陈家喜:构建信息化发展的安全之维
来源:
作者:深圳大学传播学院党委书记、教授 陈家喜
一般意义上的网络安全包含网络设备安全、网络信息安全、网络软件安全,而狭义上的网络安全则指网络信息的安全。网络安全与信息化的发展如影随形,又相辅相成。习近平总书记在“网络安全与信息化工作座谈会”上的讲话提出,“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”伴随我国信息化的迅猛发展,如何厘清网络安全与信息化的关系,如何建构网络安全的屏障,成为一个日趋重要的命题。
信息化的发展需要网络安全的保障。互联网带来社会交往、政府服务、企业经营和个人生活的深刻变革。现代社会的人们已经进入互联网捆绑的信息化时代:我们每天使用互联网、电脑、智能手机和移动终端,和家人、朋友、同事进行聊天、电邮、发信息以及工作交流。我们每天在网上进行交易,从银行转账到网络购物,再到接受公共服务。然而当互联网带来巨大福利、降低成本、提升效率的同时,也将政府、机构、企业和个人暴露在网络威胁之下。统计显示,2015年我国政府机构和重要信息系统部门的事件型漏洞近 2.4万起,约是 2014 年的 2.6 倍;网站的仿冒页面数量达 18 万余个,较 2014 年增长 85.7%;移动互联网恶意程序数量近 148 万个,较 2014 年增长 55.3%;我国网络安全形势不容乐观。初级网络黑客会盗取私人的银行信息、社交网络信息等进行诈骗;而高级网络攻击者则可能侵入国家的基础设施,比如金融、能源、电力、通信、交通等信息系统,造成网络系统的瘫痪,对国家利益、企业运行和终端用户造成极大的伤害。因此,网络安全已成为一个国家安全的重要内容,也是信息化健康推进的基本前提。
网络安全的确立需要信息技术进步的支撑。互联网的发展也带来网络攻击方法的变化。网络黑客采用各种方法获得网络空间信息的渠道:通过软件和硬件的漏洞进入,引诱人们打开受感染的电子邮件,以及访问带病毒的网站来传播恶意软件。网络黑客还会利用人们忽视网络安全常识的漏洞,比如不经常修改密码、不定期更新反病毒软件以及使用反病毒软件等开展网络攻击。而最近的网络安全攻击事件显示网络黑客从原先单一的攻击手段转向多种攻击手段的结合,综合使用非法接入、木马攻击、IP欺骗、网页仿冒、僵尸网络、网络嗅探、网址嫁接等手段,更加难以防范,危害也更为巨大。技术的问题需要技术的解决方法。面对网络攻击技术日趋复杂化多样化,网络安全技术也需要及时升级换代,实现技术治网。要从传统的防火墙、入侵检测系统、防病毒为主的边界保护,向以设备联动、功能融合为特点的安全免疫阶段转换;要加强安全智能、大数据分析、可视化等网络安全技术的升级,构建智能化监控系统;推动产品、功能和技术的融合,从设备、终端以及操作系统等确保用户的合法性和资源的一致性,实现全网安全事件的精确控制;建立以云安全、移动应用声誉分析、威胁信息分析和事件响应等为技术手段的新安全防护策略。
信息化的发展推动网络安全理念的转型。信息化的发展日新月异,从个人电脑互联网、无线互联网,物联网到大数据、云计算等;从web 1.0 到web 2.0再到web 3.0;从无处不在的网络,到无处不在的计算,无处不在的数据和无处不在的知识,信息化已经彻底地改变了我们的生活方式、社交方式和工作方式。信息技术和互联网的互联互通,不断创新、实时灵活等特点决定着网络安全治理的特定理念。习近平总书记指出,正确的网络安全观,要求网络安全是整体的而非割裂的,是动态而非静态的,是开放而非封闭的,是相对而非绝对的,是共同而非孤立的。上述网络安全观的提出,无疑契合了互联网的特性和信息化发展的趋势。正是由于数字空间的虚拟性、交互性、快速扩散性的特点,要求网络安全治理不同于其他形态的治理。它要求我们紧跟信息化发展的趋势,不断加强安全技术领域的创新,加强政府、企业、社会和个体,乃至国际社会在网络安全领域的合作,构筑具有整体性、动态性和协同性的网络安全体系。
网络安全的维护需要政府与社会的合作。尽管互联网是一个高度自我管理的网络世界,但不是“网络公民”可以完全自治的虚拟空间。网络威胁的存在不仅让单个的终端用户难以处置,即便是强大的政府也难以招架。网络安全威胁发展速度非常快,任何监管措施正式成文时都将过时,所以更好的办法是实现政府与社会合作,实现从个人和企业及时获得最新的建议和技术动态,从而做出相应的回应。习近平总书记指出,要发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等的作用。由于互联网是一个由网络企业、使用者、政府乃至国际组织等多元主体构成的虚拟空间,互联网治理也应是由所有利益相关方共同参与的治理过程。并且,网络安全的威胁日新月异,政府单一主体难以做到全面及时防御。利用互联网企业的技术优势,提升社会公众的网络安全意识,加强政府和社会的互联网基础设施建设,成为世界各国加强网络安全的普遍做法。引导私营部门成立网络安全小组或协会,加强业内之间、业内与政府之间的网络安全威胁信息共享与沟通,实现“以网管网”。