网络信息安全问题的由来与发展网络信息安全问题的由来与发展宁家骏国家信息化专家咨询委员会委员二0一五年二月各位领导、朋友们,大家好,我是国家信息中心宁家骏,今天很高兴就《新时期加强网络信息安全保障工作》的一些问题跟大家交换一下我自己学习的体会。我主要想跟大家交流这样三个议题,一个是网络信息安全问题的发展与由来;第二个涉及到电子政务和电子商务、网络信息安全的一些问题;第三个问题是希望加快制定和落实我们网络安全治理的一些策略,推进网络信息安全治理的工作。大家都知道,上世纪40年代有两件大事影响了整个人类文明发展的历程。一个是发生在我们国家的社会主义革命,以1949年中华人民共和国的成立为标志,开启了中国和平崛起的进程,改革开放30多年加快了这个进程。另一个是1946年在美国发生的第一台电子数字计算机为标志的当代信息革命的开始,大家都知道,随着90年代互联网的普及和应用,信息革命席卷全球。去年,我们国家在浙江省的乌镇召开了首届互联网世界大会,因为我们看到互联网的影响日益深化,但是带来的最大挑战是什么?就是安全问题。安全实际上是我们现代社会各界都非常关注的问题,最近我们看到,有一个未成年的17岁小孩利用我们一些银行安全的漏洞,爆刷了十几亿的资产,这个教训非常深刻。所以我今天讲的第一个问题就是我们信息安全的综述,我们首先讲一下网络安全问题的现状和它形成原由,以及在这个情况下我们各级干部、广大政府、我们的工作人员都要培养我们自己的网络安全意识。一、信息安全的现状信息化社会已经成为当今大家都要面对的一个现实,我们现在每个人都有手机,现在,计算无处不在,我们每个人的手机都是一个几年前功能很强大的一个个人电脑,现在无论在国防建设,在我们国家的能源、交通,在我们的企业的生产经营,在我们的政府的管理,特别是在我们个人的学习和生活中间,我们都离不开信息化社会的影响,都不能离开信息化社会。比如现在我们都有网上银行,我们手机都有个人的微信,我们现在都进入了移动支付的年代,我们都有手机钱包/支付宝。这些说明信息化社会已经渗透到我们生活的方方面面,每一个角落。信息社会的最大特点是什么呢?就是离不开网络的支撑,我们现在对网络的依赖程度越来越高。网络的特点是可以把身处异地的人、物、事情联在一起,大大缩短了我们物理上、时空上的距离,所以决定了它的前景非常广泛。但是大家知道,互联网是一个开放分布式的协同的计算网络环境,从根上说,互联网没有一个严格的统一集中的管理,它是一个分散化的东西。虽然在域名上有一些管理,但是结构是比较松散的,因为这个我们常说互联网是一个草根型的网络,它分散管理确实便于互联,用户之间也比较透明,在这种状况下,便于实现大家对资源的共享。但是另一面,这种应用依赖于网络资源,如果网断了,我们就什么事干不成了。比如我们现在可以异地存钱、支付,过去我们存钱在哪个储蓄,所存的只能在那取钱,现在全国联网,哪儿都可以通存通兑,但是如果没有网络的支撑,这也是不行的。我们过去很多部门建了一些封闭的专网,但是慢慢的,很多专网也要像互联网延伸,因为互联网有大量的信息,有大量的客户,大家都离不开互联网。比如现在城市里的滴滴打车、快滴打车,我们现在的电子商务,我们在网上淘宝,所以总的来说,今后信息化有美好的憧憬。网络的存在还养成了我们对网络行为的习惯,现在年轻人特别是小孩,甚至婴幼儿,很早就上网,这是我们当前的一个特点。网络化带来的一个不可分割的问题就是网络安全,全球的网络化不仅把计算机连接起来,把网页连接起来,而且把所有的信息资源连接起来,现在我们有下一代互联网,有物联网,还有万联网,就是把人和物都联结在一起,这样的话,使得面临的安全问题越来越复杂,所以安全也成为我们网络服务一个根本的保障。首先是网络要可以,用网断掉了、被破坏掉,那就不行。第二,网络信息要提供完整。另外,网络信息要保护我们国家的、企业的、个人的私密。现在,网上盗取个人信息非常普遍,影响也非常大,而且,很多问题我们国家的安全、政府的安全、企业的安全也受到影响。总的来说,网络安全是一个令人担忧的事件,正因为这样,去年在我们国家的网络安全上,有了一个划时代的意义,中央成立了网络安全与信息化领导小组,并且亲自由总书记担任组长,这个小组和办公室规格之高,所未有,影响也是非常深远。因为现代安全事件不断,经常使系统受到攻击,而且计算机犯罪也非常猖獗。我们很多人的东西都受到了损失,国家利益也受到了影响,企业的商业秘密也有被破坏。在这种情况下,互联网发展到今天,安全超越了技术的范畴,安全决定成败,安全是当前我们核心竞争力的一个重要标志,谁掌握了安全,谁就掌握了发展的命脉,谁就能够在互联网的发展和应用中占据先导的、主导的位置。二、网络不安全的原因及其根源(一)网络不安全的原因网络为什么不安全?有很多原因。首先我们从管理上说,我们从自身来说,我们缺少安全的意识,比如我们个人设计的密码,经常是我们叫弱口令,或者等于没有口令。比如我们经常在手机或者银行帐号、网银上设置的密码过于简单,把自己的生日当做密码,或者是一些常用的123456,这些都是我们缺少安全意识的表示。另外,我们人有惰性,就是说不愿意,按说我们的口令应该经常变化,但是我们经常很难这样做。另外,在技术上也有很多缺陷,这是比较硬的因素,主要是互联网发展的过程是从一个开放的、草根式的网络逐步地滚大。另外,我们在整个计算机的设备的设计中间也有缺陷。另外,我们过去开发的一些软件本身也有缺陷。比如它可以有更很好的一些很高级的读写指令,它可以随便地侵入我们个人的数据中间,当然还有一些人恶意破坏。信息的漏洞往往在我们通过网络在传递信息的时候,有可能被人窃取,就像我们物理上丢钱包一样,你自己虚拟的也被丢掉。另外,信息有可能被人冒充。另外,有可能被人篡改,这些都是我们当今必须看到的在互联网信息安全的一些原因。同时,有人做了坏事还可以抵赖。现在,由于互联网和电话网、电视网的结合,使得互联网的风险更加提高了,我们互联网受到破坏之后,就会影响到其他网络,比如电话网、电视网和其他的东西。造成这种安全问题的第一个是病毒,病毒是什么呢?大家知道,跟我们人生病感染病毒一样,它侵入我们正常的肌体,使我们某一个部分不能发挥作用,也就是传染。计算机病毒也是一样,恶意的代码侵入了你正常的系统,使你的系统不能很好地工作,它可以侵入你的PC机,侵入你的手机,如我们感染病毒,手机自动地跑话费,而且还可以攻击到后台,比如大型机、小型机,这是我们说的第一个原因。第二个原因,计算机的病毒检测和发现对病毒来说,也是比较困难的一件事情。就像你得了病,开始它有潜伏期,你没有发现,你觉得你是好人,但实际上你可能感染了病毒。计算机也是这样,它侵入到你的计算机之后,可能不是马上发作,而是等待时机再发作。之所以有这样的病毒,我们计算机或者信息系统或者网络受到安全,网络受到黑客的攻击。黑客本来是指计算机水平高超的一些专家,他们可以侵入到你正常的系统里,不经授权修改你的程序,修改你的系统,现在这个东西已经成为一个在互联网上、在信息系统中未经允许做坏事的一个代称。在这种情况下我们可以看到,黑客攻击的方法非常多,比如它想办法获取你的口令。第二,它利用电子邮件盗发或者骗取。另外,它可能在你的系统里埋下一些后门,寻找你的漏洞。这是一个示意图,比如在互联网上,一些黑客他们可以找到你隐蔽的通道,找到你的后门,不走正门,然后对你进行攻击。另外,或者是在你的系统里,安装一些所谓的逻辑炸弹,也就是埋下一些定时炸弹,当你的程序系统走到一定的逻辑的时候,这个炸弹嘣的一下就爆发了,使你的系统瘫痪,或者被破坏。还有一种是通过黑客攻击,使得你的机器不干活了,我们叫做拒绝服务,本来你的机器应该正常工作,它把你的资源全抢占,让你的电脑或者是系统不能够从事正常的服务,这种攻击也是影响非常坏的。比如很多黑客是利用所谓的特洛伊木马潜伏在你的系统内部,它在那里不断地获取你的数据,没用的它就不管,比如你的口令、密码的时候,它就把它获取了。获取了之后,为了用你的口令密码注册进去,骗取你的内部资源,骗取你的资金、资产,这些都是非常危险的。在这种情况下,我们要警惕我们当前这样一些东西,我们看到在网络上存在着各种各样的非法入侵者,使得你的系统可能资产被破坏,资金会被盗取这样一些行为。我们常说的拒绝攻击的办法,它通过互联网在你的系统里头,把你的每一台机器都感染了,所谓蠕虫病毒之后,使得那些服务器系统不再工作,这也是给你植入了逻辑炸弹,当一定的逻辑的时候,它让你的系统死机、宕机。以上我简单介绍了一下我们常见的一些安全问题和一些影响。(二)网络安全问题的根源安全问题一方面是由于互联网结构松散,网络没有集中控制造成。另一方面也是由于我们当前大量使用这种开放式的系统、系统的开放性造成的。同时,由于我们在应用程序中不可避免的会有一些失误,也就是我们常说的bug。大家知道,计算机信息系统的程序都是由人来编制的,人是可能出错的,这些黑客或者这些安全问题正是找准了我们一些漏洞、一些失误,进而进行破坏。所以信息安全问题产生的根源常常说是因为有病毒,有黑客,或者是有漏洞,是不是这些问题就是我们网络安全问题的根源呢?我们说这个答案是比较浅薄的,或者说不正确的、不全面的。这些都是原因,但它没有说到我们网络安全问题的根源,根源还是两个层次,一个层次是内因,就是我们信息系统、网络系统自身的脆弱性,它的不健壮性,由于它过程复杂,结构复杂,应用复杂。第二个原因是外来的威胁和破坏,这个是由于有利益关系,受利益的驱动就犯罪,所以有人为的,有环境的问题。内在的问题,由于信息系统本身从系统理论上说,程序和数据都存在失误的可能性,也就是不确定性。在我们任何一个软件的编制,也就是信息系统或者电脑,我们设计的时候,都会优先考虑怎么好用,怎么满足用户的需求,而把安全往往放在后面,因为安全这块必然带来应用的复杂。这是我们一个天生的弱点,所以人有可能犯错误,你可能无意识的比如产生一些误操作。另外,我们的维护工作也可能不及时,比如银行的网银帐号,你是不是经常改变?我们的口令是不是经常重新设置?往往我们都做不到。内在的一个原因是我们现在信息系统做的越来越大,越来越复杂,结构越复杂,出错的可能性越大。而且现在,我们网络的环境也越来越复杂,这是一个原因。另外一个是我们内在的,由于应用系统越来越复杂,我们要处理的事情越来越多,在使用上,我们往往既要要求快,又要求好,可能对安全就疏忽了。我们说外部的原因更多,是来自于人为的威胁,这个我们可以说有三个层面。首先是现在大家知道的原因,在国家层面上就有很多安全的威胁,国家之间利益的根本对抗是影响网络安全最根本的一个原因。第二,还有很多,比如共同面对的威胁,比如犯罪分子、恐怖分子。像现在恐怖分子利用网络宣传致暴,怎么样来制造暴力事件,包括之前网上教人怎么做炸弹,这些问题都是必须要坚决打击的。当然我们现在还有很多企业,面对企业的商业间谍活动,还有一些犯罪团伙故意盗取资金。还有一些局部的安全,有些人他小孩他不懂,学了黑客的一些东西,为了卖弄自己的才能,以这个为乐。外因还有与自然的威胁,比如我们现在可能有地震,可能有洪水,有断电,这给我们的电脑、给我们整个信息系统、给网络都会带来瘫痪、中断的威胁。像四川省这几次大的地震对整个计算机网络造成了很大的损失,包括电信网、互联网都有影响,当然很快就恢复了。如果我们平常不注意数据的备份,不把我们的系统做好备份,中断之后就很难完全恢复出来,这也是很危险的一件事情。上升到知识这个角度考虑,信息安全保障的背景是非常重要的。当今我们进入了信息安全和信息化发展的一个新时期,所以我们必须了解前面这些东西,要了解这个背景。在这样一个信息安全发展的新阶段里,可以看到,我们过去简单的只有电话、电报,后来有了计算机,有了网络。现代,我们进入了一个全民信息化社会的新的阶段。现代网络化社会不仅仅是有专网、有互联网,大家知道还有物联网,比如家里的智能电表、智能水表都可以连接起来,直接了解。现在,我们还有各种健康服务,比如我们戴的手环,大家通过手机APP就了解我们每个人的健康情况,也可以在