经济信息网络安全不容忽视

本报记者：张传亚

特邀嘉宾：北京信息技术应用研究所研究员王文然

本题提示

随着经济全球化、社会信息化进程的不断深入，经济信息网络在经济生活中占据了越来越重要的位置。为促进我国经济信息化建设，我国政府适时地启动了“金桥”、“金关”和“金卡”工程。经济信息网络安全问题将变得越来越突出。

记者：为促进我国经济信息化建设，我国政府适时地启动了“金桥”、“金关”和“金卡”工程。经济信息网络安全问题对我国经济安全的影响非常大。从专业角度上讲，经济信息网络安全的含义是什么呢？

王文然：经济信息网络的安全包括网络和信息两个方面的安全性。网络安全是指在两个实体之间保证信息交流以及通信的安全可靠，满足计算机网络对信息安全的可用性、完整性、保密性、真实性、实用性和可维护性等的要求。信息安全是指保护信息资源，防止不良的外来信息的入侵和防止信息的泄露、修改和破坏，保证信息安全和可靠。

记者：请问信息网络对安全有哪些要求；为什么各国经济信息网络安全的要求要比通常信息网络更严一些？

王文然：通常信息网络安全的要求包括：通信加密、数据完整性、身份认证、授权控制和防止否认等，而经济信息网络往往要求安全性更严。因为其一，随着国民经济信息化的迅速发展，金融网络和企业网络的信息系统的应用将更加广泛和深入，对安全性的要求越来越高。例如，电子商务交易中，要保证电子交易的安全性，保证机密商务资料不泄露等等，都需要信息网络相当的安全性。其二，因特网信息传输的广域性和网络协议的开放性带来比任何一种网络都更为严重的不安全因素。特别是在世界冷战结束后，在国际关系中，经济关系上升到主导地位，信息网络已成为经济信息竞争和斗争的重要场所，所以网络系统的安全性已涉及到国家主权等许多重大问题，如一些军方和情报机构人员认为，不断发展壮大的、世界性的信息网络对国家将会是一种严重的威胁。记者：在网络技术已经十分发达的今天，信息网络安全主要存在哪些威胁，今后发展趋势又会怎么样？

王文然：信息网络安全存在的威胁主要表现在：非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听、拒绝服务等。随着网络的发展，信息网络安全问题日趋严重，例如：美国《信息周刊》1997年的一项调查显示，在美国，计算机系统遭受外部破坏的次数比1996年提高了16％；美国联邦调查局（FBI）统计，美国每年因因特网安全问题所造成的经济损失高达75亿美元。

记者：请您谈谈犯罪分子攻击经济信息网络的主要手段和突破口有哪些？

王文然：攻击信息网络的手段主要包括：利用网络破坏金融秩序，剽窃信息产权等；通过网络监听获取网上用户的帐号和密码；攻击密钥管理服务器，取得密钥或认证码，从而获得合法资格；利用Unix操作系统提供守护进程的缺省帐号进行攻击；突破防火墙；利用FTP（文件传送协议），采用匿名用户访问进行攻击等。至目前，已知黑客的攻击手段已多达500余种。突破口主要选择薄弱环节进行攻击；借休息日之机，对网络发动攻击的案件急剧增加。日本、欧美等国均出现此种现象。今年元月前后，仅在日本国内就被确认发生了100多起集中“攻击”的案件。来自网络内部的危害更大：根据美国最权威的统计，80％的黑客来自网络内部。据有关调查报告指出，近78％的企业已经因泄密受损失，其中25％的企业损失超过25万美元，但其中近32％的事件由内部黑客所为。据审计资料表明，多数安全风险与口令有关，FBI报告称，由于计算机安全犯罪，每年有大约75％的美国公司蒙受损失。

记者：您认为应该采取什么措施才能有效地保障网络安全不受损害？

王文然：占第一位是管理的安全措施，这个问题首先要从组织上进行落实，要制定相应的规章制度和措施，责任到人。其次是对信息的安全管理，对各种信息进行等级分类（绝密、机密、秘密和非保密信息），对保密数据，从采集、传输、处理、储存和使用等整个过程，都要对数据采取安全保护措施，防止在任何环节中出问题。第三是对人事的审查和管理，对需要接触保密信息的人员，必须进行安全审查，对所有岗位都要建立安全授权制度，任何人不得超越权限调用未经授权使用信息，同时要制定安全教育措施和安全检查制度。

占第二位的是物理安全措施，这里主要指计算机机房实体安全（包括机房场地环境选择、机房安全等级以及机房的内装修、防静电、防磁场、防电磁辐射等安全技术）和传输线路的安全要求；防止非法入侵攻击和自然灾害的破坏；对于储存数据磁带、磁盘和光盘等介质安全保护以及资源和设备的备份等。

占第三位的是技术安全措施，主要措施有，设置防火墙（在内部网和外部网之间实施安全防范的系统，可被认为是一种访问的控制机制，用于确定哪些内部服务允许外部访问以及允许哪些外部服务访问内部服务）、加密和解密（主要用于保证电子文件在网络系统储存和传递中的安全）、电子签名和身份认证（用于网络用户和服务器的防伪、防抵赖）、电子签证机关（主要指加密、解密、电子签名和身份认证的管理机构）。

最后一项是关于法律安全措施，做好信息网络安全工作，必须要有一个法律规范，依法行事。在我国，特别是因特网在我国开始应用以来，我国政府对信息网络的安全问题一直在关注，近年来陆续制定公布了许多法规，例如《中华人民共和国计算机信息网络国际联网管理暂行规定》、《国务院修改国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》和《计算机信息网络国际联网安全保护管理办法》等。然而在我国目前尚缺乏比较健全的法律或法规。现在国外普遍认为，计算机犯罪不是一个技术问题，而是属于法律范畴的问题，因此只能从政治、政策和立法上去处理。