中國是世界上最大的網絡市場。中國互聯網絡信息中心(CNNIC)發布報告指出,到2015年6月底,我國互聯網普及率為48.8%,網民總數達6.68億。隨著互聯網的普及,網絡安全事件呈上升趨勢。中國也是黑客攻擊的受害國。2014年,針對我國域名系統的流量規模達1Gbps以上的拒絕服務攻擊事件日均約187起,約為2013年的3倍,被植入后門的網站達4萬多個,有上千萬臺主機感染木馬病毒。如何處理好網絡安全與發展的關系,構建和平、安全、開放、合作的網絡空間,成為擺在我們面前的現實課題。

 
  一、網絡發展中的安全問題
 
  隨著信息技術的發展,網絡安全的內涵、形式和重點都在演變?;ヂ摼W出現的早期,網絡安全主要是保證電腦的物理安全以及通過密碼解決通信安全問題。在Web時代,互聯網商用帶來的利益驅使,滋生了以制造木馬為職業的黑客,網絡安全的關注重點從物理網絡轉到所承載的信息。進入21世紀,各行各業對互聯網的依賴越來越強。網絡安全的保護范圍從物理層、信息內容層擴展到控制決策層,時間上從被動的事后審計提前到事中防護和主動的事前監控,措施上從技術防護到管理保障,對網絡安全的認識開始上升到縱深防御體系。2013年6月“棱鏡門”事件曝光,聯系到此前美國發布國家賽博空間安全戰略,可見網絡安全已上升到國家戰略高度。
 
  網絡安全小到個人電腦入侵,大到企業生產系統癱瘓、城鄉基礎設施故障、國家重要信息系統破壞和國防系統漏洞,影響無所不在。傳統的網絡安全問題包括劫持域名、篡改網頁、釣魚網站、盜竊賬號、數據泄露等。隨著應用技術向移動互聯網、物聯網、產業互聯網、云計算和大數據的發展,網絡安全問題也呈現出一些新趨勢。
 
  新興智能設備成為漏洞威脅的頻發地。移動互聯網與物聯網相結合,催生出智能手環、智能手表、智能家電和智能汽車等。這些功能越來越復雜的智能硬件,具有永遠在線、配置固定和系統升級慢等特點,因此承受的安全威脅在不斷增大。2014年,國內已發現一些家庭網關、機頂盒和網絡攝像頭等被黑客控制的事件。
 
  互聯網金融成為網絡攻擊的新靶場。2014年,針對第三方支付和網銀等金融機構的網頁仿冒事件,占到境內網站被仿冒頁面數的80%。這些網站誘騙用戶提供銀行卡號、密碼和身份證號碼等信息,詐取錢財。針對我國境內的釣魚網站近90%位于境外,而且近年來釣魚站點有入駐云服務平臺的趨勢,這就難以基于IP地址來追蹤處置。
 
  移動互聯網成為網絡攻擊的重災區。近年來,移動互聯網惡意程序劇增。國家計算機網絡應急技術處理協調中心監測發現,2014年移動互聯網惡意程序數量近10萬個,是2011年的152倍。惡意扣費、資費消耗和信息竊取位列移動惡意程序的前三類,具有攔截和偽造短信驗證碼功能的惡意程序也大幅增長。對移動惡意程序的安全檢測將因程序制造者利用代碼加密、加殼等“加固”手段而越發困難。
 
  云服務成為網絡攻擊的新高地?,F在大量金融、游戲、電子商務、電子政務等業務遷移至云平臺。2014年12月20日至21日,部署在阿里云上的一家知名游戲公司,被受木馬控制的海量主機訪問,遭遇了全球最大的一次分布式拒絕服務(DDoS)攻擊,攻擊時間長達14個小時,攻擊峰值流量達每秒453Gb。按照Akamai公司2015年第2季度的全球網絡安全報告,游戲占DDoS攻擊次數之首,比重達35%,其次為軟件與技術、互聯網與電信、金融服務等。
 
  企業工控系統成為網絡攻擊的新戰場。產業互聯網的提出加快了信息化與工業化的融合,越來越多的工業控制系統開始聯入企業的內網。這為黑客入侵企業工控系統提供了可能。2010年,一種名為“震網”的蠕蟲病毒侵入西門子為伊朗核電站設計的工業控制軟件,導致20%的離心機報廢。2014年9月,一種遠程木馬“Havex”入侵全球能源行業的數千個工控系統,我國境內也有部分IP地址感染了該惡意程序并受到境外控制。近年來,針對產業互聯網基礎設施的網絡攻擊行為逐年增多,并具有長期潛伏、自我學習挖掘漏洞的能力。
 
  二、在發展中提升網絡安全防御能力
 
  網絡發展與網絡安全相生相伴,二者既矛盾,又統一。我們既不能目光短淺,盲目追求信息流量和用戶量的擴張,忽視新技術新業態帶來的安全隱患,以網絡安全失控為代價換取一時的發展;也不能因噎廢食,為了謀求安全而放棄發展,失去因與威脅對抗而自我壯大的機會。
 
  安全問題是發展中出現的,只有靠自主創新推動發展才能解決。威脅與安全總是魔高一尺,道高一丈。以安全軟件為例,從早期以對付軟盤病毒為主的查特征碼殺毒,到針對郵件和網頁嵌入病毒的啟發式殺毒,再到木馬流行時期發展起來的云安全。當然,世界上不存在絕對安全的系統。雖然我們現在借助云端的安全軟件和工程師經驗可以大大提升查殺率,但是想要從源頭上解決電腦的安全問題,還要從完善操作系統做起。我國在引入互聯網的同時,幾乎全盤接受來自國外的CPU、操作系統、路由器和服務器等產品。因為無法掌握其中的技術和源程序,也就難以發現內含的漏洞。大數據是企業和國家的戰略資源。它既是網絡安全保護的重要對象,也是支撐網絡安全的新手段。通過收集網絡攻擊的大數據,我們可以發現網絡攻擊的異常行為和規律,有效識別攻擊源和網絡的風險點,阻止黑客入侵,使網絡攻擊行為無所遁形。
 
  需要指出的是,技術只是手段,依法治網管網才是根本之策和長遠之計?;ヂ摼W作為一種信息傳播工具,是一把雙刃劍,既是傳播主流意識形態的有效渠道,也可能被不法分子或居心叵測的人當作散布謠言、挑起事端的手段。因而依法嚴厲打擊網絡犯罪,加強內容管理,凈化網絡空間,就顯得十分必要。我們只有從戰略高度重視網絡安全,從核心技術與產業發展、相關法律的完善等全方位提升防御能力,網絡安全才能真正實現。我們應始終牢記習近平總書記的話,“做好網絡安全和信息化工作,要處理好安全和發展的關系,做到協調一致、齊頭并進,以安全保發展、以發展促安全,努力建久安之勢、成長治之業”。
 
  作者:中國信息化百人會顧問、中國工程院院士、中國互聯網協會理事長 鄔賀銓

責任編輯:admin