淺談電子商務(wù)網(wǎng)絡(luò)信息安全問題
美國著名未來學(xué)家阿爾溫·托夫勒說:“電腦網(wǎng)絡(luò)的建立和普及將徹底改變?nèi)祟惿婕吧畹哪J剑刂婆c掌握網(wǎng)絡(luò)的人就是未來命運的主宰。誰掌握了信息,控制了網(wǎng)絡(luò),誰就擁有整個世界。”的確,網(wǎng)絡(luò)的國際化、社會化、開放化、個人化誘發(fā)出無限的商機,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加,一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,就成為了網(wǎng)絡(luò)時代發(fā)展到一定階段而不可逾越的“瓶頸”性問題,愈來愈受到國際社會的高度關(guān)注。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報警與審計技術(shù)等。
1.防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)(被保護網(wǎng)絡(luò))。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準(zhǔn)許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉(zhuǎn)發(fā)所有的信息,然后再逐項剔除有害的內(nèi)容,被禁止的內(nèi)容越多,防火墻的作用就越大。網(wǎng)絡(luò)是動態(tài)發(fā)展的,安全策略的制定不應(yīng)建立在靜態(tài)的基礎(chǔ)之上。在制定防火墻安全規(guī)則時,應(yīng)符合“可適應(yīng)性的安全管理”模型的原則,即:安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應(yīng)。防火墻技術(shù)主要有以下三類:
●包過濾技術(shù)(Packct Filtering)。它一般用在網(wǎng)絡(luò)層,主要根據(jù)防火墻系統(tǒng)所收到的每個數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包中的各種標(biāo)志位來進行判定,根據(jù)系統(tǒng)設(shè)定的安全策略來決定是否讓數(shù)據(jù)包通過,其核心就是安全策略,即過濾算法的設(shè)計。
●代理(Proxy)服務(wù)技術(shù)。它用來提供應(yīng)用層服務(wù)的控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點的直接請求。運行代理服務(wù)的主機被稱為應(yīng)用機關(guān)。代理服務(wù)還可以用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。
●狀態(tài)監(jiān)控(Statc Innspection)技術(shù)。它是一種新的防火墻技術(shù)。在網(wǎng)絡(luò)層完成所有必要的防火墻功能——包過濾與網(wǎng)絡(luò)服務(wù)代理。目前最有效的實現(xiàn)方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術(shù)的優(yōu)點很多,一是通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險;二是可以提供對系統(tǒng)的訪問控制;三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息;四是防火墻還可以記錄與統(tǒng)計通過它的網(wǎng)絡(luò)通信,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測;五是防火墻提供制定與執(zhí)行網(wǎng)絡(luò)安全策略的手段,它可以對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理。
防火墻技術(shù)的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對網(wǎng)絡(luò)安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數(shù)據(jù)的秘密性,不能對數(shù)據(jù)進行鑒別,也不能保證網(wǎng)絡(luò)不受病毒的攻擊。
2.加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。
密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數(shù)字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù),即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術(shù)外,還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對通信線路加密;二是節(jié)點加密技術(shù)。節(jié)點加密是指對存儲在節(jié)點內(nèi)的文件和數(shù)據(jù)庫信息進行的加密保護。
3.數(shù)字簽名技術(shù)。數(shù)字簽名(Digital Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。
在書面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認(rèn),從而確認(rèn)文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數(shù)字簽名與書面簽名有相同相通之處,也能確認(rèn)兩點,一是信息是由簽名者發(fā)送的,二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣,數(shù)字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發(fā)送信息;發(fā)出(收到)信件后又加以否認(rèn)。
#p#廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁上或公告牌里,網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統(tǒng),而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法,跟單獨簽名的RSA數(shù)字簽名不同,它是將數(shù)字簽名和要發(fā)送的信息捆在一起,所以更適合電子商務(wù)。
4.數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標(biāo)記,即有數(shù)字時間戳(Digita Timestamp)的數(shù)字簽名方案:驗證簽名的人或以確認(rèn)簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準(zhǔn)人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
時間戳(Time-Stamp)是一個經(jīng)加密后形成的憑證文檔,包括三個部分。一是需加時間戳的文件的摘要(Digest),二是DTS收到文件的日期與時間,三是DIS數(shù)字簽名。
時間戳產(chǎn)生的過程是:用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名),然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的,數(shù)字時間則不然,它是由認(rèn)證單位DIS來加的,以DIS收到文件的時間為依據(jù)。
二、數(shù)字認(rèn)證及數(shù)字認(rèn)證授權(quán)機構(gòu)
1.數(shù)字證書。數(shù)字證書也叫數(shù)字憑證、數(shù)字標(biāo)識,它含有證書持有者的有關(guān)信息,以標(biāo)識他的身份。數(shù)字證書克服了密碼在安全性和方便性方面的局限性,可以控制哪些數(shù)據(jù)庫能夠被查看,因此提高了總體的保密性。
數(shù)字證書的內(nèi)容格式是CCTTTX.509國際標(biāo)準(zhǔn)規(guī)定的,通常包括以下內(nèi)容:證書所有者的姓名;證書所有者的公共密鑰;公共密鑰(證書)的有效期;頒發(fā)數(shù)字證書單位名稱;數(shù)字證書的序列號;頒發(fā)數(shù)字證書單位的數(shù)字簽名。
數(shù)字證書通常分為三種類型,即個人證書、企業(yè)證書、軟件證書。個人證書(Personal Digital)為某一個用戶提供證書,幫助個人在網(wǎng)上安全操作電子交易。個人數(shù)字證書是向瀏覽器申請獲得的,認(rèn)證中心對申請者的電子郵件地址、個人身份及信用卡號等核實后,就發(fā)給個人數(shù)字證書,并安置在用戶所用的瀏覽器或電子郵件的應(yīng)用系統(tǒng)中,同時也給申請者發(fā)一個通知。企業(yè)證書,就是服務(wù)器證書(Server ID),是對網(wǎng)上服務(wù)器提供的一個證書,擁有Web服務(wù)器的企業(yè)可以用具有證書的Internet網(wǎng)站(Web Site)來做安全的電子交易。軟件證書通常是為網(wǎng)上下載的軟件提供證書,證明該軟件的合法性。
2.電子商務(wù)數(shù)字認(rèn)證授權(quán)機構(gòu)。電子商務(wù)交易需要電子商務(wù)證書,而電子商務(wù)認(rèn)證中心(CA)就承擔(dān)著網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的功能。
CA主要提供下列服務(wù):有效實行安全管理的設(shè)施;可靠的風(fēng)險管理以及得到確認(rèn)和充分理解。接受該系統(tǒng)服務(wù)的電子商務(wù)用戶也應(yīng)充分信任該系統(tǒng)的可信度。CA具有證書發(fā)放、證書更新、證書撤銷、證書驗證等四大職能。
若未建立獨立的注冊機構(gòu),認(rèn)證中心則在完成注冊機構(gòu)的功能以外還要完成下列功能:接收、處理證書申請,確立是否接受或拒絕證書申請,向申請者頒發(fā)或拒絕頒發(fā)證書,證書延期,管理證書吊銷目錄,提供證書的在線狀況,證書歸檔;提供支持服務(wù),提供電話支持,幫助用戶解決與證書有關(guān)的問題;審核記錄所有同安全有關(guān)的活動;提供靈活的結(jié)構(gòu),使用戶可以用自己的名字對服務(wù)命名;為認(rèn)證中心系統(tǒng)提供可靠的安全支持;為認(rèn)證中心的可靠運營提供一套政策、程序及操作指南。
三、電子商務(wù)信息安全協(xié)議
1.安全套接層協(xié)議。安全套接層協(xié)議(Secure Sockets Layer,SSL)是由Netscape Communication公司1994年設(shè)計開發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。 SSL協(xié)議的整個概念可以被總結(jié)為:一個保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。
SSL安全協(xié)議主要提供三方面的服務(wù)。一是用戶和服務(wù)器的合法性保證,使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上。客戶機與服務(wù)器都有各自的識別號,由公開密鑰編排。為了驗證用戶,安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證,以此來確保用戶的合法性;二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對稱密鑰,也有公開密鑰,在客戶機和服務(wù)器交換數(shù)據(jù)之前,先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù),以保證其機密性與數(shù)據(jù)的完整性,并且經(jīng)數(shù)字證書鑒別;三是維護數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機密共享的方法來提供完整的信息服務(wù),建立客戶機與服務(wù)器之間的安全通道,使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達目的地。
2.安全電子交易公告。安全電子交易公告(SET:Secure Electronic Transactions)是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下,又增加了對商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
SET安全協(xié)議的主要對象包括:消費者(包括個人和團體),按照在線商店的要求填寫定貨單,用發(fā)卡銀行的信用卡付款;在線商店,提供商品或服務(wù),具備使用相應(yīng)電子貨幣的條件;收單銀行,通過支付網(wǎng)關(guān)處理消費者與在線商店之間的交易付款;電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付;認(rèn)證中心,負(fù)責(zé)確認(rèn)交易對方的身份和信譽度,以及對消費者的支付手段認(rèn)證。
SET協(xié)議規(guī)范的技術(shù)范圍包括:加密算法的應(yīng)用,證書信息與對象格式,購買信息和對象格式,認(rèn)可信息與對象格式。
SET協(xié)議要達到五個目標(biāo):保證電子商務(wù)參與者信息的相應(yīng)隔離;保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取;解決多方認(rèn)證問題;保證網(wǎng)上交易的實時性,使所有的支付過程都是在線的;效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能,并且可以運行在不同的硬件和操作系統(tǒng)平臺上。
3.安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸?shù)陌踩浴HTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術(shù)的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
4.安全交易技術(shù)協(xié)議(STT)。STT將認(rèn)證與解密在瀏覽器中分離開,以提高安全控制能力。
5.UN/EDIFACT標(biāo)準(zhǔn)。UN/EDIFACT報文是唯一的國際通用的電子商務(wù)標(biāo)準(zhǔn)。在ISO發(fā)布的IS09735(即UN/EDI-FACT語法規(guī)則)新版本中,包括描述UN/EDIFACT中實施安全措施的五個新部分,即:第五部分——批式電子商務(wù)(可靠性、完整性和不可抵賴性)的安全規(guī)則;第六部分——安全鑒別與確認(rèn)報文(AUTACK);第七部分——批式電子商務(wù)(機密性)的安全規(guī)則;第九部分——安全密鑰和證書管理報告(KEYMAN);第十部分——交互式電子商務(wù)的安全規(guī)則。
UN/EDIFACT的安全措施通過集成式與分離式兩種途徑來實現(xiàn)。集成式的途徑是通過在UN/EDIFACT報文結(jié)構(gòu)中使用可選擇的安全頭段和安全尾段來保證報文內(nèi)容的完整性、報文來源的不可抵賴性;分離式途徑是通過發(fā)送三種特殊的UN/EDIFACT報文(即AUTCK、KEYMAN和CI-PHER)來達到安全目的。
6.《電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則》(UNCID)。UNCID由國際商會制定,該守則第六條、第七條、第九條分別就數(shù)據(jù)的保密性、完整性及貿(mào)易雙方簽訂協(xié)議等問題做了規(guī)定。
四、電子商務(wù)中的信息安全對策
1.提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識。信息技術(shù)的發(fā)展,使網(wǎng)絡(luò)逐漸滲透到社會的各個領(lǐng)域,在未來的軍事和經(jīng)濟競爭與對抗中,因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗,決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來,樹立維護信息安全就是保生存、促發(fā)展的觀念。我國公民中的大多數(shù)人還是“機盲”、“網(wǎng)盲”,另有許多人僅知道一些關(guān)于網(wǎng)絡(luò)的膚淺知識,或僅會進行簡單的計算機操作,對網(wǎng)絡(luò)安全沒有深刻認(rèn)識。應(yīng)該以有效方式、途徑在全社會普及網(wǎng)絡(luò)安全知識,提高公民的網(wǎng)絡(luò)安全意識與自覺性,學(xué)會維護網(wǎng)絡(luò)安全的基本技能。
2.加強網(wǎng)絡(luò)安全管理。我國網(wǎng)絡(luò)安全管理除現(xiàn)有的部門分工外,要建立一個具有高度權(quán)威的信息安全領(lǐng)導(dǎo)機構(gòu)。只有在中央建立起這樣一個組織,才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。對于計算機網(wǎng)絡(luò)使用單位,要嚴(yán)格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡(luò)安全保護管理辦法》,建立本單位、本部門、本系統(tǒng)的組織領(lǐng)導(dǎo)管理機構(gòu),明確領(lǐng)導(dǎo)及工作人員責(zé)任,制定管理崗位責(zé)任制及有關(guān)措施,嚴(yán)格內(nèi)部安全管理機制。具體的安全措施如:把好用戶入網(wǎng)關(guān)、嚴(yán)格設(shè)置目錄和文件訪問的權(quán)限,建立對應(yīng)的屬性措施,采用控制臺加密封鎖,使文件服務(wù)器安全可靠;用先進的材料技術(shù),如低阻材料或梯性材料將隔離設(shè)備屏蔽起來,降低或杜絕重要信息的泄露,防止病毒信息的入侵;運用現(xiàn)代密碼技術(shù),對數(shù)據(jù)庫與重要信息加密;采用防火墻技術(shù),在內(nèi)部網(wǎng)和外部網(wǎng)的界面上構(gòu)造保護層。
3.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。我國需要大批信息安全人才來適應(yīng)新的網(wǎng)絡(luò)安全保護形勢。高素質(zhì)的人才只有在高水平的研究教育環(huán)境中迅速成長,只有在高素質(zhì)的隊伍保障中不斷提高。應(yīng)該加大對有良好基礎(chǔ)的科研教育基地的支持和投入,多出人才,多出成果。在人才培養(yǎng)中,要注重加強與國外的經(jīng)驗技術(shù)交流,及時掌握國際上最先進的安全防范手段和技術(shù)措施,確保在較高層次上處于主動。要加強對內(nèi)部人員的網(wǎng)絡(luò)安全培訓(xùn),防止堡壘從內(nèi)部攻破。
4.開展網(wǎng)絡(luò)安全立法和執(zhí)法。一是要加快立法進程,健全法律體系。自1973年世界上第一部保護計算機安全法問世以來,各國與有關(guān)國際組織相繼制定了一系列的網(wǎng)絡(luò)安全法規(guī)。我國政府也十分重視網(wǎng)絡(luò)安全立法問題,1996年成立的國務(wù)院信息化工作領(lǐng)導(dǎo)小組曾設(shè)立政策法規(guī)組、安全工作專家組,并和國家保密局、安全部、公安部等職能部門進一步加強了信息安全法制建設(shè)的組織領(lǐng)導(dǎo)與分工協(xié)調(diào)。我國已經(jīng)頒布的網(wǎng)絡(luò)法規(guī)如:《計算機軟件保護條例》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理辦法》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》等。1997年10月1日起生效的新《刑法》增加了專門針對信息系統(tǒng)安全的計算機犯罪的規(guī)定:違犯國家規(guī)定,侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)領(lǐng)域的計算機系統(tǒng),處三年以下有期徒刑或拘役;違犯國家規(guī)定,對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾,造成計算機系統(tǒng)不能正常運行,后果嚴(yán)重的處五年以下有期徒刑,后果特別嚴(yán)重的處五年以上有期徒刑;違犯國家規(guī)定,對計算機信息系統(tǒng)存儲、處理或者傳輸?shù)臄?shù)據(jù)與應(yīng)用程序進行刪除、修改、增加操作,后果嚴(yán)重的應(yīng)負(fù)刑事責(zé)任。這些法規(guī)對維護網(wǎng)絡(luò)安全發(fā)揮了重要作用,但不健全之處還有許多。一是應(yīng)該結(jié)合我國實際,吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗,對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學(xué)和完善;二是要執(zhí)法必嚴(yán),違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度,提高執(zhí)法的效率和質(zhì)量。
5.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)。一個網(wǎng)絡(luò)信息系統(tǒng),不管其設(shè)置有多少道防火墻,加了多少級保護或密碼,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設(shè)計生產(chǎn)的,就沒有安全可言;這正是我國網(wǎng)絡(luò)信息安全的致命弱點。國民經(jīng)濟要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實現(xiàn)。為此,需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測評估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。
6.把好網(wǎng)絡(luò)建設(shè)立項關(guān)。我國網(wǎng)絡(luò)建設(shè)立項時的安全評估工作沒有得到應(yīng)有重視,這給出現(xiàn)網(wǎng)絡(luò)安全問題埋下了伏筆。在對網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時,在立項時更應(yīng)注重對網(wǎng)絡(luò)的可靠性、安全性評估,力爭將安全隱患杜絕于立項、決策階段。
7.建立網(wǎng)絡(luò)風(fēng)險防范機制。在網(wǎng)絡(luò)建設(shè)與經(jīng)營中,因為安全技術(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使網(wǎng)絡(luò)經(jīng)營陷于困境,這就必須建立網(wǎng)絡(luò)風(fēng)險防范機制。為網(wǎng)絡(luò)安全而產(chǎn)生的防止和規(guī)避風(fēng)險的方法有多種,但總的來講不外乎危險產(chǎn)生前的預(yù)防、危險發(fā)生中的抑制和危險發(fā)生后的補救。有學(xué)者建議,網(wǎng)絡(luò)經(jīng)營者可以在保險標(biāo)的范圍內(nèi)允許標(biāo)保的財產(chǎn)進行標(biāo)保,并在出險后進行理賠。
8.強化網(wǎng)絡(luò)技術(shù)創(chuàng)新。如果在基礎(chǔ)硬件、芯片方面不能自主,將嚴(yán)重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術(shù)體系,利用好國內(nèi)外兩個資源,需要以我為主,統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,超越固有的約束,構(gòu)筑具有中國特色的信息安全體系。特別要重點研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。
9.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡(luò)就不能互連、互通、互動,沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前,國際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對安全。我們應(yīng)從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應(yīng)國際潮流的技術(shù)規(guī)范。
10.建設(shè)網(wǎng)絡(luò)安全研究基地。應(yīng)該把我國現(xiàn)有的從事信息安全研究、應(yīng)用的人才很好地組織起來,為他們創(chuàng)造更優(yōu)良的工作學(xué)習(xí)環(huán)境,調(diào)動他們在信息安全創(chuàng)新中的積極性。一是要落實相關(guān)政策,在收入、福利、住房、職稱等方面采取優(yōu)惠政策;二是在他們的科研立項、科研經(jīng)費方面采取傾斜措施;三是創(chuàng)造有利于研究的硬環(huán)境,如儀器、設(shè)備等;四是提供學(xué)習(xí)交流的機會。
11.促進網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。扶持具有中國特色的信息安全產(chǎn)業(yè)的發(fā)展是振興民族信息產(chǎn)業(yè)的一個切入點,也是維護網(wǎng)絡(luò)安全的必要對策。為了加速發(fā)展我國的信息安全產(chǎn)業(yè),需要盡快解決資金投入、對外合作、產(chǎn)品開發(fā)、安全評測、銷售管理、采購政策、利益分配等方面存在的問題。
【編輯推薦】
