jì)劃還不能從根本上解決目前的被動(dòng)局面,整個(gè)信息安全系統(tǒng)在迅速反應(yīng)、快速行動(dòng)和預(yù)警防范等主要方面,缺少方向感、敏感度和應(yīng)對(duì)能力。
4.3 運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度
運(yùn)行管理是過程管理,是實(shí)現(xiàn)全網(wǎng)安全和動(dòng)態(tài)安全的關(guān)鍵。有關(guān)信息安全的政策、計(jì)劃和管理手段等最終都會(huì)在運(yùn)行管理機(jī)制上體現(xiàn)出來。就目前的運(yùn)行管理機(jī)制來看,有以下幾方面的缺陷和不足。
a)網(wǎng)絡(luò)安全管理方面人才匱乏:由于互聯(lián)網(wǎng)通信成本極低,分布式客戶服務(wù)器和不同種類配置不斷出新和發(fā)展。按理,由于技術(shù)應(yīng)用的擴(kuò)展,技術(shù)的管理也應(yīng)同步擴(kuò)展,但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導(dǎo)向。信息安全技術(shù)管理方面的人才無論是數(shù)量還是水平,都無法適應(yīng)信息安全形勢(shì)的需要。
b)安全措施不到位:互聯(lián)網(wǎng)越來越具有綜合性和動(dòng)態(tài)性特點(diǎn),這同時(shí)也是互聯(lián)網(wǎng)不安全因素的原因所在。然而,網(wǎng)絡(luò)用戶對(duì)此缺乏認(rèn)識(shí),未進(jìn)入安全就緒狀態(tài)就急于操作,結(jié)果導(dǎo)致敏感數(shù)據(jù)暴露,使系統(tǒng)遭受風(fēng)險(xiǎn)。配置不當(dāng)或過時(shí)的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就無法發(fā)現(xiàn)和及時(shí)查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級(jí)軟件來解決安全問題時(shí),許多用戶的系統(tǒng)不進(jìn)行同步升級(jí),原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在,未引起重視。
c)缺乏綜合性的解決方案:面對(duì)復(fù)雜的不斷變化的互聯(lián)網(wǎng)世界,大多數(shù)用戶缺乏綜合性的安全管理解決方案,稍有安全意識(shí)的用戶越來越依賴“銀彈”方案(如防火墻和加密技術(shù)),但這些用戶也就此產(chǎn)生了虛假的安全感,漸漸喪失警惕。實(shí)際上,一次性使用一種方案并不能保證系統(tǒng)一勞永逸和高枕無憂,網(wǎng)絡(luò)安全問題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決的,也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡單碓砌就能解決的。近年來,國外的一些互聯(lián)網(wǎng)安全產(chǎn)品廠商及時(shí)應(yīng)變,由防病毒軟件供應(yīng)商轉(zhuǎn)變?yōu)槠髽I(yè)安全解決方案的提供者,他們相繼在我國推出多種全面的企業(yè)安全解決方案,包括風(fēng)險(xiǎn)評(píng)估和漏洞檢測(cè)、入侵檢測(cè)、防火墻和虛擬專用網(wǎng)、防病毒和內(nèi)容過濾解決方案,以及企業(yè)管理解決方案等一整套綜合性安全管理解決方案。
4.4 缺乏制度化的防范機(jī)制
不少單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制,在整個(gè)運(yùn)行過程中,缺乏行之有效的安全檢查和應(yīng)對(duì)保護(hù)制度。不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。許多網(wǎng)絡(luò)犯罪行為(尤其是非法操作)都是因?yàn)閮?nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而得逞的。同時(shí),政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,信息立法還存在相當(dāng)多的空白。個(gè)人隱私保護(hù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等信息空間正常運(yùn)作所需的配套法規(guī)尚不健全。由于網(wǎng)絡(luò)作案手段新、時(shí)間短、不留痕跡等特點(diǎn),給偵破和審理網(wǎng)上犯罪案件帶來極大困難。
5、對(duì)解決我國網(wǎng)絡(luò)安全問題的幾點(diǎn)建議
就政府層面來說,解決網(wǎng)絡(luò)安全問題應(yīng)當(dāng)盡快采納以下幾點(diǎn)建議:
a)在國家層面上盡快提出一個(gè)具有戰(zhàn)略眼光的“國家網(wǎng)絡(luò)安全計(jì)劃”。充分研究和分析國家在信息領(lǐng)域的利益和所面臨的內(nèi)外部威脅,結(jié)合我國國情制定的計(jì)劃能全面加強(qiáng)和指導(dǎo)國家政治、軍事、經(jīng)濟(jì)、文化以及社會(huì)生活各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全防范體系,并投入足夠的資金加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù)。
b)建立有效的國家信息安全管理體系。改變?cè)瓉砺毮懿黄ヅ?、重疊、交叉和相互沖突等不合理狀況,提高政府的管理職能和效率。
c)加快出臺(tái)相關(guān)法律法規(guī)。改變目前一些相關(guān)法律法規(guī)太籠統(tǒng)、缺乏操作性的現(xiàn)狀,對(duì)各種信息主體的權(quán)利、義務(wù)和法律責(zé)任,做出明晰的法律界定。
d)在信息技術(shù)尤其是信息安全關(guān)鍵產(chǎn)品的研發(fā)方面,提供全局性的具有超前意識(shí)的發(fā)展目標(biāo)和相關(guān)產(chǎn)業(yè)政策,保障信息技術(shù)產(chǎn)業(yè)和信息安全產(chǎn)品市場有序發(fā)展。
e)加強(qiáng)我國信息安全基礎(chǔ)設(shè)施建設(shè),建立一個(gè)功能齊備、全局協(xié)調(diào)的安全技術(shù)平臺(tái)(包括應(yīng)急響應(yīng)、技術(shù)防范和公共密鑰基礎(chǔ)設(shè)施(PKI)等系統(tǒng)),與信息安全管理體系相互支撐和配合。
6、結(jié)束語
網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并融入世界,但加強(qiáng)安全監(jiān)管和建立保護(hù)屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會(huì)議上說:“信息安全是涉及我國經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國家安全的重大問題。近年來,隨著國際政治形勢(shì)的發(fā)展,以及經(jīng)濟(jì)全球化過程的加快,人們?cè)絹碓角宄?,信息時(shí)代所引發(fā)的信息安全問題不僅涉及國家的經(jīng)濟(jì)安全、金融安全,同時(shí)也涉及國家的國防安全、政治安全和文化安全。因此,可以說,在信息化社會(huì)里,沒有信息安全的保障,國家就沒有安全的屏障。信息安全的重要性怎么強(qiáng)調(diào)也不過分。”目前我國政府、相關(guān)部門和有識(shí)之士都把網(wǎng)絡(luò)監(jiān)管提到新的高度,上海市負(fù)責(zé)信息安全工作的部門提出采用非對(duì)稱戰(zhàn)略構(gòu)建上海信息安全防御體系,其核心是在技術(shù)處于弱勢(shì)的情況下,用強(qiáng)化管理體系來提高網(wǎng)絡(luò)安全整體水平。衷心希望在不久的將來,我國信息安全工作能跟隨信息化發(fā)展,上一個(gè)新臺(tái)階。
網(wǎng)絡(luò)安全的相關(guān)文章:
1.網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)有哪些