网络信息安全问题的根源分析,本文主要内容关键词为:信息安全论文,根源论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
网络信息安全问题自Internet 诞生之日起, 就与之俱来。 随着Internet在全世界的迅猛发展和广泛应用,这一问题越来越严重。计算机黑客的入侵,网络病毒的泛滥、保密信息的泄露、网络事故等,不仅给单位和个人造成难以弥补的经济损失,而且破坏和扰乱了正常的社会经济秩序和人们的正常工作和生活秩序,严重的甚至威胁着国家政治、经济和军事安全、危及国家主权。据1996年4月16 日美国《金融时报》报道:全球平均每20秒就发生一次网上入侵事件。黑客给美国每年造成的经济损失达100多亿美元。 我国发生的计算机犯罪也呈逐年上升趋势,近年来最大一起犯罪案件所造成的经济损失高达人民币2100万元。[1] 另外,国际黑客对各国计算机系统中高度敏感保密信息的攻击和窃取正在日益上升,例如1995年黑客对美国国防部的攻击行动成功率高达65%,每年达25万次以上,并且在不断增长。而我国负责提供国际互联网接入服务的单位,绝大多数都受到过黑客的攻击或侵入。[2]另外, 网络病毒肆意横行,轻者占用系统资源,影响运行速度;重者破坏系统文件和数据,甚至使系统瘫痪,无法正常工作。国内外因病毒侵袭造成的危害令人触目惊心。[3]更为严重的是, 某些国家政府和恐怖组织有可能利用计算机网络攻入敌方的信息系统,而使敌方的指挥和控制系统失灵,交通、电力中断、金融混乱等。
目前,信息安全问题已引起世界上许多国家的高度重视,纷纷研究和制定出相应的对策。然而,在我国,这一问题似乎还没有引起足够的重视,传言金融证券老总们有三怕:一怕停电;二怕死机;三怕病毒。惟独没有听说哪位老总怕计算机系统不安全。一些部门在进行网络信息系统建设过程中缺乏安全防范意识;有的虽然对信息安全的重要性有所认识,但由于对造成网络信息不安全的原因缺乏全面的认识,因而所采取的防范方法还是单兵作战,缺乏统一协调、全面规划。在信息安全问题研究方面,大多是分析信息安全的隐患与影响,信息安全技术等,很少涉及对信息安全问题的根源进行探讨。有鉴于此,本文试图对这一问题进行一个比较全面的分析,希望有助于人们从根本上认清信息安全问题,从而更有效地构筑我国网络信息安全保障体系。
从目前来看,对网络信息安全的影响因素有人为因素和非人为因素。人为因素主要有:黑客、病毒、逻辑炸弹、电子欺骗、搭线窃听等;非人为因素有:火灾及其它自然灾害、电磁、辐射、硬件故障、严重误操作等。除自然灾害外,造成这些因素的主体主要包括部分网络用户、网络服务提供者和网络管理者。从攻击网络的严重程度来看,攻击的主体大致可分三个层次:①消遣型黑客,主要破坏公共财产;②有组织的一些机构黑客、工业间谍等,主要是为了窃取科技、经济情报;③敌对的国家政府、恐怖组织,主要是对敌国或敌方实施全面的信息战。当然,这些主体是造成网络信息不安全的直接责任者。为方便阐述,本文从引起或促使这些不安全因素产生的八个方面对网络信息安全问题的根源作些分析。
1 认识上的根源
首先,对普遍大众来说,他们对计算机犯罪的态度较为“宽容”,主要因为是:①没有直接的人员伤害;②所造成的损失大多由政府或单位承担;③计算机犯罪是“天才”干的。因此,他们对信息安全问题不太关心,安全意识淡漠。
其次,我国的许多部门重视网络系统建设,轻视网络安全工作。在网络系统建设过程中,缺乏安全防范意识,忽视系统的安全技术规范。例如,我国在网络工程中网络安全的投入费用,据估计不到2%, 同国外10%的比率相比有较大的差距。我国著名信息安全专家、中国工程院院士沈昌祥针对国内信息安全意识如此淡漠的现状深表忧虑,并警告:信息系统不安全,将来就要吃大亏,这绝不是危言耸听。[4]
再次,从国家战略的高度,我国还没有将网络安全问题纳入整个国家信息发展战略的重要行列,还没有制定符合我国国情的信息安全政策。从国家安全考虑沈昌祥院士提出把信息系统安全建设提高到“两弹一星”的高度去认识,实不为过。但实际上,我们的认识与之相比,还有相当大的差距。
2 社会根源
互联网中没有中心、没有权威,没有开始也没有结束,自由成为网络的灵魂。这为道德相对主义(“你想怎样就怎样”或者“怎样都行”)和极端个人主义提供了最好的土壤和借口,滥用网络现象的出现与屡禁不止则是道德相对主义和极端个人主义在网络中的表现形式。此外,西方社会传统的“冒险和发现”的精神,是滋生黑客的土壤。黑客们在他们于1997年冬创办的季刊《2600 Magagin》的出版说明中,强调最重要的是“进行冒险并从中发现什么”的精神,[5] 它建议进行攻击的主要动力应该是冒险和发现。诚然,我们应当承认早期黑客确实存在冒险、发现、知识一类的正面因素。然而,冒险与犯罪只有一线之隔,在拜金之风日盛的当今社会,有些年轻人经不住强烈刺激的诱惑,在猎奇冲动或在利益驱动下作案。尤其严重的是目前出现了一批所谓的新派黑客,他们对网络如何工作缺乏兴趣,他们一心只要找到一个工具进入系统就够了。就是在我国,也发生多起作案者出于好奇或者为显示自己能力而不顾他人利益,侵入计算机系统进行破坏或制作并传播病毒的案件。例如1998年江苏镇江一青年非法侵入江西公众多媒体通信网(169 网)案和1996年的江苏淮阴马海涛制造计算机病毒案便是这类案件的典型。[6]所以说,极端的个人主义价值观和极端的冒险精神是产生网络危机的社会根源。
另外,相当多的网络受害者不愿报案,也助长了网络罪犯的嚣张气焰。有相当多的被攻击的部门和公司,特别是金融证券行业或信息服务行业的公司,不愿意别人知道他们的系统受到攻击,怕一旦公开,会对他们的声誉造成损害,或追究他们的刑事责任。因此只好忍气吞声,假装不知。甚至有的公司帮助销毁证据。也有相当一部分公司则是因为发现案子的时间与作案时间相隔太久而无法取证,为了避免给公司本身招惹麻烦,带来消极结果,只好作罢。
3 技术根源
引起信息系统安全问题的技术原因主要是由于计算机系统的脆弱性、技术本身的缺陷和技术强国对弱国的控制。
3.1 计算机系统本身的脆弱性
计算机系统本身无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如水、火、地震的破坏及环境(温度、振动、冲击、污染)的影响以及硬件设备故障,突然断电或电源波动大及各种误操作等危害。这些危害有的会损害系统设备,有的则会丢失或破坏数据,甚至毁掉整个系统和数据。
3.2 技术本身的缺陷
第一,电磁泄漏。由于计算机硬件是由各种电子线路、电子器件设备构成的,因此,计算机内的信息可以通过电磁波形式泄漏出去,任何人都可以借助不复杂的设备在一定区域范围内收到它而造成信息失密。
第二,通信与网络的弱点。通信线路一般是电话线、专线、微波、光缆或无线系统,这些线路易遭物理破坏,易被搭线窃听,无线通信易遭截获、监听等等。网络规模越大,通信线路越长,这种弱点也随之增加。
第三,软件缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑。因此,操作系统中的安全缺陷相当多,使入侵者有不少空子可钻。例如DOS 的安全漏洞自不必说,就是Windows NT和NetWare都存在严重的安全漏洞。
第四,安全技术标准不统一。目前,世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议。在安全性与网络性能和效率之间难以两全。而且,从根本上说,信息加密等安全技术跟不上信息应用技术的发展,信息系统的绝对安全是不可能的。[7]
3.3 发展中国家对发达国家信息设备和信息技术的强依赖性
以我国而言,信息化设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面,我国与发达国家的差距较大。而发达国家对我国限制和封锁信息安全高密度产品,据可靠消息,美国方面出口中国的密钥芯片都留有一个口,供美方随时启动;出口我国的计算机系统的安全系统也只有C[,2]级,是美国国防部规定的8个安全级别之中的倒数第三。[8]由此可见,我国信息系统的安全在一定程度上还受到别国的控制,再加上我们自身在信息系统建设过程中忽视安全因素,无怪乎境内外一些黑客公开宣称:“中国的网我都能进”。
4 管理根源
管理上的漏洞,使网络罪犯有机可乘。许多网络犯罪行为尤其是非法操作都是利用联网的电脑管理制度上的漏洞而得逞的。不少单位没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施。比如,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,而这些信息处于未保护状态,这种管理上的不严格极易给他人提供冒充的机会。另外,网络管理者自身的违法行为,网络管理者利用管理用户地址目录之便,很容易就以某一用户的身份登录、查看和复制用户的信息,甚至以用户的名义发送报文。根据公安部门的报告,作案人员往往是利用管理上的漏洞,而且内部人员居多。[9]例如,1995年12月, 北京某大学硕士研究生王某到北京一家证券公司营业部实习。其间,他操作计算机非法进入这个营业部中心数据库,窃取了多个股民的股票交易密码,此后,他两次盗买别人的股票,令这些股民损失惨重。
5 法制根源
网络犯罪活动的猖獗是与信息法制不完善和对罪犯的惩治不力密不可分的。一方面,现行政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。个人隐私保护法,数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等数字经济正常运作所需的配套法规急需制定。由于法规不健全,信息市场交易秩序的维护、信息犯罪的惩处等无法可依,使信息犯罪有空子可钻。
另一方面,由于网络作案手段新、时间短、不留痕迹等特点,给网上犯罪案件的侦破和审理带来了极大的困难。美国联邦调查局的一份报告显示,在美国硅谷,计算机犯罪正以每年400%的速度上升, 破案率仅为10%。可见,虽然各国都先后针对电脑病毒、信息侵权和网络犯罪等非法信息行为制定了一些政策法规,但由于执行不力,效果不明显。
6 政治根源
美国著名学者托夫勒有句名言:“谁掌握了信息、控制了网络,谁就将拥有整个世界。”互联网的发展,极大地影响着国际政治关系和格局。美国正凭借其在网络技术上的基础和优势,利用互联网络,大肆进行政治、文化渗透,推销其价值标准、意识形态,图谋通过网络达成美国独霸全球的战略目标。欧洲、亚洲的许多国家已经警觉到美国的这一政治野心,正全力加速本国的互联网建设。因此互联网上的政治斗争将日趋激烈,一家独霸与多极化之争的全球政治形势将在网上继续展开。有些国家为了本国的政治、经济、军事的需要,千方百计从网上窃取别国的机密信息,散布影响别国社会稳定的言论,甚至破坏对方的信息系统。据报道,西方国家一直在利用一个名为“梯队”的全球电子情报网对全球通信实施监听,刺探对象从高级外交和军事信息到Internet上泄露的机密。[10]由此可见,国际政治斗争不仅产生新的网络信息安全问题,而且将其上升到国家的高度。
7 军事根源
随着信息技术的发展和互联网广泛应用,未来战争的概念和形式将发生巨大变化。美国认为,未来的战争打的将是一场依靠键盘和鼠标进行的“信息战”,声称“信息战”是以破坏敌方信息和信息系统,同时保护本国信息和信息系统的方式采取之行动。美国已经研制出来并装备其部队的“信息武器”有三类:第一类是各种计算机病毒以及经由互联网将这些病毒引入或埋设在敌国战略要害机构的信息系统和信息网络里,并能遥控的信息技术手段;第二类是可引起计算机操作人员强烈的心理反应从而对其行为加以控制的信息手段,如“666号病毒”等; 第三类通过发射或反射电磁波、声波、红外信号等使敌方电子设备失灵的所谓“无线电电子镇压手段”,如高频枪等。
可见,信息战对国家信息系统安全构成巨大的威胁,信息安全问题随着信息技术的发展将越来越严重。
8 经济根源
经济上的根源主要指四方面:一方面是指犯罪分子在网络上从事犯罪活动的成本相对较低,只要有一台联网的终端机,就可以通过联网到任何一个网络站点实施犯罪活动,使犯罪变得更为便捷,且不受时空限制;第二方面,网络经济犯罪有很高的获利性,例如计算机罪犯每年使美国金融界损失100多亿美元,英国每年近30亿美元,日本每年近20 亿美元。第三方面计算机的低风险性,前面提到过美国硅谷的计算机犯罪案件侦破率仅为10%,而且对罪犯的惩罚相对较轻,所以相对于传统人工犯罪而言,风险较小;第四,网络的虚拟性和匿名性,使网络犯罪分子没有什么心理压力,从事犯罪活动如人无人之境,自由自在。
(收稿日期:2000—01—10)