国家的发展决定了很多东西,包括财富多少、人们的生活水平、科学技术等等。可以这么说,虽然我们期待一个“平等”的世界,但现状却往往是我们需要努力去做到“平等”。
暂且不谈生活水平、财富等敏感的民生话题,就科学技术而言,尤其是信息时代主要的科学技术——信息安全技术来说,各国也存在着或大或小的差距。而这差距的本身,就是这个国家信息安全防护实力的最终体现。而对于那些落后的国家和地区,不断寻找缩小差距的方法,同时进一步提升技术进步的速度才是提高信息安全防护能力,达到信息安全全球“平等”的基础。
西方先进国家:信息安全“强”还需要“更强”
美国政府披露的一份资料显示,2009年以来,美国基础设施遭到的网络攻击次数增长了17倍。2011年伊朗核设施遭遇“震网”网络病毒攻击,导致两成离心机失效。《美国政府应对基础设施网络安全的规划》中,已将网络攻击视为危害到美国国家安全运行的重大危险之一。
我国问题同样 但加强力度需要“三级跳”
在我国,一些重要基础设施领域的网络同样面临着严重的安全问题。计算机病毒、网络故障、网络攻击、网络窃密以及网络违法和犯罪行为所造成的损失和破坏更是层出不穷。据统计,截至2010年9月,我国有近500万网民以及多个行业的领军企业遭遇“震网”病毒的攻击。
我国基础设施领域之所以频频出现网络安全问题,其中一方面是由于我国基础设施网络建设起步晚、发展慢而存在的一些自身性问题,比如我国工业、电力以及能源领域许多设备过于陈旧,网络设备和网络技术存在众多缺陷,加之一些人为的操作和管理失误,导致网络安全问题和故障屡屡发生;另一方面是来自境外国家或黑客组织和个人所发起的有针对性的网络攻击。据我国国家互联网应急中心公布的数据显示,我国已成为网络攻击的主要受害国之一。我国遭受境外网络攻击的情况十分严重,其中有很大一部分攻击是针对我国重要基础设施领域的,特别是国防、通信、电力和金融领域的网络设施是境外网络攻击的主要对象。
保障基础设施领域的网络安全,对于保证整个国家安全、社会稳定至关重要。在西方发达国家,比如美国、德国、英国等已经意识到网络威胁对一个国家基础设施领域所产生的重大影响,正纷纷采取措施进行应对。美国总统奥巴马2013年2月12日正式签署了名为《提高关键基础设施网络安全》的行政命令,宣布将投入巨额资金加强基础设施的网络安全保障建设,并于2013年9月正式部署了保护基础设施网络部队。此外,印度政府也于2012年11月宣布,将在未来4年投资约2亿美元加强基础设施网络安全建设。
再者:技术与法律必须同步
很多人说完整的法律是人类文明的象征,也是先进国家的标志。所以在信息安全领域的发展过程中,同样需要一部完整法律的配合。
从目前来看,国内对基础设施的网络安全问题缺乏系统、深刻的了解与认识。因此,为有效应对网络攻击的新变化,提升我国基础设施网络安全防护能力,应尽快转变思维,制定全面、科学的应对措施——尽快制定相关的制度与法律,形成保障网络安全的长效机制。
尽管我国有关部门和组织已认识到基础设施网络安全所面临问题的严重性,开始着手对相关问题进行分析与研究,并初步制定出一些基础设施领域涉及网络安全的制度和规范,但是与美国、德国等发达国家相比,我国目前仍缺乏体系化的基础设施网络安全立法。因此,国家有关部门应充分借鉴国外基础设施网络安全保护相关法律、法规,并结合我国现有网络安全立法的缺陷和不足,抓紧建立我国基础设施网络安全法律体系,从法律层面对我国基础设施网络安全问题作出界定和规范,为我国进一步保护基础设施网络安全、打击非法网络攻击和网络犯罪行为提供充足的法律依据。
最后:投入加强、机制完善、本源防护是信息安全缩小差距的三个重点
一、加大资金投入和科技研发,提升国内基础设施领域网络设备的升级、更新速度,提高相关管理部门和人员的素质和能力。
与发达国家相比,我国基础设施领域的信息化、网络化进程起步较晚,网络设备与网络技术还停留在比较低级和落后的状态,存在众多的缺陷和漏洞,极易被犯罪分子、黑客和境外敌对势力掌握和利用。因此,我们要对一些重要和关键的基础设施领域的网络设备和技术进行全面的更新和升级,特别是要加快推动基础设施相关产品的国产化替代进程,支持国内企业基于自主设计和制造的网络控制设备和系统,加快国产网络技术产品的应用推广,逐步实现对国外产品的替代。此外,我国还要加强对相关管理部门和人员的指导与培训,提高相关技术人员、管理人员的技术素质和管理能力,加强对一些重要基础设施领域网络安全的监督和检查,定期进行风险评估,减少和避免一些人为的失误。
二、尽快建立基础设施风险信息共享机制,抓紧制定基础设施网络安全风险分级规范。
众所周知,基础设施网络安全涉及部门多,影响范围广,共享网络安全信息有助于更好地应对网络攻击。建议借鉴美国、欧盟等的先进经验,尽快建立有效的基础设施风险信息共享机制,明确信息共享的条件,确定信息共享步骤,建立信息共享公共服务平台。此外,由于基础设施数量众多,其重要性和潜在的破坏力也不同,有必要划分基础设施网络安全风险等级并对其进行分级管理。抓紧制定基础设施网络安全风险分级规范,根据基础设施的重要性、不可替代性、一旦出现问题之后的影响范围以及网络攻击的可能性等因素,界定基础设施网络安全风险等级的量化标准,分级别制定相关的管理要求。
三、灵活且本源的加密防护或是固定或者缩小差距的根本。
虽然我国和西方信息安全的水平仍有差距,而且这个差距或许会成为日后信息战争或者局部信息战争的软肋所在。但是我们也必须清醒的认识到,虽然压力巨大、情况复杂,但是这些威胁针对的对象,我们需要提高防护的本源都是那些价值数据本身。只要能知道一种灵活且本源的安全防护技术,便能缩小或者至少固定于西方国家信息安全防护的差距。而符合这种要求的安全技术正是国际领先的多模加密技术。
多模加密技术采用对称算法和非对称算法相结合的技术,在确保了数据本源防护质量的同时,其多模的特性能让用户自主地选择加密模式,从而能灵活应对各种安全需求。最后,系统采用的基于系统内核的透明加密,大大提高了加密防护的便利性和全面性(加密与格式无关)。可以不夸张的说,使用多模技术的企业和政府单位,信息安全防护等级将一跃进入国际先进水平。
为了在未来的复杂的国际信息安全下保证我国和我国人民的信息安全,缩小信息安全技术的差距和完善相关法律是刻不容缓之事。但加速进步必须找到方法,而采用具有针对性且能灵活应对的加密软件先保护其数据本身的安全,进而不断循序渐进的缩小与西方先进国家的差距才是最正确的做法。
(责任编辑:安博涛)
