7月4日消息,2012年中國計算機網絡安全年會今日在西安舉行,工業和信息化部通信保障局熊四皓副局長發表了“當前互聯網安全幾個熱點問題和應對思考”的演講。
工業和信息化部通信保障局熊四皓副局長
以下為演講實錄:
尊敬的沈昌祥院士,各位來賓,女士們,先生們,上午好!很高興參加由國家計算機網絡應急技術處理協調中心主辦的2012年中國計算機網絡安全年會。
經過多年的快速發展,我國信息化建設和信息通信產業發展取得了巨大的成就,信息通信網絡已經成為國家的關鍵基礎設施,互聯網在國家政治、經濟、文化、軍事等方面的戰略性地位日益突出。近年來,在全行業的共同努力下,我國基礎通信網絡安全狀況總體平穩,安全防護水平明顯提升,網絡安全事件應急處置工作水平顯著提高。但我們也要清醒的看到,網絡空間安全威脅形態日趨復雜,安全攸關利益主體日趨多元,網絡空間安全與傳統政治、經濟、軍事安全緊密結合、相互轉化,網絡安全事件頻發,網絡違法犯罪行為猖獗,新技術新業務快速發展引發的新型網絡安全問題不斷增加。總的來看,“十二五”期間的網絡安全形勢將更加嚴峻,面臨的挑戰將更加巨大。
當前,我國互聯網網絡安全的熱點問題主要有:
一是構建網絡信任體系是當前制約我國互聯網發展的最大安全挑戰。網絡安全工作的目的和歸宿是實現網絡信任。只有在可信的網絡環境里,電子商務、電子政務才能得到有力發展,網絡犯罪、網上虛假信息和謠言傳播才能得到有效遏制,互聯網作為新興生產力對經濟社會發展的革命性促進作用才能得到充分發揮。
目前,我國互聯網誠信體系建設還剛剛起步,存在的問題還很多。比如網絡釣魚、仿冒網站、釣魚短信等網絡欺詐行為十分突出,給用戶和企業造成嚴重損失;偽造地址發動網絡攻擊,利用虛假身份毀壞公民個人和企業聲譽的情況比較常見(據CNCERT統計,DDoS的70%是由虛假地址發起);網絡信任問題成為制約云計算和電子商務發展和普及的主要障礙之一;互聯網用戶個人信息竊取和販賣問題突出,社會公眾和企業使用互聯網的信心受到抑制。
網絡信任體系建設是復雜的系統工程,涉及網絡身份管理、網上行為管理、打擊網絡犯罪、網絡法制建設、網絡基礎設施建設、網民道德和安全意識教育等諸多方面,需要國家從全局和戰略的角度加強統籌規劃,需要政府、企業、用戶、行業組織、技術支持機構共同努力。當前應著重抓好網絡信任體系建設的突出矛盾和問題,加強網絡身份管理,推行網絡證書制度,并在電子商務、電子政務等領域率先啟用;在移動互聯網、云計算、物聯網、下一代互聯網等新興產業發展進程中要同步考慮解決網絡信任的問題,不能走先發展再治理的老路;要求運營企業加強監測手段建設,提高網絡安全事件的發現和追蹤溯源能力;啟動源地址認證工作,減少通過仿冒IP地址發起的網絡攻擊行為;提高對木馬僵尸網絡等網上惡意程序的監測發現能力,持續開展治理行動,完善相關法律,進一步明確網絡犯罪的量刑,加大執法力度。
二是移動互聯網快速發展帶來的網絡安全問題日益突出。近年來,移動互聯網已經成為信息產業中發展最快、創新最活躍的領域。寬帶無線通信技術的演進和移動智能終端的普及為移動互聯網的發展注入了強大的動力。移動支付、基于移動用戶位置信息的服務等各類創新應用不斷涌現,極大的豐富了用戶的業務體驗。移動智能終端、應用軟件和軟件商店的緊密結合,構成移動互聯網獨特的業務運營模式,深刻的影響著用戶的消費習慣和產業格局。與此同時,移動互聯網和智能終端的安全問題也備受關注。一方面互聯網上原有的惡意程序傳播、遠程控制、網絡攻擊等傳統網絡安全威脅向移動互聯網快速蔓延。另一方面移動互聯網終端與用戶利益密切相關,惡意吸費、用戶信息竊取、誘騙欺詐、網絡攻擊等惡意行為的影響和危害十分突出。分析移動互聯網安全日益凸顯的原因,至少包括以下方面:一是在互聯網的可信可管沒有從根本上解決的情況下,作為移動通信和互聯網融合的產物,移動互聯網安全依然沒有可靠保證。二是移動智能終端、操作系統和應用軟件尚處于發展演進當中,自身安全和相關安全產業走向成熟還有很長的路。三是智能終端有限的存儲和計算能力、寬帶無線網絡和有限的空口資源使移動互聯網安全防護的可擴展性大大降低。四是黑客地下產業鏈日益將互聯網作為攫取經濟利益的目標,移動用戶安全防范意識和技能的薄弱進一步加劇了安全威脅。五是我國移動互聯網和智能終端自主可控能力不強,距國際先進水平還有相當大的差距。
當前我部重點從以下方面開展工作:一是圍繞智能終端、應用商店帶來的用戶信息泄露、手機惡意程序等問題開展研究和安全評估,根據評估結果對移動互聯網企業和終端廠商提出整改要求。二是指導互聯網企業和技術機構開展移動互聯網惡意程序監測、處置,凈化移動互聯網環境。三是在手機進網許可環節,對手機操作系統和預裝應用程序開展安全檢測工作,防止手機帶病入網。四是研究強化手機應用商店安全監管,督促落實應用商店經營者安全責任,加強安全檢查。五是支持手機安全產業發展,指導中國互聯網協會加強反網絡病毒聯盟建設,建立手機惡意程序舉報機制,發揮社會和輿論監督作用。
三是用戶個人信息安全問題引發社會廣泛關注。近年來網上網下竊取和販賣用戶信息的違法犯罪行為屢禁不止,嚴重侵害用戶利益。金融、教育、醫療、電信、房地產、物流等領域掌握了大量用戶信息,但不同程度存在濫用和販賣用戶信息的行為。保護用戶信息安全是一項系統工程,需要多部門合作,立法、行政、技術、自律等多措并舉。工信部作為行業主管部門,做好電信和互聯網行業的用戶信息保護工作是我部職責。客觀的說,電信和互聯網行業在用戶信息保護方面,還有不少工作需要進一步加強。去年年底, CSDN、天涯社區網站發生用戶信息泄露事件,涉及3700多萬注冊用戶。分析用戶信息泄露事件頻發的原因:一是隨著互聯網發展和普及,網上采集和存儲了越來越多的用戶信息,客觀上增加了用戶信息泄露的風險和保護難度。二是企業安全意識不強,安全管理制度不健全,網絡安全防護水平不高,給黑客入侵或不法分子販賣用戶信息以可乘之機。三是網絡違法犯罪行為猖獗,網上網下竊取販賣用戶信息的行為普遍。四是我國缺乏用戶信息保護的專門法律,現有法律無法適應打擊危害用戶信息安全犯罪的需要。現有刑法僅規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員將在履行職責或提供服務過程中獲得的公民個人信息出售或者非法提供給他人應受到法律處罰”,而對其他行為主體出售或非法提供用戶信息的行為,以及在中間環節傳播和販賣用戶信息的行為處罰缺乏規定。
推薦閱讀
高考學子遭木馬盜號,招生網站暗藏“暴雷”攻擊。近日,多位學生在瀏覽招生信息后發現學校網站已被黑客攻擊,盜號木馬利用漏洞侵入了自己的電腦,據360數據顯示,360安全衛士和瀏覽器每天攔截“暴雷”掛馬超過8萬次。>>>詳細閱讀
本文標題:熊四皓:互聯網安全幾個熱點問題和應對思考
地址:http://www.xglongwei.com/a/11/20120704/73245.html
網友點評
精彩導讀
科技快報
品牌展示