今年1月12日,baidu.com域名被劫持,此次网站被“黑”事件创下了百度创建以来最大的一次断网事故。据业内专家估计,百度第三季度总营业收入为人民币12.787亿元,平均每日营运额达1420万元,断网损失至少在700万元以上。百度多个小时无法访问,还给很多需要通过搜索引擎带来流量的企业网站带来了损失,具体数目无法估计。百度被黑后,其CEO李彦宏发出了“史无前例”这样的惊叹。的确,网络中“黑客”无所不在,连“百度”也不能幸免于其黑手。
而就在百度被“黑”之后的两天,1月14日,全球搜索引擎巨头谷歌也爆出考虑关闭“谷歌中国”网站以及中国办事处,而谷歌称缘由之一便是网络黑客攻击的威胁。这一系列的事件发生,似乎上演着2010年中国互联网的贺岁剧。
事实上,不论是为百度提供域名服务的服务器被非法篡改,还是谷歌所言关于网络攻击方面的“担忧”,都共同折射出一个问题,即互联网公司在走向国际化时所面临的安全问题,特别是来自黑客的攻击。其涉及到国家的政府机构、军事、文教等诸多领域,存储、传输和处理着政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。网络安全已成为互联网经济时代不得不面对的重要问题。
一、无所不在的网络触角
我国于1994年正式接入互联网,经过15年的发展,中国互联网已完成了从无到有繁荣的过程,基础设施飞速发展,宽带大规模普及,用户数量急剧攀增,中国已经成为互联网大国。据中国互联网络信息中心(CNNIC)发布的第25次中国互联网发展统计报告显示,截至2009年12月31日中国网民规模达到3.84亿人,普及率达到28.9%,达到世界平均水平。2009年中国IPv4地址量达到2.32亿,域名总数为1682万,其中80%为.CN域名,我国互联网的影响在深度和广度上有了新的发展。到如今,涌现出了一大批世界知名的门户网站、电子商务、网络游戏等服务商和内容商,新浪、搜狐、阿里巴巴、百度、盛大网络、世纪互联等一个个响当当的名字让世界刮目相看。互联网的跨越和转身,带动了中国信息化的全面普及和发展,成为了我国重要的经济体系支柱之一。互联网的出现,极大地影响乃至改变了人们的生活方式和商业模式。如今,网络政务、网络购物、网络金融服务、网络媒体、网络电话、网络广告、电子邮件、网络招聘、网上租赁等与网络相关的事物,正以一日千里的速度迅速发展。
1.网络政务。近年来,我国大力建设电子政务,对外开通了政府网站,截至2009年,全国已开通4.5万多个政府门户网站,县以上政府机构的网站拥有率达到80%,在教育、医疗卫生、就业、社会保障等人民群众最关心的问题上,提供了便捷的基本公共服务。中国现有上百万个论坛,2亿多个博客,中国政府十分重视民众在互联网上表达的意见,发挥了互联网在保护群众的知情权、表达权、参与权、监督权方面的积极作用。
2.网络购物。金融危机客观上促进了网络购物的发展。2009年企业进驻C2C或自建B2C平台的数量增加迅速,增加了网络购物市场的商品供应量。从用户端来看,随着网购观念的普及,网络购物已经渐成网民消费生活的习惯。据CNNIC监测,2009年中国网络购物市场交易规模达到2500亿,较2008年翻番增长。2009年商务交易类应用的用户规模增长最快,平均年增幅68%。其中,网上支付用户年增幅80.9%,在所有应用中排名第一,网络购物用户规模增长了45.9%。仅2008年中国电子商务带动的包裹量就超过5亿件,截止2009年12月,电子商务的总网站数就达到1.56万家,同比增长32.34%,其中B2C网站数超过了9400家,同比猛增43.79%。
3.网络金融服务。在网络经济时代,银行通过网络一方面实现内部经营管理一体化和决策层、执行层的直接沟通,通过收集客户信息,从而不断满足客户日益多元化、个性化的需求;另一方面网络银行向客户提供全天候、大范围、跨地区乃至跨国界的实时金融服务,网上客户可以通过网络随时随地取得银行服务,而且一笔交易往往可以在几分钟甚至几秒钟完成,这样就大大提高了银行的服务效率。2009年,网络炒股用户规模为5678万人,占比14.8%,网络炒股、网上银行用户规模分别增长了67.0%和62.3%。
4.网络教育。随着中国信息化程度和网民对网络教育认知程度的提高,网络教育市场规模增长速度很快。网络以其独有的优势,向受教育者和学习者提供一种网络教和学的环境,传递数字化内容,开展以学习者为中心的非面授教育活动。网络教育可以灵活的利用时间,节约能源,可以说是资源利用最大化的灵活教学模式。2005年我国网络教育市场规模超过百亿元,2007年达130多亿,在2009年中国网络市场规模达到360亿元,2010年将达到441亿元。
5.网络销售。由于网络销售商业模式的高效性、简便性、低成本等特点,使得几乎所有企业都千方百计地向网络经济靠拢。一个企业不上网,就很难在竞争中生存,网络使产品推广打破了时间﹑空间的屏障,同时使跨国销售变得容易。今年1月14日,艾瑞咨询分析师发布分析报告指出,2009年中国网络经济规模达743亿元,同比08年569亿元上涨30.7%,远远高于中国经济8.7%左右的增速,体现出新经济特有的朝气与活力。预计2010年互联网经济增速有望提升到50%以上,年营收规模将超1000亿元。
二、各国打响网络安全“保卫战
随着互联网的发展和网络技术的不断进步,网络安全问题已经成为令世界各国政府颇为挠头的问题。网络涉及到国家的政府、军事、文教等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、能源资源数据、科研数据等重要信息,甚至是国家机密。国际网络犯罪分子通过黑客入侵、工业间谍和信用卡欺诈等活动,令各国在经济、军事等方面蒙受严重损失。致使各国都打响了网络安全的“保卫战”。
1.美国。作为高度依赖网络的国家,美国历来将网络安全视作国家安全的重要环节,奥巴马在总统竞选时,曾批评布什政府在解决网络威胁方面过于缓慢。2009年1月,新上任的奥巴马总统要求对美国网络安全战略和行动进行调查评述,并在此基础上由美国联邦审计署于2009年3月10日发布了关于《美国国家网络安全战略:需要进行的关键改进》的报告,对需要进一步加强的网络安全关键领域和改进美国国家网络安全战略提出了建议。2009年2月26日,奥巴马发布2010年财政预算。其中包括投资3.55亿美元用以加强美国公共部门与私营部门的网络安全,加强网络安全技术研发,支持“国家网络安全部”的基本运作及“国家网络安全综合计划”。据悉,美国2006年和2008年先后进行了代号为“网络风暴Ⅰ”、“网络风暴Ⅱ”的网络攻防对抗演习。而初步定于2010年的“网络风暴Ⅲ”演习已经开始筹备,届时将有包括日本的15个国家参与。此外,美国是世界上最主要的过滤软件生产国,同时,美国掌握着国际互联网的根服务器,就相当于掌握了全球互联网的命脉,这不得不说也是一件很有杀伤力的事情。
2.英国。国际网络犯罪分子通过行业间谍和信用卡欺诈等活动令英国经济每年损失“数十亿英镑”。为应对此类网络犯罪事件,英国首相戈登·布朗已宣布设立网络安全办公室和网络安全运营中心,前者负责协调政府各部门网络安全计划,后者负责协调政府和民间机构主要电脑系统的安全保护工作。网络安全运营中心将作为英国政府最新国家安全战略的核心,并隶属英国三大情报机构之一的政府通信总部。此外,英国还计划征召包括黑客在内的网络精英保卫网络安全。
3.德国。2005年,德国政府进一步制定了全国性的IT安全计划,建立了电脑紧急情况应对中心。该计划从3个方面加强全国电脑及网络安全,一是早期预防、二是发现漏洞迅速反应,三是不断提高安全标准。2008年,德国政府批准了一项颇受争议的反恐法案以加强对互联网的监管。该法案允许警方在特别授权的情况下,通过向嫌疑人发送带有木马病毒的匿名电子邮件来实现对该嫌疑人电脑的监控,目的是防止恐怖分子利用互联网向德国发动攻击,保证德国互联网安全,便于警方调查追踪嫌疑人。
4.日本。日本充分借鉴国际经验制定本国的标准,制定了《信息处理服务业实施信息安全对策事业所的认定制度》等文件,为日本重要信息网络的安全管理和第三方风险评估提供了标准。同时,日本政府还设立了跨部门的“有关信息安全的各省厅局长会议”,并专门组建了“网络警察”。
为了防止通过网络进行的高科技犯罪,日本完成了新法案概要。根据法案概要,对于计算机病毒,将在刑法内新增“制造不当指令电磁记录等罪”的条款。将对计算机病毒的制造、传播、入侵等行为以及获取和保存行为进行处罚。关于法定刑法,对计算机病毒的制造、传播和入侵行为,将处3年以下徒刑或者处50万日元以下罚款,对计算机病毒的获取和保管行为处2年以下徒刑或者30万日元以下罚款。
5.韩国。韩国在《促进资讯与电信网络应用方案》中新增了一项病毒法规。2004年年初,韩国宣布成立国家网络安全中心,这个隶属于韩国国家情报院的机构的任务是保护国家通信网络不受恐怖袭击。据悉,该中心的人员来自韩国情报保护振兴院、国家保安技术研究所、财政经济部、国防部、行政自治部、信息通信部、大检查厅和警察厅等部门。中心将对来自国内外的各种威胁情报进行综合分析,在发现攻击迹象时协助各级机关制订安全对策,并在发生紧急状况时负责预报和发出警报。该中心同时负责发放国家网络宣传资料,加强预防等工作。
三、我国面临的网络安全问题及应对
我国“百度”网站被黑事件虽然并非是孤立的事件,但它警示了我国网络安全的严重性。事实上,我国网络安全的问题一直都存在。
2005年,中国国家计算机网络应急技术处理协调中心对网络攻击曾进行了抽样监测,发现境外22万台主机曾对我国大陆发起过攻击。境外约有1.6万个IP对大陆的僵尸主机实施控制。在网站页面被篡改方面,大陆被篡改网站总数达到24477个,其中政府网站被篡改数量为3831个,占整个大陆地区被篡改网站的16%。
2006年的调查显示,全国有81%的个人电脑感染过“间谍软件”,有的电脑感染“间谍软件”的数目甚至多达25种,而另一项对2066家企业的调查结果反映,全国有80%的企业反映有“间谍软件”问题。“间谍软件”的危害已经比病毒更为严重,成为危害国防信息安全的头号“杀手”。
2007年,中国大陆被“僵尸程序”感染的IP更多,成千上万台被僵尸程序感染的电脑可以通过控制服务器来集中操控,而用户却毫不知情,仿佛没有自主意识的僵尸一般。相关部门就此发现了境外间谍机构实施的一次大规模网络窃密行动,攻击对象全是中国政府和军队以及国防科研机构、军工企业网络,受到攻击的单位遍及我国绝大部分省、自治区、直辖市,甚至还包括我国十几个驻外机构。在该案中被境外情报部门控制的电脑和网络达数百个,疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透,窃密内容涉及政治、军事、外交、经济、医疗卫生等多个领域。
2008年,来自中国互联网协会有关统计表明,中国大陆受到来自境外的网络攻击数量同比增长了148%,中国是网络黑客攻击的受害国。
据有关抽样数据显示,仅2009年我国被境外控制的计算机IP地址就达100多万个,被黑客组织篆改的网站多达4.2万个。在受网络病毒威胁方面,去年我国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达1800万台,占全球感染主机总量的30%,位列全球第一。可以说,我国是网络攻击最大的受害者。
国务院新闻办公室主任王晨近日在谈到网络安全时说,目前我国网络安全的主要问题有:一、网络淫秽色情等有害信息严重危害未成年人身心健康;二、网络黑客攻击、网络病毒等严重威胁网络运行安全;三、网络欺诈、网络盗窃等网络犯罪活动直接危害公共财产安全。这些问题日益引起社会各界的关注,不仅是我国而且也成为世界各国共同面临的重大问题。尽管我国与世界发达国家相比,互联网的发展还相对落后,我国的网络安全问题的存在难以避免,但我们绝不可掉以轻心,尤其是百度网站被黑事件的出现,更应该引起我们的高度警觉,进一步强化其应对措施。
1.提高思想认识,加强技术防范。大多数人认为,用几种杀毒软件和防火墙就能保障网络信息的安全,但这远远不够。要想有效地解决网络安全问题,首先要在思想意识上筑起一道“防护墙”,如组织相关单位的信息安全管理人员开展不同层次的安全培训,开展广泛的、经常性的信息网络安全知识和相关法律的宣传教育。其次要注意养成良好的上网习惯,不登录和浏览来历不明的网站;养成到官方站点和可信站点下载程序的习惯;不轻易安装不知用途的软件;不轻易执行附件中的EXE和COM等可执行程序;使用一些带网页木马拦截功能的安全辅助工具等。要在技术上进行跟进,如采用防火墙、IDS代理服务器、安全过滤器、用户证书授权、访问控制、数据加密、流量监测、漏洞扫描、安全审计和备份恢复等安全技术。
2.借鉴国外先进立法经验,加强网络安全保障体系建设与网络监管力度。我国关于网络安全的法规有欠缺,缺少大多数发达国家已经制定的有关电子商务的法律,所以应将网络安全方面的立法问题加以完善,以加强网络的“行业自律”。同时,应加大监管力度,建立起由公安机关、工商、文化、通信等相关部门组成的综合监管体系,共同采集证据,有力打击犯罪行为。中国应当在法律上从严,在技术上考虑实行后台实名制。例如,互联网上出现的QQ币失窃案件,由于我国现有法律没有相关规定,从而造成这类案件无法受理,而国外对此类情形早已规定,可以按照实际财产损失进行评估。目前,我国在这方面正在不断完善,2009年,我国工信部先后出台了《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测和处置机制》,先后多次组织专项治理行动,有效遏制了木马和僵尸网络传播。同时,中国互联网协会组织基础电信运营企业、网络安全厂商、网络安全厂商、增值服务提供商、搜索引擎、域名注册机构等成立了“中国反网络病毒联盟”并签署自律公约,净化了网络环境。
3.加大研发投入力度,加强网络安全技术自主研发的能力。我国的高性能、核心级网络安全设备大部分都是进口的,属于自己的核心产品较少。这在很大程度上造成了对国外网络安全产品的依赖性,对我国的网络信息安全造成了一定的影响。因此,我们应该加强自身网络安全技术的研发能力,提高我国网络安全实际操作能力。我们应该加大对自主研发产品方面的投入,争取在尽可能短的时间内生产出以自主知识产权技术为核心的产品,取代外国产品。其次国家应该加大网络安全产品方面的资金投入,改善高新技术企业生存环境,并给予税收、贷款等方面的政策倾斜和扶持,鼓励其吸收国内外各种资金注入。正如我国倪光南院士认为,我们必须坚定不移地推进UOF标准,带动中国的办公软件、操作系统、CPU等核心技术和产业的发展。
4.开展国际交流,加强国际合作。世界各国的国情不同,经济发展程度不同、文化传统不同,因此依法管理互联网的办法也不完全相同。我国要注重吸取各国互联网的有益经验,目前我国在互联网方面的方针政策和管理办法符合中国的国情和许多国家的通行做法。自2004年起我国积极参与东盟各国的网络安全合作,多次参加东盟组织的安全应急演练。2009年,还分别与东盟和上合组织成员国签定了《中国—东盟电信监管理事会关于网络安全问题的合作框架》和《上合组织成员国保障国际信息安全政府间合作协定》。
5.加大人才培养力度,尽力吸引人才,留住人才。目前,我国信息网络安全人才存在较大缺口,在培养方面的投入也有较大的欠缺。企业留住人才较难,其流失率很大,几乎都在国外或国内的跨国公司中,为国外做研发。与美国相比,我国信息网络安全人数不足全国网民人数的万分之一,我们应该利用各种资源,对政府领导、工作人员、网络管理人员等,分别进行有针对性的培训,如在大专院校开设相关专业,在研究机构培养专门人才,而且还可以利用现有防病毒软件公司等专业机构来培养信息网络安全人员,以提高我们应对互联网迅猛发展和复杂形势的能力。