当前位置主页> 正文

一场互联网时代的安全保卫战

tebiebaodao 2012-04-16 15:49:51 文/鄢光哲 总第163期 放大 缩小

 

近年来国内网络的普及达到了前所未有的程度,但同时信息泄露、网络病毒传播等网络安全事件频发,不断困扰着广大用户。互联网安全问题已十分严峻,治理工作任重道远,需要政府相关部门加强立法规范以及监管力度,同时用户也应提高网络安全防范意识。

相关数据显示,目前国内存在危险漏洞的网站所占比例高达52%,网站安全防护能力有待提高。另外,知名杀毒软件厂商塞克铁门的产品源代码日前被黑客在网站上公开发布,国内千万用户的信息安全存疑。

去年年末至今年年初,CSDN和天涯等网站的用户数据泄露引爆了互联网信息大规模失窃的恐慌,特别是一连串知名网站被爆遭黑客攻击。假设这些网站的用户信息被窃取,至少将涉及数千万用户,那些账号密码被盗取的用户,其在互联网上的虚拟货币、网银以及电子商务网站账户余额的安全性打上了大大的问号。

尽管政府机关后来证实,CSDN和天涯用户数据被窃取的时间早在两年前,而一些传闻中的安全事件并不存在,但部分大型网站用户账号密码信息被泄露、破解或内部人员盗窃却是不争的事实。

近期信息泄露事件是国内网站普遍并不重视安全问题的一次集中爆发。从网络安全领域的角度看,所有网站都是会有漏洞的,安全领域的思维是假设网站一定会被黑客攻陷,攻陷后怎么将损失降到最小和能进行控制的角度来部署安全措施,而不是事后再去找原因。在此假设下再通过技术或者物理的手段进行加密处理或隔离,来降低信息对黑客的价值,增加其攻击的成本。

绝对安全的互联网绝对的安全是不存在的。就像一座房子,小偷能从很多地方进来,即使是有专门防盗的金库也有办法从中实施盗窃。网络安全一直在网络安全人员与黑客的斗智斗勇比拼中不断进化。绝对的安全不存在,但网站自身还是能够做到相对的安全。网站进行安全部署,将会大大降低首先被黑客盯上的可能性。

忽视安全导致国内网站对该部分的投入普遍偏低。据行业统计,国际上一般安全投入占IT投入的10%左右,国内比较重视的企业会在6%至8%左右,但绝大部分互联网企业都达不到1%。安全意识偏低的结果,导致该部分投入都进入到竞争和业务发展中,网站不得不“裸奔”。不重视安全可能“后天”会出事,但是不发展业务,“明天”就会死掉。

52%的网站存在漏洞风险

据360安全中心近日对外发布的《2011年度互联网网站安全报告》显示,网站安全检测平台对随机抽取的93233个国内网站分析发现,存在高危漏洞的网站比例达36%,存在中危漏洞的网站则有16%,两者合计比例高达52%。QQ电脑管家与艾瑞咨询也于近日联合发布《2011下半年个人网络安全报告》,称2012年个人网络安全情况依然严峻,切实提升网民安全意识至关重要。

而在行业层面,普遍不重视安全问题也将导致某一家网站出事,其他网站也会被动地遭到黑客撞库(黑客用盗取的用户信息,如密码,去尝试登录该用户注册的其他网站)。这个问题并没有很好的解决办法。而呈现流行趋势的网络开放平台也需要对接入的合作伙伴以更严格的安全要求,做好整体的架构设计、数据隔离、接口数据监控分析等工作。

个人信息安全保护要追根溯源找到解决办法,必须得发现症结所在。层出不穷的泄露事件暴露出网络安全的多个“死穴”。对广大用户来说,个人信息被泄露后,权益无法得到保障才是关键问题。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。这种措施增加了用户的安全保障,国内没有多少企业在这么做。

建立各种安全机制需要投入大量资金,在缺乏有效立法制度的情况下,互联网企业并不愿把大量资金投入到网络安全中。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。$nextpage$

风口浪尖上的网络实名制

2012年3月16日,微博将全面迎来实名制时代,新浪等几大门户网站微博都将实行实名制。未进行实名认证的微博用户将只能浏览,不能发送微博和转发微博。

对于即将到来的实名制时刻,许多网友纷纷表达了自己的观点,其中有不少人担心实名制后的账户安全问题,尤其是在去年年底大量社交网站被曝出用户密码泄露事件后,实名制时代的网络安全问题愈发引人关注。

根据今年1月中国互联网络信息中心(CNNIC)发布的《第29次中国互联网络发展状况统计报告》,截至2011年底,中国网民数量突破5亿,而微博目前有近半数网民在使用,比例达到48.7%。如何保证网友们的信息不被泄露?

信息时代,互联网成为现代生活必不可少的一部分,网络世界与真实生活紧密相连后,网络实名制也成为一个不可忽视的议题。实名制要求用户提供个人真实信息,当越来越多的密码、口令、身份证号、手机号、信用卡号、访问记录等数据,必须暴露给网站时,网民个人信息安全的保障问题成为聚焦的核心。

不管是微博实名制的出台还是“快递快件实名制”的试点,网络上关于实名制的议题从来没有降温过,网友讨论的主题始终是对个人信息安全的担忧。安全感的建立是在信任的基础上,在制度推行之前,网站如何才能建立安全有效的保障机制、用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。

谁能阻止黑客入侵

对于软件开发商来说,它的知识产权,特别是源代码,是其最为珍贵的资本。然而,全球知名的网络安全软件“诺顿”的生产者、信息安全解决方案提供商“赛门铁克”公司日前却遭到了黑客的勒索。近日,该公司远程控制软件pcAnywhereutility的源代码被电脑黑客公布于众。据“赛门铁克”预计,黑客还会将公司旗下的2006年版“诺顿杀毒企业版”以及“诺顿网络安全特警”软件的代码公之于众。但公司发言人称这些已经是旧版本的代码,赛门铁克以及诺顿的客户不会因代码被公布而面临危险。

此事不但引起了很多电脑病毒与网络安全公司的恐慌——他们担心自身的产品也会遭遇类似的威胁——更引发了普通网民的担忧。网民通常将个人网络安全托付给杀毒软件,但杀毒软件是否能如网民期待的那样护卫网络安全,这个问题似乎很难回答。杀毒软件公司似乎也无法阻挡黑客,赛门铁克源代码泄露事件令用户信息安全受到极大考验。互联网已进入高速发展期,但其中重要的一环——安全问题,却迟迟不能跟上互联网发展脚步,网民安全究竟谁来保障?

互联网安全问题频发,安全防范至关重要。网络安全不能得到保证的原因归结起来有三个方面。第一,问题未得到重视。在过去的多年间互联网安全问题风波不断,却依然没有引起相关部门的重视。互联网已成为人们生活的一部分,网络安全问题再也不能掉以轻心。第二,技术上的不成熟。黑客的破解技术不断更新,而网站的安全防范却始终不能跟进,总是在爆发问题后进行补救,而不是一开始就构筑有效的安全屏障;同时,安全问题爆发后,也难以找到始作俑者,也是安全问题频发的重要原因。第三,在制度上对于网络安全问题的处理仍不全面。网络犯罪没有健全的法律作为执法保证,黑客就钻法律漏洞侵袭互联网。

国际趋势:动用国家力量保护网络安全

网络信息安全已成为一个世界性话题,比如美国,自2008年以来,美国国务院逐渐完善了一项名为“风险评分”的项目,美国国务院有关部门每隔一至三天就对国务院办公机构及美国在全世界的驻外机构约9.6万台计算机进行扫描,查找可能存在的安全漏洞,并将结果告知专业人员,及时处理。奥巴马总统上台以后就提出了44届总统网络空间安全报告,进行了多个演习评估。他们设定一条基本的原则,网络安全是国家的一项关键资产,美国将动用国家力量的所有工具对其实施保护。

这种前瞻性意识,已经是不少国家的共识。世界各国都采取多种方式护卫网络安全。欧盟在2004年就成立了欧洲网络和信息安全局,主要就云安全、安全软件工程、智能手机安全三大类领域进行评估和管理,以保证欧盟内部网络信息传输的安全高效。

随着对网络攻击和网络战争忧虑的增加,英国曾于2010年成立专门的委员会对英国和欧盟的网络安全进行调查研究,并按照最终的报告来对英国的网络安全进行升级。该报告还建议欧盟委员会,鼓励成员国提高关键信息设施受攻击后恢复的能力和成立国家计算机应急反应小组。英国首相卡梅伦表示,鉴于互联网对于社会、政治和经济增长的重要作用,有必要防范威胁网络安全的因素。新战略不仅针对威胁国家安全的恐怖主义,也将打击危害公众日常生活的网络犯罪。

今年2月,印度《经济时报》报道称,印度正着手成立一个新的网络安全和电信监管部门国家电信网络安全协调局,职责不仅包括针对国家网络安全问题提出相关解决措施,还要为各个政府部门设定目标,以提高其网络安全性。网络安全领域中的责任分散导致网络安全措施决策制定滞后。《经济时报》报道中引述了印度为提高网络安全性而开展的工作集中监控系统和“安全网络”方面存在的问题。

网络安全是技术问题更是意识问题

据《中国互联网络发展状况统计报告》,“2008年捕获的恶意代码样本达160多万次,比2007年增加了31%,同时网络高危漏洞也频频出现。”2009年上半年,中国接收到国内外报告事件总数达9117件,其中国外投诉量猛增,而增长最多的事件类型为垃圾邮件,此外还包括网页挂马、网络仿冒及病毒、蠕虫及木马等。与此同时,还有感染3000多万台主机的“飞客”蠕虫;影响多个省份的“5•19”暴风影音事件等等。在网络黑客、网络攻击呈现集团化、恶意化的今天,单靠软件研发企业和用户,这种各自为战的防御态势与安全危机相比,呈现出一种发展和信息的不对称,甚至无法应对大规模群体性及技术复杂的网络空间安全事件。因此借助国家战略,达成信息共享,形成技术合力,达成国家层面的网络空间安全体系势在必行。

“网络安全不仅是技术问题,更是一个意识问题。”业内专家同时建议,国家尽早就个人信息保护问题进行立法、有关部门出台相关标准或指南对网站信息安全的技术建设进行规范、建立联动机制共同维护互联网络安全。

互联网安全任重而道远,需要各方配合才能做好这项工作。作为用户,首先应加强自身对网络安全的重视程度,提高安全防范意识,详细了解常见的网络安全问题及防范方式,并将其转化为实际行动;互联网厂商方面,应主动承担维护网络安全的责任意识,加强技术手段防范,为用户构筑铜墙铁壁;国内相关部门可以借鉴欧美国家相关治理经验,重视互联网安全工作,加强立法以及监督管理工作。

 

【欢迎转载 请注明来源】

相关文章