1、网络信息安全问题的由来与发展网络信息安全问题的由来与发展宁家骏 国家信息化专家咨询委员会委员二 0 一五年二月各位领导、朋友们,大家好,我是国家信息中心宁家骏,今天很高兴就新时期加强网络信息安全保障工作的一些问题跟大家交换一下我自己学习的体会。我主要想跟大家交流这样三个议题,一个是网络信息安全问题的发展与由来;第二个涉及到电子政务和电子商务、网络信息安全的一些问题;第三个问题是希望加快制定和落实我们网络安全治理的一些策略,推进网络信息安全治理的工作。大家都知道,上世纪 40 年代有两件大事影响了整个人类文明发展的历程。一个是发生在我们国家的社会主义革命,以 1949 年中华人民共和国的成立为标
2、志,开启了中国和平崛起的进程,改革开放 30 多年加快了这个进程。另一个是 1946 年在美国发生的第一台电子数字计算机为标志的当代信息革命的开始,大家都知道,随着90 年代互联网的普及和应用,信息革命席卷全球。去年,我们国家在浙江省的乌镇召开了首届互联网世界大会,因为我们看到互联网的影响日益深化,但是带来的最大挑战是什么?就是安全问题。安全实际上是我们现代社会各界都非常关注的问题,最近我们看到,有一个未成年的 17 岁小孩利用我们一些银行安全的漏洞,爆刷了十几亿的资产,这个教训非常深刻。所以我今天讲的第一个问题就是我们信息安全的综述,我们首先讲一下网络安全问题的现状和它形成原由,以及在这个情
3、况下我们各级干部、广大政府、我们的工作人员都要培养我们自己的网络安全意识。一、信息安全的现状信息化社会已经成为当今大家都要面对的一个现实,我们现在每个人都有手机,现在,计算无处不在,我们每个人的手机都是一个几年前功能很强大的一个个人电脑,现在无论在国防建设,在我们国家的能源、交通,在我们的企业的生产经营,在我们的政府的管理,特别是在我们个人的学习和生活中间,我们都离不开信息化社会的影响,都不能离开信息化社会。比如现在我们都有网上银行,我们手机都有个人的微信,我们现在都进入了移动支付的年代,我们都有手机钱包/支付宝。这些说明信息化社会已经渗透到我们生活的方方面面,每一个角落。信息社会的最大特点是
4、什么呢?就是离不开网络的支撑,我们现在对网络的依赖程度越来越高。网络的特点是可以把身处异地的人、物、事情联在一起,大大缩短了我们物理上、时空上的距离,所以决定了它的前景非常广泛。但是大家知道,互联网是一个开放分布式的协同的计算网络环境,从根上说,互联网没有一个严格的统一集中的管理,它是一个分散化的东西。虽然在域名上有一些管理,但是结构是比较松散的,因为这个我们常说互联网是一个草根型的网络,它分散管理确实便于互联,用户之间也比较透明,在这种状况下,便于实现大家对资源的共享。但是另一面,这种应用依赖于网络资源,如果网断了,我们就什么事干不成了。比如我们现在可以异地存钱、支付,过去我们存钱在哪个储蓄
5、,所存的只能在那取钱,现在全国联网,哪儿都可以通存通兑,但是如果没有网络的支撑,这也是不行的。我们过去很多部门建了一些封闭的专网,但是慢慢的,很多专网也要像互联网延伸,因为互联网有大量的信息,有大量的客户,大家都离不开互联网。比如现在城市里的滴滴打车、快滴打车,我们现在的电子商务,我们在网上淘宝,所以总的来说,今后信息化有美好的憧憬。网络的存在还养成了我们对网络行为的习惯,现在年轻人特别是小孩,甚至婴幼儿,很早就上网,这是我们当前的一个特点。网络化带来的一个不可分割的问题就是网络安全,全球的网络化不仅把计算机连接起来,把网页连接起来,而且把所有的信息资源连接起来,现在我们有下一代互联网,有物联
6、网,还有万联网,就是把人和物都联结在一起,这样的话,使得面临的安全问题越来越复杂,所以安全也成为我们网络服务一个根本的保障。首先是网络要可以,用网断掉了、被破坏掉,那就不行。第二,网络信息要提供完整。另外,网络信息要保护我们国家的、企业的、个人的私密。现在,网上盗取个人信息非常普遍,影响也非常大,而且,很多问题我们国家的安全、政府的安全、企业的安全也受到影响。总的来说,网络安全是一个令人担忧的事件,正因为这样,去年在我们国家的网络安全上,有了一个划时代的意义,中央成立了网络安全与信息化领导小组,并且亲自由总书记担任组长,这个小组和办公室规格之高,所未有,影响也是非常深远。因为现代安全事件不断,
7、经常使系统受到攻击,而且计算机犯罪也非常猖獗。我们很多人的东西都受到了损失,国家利益也受到了影响,企业的商业秘密也有被破坏。在这种情况下,互联网发展到今天,安全超越了技术的范畴,安全决定成败,安全是当前我们核心竞争力的一个重要标志,谁掌握了安全,谁就掌握了发展的命脉,谁就能够在互联网的发展和应用中占据先导的、主导的位置。二、网络不安全的原因及其根源(一)网络不安全的原因网络为什么不安全?有很多原因。首先我们从管理上说,我们从自身来说,我们缺少安全的意识,比如我们个人设计的密码,经常是我们叫弱口令,或者等于没有口令。比如我们经常在手机或者银行帐号、网银上设置的密码过于简单,把自己的生日当做密码,
8、或者是一些常用的123456,这些都是我们缺少安全意识的表示。另外,我们人有惰性,就是说不愿意,按说我们的口令应该经常变化,但是我们经常很难这样做。另外,在技术上也有很多缺陷,这是比较硬的因素,主要是互联网发展的过程是从一个开放的、草根式的网络逐步地滚大。另外,我们在整个计算机的设备的设计中间也有缺陷。另外,我们过去开发的一些软件本身也有缺陷。比如它可以有更很好的一些很高级的读写指令,它可以随便地侵入我们个人的数据中间,当然还有一些人恶意破坏。信息的漏洞往往在我们通过网络在传递信息的时候,有可能被人窃取,就像我们物理上丢钱包一样,你自己虚拟的也被丢掉。另外,信息有可能被人冒充。另外,有可能被人
9、篡改,这些都是我们当今必须看到的在互联网信息安全的一些原因。同时,有人做了坏事还可以抵赖。现在,由于互联网和电话网、电视网的结合,使得互联网的风险更加提高了,我们互联网受到破坏之后,就会影响到其他网络,比如电话网、电视网和其他的东西。造成这种安全问题的第一个是病毒,病毒是什么呢?大家知道,跟我们人生病感染病毒一样,它侵入我们正常的肌体,使我们某一个部分不能发挥作用,也就是传染。计算机病毒也是一样,恶意的代码侵入了你正常的系统,使你的系统不能很好地工作,它可以侵入你的 PC 机,侵入你的手机,如我们感染病毒,手机自动地跑话费,而且还可以攻击到后台,比如大型机、小型机,这是我们说的第一个原因。第二
10、个原因,计算机的病毒检测和发现对病毒来说,也是比较困难的一件事情。就像你得了病,开始它有潜伏期,你没有发现,你觉得你是好人,但实际上你可能感染了病毒。计算机也是这样,它侵入到你的计算机之后,可能不是马上发作,而是等待时机再发作。之所以有这样的病毒,我们计算机或者信息系统或者网络受到安全,网络受到黑客的攻击。黑客本来是指计算机水平高超的一些专家,他们可以侵入到你正常的系统里,不经授权修改你的程序,修改你的系统,现在这个东西已经成为一个在互联网上、在信息系统中未经允许做坏事的一个代称。在这种情况下我们可以看到,黑客攻击的方法非常多,比如它想办法获取你的口令。第二,它利用电子邮件盗发或者骗取。另外,
11、它可能在你的系统里埋下一些后门,寻找你的漏洞。这是一个示意图,比如在互联网上,一些黑客他们可以找到你隐蔽的通道,找到你的后门,不走正门,然后对你进行攻击。另外,或者是在你的系统里,安装一些所谓的逻辑炸弹,也就是埋下一些定时炸弹,当你的程序系统走到一定的逻辑的时候,这个炸弹嘣的一下就爆发了,使你的系统瘫痪,或者被破坏。还有一种是通过黑客攻击,使得你的机器不干活了,我们叫做拒绝服务,本来你的机器应该正常工作,它把你的资源全抢占,让你的电脑或者是系统不能够从事正常的服务,这种攻击也是影响非常坏的。比如很多黑客是利用所谓的特洛伊木马潜伏在你的系统内部,它在那里不断地获取你的数据,没用的它就不管,比如你
12、的口令、密码的时候,它就把它获取了。获取了之后,为了用你的口令密码注册进去,骗取你的内部资源,骗取你的资金、资产,这些都是非常危险的。在这种情况下,我们要警惕我们当前这样一些东西,我们看到在网络上存在着各种各样的非法入侵者,使得你的系统可能资产被破坏,资金会被盗取这样一些行为。我们常说的拒绝攻击的办法,它通过互联网在你的系统里头,把你的每一台机器都感染了,所谓蠕虫病毒之后,使得那些服务器系统不再工作,这也是给你植入了逻辑炸弹,当一定的逻辑的时候,它让你的系统死机、宕机。以上我简单介绍了一下我们常见的一些安全问题和一些影响。(二)网络安全问题的根源安全问题一方面是由于互联网结构松散,网络没有集中
13、控制造成。另一方面也是由于我们当前大量使用这种开放式的系统、系统的开放性造成的。同时,由于我们在应用程序中不可避免的会有一些失误,也就是我们常说的 bug。大家知道,计算机信息系统的程序都是由人来编制的,人是可能出错的,这些黑客或者这些安全问题正是找准了我们一些漏洞、一些失误,进而进行破坏。所以信息安全问题产生的根源常常说是因为有病毒,有黑客,或者是有漏洞,是不是这些问题就是我们网络安全问题的根源呢?我们说这个答案是比较浅薄的,或者说不正确的、不全面的。这些都是原因,但它没有说到我们网络安全问题的根源,根源还是两个层次,一个层次是内因,就是我们信息系统、网络系统自身的脆弱性,它的不健壮性,由于
14、它过程复杂,结构复杂,应用复杂。第二个原因是外来的威胁和破坏,这个是由于有利益关系,受利益的驱动就犯罪,所以有人为的,有环境的问题。内在的问题,由于信息系统本身从系统理论上说,程序和数据都存在失误的可能性,也就是不确定性。在我们任何一个软件的编制,也就是信息系统或者电脑,我们设计的时候,都会优先考虑怎么好用,怎么满足用户的需求,而把安全往往放在后面,因为安全这块必然带来应用的复杂。这是我们一个天生的弱点,所以人有可能犯错误,你可能无意识的比如产生一些误操作。另外,我们的维护工作也可能不及时,比如银行的网银帐号,你是不是经常改变?我们的口令是不是经常重新设置?往往我们都做不到。内在的一个原因是我
15、们现在信息系统做的越来越大,越来越复杂,结构越复杂,出错的可能性越大。而且现在,我们网络的环境也越来越复杂,这是一个原因。另外一个是我们内在的,由于应用系统越来越复杂,我们要处理的事情越来越多,在使用上,我们往往既要要求快,又要求好,可能对安全就疏忽了。我们说外部的原因更多,是来自于人为的威胁,这个我们可以说有三个层面。首先是现在大家知道的原因,在国家层面上就有很多安全的威胁,国家之间利益的根本对抗是影响网络安全最根本的一个原因。第二,还有很多,比如共同面对的威胁,比如犯罪分子、恐怖分子。像现在恐怖分子利用网络宣传致暴,怎么样来制造暴力事件,包括之前网上教人怎么做炸弹,这些问题都是必须要坚决打
16、击的。当然我们现在还有很多企业,面对企业的商业间谍活动,还有一些犯罪团伙故意盗取资金。还有一些局部的安全,有些人他小孩他不懂,学了黑客的一些东西,为了卖弄自己的才能,以这个为乐。外因还有与自然的威胁,比如我们现在可能有地震,可能有洪水,有断电,这给我们的电脑、给我们整个信息系统、给网络都会带来瘫痪、中断的威胁。像四川省这几次大的地震对整个计算机网络造成了很大的损失,包括电信网、互联网都有影响,当然很快就恢复了。如果我们平常不注意数据的备份,不把我们的系统做好备份,中断之后就很难完全恢复出来,这也是很危险的一件事情。上升到知识这个角度考虑,信息安全保障的背景是非常重要的。当今我们进入了信息安全和
17、信息化发展的一个新时期,所以我们必须了解前面这些东西,要了解这个背景。在这样一个信息安全发展的新阶段里,可以看到,我们过去简单的只有电话、电报,后来有了计算机,有了网络。现代,我们进入了一个全民信息化社会的新的阶段。现代网络化社会不仅仅是有专网、有互联网,大家知道还有物联网,比如家里的智能电表、智能水表都可以连接起来,直接了解。现在,我们还有各种健康服务,比如我们戴的手环,大家通过手机 APP 就了解我们每个人的健康情况,也可以在网上请我们的医生给我们做远程诊断。所以进入了一个网络化的社会,这样一个社会给我们安全带来了新的挑战。在这样一个情况下,我们从通信安全、计算机安全、信息系统的安全发展到
18、当今的网络空间安全。因为我们现在可以说无网不在,我们不仅有地面的,比如接入宽带入网,而且还有各种无线网,这个时候,信息安全保障工作的意义更加重大。三、网络信息安全涉及的问题(一)网络信息安全的基本属性讲到这里,我们要回忆一下,到底安全涉及到哪些问题?就像前面说的,它涉及到在网络中传输的信息、信息的管理、信息的存储以及我们信息内容本身的安全。在这样一个问题里,就涉及到网络信息安全的基本属性,一般来说,用这样五个属性,就是保密性、完整性、可用性、可控性,还有抗否认性,或者是叫抗抵赖性。这完全是从信息和网络的基本功能来说的,广义的信息安全现在讲的更加宽泛,除了这些因素,还涉及到法律安全、标准化的问题
19、、安全管理的问题、信息资产的问题和资本对于信息化带来的安全问题,这是一个更加宏观层面的问题。讲到这里我们可以看到,信息安全确实给当今信息化社会中的我们每一个人、每一个组织、每一个机构、每个国家都带来了相当大的困惑。这就是为什么现在中央,特别是党的十八大以来,中央领导高度重视网络信息安全的重要的原因。困惑是什么呢?我们现在有了很多信息安全的技术手段,到底我们怎么样才算是安全?我们现在是不是已经安全?这个问题实际上一直困扰了很多人、很多单位。(二)信息安全的特征要解决这个问题,我们必须要了解网络信息安全的特征,它的特征我觉得主要有这样四点。一个大家注意,网络安全,网络信息安全,它是一个系统的安全,
20、一定要站在大系统,甚至是巨系统的角度来观察这个问题,它不是一个简单的枝节的问题。第二个,网络的信息安全一定是一个动态的概念,也就是说,我们不能够静止地看待这个问题,要用发展的角度来看问题。第三个,我们现在看到网络安全越来越超越了我们各种物理的、时空的边界,它是跨时空的,为什么我们现在叫网络空间?它的边界是无限的。第四个,网络信息安全是一个非传统的安全,跟我们传统讲的安全有很多不一样。正因为这样,我们说网络信息安全的范畴不仅仅是技术问题,更是管理问题、组织问题,也是一个社会问题。同时,更是一个涉及到国家利益的根本问题。要做好安全,一个严格意义上的安全,应该说是非常的不容易的。什么叫安全?本来按照
21、词典上定义,是避免由于任何风险、威胁、危险所能带来的伤害的能力,这是我们对安全一个严格的定义。但实际上,真正在网络信息安全中间,达到书面上的词典上这个定义是一个非常难的事情。大家觉得这个困难,是不是我们就不做这个事情,也不是。正因为这样,在这种情况下,在网络信息安全非常严峻的形势下,在网络信息技术不断发展的背景下,如何做到可以预见风险、威胁和危险,使得我们受到的伤害或者我们能够有所掌控,使这种安全风险是我们可以容忍的,使我们受到的损失一旦发生一些不测事件的时候最小,满足我们信息化、信息网络、信息系统正常运行的基本的要求,这是最重要的。我们常说,当今在网络信息安全中间要注重安全风险的管理,风险的
22、管理建立在两个东西,一个是我们对风险的预期,第二个是我们对风险的容忍程度,就像我们做商业保险一样,不可能是万无一失,但是损失一定是可控的,是最小的。要做好网络安全,一般来说,我们都是采用 PPDR 模型。第一个是什么呢?我们要能够进行检测,进行防护,一旦出了问题,能够及时响应。首先,我们要做好它的保障,在保障的基础上,一旦发生问题能够检测出来,尽快响应。在网络信息安全中间,我们针对这五个属性提了五个很形象化的说明,使得网络上的攻击和非法入侵进不来。如果进来之后,我们的东西他拿不走,拿走了他看不懂,然后也改不了,而且,一旦有人采取了这种非法事件,我们让他跑不掉也赖不掉,这是我们信息安全的五大属性
23、。(三)网络信息安全的关键技术对这个,我们需要有一些关键的技术。这些技术涉及到这样几个方面,一个是密码技术,比如我们把它加密之后,别人看不清楚,看不懂。第二个,要有身份认证的技术,是谁做的,谁能做这件事情。第三个是访问的控制,就像你有钥匙别人就不能有你家的钥匙,因为机关也是,我们要刷门卡。第四个是要有内容的安全技术,什么样的内容可以在网上交流、传播,这也要管理。第二,要有安全审计,谁在网上做了什么东西,我可查。另外一个是大家最基础的,我们要有安全的攻防。这些密码技术实际是非常重要的,它是安全技术的核心。身份认证也是非常重要的,比如我们现在到哪个单位去,大家都通过查阅身份证、工作证,才能够进来,
24、在网上也同样需要这样。另外,要有访问的控制,哪些可以让人访问,哪些不能让人访问。另外就是对内容的安全,比如我们有些东西需要加密,别人看不懂,有些要对有害信息进行过滤。另外,我们有些东西不能够随便把它篡改,我们要加上一些信息的隐藏、水印,加上权限管理。另外,要有审计的技术,基本的是网络攻防技术。(四)发展国家信息安全技术的四项基本原则要发展我们国家的信息安全技术,要坚持四项基本原则。第一个是要自主创新,要从增强国家创新能力出发,加强我们的原始创新、集成创新和引进消化吸收的再创新。第二个是要坚持重点突破,要选择我们有基础和优势的重要领域,做好我们的安全技术研发和它的应用推广。第三个是要支撑我们最现
25、实紧迫的需求,比如这几年在国家电网这样一个关键里,我们基本是用自主可控的安全技术,保障国家电网的网络安全。在 90 年代的时候,我们电网也初步网络安全试点,后来他们下决心自主研发,应该说取得了非常科学的成绩。这些年来,我们国家电网应该说安全状态非常好,安全保障的强度也非常高。第四点,还要着眼于未来,继续加强新技术的研究,特别是关键技术研究。因为网络和信息安全都是一个不断随时发展的过程,我们常说道高一尺,魔高一丈,所以你有一个新的技术,有的时候破坏性的黑客也随之而来,所以一定要不断地发展。健全我国网络与信息安全保障体系(上)健全我国网络与信息安全保障体系(上)刘权 赛迪智库信息安全所所长二 O
26、一四年五月非常高兴有机会给大家介绍一下结合信息安全研究所在信息安全方面的一些研究成果,题目是健全我国网络与信息安全保障体系。这个题目是基于我们研究所近一年来的一个研究成果,去年年初我们研究院承担了中国工程院的一个“中国信息安全的现状问题和对策”研究题目,现在我和大家分享一下研究成果。由于我不太了解大家对网络安全或者信息化方面了解的情况,所以在介绍之前我简单和大家介绍一下信息安全的基本情况。今天汇报的内容主要有:第一,介绍相关背景。为什么近两年来,尤其是今年 2 月 27 日中央网络安全和信息化领导小组成立以来,与信息安全和网络安全相关的词语引入了广大群众的范围中?为什么近两年大家高度关注?第二
27、,介绍信息安全的概念。第三,介绍我国信息安全目前面临的形势和主要的问题。最后介绍健全信息安全保障体系的几点建议。一、信息安全背景从信息安全背景来看,尤其是近年来,不管是媒体上还是在大家的评判和议论中,或者在即时通讯媒体上,为什么信息安全词语包括信息安全的事件非常多?这主要是基于这样几个背景,2010 年以来国际信息安全领域的事件非常频繁,如从震网病毒到维基泄密,再到去年棱镜门事件的事件等等。相对来说,这几年信息安全问题成为让一些无论是高层领导或是专家或是普通民众引起高度重视的一个原因。第二,现在新技术的应用,如云计算、物联网、下一代互联网、下一代移动通讯等等,这样一系列新技术的快速创新,及快速
28、的应用和产业化的普及,正成为全球后金融时代社会和经济发展共同关注的一些重点。这些技术在快速普及和应用的同时,给人们的工作和生活带来便利的同时也带来信息安全问题。如现在可穿戴的设备和整个物联网在应用的过程当中,包括现在一些无人驾驶汽车,毫无置疑,这些新技术的应用给生活带来极大的便利。但无人驾驶汽车的运用、物联网、可穿戴设备大规模普及之后,信息安全跟每个人的生命安全甚至与财产安全更加息息相关。可穿戴设备,如谷歌眼镜等,大家的行踪和自己的信息甚至生命安全跟它们息息相关了。另外,在先进的信息技术革命下的信息安全技术的创新不断催生新技术、新产品和新应用,信息安全基础共性技术体系逐步形成并壮大,发展中国家
29、如何根据自己的国情展开广泛的国际交流,成为共同抵御世界强国,继续掌控世界,抢战经济发展制高点的关键。信息安全或者网络空间已经成为继海、陆、空、天之外的第五大新疆域。在信息安全领域的话语权在国际上也是比较严重的。同时在其他一些背景,如金融、商贸、交通、政治、外交,随着信息网络逐渐的深入,在人类社会的各个领域中,越来越多的机构不得不重新布局信息网络以与经济发展保持一致。同时可以想象整个国家民用和军用的基础设施也越来越依赖于信息网络,信息网络也成为一国赖以正常运转的神经系统。现在信息技术的快速普及和应用已经和国家的基础设施、安全、经济社会逐渐融为一体,现在信息网络已经成为一个国家的基础设施,对它的一
30、个保护确实对一个国家正常运转越来越重要。不管从技术还是从应用的广泛程度来看,信息技术已经成为各行各业都力排的一个技术手段,所以说一旦信息系统或者是相关的一些信息资源出现一些问题时,它的影响非常大。基于这样的背景,近几年信息安全越来越多地进入人们的视野。信息安全概念与内涵(一)什么是信息安全信息安全的概念究竟是什么呢?这个概念有广义的和狭义的。狭义的信息安全指的是计算机或者是一些信息系统的安全。但是根据我们现在的理解,信息安全包括三个方面:从国家层面来看,信息安全包括广播电视网络、电信网络、互联网等基础的信息网络安全,涉及到国际民生的重要信息系统的安全以及信息内容的安全。我们现在理解的信息安全一
31、般是包括三个层面:第一个层面是现在接触的基础网络的安全,同时也涉及到一些重要信息系统,如实体性工程信息系统的安全,最主要的是现在在信息系统当中沉淀下来的一些信息内容的安全。我们现在理解的信息安全包括三个方面:基础网络、信息系统和信息资源,即信息系统里面传达的一些信息内容。信息安全是保障信息化顺利推行的基础性、战略性的工作,关系到国家的经济安全、政治安全、文化安全、国防安全和社会的稳定。国家安全委员会成立之后,习主席提到 11 个安全方面的时候也重点提到了信息安全方面。(二)信息安全需求一般理解的信息安全,不外乎保证系统或者是信息资源的可靠性、可用性、机密性、完整性和一些行为的不可抵赖性。一般提
32、到安全的时候,或者是保证信息系统安全,不外乎实现五个方面:第一是可靠性,第二是可用性,机密性,完整性,还有不可抵赖性。1.可靠性怎么理解可靠性呢?可靠性一般是指信息系统能够在规定条件下和规定的时间内完成规定功能的特性。可靠性,即一般的学习系统能够正常实现它的功能,这是可靠性一个最基本的要求。可靠性包括抗毁性,这是系统在人为破坏下的一个可靠性;生存性,随机破坏系统的可靠性;有效性,基于业务性能的一个可靠性,即让这个系统可够可靠的运转的一个基本要求。2.可用性第二方面是指比较满足可用性。可用性是指信息可被授权实体访问并按需求使用的一个特性,是系统面向用户一个安全的性能,一般用系统正常使用的时间和整
33、个工作时间之比来度量。如现在对一些系统的一个重要程度即宕机的一种情况来说,如金融系统,他们可能一年要求它的可用性大概是百分之 4 个 9,或者 5 个 9,对有些系统来讲,比如像内部办公它可能停几天都是没问题的。可用性是指系统正常使用的情况,它应该保证它的系统能够正常使用。3.机密性第三,机密性指的是信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。机密性就是在可靠性和可用性的基础上保障信息安全的一个重要手段。机密性指的就是有些信息或者有些数据只能给授权的用户去访问的一种情况,没有授权的用户是访问不到的。4.完整性完整性是指网络信息未经授权不能进行改变的一个特性,即信息在存储或传输过程
34、当中保持不被偶然或者蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的一个特性。简单理解完整性就是一个电子、一个文件不被任何人经过其他的修改,保证里面真实的内容是完整存在的。5.不可抵赖性还有一个是不可抵赖性,这一点大家理解起来的话可能不是那么好理解。不可抵赖性是指网上的一个行为,是指信息在交互过程中,确信参与者的真实同一性,即所有的参与者都不可能否认或抵赖曾经完成的操作和承诺。即指人们在互联网上,比如你登陆的时候,或者给其他人在信息交换传输文件的时候,即“你做了什么事情”事后能够被追踪,就是你的行为能够被审计,存在一个能够记录它,使得他事后对曾经在网上的一些操作不可抵赖。当满足这五个方面
35、特性时,我们就说这个系统或者是这些网络或者信息是安全的。当然,信息安全还有其他的一些特性,如可控性、可审查性、再强认证、防务控制等等一系列的特性。(三)信息安全的内容从信息安全涉及的内容来看,一般涉及到几个方面,如物理安全,即环境的安全、设备的安全、媒体的安全。一般信息系统都有一个机房,物理安全是指机房环境相对安全,如防火、防电、防潮等等。运行安全主要涉及风险分析、审计跟踪、备份恢复、应急响应和一些内容安全。与一些信息内容相关的,如操作系统安全、数据库的安全、网络安全、病毒防护、访问控制等等。(四)信息安全问题一般来讲,安全不外乎就是信息系统自身存在的安全问题或者是说一些安全危险,危险和问题相
36、对来说是两个层面的东西。现在一般涉及到安全问题可能有多个方面。如应用当中的一些安全危险,所有的软件都存在漏洞,这是客观存在的;设计中的一些问题,如 Internet 网络协议的安全机制存在先前的不足,另外协议还有许多安全漏洞。还有配制当中的问题,如默认的用户名、口令和开放的一些服务端口;管理当中存在的问题。当然多数信息安全泄密的事件都是由管理的薄弱环节所导致的。(五)信息安全问题的表现形式从安全问题的表现形式上来讲,有多种表现形式,如一个病毒的扩散,垃圾邮件的泛滥,网页数据的篡改,不良信息的传播,黑客的行为,计算机犯罪等等。(六)信息安全威胁一方面来说,有些问题是由于一些设计上存在先天性的不足
37、,或者一些管理上的漏洞。但从另外一个方面来说,一般提到威胁是从外面来的,安全威胁的种类来有多种表现,比如信息泄露、拒绝服务、信息破坏等等。威胁来自多个方面,有自然和人为的两类,自然因素包括各种自然灾害,人为的因素又有有意和无意之分。对于安全威胁的分类,从威胁的来源来看,有内部的威胁和外部的威胁;从攻击者的心理上来看,可分为主动的威胁和被动的威胁;从威胁的动机上来看,分为偶发性的威胁和故意性的威胁。威胁的表现形式也有多种,常见的有假冒,未授权的访问和拒绝服务,及否认,窃听,篡改,复制和重放,业务流量、流向分析,隐秘信道,人为失误,自然灾害与人为破害,逻辑炸弹,后门,不良信息等等。这些是人们常见的
38、一些威胁的形式。(七)信息安全的重要意义对于信息安全,尤其是 2010 年以来,大家谈论比较多,从国家各个层面来看,信息的重要程度越来越大了,信息安全的重要意义不言而喻。我简单介绍一下它的重要意义。信息安全关系着国家命脉,信息安全目前成为国家安全的关键要素。从国家安全角度来看,信息安全主要涉及国家间的信息安全较量。近年来,网络空间的冲突越来越频繁,规模越来越大,出现了很多新式的网络武器,同时网络间谍案频繁发生。应该说信息安全关于国家的命脉,如震网病毒的出现使得伊朗的核电站推迟了至少七八个月才运行。震网病毒之后又有火焰病毒,这些都涉及到国家的背景。同时信息安全也会影响到社会的稳定。从近期在新疆发
39、生的一些事情来看,事后他们从案件的源头分析发现,新疆的暴徒在串联的时候也是通过即时通信或者是微博等等。他们是通过互联网的方式来进行信息沟通,所以信息安全对社会的稳定的影响还是非常大的。从社会稳定的角度来看,信息安全主要包括造成重大的社会影响,产生重大经济损失的信息安全事件,包括网络谣言,隐私的泄露,身份的假冒,网络欺诈,商业间谍等几个方面。对于网络谣言,大家应该不是太陌生。比如在 2010 年 2 月,关于山西一些地区要发生地震的消息通过网络渠道疯狂地传播,山西几十个县市,数百万群众凌晨走上街头躲避地震。公安查明是有人造谣的。可以说网络谣言对社会的稳定影响确实很大,比如 2011 年 2 月,
40、江苏省盐城市响水县有人传言,陈家港大和化工企业要发生爆炸,不明情况的群众产生恐慌情绪,导致了一场万人的大逃亡。2011 年 3 月11 日,日本发生地震,核电站发生泄露的事故。浙江省杭州市网名为“渔翁”的普通员工发布消息,产生全国范围的辐射恐慌和抢盐风波。我对当时抢盐风波记得很清楚,当时基本每个超市的盐全部被抢空了。还有一些网络暴力。借助网络的虚拟空间,用语言文字对人进行讨伐或者攻击。经常遇到的就是人肉搜索这样的事情,比如在 2012 年上映的一部电影搜索描述的这样一个现象,各国都有大量的类似案件,如韩国女星崔真实自杀事件,虐童女教师颜艳红事件等等。网络暴力这个事件大家也是不陌生的。还有在互联
41、网上盗用和假冒身份也是比较多的。假冒名人等公众身份往往容易在社会上造成重大影响,比如现在记忆比较深的是有关郭美美假冒中国红十字会商业总经理的事件,对红十字会带来严重的负面影响。2012 年9 月,有人假冒中国青年羽毛球球队的队员,对参加中国好声音的中国台湾盲人歌手长相进行侮辱等等。去年“315”晚会,何润东的“乌龙”微博事件。大规模的的网络泄密事件对社会造成重大影响。在 2011 年底发生的以 CSDN 为首的众多国内知名互联网用户信息泄露事件引起了公众的关注,超过 600 万用户的信息遭遇泄露。现在不仅是中国的一些网站,包括现在一些美国的和日本的网站,它们一些银行用户的数据泄密事件是经常出现
42、的,应该说这个泄密对社会上造成的影响还是非常重大的。互联网犯罪的形式对网民造成了很大的经济损失。2012 年诺顿安全报告显示,中国有 84%的网民曾遭受过网络犯罪的侵害,估计有超过 2.57 亿人成为网络犯罪的受害者。2012 年中国通过网络给网民带来的直接损失是将近3000 亿人民币。截止到去年 2 月,中国反钓鱼网站联盟累计认定 2013 年 2 月份之前处理这些网站是超过了 10 万个。钓鱼网站成为现在目前各种网络事件当中一个最主要的方式。钓鱼网站目前主要针对电子商务,二月份涉及到淘宝网、建设银行、工商银行、中国银行等等这几家钓鱼网站的总量占全部举报量的 82.64%。目前从另外一个信息
43、发现,阿里巴巴、淘宝每天都能发现几千家仿冒淘宝网站,它们采用钓鱼的方式去引诱互联网用户,然后进行网络犯罪。三、我国信息安全面临的形势目前我国信息安全面临的形势是什么?现在形势严峻,严峻到什么程度?我国现在信息安全问题也是非常严重,严重到什么程度?究竟我国的问题存在于什么地方?针对我国信息安全问题,未来几年我国究竟应该怎么样去解决?(一)世界各国纷纷加强网络战备,网络空间剑拔驽张首先跟大家介绍一下我国信息安全面临形势的问题。目前最主要的一个表现就是世界各国纷纷加强网络战备,网络空间剑拔弩张。现在“网络战”这个词离我们越来越近,事实上现在网络战争在有些地方已经发生了。我从以下几个角度给大家简单说一
44、下它的形势。第一,网络空间已经成为领土、领海、领空和太空之外的第五空间,是国家主权建设的新疆域。各国对网络空间都非常重视,已经把它作为一个国家主权,一个建设的新疆域,是国家综合实力竞争的一个新空间。目前全球正处于网络空间战略的调整和变革时期,多个国家调整信息安全战略,明确网络空间战略地位,并提出将采取包括外交、军事、经济等在内的多种手段保障网络安全。目前,全球已经有 40多个国家出台了对网络空间的一个战略,对于我国来说,现在网络空间战略或者新形势战略也正在起草过程当中,可能很快推出来。另外一方面就是现在世界各国都开始注重争夺网络话语权。中国在网络空间的话语权相对来说还是比较弱的,但是这两年来看
45、,包括美国内部、它的盟国之间现在也发生一些问题,尤其是去年棱镜门事件曝出来美国现在到处监听包括盟友在内的一些高层领导人或者一些不明信息。这个事件出来之后,包括盟国在内也都对美国这个做法产生了不同的看法。比如,在去年 10 月,德国提出要建立零监控网络,即德国国内的通讯网络。由政府控股32%的德国电信也宣称为了防止境外间谍和黑客对德国本地电子邮件内容的监视,建议设立德国国内的电子邮件通讯网。在今年 2 月 19 日,德国总理与法国总统在巴黎举行的法德会议上商讨要建立独立的欧洲互联网,取代当前由美国主导的互联网基础设施,此举也是保护欧洲民族的数据安全。在今年 3 月 31 日,欧盟和巴西宣布将共同
46、出资 1.35 亿欧元,铺出一条跨大西洋现代高容量光线电缆,从葡萄牙里斯本到巴西,中间要经过美国的空中海域,他们为了避免美国国家安全局的舰艇,在大西洋铺设这些光缆时,他们宁可多花钱也要绕过美国的海域。同时巴西政府还将建立自己政府的安全基础设施以防被监听。在美国盟友国范围之内,他们现在对美国互联网的控制权也都提出了异议,它们要避开美国的监视,要自己去建立相关的一些安全网络。同时还有一个表现特征就是世界各国现在都开始重视加强网络战的攻防实力,纷纷组建网络供给力量,发展网络武器,构建各式的网络威摄。目前世界上已经有 50多个国家承建了网络部队,其中包括美国、俄罗斯、以色列、伊朗、韩国、日本等,而且现
47、在各国仍在进一步扩大网络部队的规模。据媒体报道,美国国家安全局局长去年 3 月 12 日在国会上表示将新增 40 支网络部队,其中 13 支由程序员和电脑专家组成,主要用于攻击。目前美国的网络部队总数已经达到了 7 万人以上。去年的9 月 25 日,美国网络司令部透露这在保护美国国内电网、核电站等基础设施的计算机系统的网络部队已经投入了运行。从另外一个角度来看,还有一个特征,就是世界各国不断加强网络武器、网络人才等方面的投入,即现在各国对网络空间研发的投入也都在逐步加大。比如美国国防部 2013 年全年在网络安全和网络技术方面的预算达到了 34 亿美元。去年 5 月,美国空军正式将六大网络工具
48、定性为武器,这意味着美国政府与军方正式将互联网上的攻击视为现实的战争。陆、海、空、天之外的网络虚拟空间将成为一个新的现实战场,同时将全球拉入到互联网军队竞赛。去年 5 月美国把六大工具定性为武器之后这意味着网络战争有一个比较清晰的界定。去年 10 月 17 日一个市场研究公司发布了一个报告,2013 年到 2023 年这十年期间美国在网络空间的一个开支将达到940 亿美元,欧洲计划是 250 亿美元,亚太 230 亿美元,中东是 228 亿美元,拉美16 亿美元,可以想象未来十年美国在网络空间的一个支持费用达到将近 1000 亿美元,投入的利润还比较大。今年 3 月 6 日,美国空军发布了一个
49、意见征求书,正在为六种网络空间武器系统的设计寻求相关支持能力,包括赛博空间防御、赛博空间防御分析、赛博安全漏洞评估、赛博指挥控制任务系统、空军内部网络控制、 赛博安全和控制系统等等。去掉六个非常明确的方向,在市场上找一些公司帮他们承担相关的任务。同时美国等西方国家也通过多种合作形式打造网络信号同盟。应该说这几年网络空间的合作也是越来越多了。比如美韩在去年七月份的时候就网络安全和网络政策展开了一个对话;在去年 7 月 4 日,英日签署了国防装备合作框架和信息安全协议;今年 4 月 7 日,日本首相和澳大利亚总理进行会谈,决定加强区域间国际合作,建立磋商机制,从而应对网络空间共同的威胁;在今年 4 月 24 日,日、美展开首脑会谈,决定在日、美轴心地区形成对抗机制以牵制中国并在强化以信息共享为主的合作方面达成协议;在今年 4 月 27 日,日本首相与欧盟首脑计划在 5 月定期会谈中发表“联合声明”。同时应该说网络空间战争现在确实已经打响了。自从 2010 年的震网病毒发生,并有局部爆发的一个风险,据欧盟网络信息安全局发布的报告显示,近两年网络沿袭的频率是大幅提高。上面这张图给出了 2002 年的时候刚刚出现了网络演习的这样一种情况,刚刚出现类似这样的活动,大家可以看到,一直到 2012 年的时候全球的网络沿袭次数就达到了 25 次,增长幅度还是比较快的。另外从网络战争
