破解互联网的安全迷局

　　前不久，一名FBI普通职员利用在互联网上免费下载的黑客软件，轻易地入侵了FBI最机密的信息网络，导致FBI不得不关闭该系统，许多专家为之震惊。这一事件再次引发了人们对互联网安全的深重担忧。互联网在全球范围广泛渗透到我们的生活中，已经成为人类发展不可或缺的信息基础设施，然而近年来网络安全事件层出不穷，让人们不禁反思：安全隐忧，难道真是互联网的天然缺憾？

　　互联网安全威胁层出不穷

　　最新统计显示,全球网民数量已经超过10亿，欧盟、美国、韩国、日本等发达国家的互联网渗透率基本都超过了50%，最高达到68.6%。即使在发展中国家如中国和印度，互联网渗透率也分别达到了9.4%和4.5%。中国的互联网网民数量已经达到1.23亿，上网计算机数达到5450万。不难想象，信息网络安全如果得不到保障，将会给如此庞大的计算机网络造成多么大的损失。

　　然而，近年来信息网络方面的犯罪十分广泛且愈演愈烈，如信息系统的破坏、黑客攻击和病毒程序的传播与侵犯、网上商业犯罪、金融诈骗、个人信息与隐私的盗取及网上不良信息传播等。根据美国FBI的调查，美国每年因网络安全造成的经济损失超过170亿美元。《金融时报》报道说，目前全球平均每20秒就发生一次网络计算机入侵事件，超过三分之一的网络防火墙被攻破。中国公安部有关资料表明,利用计算机网络进行的各类违法行为数量在中国以每年30%的速度递增，黑客的攻击方法有近千种。而以上的这些数字仅仅是冰山一角，绝大部分商务网站因没有造成严重危害或基于商业利益的考虑而拒绝曝光被“黑”事实。

　　据统计，2002年~2005年，我国有关部门接到的网络安全事件报告从1761件猛增到123473件，日均超过338件。更为严重的是，传统的病毒、垃圾邮件还在出没，危害更大的间谍软件、“网络钓鱼”等又不断出现，网络信息安全形势愈加严峻。公安部调查显示，我国各行各业都在不同程度上遭受着网络安全威胁。(见图一，各行业发生网络安全事件的比例)。病毒、黑客、网络欺诈等已经给互联网用户造成巨大的损失。2005年，病毒发作破坏造成损失的比例为51.3%。系统无法使用、网络无法使用、浏览器配置被修改、使用受限和数据部分丢失仍然是病毒的主要破坏方式。(见图二，历年来病毒造成的损失)

　　安全性是互联网的天然缺憾？

　　信息网络安全问题涉及局域网、广域网和互联网,尤以互联网的安全问题最为严重。为何会有这样的情况？人们不禁思考，安全隐忧是不是互联网的天然缺憾？

　　基础技术——开放、共享是先天不足

　　互联网的开放性和共享性使网上信息安全存在先天不足,因为因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,但它仅是信息高速公路的雏形,在安全可靠、服务质量、

　　带宽和方便性等方面存在着不适应性。“后门”最初是生产厂商为了方便维护和远程监测而设置的，但很容易成为黑客入侵系统的终南捷径。黑客们之所以能轻易完成对网络的攻击并“功成身退”，重要原因之一就是互联网从一开始就并不需要真实的身份。正是这种最初的“君子协定”给了黑客巨大的作案和逃逸空间。

　　人为攻击——网络良民正与狼共舞

　　由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,因此黑客的攻击不仅“杀伤力”强,而且隐蔽性好。目前，世界上有20多万个黑客网站,其攻击方法达几千种之多。随着各种管理工具功能的丰富和性能的增强，在网络高手眼里，网络几乎是一个透明的世界。如微软的SS等已经能够提供非常强的技术实现手段，能对网上用户的各种使用情况进行详细的监测和控制，从而使网络管理员拥有至高无上的权利。再如，一些网络设备提供的系统管理功能可以方便地观察远程用户系统配置和运行的情况，在网络世界里，只要向所需要监测的用户下载一个代理(Agent)程序，该用户所有的信息几乎可以无一漏网地被获取。这也就不可避免地带来了信息易于泄漏的严重问题。

　　管理薄弱——对技术演变缺乏前瞻性

　　对网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90%的IT企业对黑客攻击准备不足。目前，美国75%～85%的网站都抵挡不住黑客的攻击，约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。我国互联网的发展与世界各国一样，由于早期网络规模和用户数量不大，对互联网的技术演变估计不足，缺乏前瞻性，导致网络信息安全建设资金投入不够，各项基础性管理工作相对较弱。我国企业、机构无论在管理意识和资金投入方面，都与实际要求相差甚远。

　　多管齐下破解安全迷局

　　然而我们也看到，尽管各种各样的攻击层出不穷，病毒、黑客、木马、僵尸网络、钓鱼欺诈等给网民带来了无穷的烦恼和损失，但是全球互联网仍在蓬勃发展中，覆盖范围、用户规模、应用深度都在持续增加和提高，这也说明安全性不会成为互联网发展难以破解的桎梏，而只是发展中必然逾越的难关。借鉴发达国家保护互联网安全的经验，我们应从管理、技术、自律等方面多管齐下，破解互联网的安全迷局。

　　建立健全法律法规，加强政府管理协调。在任何国家，政府都是互联网管理的主导者。美国、英国、法国、德国、日本、韩国、新加坡等国家，涉及互联网管理的法律法规都十分健全，这些法律制度对监控的对象、监控的内容和监控的方式、方法等都作出了明确的规定，为这些国家高水平信息社会的健康发展奠定了坚实基础。我国也积极完善关于互联网安全保护的法律体系，已经颁发的有《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息网络国际联网保密管理规定》、《维护互联网安全的决定》、《电子认证服务管理办法》等，《信息安全等级管理保护办法(试行)》也已经出台，并于今年3月1日起实施。

　　成立专门机构，防范和打击互联网犯罪活动。许多国家在明确电信管理部门作为互联网行业主管机构的基础上，开始建立国家级计算机应急响应组织(CERT)，及时处理各类网络安全事件。新加坡政府成立了“国家网络威胁监控中心”，以保护其电子网络免受黑客和恐怖分子的威胁。我国的CNCERT/CC也是类似的机构。同时，一些国家以立法形式授权警察和安全部门监控各种网站和电子邮件，对危害社会稳定和国家安全、煽动和诱导犯罪、损毁他人名誉、欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩。

　　研发应用新技术，为网络信息安全保驾护航。互联网是技术高度发展的产物，维护网络信息安全，也同样需要强大的技术能力作保障。为此，在网络管理上，许多国家尤其是西方国家十分重视新技术的研发和应用。随着数据处理能力的提高，美国已开发出一种名为“食肉猛兽”(Carnivore)的系统，根据需要阅读网上发送的邮件；荷兰以法律的形式要求所有电信公司必须安装“网络警察”监控设备，以便对实施犯罪的互联网用户进行有效追踪。

　　重视和支持行业自律，促进各项业务规范落实。在政府的支持和影响下，英国互联网行业成立了行业自律组织互联网监看基金会(IWF)，主要任务是培养网络用户对网络的信任度，协助互联网内容提供商控制色情等违法内容，协助执法机构打击网络违法犯罪行为；美国也充分发挥电脑伦理协会、互联网保健基金会等行业组织的作用，制定各式各样的行业准则，规范各种网上行为；我国的互联网协会也成立了行业自律工作委员会，承担起在业内规范上网、办网行为的重任。

　　(洪黎明 人民邮电报)