网络安全：一场令人纠结的持久战

本报记者 张伟报道　　针对日益严重的网络安全问题，工业和信息化部部长李毅中日前表示，网络安全要标本兼治，重在治本，目前相关部门正在研究实施手机、网络实名制。对此，网络安全服务提供商的代表们发表了各自不同的看法。　　靠技术还是实名制　　江民新科技术有限公司策划部总经理曹凌翔向记者表示，技术的问题是永远存在的，因为操作系统和各种网络应用程序可能存在这样那样的未知漏洞，安全厂商永远不可能预知或封堵住所有的安全漏洞，从这种意义上讲，网络也永远不可能百分之百安全。　　“实行实名制是网络安全有效治本手段之一，在发现相关网络犯罪后，可以有效追踪犯罪嫌疑人的身份。”但曹凌翔认为，手机、网络实名制在执行上存在漏洞，经营者从经济利益考虑，怠于核实用户提供信息的真实性，因此有关部门应加大对经营者的问责制，迫使经营者加强对用户的身份审核，封堵各种漏洞。　　对于实名制是否符合市场经济规律，曹凌翔认为，市场经济也应该有序进行，涉及网络的经济犯罪已经严重搅乱了市场经济秩序。“等价交换”是市场经济原则，而黑客和各种网络犯罪者却通过在网上盗号窃财不劳而获，落实手机、网络实名制有利于市场经济的良性发展，打击犯罪，维持市场经济秩序。　　瑞星互联网攻防实验室高级研究员刘思宇表示，从互联网设计的基础来看，对于匿名性、开放性有很多考虑，而且全球的互联网都是连接在一起的，单个国家或地区实施实名制，尽管能提高对散播病毒、黑客攻击的可追查性，但对于境外的网络威胁并无实际意义，更根本的措施还是从技术角度来解决网络安全问题。　　刘思宇认为，在目前的条件下，保障网络安全并不存在技术上的障碍，更多的是由于管理者、法律对于新型犯罪考虑不够，在防护措施上应对不够，而侵害发生后对黑客的追查也没有达到令人满意的程度，从而造成司法机构在网络管理上的力量薄弱。他强调，互联网应用瞬息万变，随之带来的网络威胁层出不穷，因此法律监管工作应着眼于目前互联网的发展现状。　　美国易安信公司(EMC)执行副总裁、信息安全事业部RSA全球总裁亚瑟·科维洛表示，手机和网络实名制是中国为了打击网络色情、在线欺诈和网络犯罪出台的政策，其根本目的就是为了了解手机用户和网站拥有者的真实身份，以便于管理。 这样做可以解决部分问题，但不能解决全部问题。比如用假身份证申请手机、网址， 或将托管服务器移到中国以外的其他国家，中国政府就难以管控。　　亚瑟·科维洛认为，应对网络安全问题，技术不是障碍，好的技术层出不穷，关键是策略和对信息风险的认识，只要深刻认识到这一问题，制定出策略，技术上就可以实现。他同时表示，立法是网络安全发展的当务之急。对于手机、网络实名制是否符合市场经济规律的问题，他认为，每个国家的政府都有网络安全的监管责任，企业和个人要遵守国家的法律，同时法律的制定应该参考技术的发展和专家的建议，保证正常的业务运作，做到人性化和智能化。　　网络安全教育要加强　　赛门铁克公司日前公布了其面向全球企业进行的《2010企业安全研究报告》调查结果。研究发现，42%的企业将安全列为企业的首要问题。从2009年有75%的企业曾遭受网络攻击的数据来看，42%的企业更看重安全问题并不令人惊讶，何况这些攻击对企业造成了平均每年200万美元的损失。　　中国互联网络信息中心和国家互联网应急中心最近联合发布的《2009年中国网民网络信息安全状况调查系列报告》显示，2009年52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元。　　对此，亚瑟·科维洛表示，过去一段时间，互联网应用之所以面临严重的安全问题，主要是由于信息量的快速攀升、访问这些信息的身份数量攀升和支持这些信息访问、信息创建的基础架构快速扩张造成的。　　中国电子商务研究中心的专家表示，2010年对于网络安全来说仍然是严峻的一年，更多的安全问题会逐渐显现，越来越多的新型安全威胁将以前所未有的速度发展，“总而言之，2010年网络安全形势严峻”。　　“目前网络安全感和信任度不断降低，网民网络安全意识亟待提高。”赛门铁克公司中国区消费产品事业部总经理黄智华表示，虽然网络安全事件频繁发生且造成较大损失，但网民的安全意识仍然相对较低。《2009年中国网民网络信息安全状况调查系列报告》显示，仍有4.4%的网民个人计算机未安装任何安全软件；在2.33亿手机网民中，仅有1／4的手机网民担心会出现手机安全问题，不足8%的手机网民安装有手机安全防护软件；近五成的网民不重视网上的安全公告。　　黄智华表示，用户对于网络安全的认知和良好习惯的培养需要加强，政府和产业界应齐心协力，共同提高用户的网络安全信任感和安全度。赛门铁克公司与行业内相关机构以及合作伙伴进行全方位的合作，共同提升用户安全保护意识。　　产业生态圈各司其职　　“加强应用本身的安全是网络应用安全的关键。”联想网御新技术研究所所长王智民表示，网络应用之所以不安全，其中很关键的一点是应用程序本身不安全，给网络攻击留下了可乘之机。信息安全的核心在于“信息数据”的安全，而在数据处理中应用是关键。随着网络的快速发展，网络应用类别越来越多，应用复杂度也越来越高，人们逐渐发现，单纯解决数据的访问和传输的安全已经无法很好地保障信息安全，必须高度重视维护关键应用的安全，从数据的产生、计算和存储等多个角度来思考和解决。　　刘思宇认为，对于网络安全的保护，产业界应该各司其职，国家要及时制定互联网安全的相关法律法规和政策，执法部门要对涉及互联网安全的犯罪进行严厉打击，同时电子证据采集等技术需要广泛应用。相关政府职能部门应加强对涉密网络的严格管理，对市场上的安全产品进行严格监管，防止漏洞、后门等侵害要害部门，加强对网络安全的部署与管理。从技术角度，安全厂商应进一步增强对网络安全产品的研
发力量，使之适合更复杂的网络环境。同时，还需要加强对网络管理员的培训，加强对企业网络、网站服务器的安全管理。　　曹凌翔认为，要形成政府有关部门从立法和管理机制上治本、安全厂商从技术上治标的“标本兼治”的良好局面，政府有关部门应加大管理力度，启动严格问责制，细化网络安全法律法规并切实执行；网络安全提供商应研发出更先进的安全技术，建立更迅捷的安全响应机制，减少各种黑客攻击的可能性，主动防御各种计算机病毒和木马于系统之外。　　“在网络安全面临严重威胁的情况下，需要政府、运营企业与行业协会三方面通力合作解决问题。”工业和信息化部通信保障局局长王秀军指出，一方面，政府、运营企业需要进一步增强网络安全防护工作的责任感、紧迫感，建立健全自上而下的通信网络安全防护技术和监管体系；另一方面，随着我国政府部门的行政管理体制和职能的逐步转变，充分发挥产业的自我调节和管理能力也已经成为政府促进产业安全健康发展的重要工作，而行业协会则要起到纽带的作用。　　黄智华表示，有效解决网络安全问题，产业生态圈应坚持依法管理、科学管理、有效管理，加快形成依法监管、行业自律、社会监督、规范有序的互联网信息传播秩序。