黃丁順

黃丁順/浙江藝術(shù)職業(yè)學(xué)院講師,碩士（浙江杭州310053）。

一段時間來不斷有媒體爆料，美國情報機構(gòu)利用電信電話、互聯(lián)網(wǎng)中央服務(wù)器監(jiān)視監(jiān)聽各國政要，利用頂級互聯(lián)網(wǎng)公司的音頻、視頻、照片、電子郵件、文件和連接日志，追蹤個人用戶的動向和聯(lián)系人。這一事件經(jīng)互聯(lián)網(wǎng)及各大媒體的傳播一時世人嘩然，吸引了全世界人的目光，人們開始思考自己賴以生存的這個網(wǎng)絡(luò)世界，滿足自己各種需求的同時還有多少個人的隱私不會被第三只眼睛所窺視，信息安全問題再次成為民眾熱議的一個重要話題。

一、信息安全問題

實際上信息安全從來都不是一個小問題，大到國家政治、經(jīng)濟、國防、科技和文化層面、企業(yè)商業(yè)機密，小到防范不良信息、個人信息、金融資產(chǎn)不受侵害等等。早期的信息安全是以密碼論為基礎(chǔ)的輔以計算機技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編碼程序來實現(xiàn)的計算機安全領(lǐng)域，計算機信息安全發(fā)展到現(xiàn)在已經(jīng)從傳統(tǒng)意義上的計算機安全延伸到整個計算機網(wǎng)絡(luò)系統(tǒng)的安全，從單純的技術(shù)問題上升到技術(shù)、管理和法律相融合的綜合性安全體系。

然而，從20世紀(jì)90年代開始，隨著計算機技術(shù)的革命、互聯(lián)網(wǎng)技術(shù)的發(fā)展、計算機的不斷普及，信息的易傳播、易拷貝、易擴散性和信息賴以生存的計算機網(wǎng)絡(luò)系統(tǒng)的脆弱性所帶來的危害也愈加突出。如何保證信息和信息系統(tǒng)的安全也就成了必須要解決的問題。

二、信息安全的現(xiàn)狀

根據(jù)美國FBI最新發(fā)布的安全調(diào)查報告顯示，信息安全排在前三位的依次是病毒、間諜活動、筆記本和移動設(shè)備被盜，超過20%的組織說他們的端口被監(jiān)聽、網(wǎng)絡(luò)或者數(shù)據(jù)被破壞。中國IDC2006的調(diào)查報告也表明，在IT安全領(lǐng)域最具威脅的都是和“安全內(nèi)容管理”直接相關(guān)的安全問題。其中以“病毒、木馬及惡意代碼”最為嚴(yán)重，其次為垃圾郵件和對內(nèi)部數(shù)據(jù)惡意篡改和盜用。歸納起來主要存在以下三方面問題。

1．核心技術(shù)對外依存度較高帶來的致命安全隱患。這是全球絕大多數(shù)國家面臨的一個非常突出的問題，根據(jù)美國前防務(wù)承包商雇員愛德華·斯諾登泄密的文件顯示，美國國家安全局能利用超級計算機、技術(shù)標(biāo)準(zhǔn)、法庭命令和幕后勸說等多種途徑，秘密攻破或繞開現(xiàn)有互聯(lián)網(wǎng)加密技術(shù)，獲取私密信息他們與國內(nèi)外的科技公司合作，在公司的產(chǎn)品中植入“后門”，讓這些產(chǎn)品可利用，利用作為世界上經(jīng)驗最豐富的密碼設(shè)計者的影響力，秘密地在世界各地軟硬件開發(fā)商所遵循的加密標(biāo)準(zhǔn)上設(shè)置薄弱環(huán)節(jié)，在國際標(biāo)準(zhǔn)中設(shè)置漏洞等等，致使全球網(wǎng)絡(luò)通信在美情報機構(gòu)面前無秘密可言，引起全球恐慌。

縱觀全球網(wǎng)絡(luò)設(shè)備，CPU、OS、路由器、技術(shù)標(biāo)準(zhǔn)、數(shù)據(jù)庫以及根服務(wù)器等核心技術(shù)基本出自美國。前一陣子媒體曝光美國頂級互聯(lián)網(wǎng)公司協(xié)助美國政府監(jiān)控民眾的消息后，相關(guān)企業(yè)和高管很快發(fā)表聲明加以否認，表示并沒有允許政府機構(gòu)“直接訪問”自己的服務(wù)器。但事實是美國在立法監(jiān)聽互聯(lián)網(wǎng)方面，在情報搜集和監(jiān)聽等間諜活動方面，都有著完備的法律、技術(shù)體系。從1934年美國的聯(lián)邦通信法案開始，歷經(jīng)八十年的鍛造，已經(jīng)從體制上保證了其情報搜集的合法性、高效性、全面性，甚至于美國情報法案尤其是CALEA規(guī)定電信運營商必須提供監(jiān)聽服務(wù)。美國境內(nèi)的通信設(shè)備生產(chǎn)商、通信服務(wù)提供商，均具備從事網(wǎng)絡(luò)監(jiān)聽和間諜活動的義務(wù)和動機。這給國家的政治、軍事、經(jīng)濟、文化和社會生活的信息安全帶來前所未有的挑戰(zhàn)。世界上許多國家不得不用“墻”將自己圍起來，搞自己的局域網(wǎng)、國域網(wǎng)，大力發(fā)展自主創(chuàng)新技術(shù)來應(yīng)對對外設(shè)備依存度帶來的極大危害。

2．信息安全法律法規(guī)還不夠完善。一些發(fā)達國家已經(jīng)制定或正在著力制定自己的國家信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展。1995年英國率先推出BS7799信息安全管理標(biāo)準(zhǔn)，2000年被國際標(biāo)準(zhǔn)化組織認可為國際標(biāo)準(zhǔn)ISO／IEC17799。在2000年10月美參議院通過一項《互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護法案》。2000年9月，俄羅斯實施了關(guān)于網(wǎng)絡(luò)信息安全的法律等。隨著20世紀(jì)80年代IS09000質(zhì)量管理標(biāo)準(zhǔn)的出現(xiàn)及隨后在全世界的推廣應(yīng)用，信息安全管理也隨之步入了標(biāo)準(zhǔn)化與系統(tǒng)化管理的軌道。

健全的信息安全法律法規(guī)體系是確保國家信息安全的基石，是信息安全的第一道防線。我國亦已建立了一批涉及網(wǎng)絡(luò)、信息系統(tǒng)、信息內(nèi)容、安全產(chǎn)品、金融等特定領(lǐng)域的信息安全法律、行政法規(guī)與部門規(guī)章等三個層面的一些規(guī)范性文件，對組織和個人的信息行為提出了安全要求。但是從整體看我國的法律法規(guī)體系還存在諸多不完善的現(xiàn)象，有的出現(xiàn)內(nèi)容交叉重復(fù)，甚至規(guī)章與行政法規(guī)相互抵觸；法律法規(guī)建設(shè)跟不上信息技術(shù)發(fā)展的需要，信息安全標(biāo)準(zhǔn)體系還處在發(fā)展和建立階段。安全規(guī)劃、風(fēng)險管理、教育培訓(xùn)、系統(tǒng)評估、安全認證、檢查問責(zé)等有關(guān)安全信息管理方面還存在諸多問題。特別是國家信息基礎(chǔ)設(shè)施建設(shè)方面，盡管也出臺了《電信業(yè)務(wù)經(jīng)營許可證管理辦法》等一些法律文件，但在構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品的引進和開發(fā)上還存在重大安全隱患。

3．信息安全管理意識還比較淡薄。以計算機、現(xiàn)代通信和網(wǎng)絡(luò)技術(shù)為核心的計算機信息系統(tǒng)，在給企業(yè)提高工作效能，提升核心競爭力的同時也給企業(yè)帶來了前所未有的安全隱患。大多數(shù)企、事業(yè)單位還缺乏信息安全方面的意識，個人用戶安全意識仍然淡薄。對信息資產(chǎn)面臨威脅的嚴(yán)重性認識不足，沒有形成一個合理的信息安全方針來指導(dǎo)企業(yè)、單位和部門的信息安全管理工作，缺乏行之有效的信息安全保障措施，現(xiàn)有的安全規(guī)章制度也不能很好地貫徹和實施。重視安全技術(shù)、輕視安全管理的現(xiàn)象還普遍存在，大多數(shù)企、事業(yè)單位和部門仍停留在傳統(tǒng)的管理模式，一些高性能的安全技術(shù)設(shè)施成了聾子的耳朵，缺乏系統(tǒng)管理的思想。

三、信息安全問題的對策及解決途徑

信息安全說到底是要使信息、信息系統(tǒng)得到妥善的保護，使系統(tǒng)硬件、軟件、數(shù)據(jù)、物理環(huán)境及其基礎(chǔ)設(shè)施等不受侵犯，不會因偶然或者惡意的原因而遭到破壞、更改和泄漏。保證信息及其系統(tǒng)能夠安全、連續(xù)、可靠、正常地運行，應(yīng)該從以下幾個方面著手。

1．著力打造網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)安全。網(wǎng)絡(luò)信息系統(tǒng)安全的一個重要來源是系統(tǒng)實體和信息資源本身不受威脅。這就要求要搞好信息系統(tǒng)的基礎(chǔ)設(shè)施建設(shè)，做好環(huán)境維護、防火防盜、防靜電雷擊、電磁泄漏等等。要盡量避開強電磁場，遠離噪聲源、振動源，保持系統(tǒng)電源穩(wěn)定可靠運行。要保證設(shè)備具有良好的接地系統(tǒng)，經(jīng)常檢查重要部門的各種電器的安全，做好相應(yīng)的防火措施。要防止重點單位和部門的電磁信號泄漏，采取有效措施，做好保密工作，避免電磁信號被高靈敏度的接收設(shè)備所截獲和還原。對于一些特別重要的計算機系統(tǒng)及外部設(shè)備，要根據(jù)安全等級做好防盜報警設(shè)施，防止計算機或移動設(shè)備失竊、更改造成計算機重要數(shù)據(jù)丟失現(xiàn)象的發(fā)生。

2．采取技術(shù)措施做好計算機系統(tǒng)信息的自身安全。拋開網(wǎng)絡(luò)和系統(tǒng)環(huán)境等因素的影響，具體考慮系統(tǒng)信息本身的安全時，要采取信息加密技術(shù)，通過信息鑒別認證、信息訪問控制等技術(shù)手段，提高信息自身的安全級別。

信息加密技術(shù)是解決網(wǎng)絡(luò)信息安全問題的核心技術(shù)，通過對傳輸數(shù)據(jù)加密，存儲數(shù)據(jù)加密可在很大程度上提高數(shù)據(jù)在傳輸過程中的安全，保證傳輸數(shù)據(jù)的完整性不受侵犯。進行數(shù)據(jù)加密的算法很多，如今普遍使用的加密算法，在很大程度上能夠保證敏感信息的機密性和完整性不被破壞。

進行網(wǎng)絡(luò)信息認證是解決信息在交互過程中參與各方身份和資信認定的技術(shù)措施，使交互各方的身份真實性得到保證。采用公開密鑰加密技術(shù)基礎(chǔ)上的數(shù)字簽名技術(shù)，通過規(guī)范化的程序和科學(xué)化的手段鑒定簽名人身份及其對電子數(shù)據(jù)內(nèi)容的認可程度，驗證文件在傳輸過程中的變化，保證傳輸電子文件的真實性、完整性不受侵犯，從而達到信息傳遞的安全、可靠、完整和不可抵賴性的實現(xiàn)。

3.做好病毒預(yù)防措施，確保系統(tǒng)安全運行。計算機病毒是一種非常小的會不斷自我復(fù)制、隱藏和感染其他文件或程序的代碼。在系統(tǒng)執(zhí)行過程中，會對計算機及其信息系統(tǒng)造成破壞。計算機病毒的最大特點就是具有非授權(quán)的執(zhí)行性、隱蔽性、傳染性、潛伏性、可觸發(fā)性和具有破壞性，要做好計算機病毒的預(yù)防，對計算機及其文件進行定期殺毒和實時掃描。因此在計算機的日常運行中，一定要注意做好以下幾個方面：一是要尊重知識產(chǎn)權(quán)，使用合法原版的軟件；二是要提高安全意識，及時將重要資料進行備份；三是不要隨意使用來路不明的文件或磁盤，養(yǎng)成對使用的文件和磁盤先行殺毒的習(xí)慣；四是要準(zhǔn)備好一些防毒、掃毒和殺毒的軟件，定期使用。只有養(yǎng)成良好的網(wǎng)絡(luò)應(yīng)用習(xí)慣，做到預(yù)防為主，才能防患于未然，確保計算機的系統(tǒng)安全。

4．提高信息安全意識，防止信息隨意泄漏。在網(wǎng)絡(luò)應(yīng)用過程中，要培養(yǎng)良好的網(wǎng)絡(luò)應(yīng)用習(xí)慣、專機專用，不隨意在不了解的網(wǎng)站上填寫用戶信息；不隨意在公用計算機上輸入用戶資料；不隨意打開來路不明的郵件(尤其是附件)和陌生人通過QQ等即時通信工具發(fā)送的文件和鏈接；給計算機設(shè)置足夠安全的字母和數(shù)字混合密碼，確保單位和個人信息不被泄露。要防止計算機及其網(wǎng)絡(luò)設(shè)備在保修、報廢過程中的信息泄漏現(xiàn)象，保修報廢的計算機及其網(wǎng)絡(luò)設(shè)備可能還存在著大量的數(shù)據(jù)信息、過程文件等，可以通過一定技術(shù)手段加以還原。要制定和規(guī)范計算機及其網(wǎng)絡(luò)設(shè)備的保修、報廢工作流程，嚴(yán)格執(zhí)行有關(guān)涉密設(shè)備的處理規(guī)定，防止涉密信息隨設(shè)備流失的現(xiàn)象發(fā)生。

5．加強安全立法，為網(wǎng)絡(luò)信息安全保駕護航。加強國家的信息安全立法工作，為網(wǎng)絡(luò)信息安全提供法律保護。進一步完善信息安全法律法規(guī)體系，加強信息安全執(zhí)法力度，嚴(yán)厲打擊網(wǎng)絡(luò)違法犯罪活動，保護企業(yè)和個人的合法權(quán)益不受侵害。大力推進信息安全等級制度，根據(jù)信息所處的社會地位和經(jīng)濟價值，采取科學(xué)、合理的分級保護措施。對于涉及國計民生的國家關(guān)鍵信息基礎(chǔ)設(shè)施加以重點保護，運用最新的科技手段和安全法律體系在網(wǎng)絡(luò)信息領(lǐng)域中建立起系統(tǒng)的、完整的、有機銜接的預(yù)防、控制、偵查、懲處網(wǎng)絡(luò)信息違法犯罪的執(zhí)法體系，加強對網(wǎng)絡(luò)信息違法犯罪的防范、控制和打擊能力，保證網(wǎng)絡(luò)信息高效、安全、正常的運行。

計算機、現(xiàn)代通信和網(wǎng)絡(luò)技術(shù)已成為我們生活的一個重要部分，只有通過技術(shù)的、管理的、行政的手段，提高每一個社會參與人的信息安全知識，扎實做好信息源、信號、信息等每一個環(huán)節(jié)的安全防范工作，才能最大程度的保證在現(xiàn)代環(huán)境下的計算機網(wǎng)絡(luò)信息不受侵犯。

[1]王大慶．探討計算機網(wǎng)絡(luò)安全［A］．天津市電視技術(shù)研究會2011年年會論文集 [C].2011年.

[2]王建波.計算機網(wǎng)絡(luò)安全性的風(fēng)險與防御措施[J].信息與電腦（理論版）2011（5）.

[3]王子源.計算機的安全問題及應(yīng)對策略[J].才智.2010（19）.

[4]張千里，陳光英.網(wǎng)絡(luò)平安新技術(shù)[M].北京摘要：人民郵電出版社，2003.