□韓 麗

隨著社會的進(jìn)步，互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡(luò)信息安全問題也層出不窮，例如國家和個人信息泄露、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)謠言肆虐等等，網(wǎng)絡(luò)信息安全已影響到國家的方方面面，網(wǎng)絡(luò)信息主權(quán)、信息資源、信息空間的爭奪等一系列信息安全問題，已成為當(dāng)今任何國家安全領(lǐng)域面臨的重大挑戰(zhàn)，世界各國都嚴(yán)陣以待。近年來，美國加快了網(wǎng)絡(luò)安全戰(zhàn)略方面的推進(jìn)腳步，美國政策中網(wǎng)絡(luò)安全戰(zhàn)略的制定更是進(jìn)入了快車道。美國把一切針對其的“網(wǎng)絡(luò)入侵行為”分等級，其中最高等級的網(wǎng)絡(luò)入侵將被視作“戰(zhàn)爭行為”，這是白宮《網(wǎng)絡(luò)空間國際戰(zhàn)略》重要的組成部分。美國正越來越關(guān)注把原來分散的和信息安全相關(guān)的問題，即信息基礎(chǔ)設(shè)施的安全，利用信息的自由流動謀求經(jīng)濟(jì)利益以及電子商務(wù)的安全，和利用信息技術(shù)謀求外交安全等三個問題合并起來。而在歐洲，對信息安全的關(guān)注度也一直在升級。歐盟將信息安全列入了“歐洲數(shù)字化議程”，作為發(fā)展數(shù)字經(jīng)濟(jì)的重要保障。在我國，網(wǎng)絡(luò)安全事件的隱蔽性、突發(fā)性、災(zāi)難性和傳播性，隨時隨處給我國信息社會的發(fā)展帶來嚴(yán)重危害。網(wǎng)絡(luò)和信息安全問題日益成為社會的熱點和焦點問題，強(qiáng)化網(wǎng)絡(luò)和信息安全，打擊網(wǎng)絡(luò)違法犯罪，防止網(wǎng)絡(luò)攻擊，保護(hù)國家和個人信息安全已是當(dāng)前我國網(wǎng)絡(luò)信息安全需要解決的最迫切難題。國家提出要“努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國”，就是要把“網(wǎng)絡(luò)安全”提到戰(zhàn)略發(fā)展的中心上來，以網(wǎng)絡(luò)安全促進(jìn)相關(guān)產(chǎn)業(yè)發(fā)展，促進(jìn)國家從“網(wǎng)絡(luò)大國”到“網(wǎng)絡(luò)強(qiáng)國”。我國網(wǎng)民數(shù)量世界第一，我國已成為網(wǎng)絡(luò)大國。但很多技術(shù)還受制于他國，網(wǎng)絡(luò)信息安全在他國面前是一絲不掛，沒有任何安全可講。因此，一定要自主創(chuàng)新，尋求有中國特色的網(wǎng)絡(luò)信息安全治理機(jī)制。

一、網(wǎng)絡(luò)信息安全目前面臨的主要難題

要研究網(wǎng)絡(luò)信息安全，就不得不提到“黑客”。“黑客”一般是指對計算機(jī)科學(xué)技術(shù)、編制代碼程序和設(shè)計方面具有高度理解的人。在信息安全里，“黑客”指研究計算機(jī)安全系統(tǒng)的人員。黑客技術(shù)，概括地說，就是發(fā)現(xiàn)計算機(jī)硬件與軟件系統(tǒng)和網(wǎng)絡(luò)的缺陷和問題，針對這些缺陷和問題實施攻擊的技術(shù)，我國網(wǎng)絡(luò)信息安全目前面臨的主要難題就在于此，具體表現(xiàn)為以下幾個方面:

(一)互聯(lián)網(wǎng)新業(yè)務(wù)的種類不斷翻新，給網(wǎng)絡(luò)信息安全帶來更多隱患。大量網(wǎng)絡(luò)新業(yè)務(wù)、新應(yīng)用、新產(chǎn)品紛紛投向市場，而投向市場之前卻未經(jīng)過縝密的安全評測。例如網(wǎng)絡(luò)游戲、聊天、網(wǎng)上購物、網(wǎng)上銀行等這些領(lǐng)域的新業(yè)務(wù)，開發(fā)運營和使用人員均沒有充分考慮過信息安全問題。

(二)計算機(jī)病毒在網(wǎng)絡(luò)信息安全中防不勝防。例如，木馬病毒就是打入敵方內(nèi)部，里應(yīng)外合完成黑客盜竊或入侵行動。最典型的就是黑客把一個想完成某一目的的程序安插在用戶在運行的程序中，以篡改該用戶正常程序的代碼。只要觸發(fā)該入侵程序，它便會被激活去完成某個特定命令，黑客便可隨時進(jìn)行入侵工作，達(dá)到其目的。

(三)計算機(jī)系統(tǒng)漏洞一直影響網(wǎng)絡(luò)信息安全。漏洞是在計算機(jī)硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全的方式方法上存在的缺陷。這些缺陷的存在使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。雖然計算機(jī)及網(wǎng)絡(luò)安全等各個領(lǐng)域的開發(fā)商也都在不停地修復(fù)、完善自身，但大量的系統(tǒng)漏洞還是不可避免地出現(xiàn)了，計算機(jī)網(wǎng)絡(luò)信息安全也受到了相應(yīng)的威脅。

(四)人為失誤與網(wǎng)絡(luò)管理缺陷在網(wǎng)絡(luò)信息安全中也不容忽視。據(jù)估計，國內(nèi)電子商務(wù)、金融證券等各個站點的網(wǎng)絡(luò)負(fù)責(zé)人和管理人大都沒有受過正規(guī)的網(wǎng)絡(luò)安全培訓(xùn)，絕大部分從事信息產(chǎn)業(yè)的公司和個人在信息安全方面都不會投入相應(yīng)的人力和物力，還有很多重要站點的管理人員都是網(wǎng)絡(luò)新手，這些新手不但網(wǎng)絡(luò)信息安全意識淡薄，而且在運用一些操作系統(tǒng)時也漏洞百出，很多服務(wù)器的漏洞可以使入侵者獲取系統(tǒng)的超級管理權(quán)限。

二、構(gòu)建三維一體的網(wǎng)絡(luò)信息安全治理機(jī)制的策略

(一)健全網(wǎng)絡(luò)信息安全法律法規(guī)。網(wǎng)絡(luò)信息安全治理機(jī)制的研究與網(wǎng)絡(luò)發(fā)展一直并駕齊驅(qū)，當(dāng)前網(wǎng)絡(luò)信息安全的機(jī)制已經(jīng)有很多，比如認(rèn)證機(jī)制、加密機(jī)制、完整性機(jī)制、公證機(jī)制、路由控制機(jī)制等。與信息安全機(jī)制相配合的網(wǎng)絡(luò)信息安全服務(wù)也很大程度上覆蓋了信息網(wǎng)絡(luò)應(yīng)用的各個領(lǐng)域。這些防范機(jī)制與服務(wù)通過計算機(jī)技術(shù)充分地表現(xiàn)出來，但這些技術(shù)卻很難和網(wǎng)絡(luò)信息安全管理有效的結(jié)合，也可以說是用技術(shù)實現(xiàn)管理的可行性不強(qiáng)。分析其原因，是在技術(shù)和管理之間缺少一個強(qiáng)有力的法律法規(guī)的約束體，因此建立技術(shù)上過硬、管理上過嚴(yán)、法律上夠全的三維一體網(wǎng)絡(luò)信息安全體系勢在必行。中國首個信息保護(hù)國家標(biāo)準(zhǔn)——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》已于2013年2月1日起實施，標(biāo)志著中國個人信息保護(hù)工作進(jìn)入新階段。但網(wǎng)絡(luò)信息安全制約因素繁多、路徑復(fù)雜、覆蓋面廣，而現(xiàn)行的法律法規(guī)結(jié)構(gòu)單一，可操作性較差。一是由于網(wǎng)絡(luò)技術(shù)性較強(qiáng)的原因，保護(hù)信息安全的產(chǎn)品和技術(shù)就顯得尤為重要，所以必須制定一系列的網(wǎng)絡(luò)安全產(chǎn)品和系統(tǒng)評估標(biāo)準(zhǔn)。二是我國在網(wǎng)絡(luò)安全監(jiān)管中缺少科學(xué)的規(guī)劃和設(shè)計，例如，現(xiàn)存法律法規(guī)有事前審批、許可制度，有事后處罰制度，卻鮮少提及信息安全事件發(fā)生中的動態(tài)監(jiān)控和處理，沒能形成集安全預(yù)警、事中監(jiān)控、緊急響應(yīng)、數(shù)據(jù)恢復(fù)等為一體的完整的法律法規(guī)體系。因此，網(wǎng)絡(luò)信息安全法律法規(guī)要規(guī)范網(wǎng)絡(luò)信息安全的技術(shù)標(biāo)準(zhǔn)，對技術(shù)產(chǎn)品的生產(chǎn)銷售和運營進(jìn)行積極引導(dǎo)，促使其良性發(fā)展。要時刻堅持“規(guī)范制度、技管并重”的建設(shè)思路，尤其是在我國網(wǎng)絡(luò)信息建設(shè)的核心技術(shù)還受制于人，各方技術(shù)發(fā)展相對滯后的階段，通過嚴(yán)格制度，促進(jìn)管理與技術(shù)高度融合，使法律法規(guī)具備與信息化發(fā)展水平相匹配的“快速變軌”能力，這樣才能在很大程度上彌補(bǔ)網(wǎng)絡(luò)信息安全上存在的“漏洞”和“缺陷”。

(二)加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)防護(hù)手段。要保護(hù)網(wǎng)絡(luò)信息安全，在法律法規(guī)逐步健全的同時，加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)防護(hù)手段非常重要。

1．技術(shù)角度。真正有效地解決網(wǎng)絡(luò)信息安全問題，一是需防患于未然，人們認(rèn)為的一般網(wǎng)絡(luò)安全技術(shù)基本的“老三樣”:防火墻、殺毒和入侵檢測，隨著網(wǎng)絡(luò)安全與網(wǎng)絡(luò)攻擊的激烈博弈，已不能完全達(dá)到網(wǎng)絡(luò)安全預(yù)警的期望值，各種應(yīng)急機(jī)制必須隨時啟動。二是網(wǎng)絡(luò)主管人員要充分考慮到網(wǎng)絡(luò)信息數(shù)據(jù)泄露、篡改的各種人為途徑，包括外部攻擊者、內(nèi)部運維及開發(fā)人員的各種可能，正視黑客入侵造成的嚴(yán)重后果，引進(jìn)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品，逐一偵破，真正做到全方位保護(hù)網(wǎng)絡(luò)信息安全。

2．管理角度。各政府機(jī)關(guān)、企事業(yè)單位負(fù)責(zé)人應(yīng)投入必要的人力、物力和財力，加強(qiáng)網(wǎng)絡(luò)信息安全管理人員的責(zé)任意識和安全意識，進(jìn)行網(wǎng)絡(luò)信息技術(shù)培訓(xùn)，保證所有的網(wǎng)絡(luò)信息安全管理人員掌握先進(jìn)、過硬的信息安全管理技術(shù)。制定有效的安全策略和安全管理制度，例如，對能接觸到系統(tǒng)的人員，先設(shè)定其職責(zé)，按職責(zé)分配給其訪問系統(tǒng)的最低權(quán)限，超級管理員嚴(yán)格管理內(nèi)部用戶賬號和密碼，如想訪問系統(tǒng)必須通過精密的身份確認(rèn)，對調(diào)動、離職人員及時收回其權(quán)限，防止冒用或盜用合法賬號和密碼等等。

三、結(jié)語

總之，網(wǎng)絡(luò)信息安全已與全社會的利益息息相關(guān)，不僅要從技術(shù)、管理、法律法規(guī)等方面入手解決，同時也要借鑒國外先進(jìn)經(jīng)驗，取長補(bǔ)短。自覺增強(qiáng)網(wǎng)絡(luò)信息安全防范意識，時刻與網(wǎng)絡(luò)信息違法犯罪作斗爭，為營造一個安全、干凈的網(wǎng)絡(luò)空間而努力。

［1］崔宜明．保障網(wǎng)絡(luò)信息安全的必要手段分析［J］．計算機(jī)光盤軟件與應(yīng)用，2013，4:172

［2］張術(shù)平．芻議計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略［J］．電腦知識與技術(shù)，2014:1922

［3］楊飛．網(wǎng)絡(luò)信息安全管理淺析［J］．山東工業(yè)技術(shù)，2014，10:136

［4］夏麗萍．網(wǎng)絡(luò)信息安全管理基本措施［J］．中國信息界，2007，10:29