书城计算机信息革命
15359000000033

第33章 利剑双刃(4)

网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益。2012年,针对我国境内网站的钓鱼页面有22308个,涉及IP地址2576个;接收到网络钓鱼类事件举报9463起,较2011年大幅增长73.3%。且针对我国的钓鱼站点有96.2%位于境外,其中位于美国的2062台主机承载了18230个针对境内网站的钓鱼页面,位于美国的钓鱼站点数量在全部境外的钓鱼站点中所占比例高达83.2%,位居第一。由于互联网用户通过网络开展的经济活动持续增多,在线销售和支付总额增长迅速,窃取经济利益成为黑客实施网络攻击的主要目标之一。这些钓鱼网站中,仿冒网上银行的约占54.8%,进行虚假抽奖或中奖活动、虚假新奇特或低价物品销售活动的约占44.7%。钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。2012年,仅国家计算机网络应急技术处理协调中心监测发现被黑客骗取的用户银行卡信息就达1.8万条。

这组触目惊心的数据,显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域工作了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国‘八大金刚’面前。”

4.2.2人们对信息安全的认识

根据中国互联网络信息中心(CNNIC)发布的《2012年中国网民信息安全状况研究报告》(以下简称《报告》)显示,经过各种媒体广泛宣传,中国网民网络安全意识普遍增强,90.3%的网民知道要重视信息安全,但大部分人对信息安全事件的危害程度和原因了解较少,知道信息安全事件会给自己、给其他人带来不良影响的网民分别占57.2%、41.4%。

网龄和学历决定了网民对信息安全事件危害的了解程度。网龄越长的网民,对信息安全事件的危害越了解。4年以上网龄的网民中,知道信息安全事件会给自己、给其他人带来不良影响的网民分别占62.0%、45.4%,比例高于网龄在4年以下的网民。学历越高的网民,对信息安全事件的危害越了解。知道信息安全事件会给自己、给其他人带来不良影响的网民比例,从小学及以下的42%、24%,逐渐提高到硕士及以上的78%、66%。

绝大多数网民都会采取措施保护信息安全。在全体网民中,只有3.8%的网民不采取信息安全保护措施。在采取保护措施的网民中,平均每个网民采取5.3种,其中47.9%的网民采取4~6种措施。采用最多的信息安全保护措施是安装安全防护软件,有87.3%的网民安装,用户数为4.7亿。

我国信息安全状况不容乐观,而且网民对信息安全危害意识程度不够。有84.8%的网民遇到过信息安全事件,在这些网民中,平均每人遇到2.4类信息安全事件。在众多信息安全事件中垃圾短信和手机骚扰电话发生比例最高,分别有68.3%和56.5%。而“欺诈诱骗信息”“假冒网站”等新型信息安全事件甚至超过了部分传统信息安全事件。38.2%的网民遇到过“欺诈诱骗信息”,这一比例甚至比传统的“中病毒或木马”的网民比例高出15.1个百分点。但在遇到信息安全事件的网民中,高达47.5%的网民不做任何处理,网民对信息安全事件的危害并不了解或不在意。

随着网民在互联网上进行注册、提供个人相关资料等行为的日益频繁,其对个人信息安全的关注度也逐步提升。CNNIC报告表明,国内八成以上的网民对于在网上提供个人信息的安全性存在不同程度的担忧。调查数据显示,网银账号被盗与文件丢失、计算机瘫痪、信息资料被窃四项,成为当前网民最为担心的网络信息四大安全隐患。在个人信息泄露方面,有79.8%的网民泄露过个人联系方式;其次是个人属性信息,如姓名、年龄、性别等,占47.2%。对于个人信息泄露,绝大多数网民处于无助的状态,88.2%的网民在信息泄露后没有任何办法处理。在有手机的网民中,16.3%的网民发布过当前位置信息。发布当前位置信息也带来了个人信息的泄露问题。在发布过的网民中,7.3%的网民后悔这一行为。

我国网民对互联网诚信体系的认知,远远落后于其对网上信息安全的重视程度。报告指出,目前我国对于广大网民在网站安全性方面的知识普及力度远远不够,亟待加强这方面的教育,网民对第三方网站诚信标示的认知程度较低就说明了加强网络安全教育的必要性。近年来,钓鱼网站层出不穷,并有不断扩大的趋势,为防止钓鱼网站给网民带来经济利益方面的损失,目前国内涌现出一些第三方机构为公众网站颁发诚信标志,帮助网民防范钓鱼网站的危害,但过半数网民表示从没有听说过或关注过此类诚信标志。调查还显示,当前网民中绝大部分对电子签名的概念不够清晰,其中19.1%的网民认为电子签名是将手写签名或印章扫描成数字格式,23.5%的网民认为是账户密码。四成以上网民从来没有关注过网站数字证书的问题。

尽管绝大部分网民对电子签名的概念不够清晰,但75%的网民对电子签名表示了不同程度的信赖,这充分说明了在网民中普及网络安全知识的重要性。报告数据显示,当前国内有近一亿网民使用过网上银行专业版,占我国网民总数的33.4%。随着我国互联网的发展,网民对互联网的应用已经从单纯的娱乐转向购物、求职等多个方面,对网络信息安全的需求也日益提高。

4.2.3信息技术的安全隐患

计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散的特性,导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。

在计算机时代到来之前,人们会将重要的文件资料锁到文件柜或保险柜中进行保存。但是现在人们将各种重要的信息(如国家机密、商业秘密、个人隐私等)存放在没有安全防范措施的计算机中,这就像用不上锁的文件柜来存放机密文件,很容易受到内部窃贼、计算机病毒和网络黑客的攻击,具有极大的危险性。

目前,我国计算机安全防护能力处于发展的初级阶段,许多计算机基本上处于不设防的状态,在安全存储方面,无论是防范意识还是核心技术、安全产品,几乎是一片空白。每年各种重要数据、文件的滥用、泄露、丢失、被盗,给国家、企业和个人造成的损失数以亿计。这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。

与我国在信息化建设方面取得的巨大成就相比,目前信息安全环节显得比较薄弱。在世界范围内,中国网络安全水平被排在等级最低的“第四类”。

提起信息安全,人们自然就会想到病毒破坏和黑客攻击。但美国联邦调查局和中国国家信息安全评测认证中心的调查结果均显示,政府和企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失,超过70%的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。

目前我国的信息安全产业存在着应用需求不明的严重问题,安全产品针对的对象是:病毒、黑客和有害数据侵入三大危险目标,因此安全产品高度集中在防火墙和加密机等有限的几类产品上,使众多厂商在这一狭小的领域内恶性竞争,无法解决国内的实际信息安全问题。

美国ComputerSecurityInstitute公布的一项调查结果表明,1999年57%的企业曾经发生过笔记本电脑被盗事件。统计表明,在2001年全球约有60万台笔记本电脑被盗窃,即便是职业特工也经常未能幸免于难(英国国防部承认在过去3年内丢失了67台笔记本电脑)。有消息报道说,在电脑市场的二手硬盘里能轻松找到信用卡号、日记、财务账目等个人隐私和公司机密。报道中称,在41个用来试验的二手硬盘中,有29个硬盘都不同程度地保留着原来储存的信息。实际上,二手硬盘泄密问题不过是暴露出来的冰山一角。

计算机信息安全问题实际上包括三个部分,除了网络安全,还包括身份认证和安全存储。有一个不是很恰当的比喻:如果把网络安全看作是在街道上巡逻的警察和联防,那么身份认证就像是家里的防盗门,而安全存储则是家里的保险箱。安全存储是信息最直接、最有效的保护。网络保护和身份认证只有与安全存储结合使用时,才能真正发挥信息安全保护作用。就如防范系统再严密,机密文件仍需要坚固的保险柜来存储。

防火墙、入侵检测、隔离装置等网络安全保护对于阻止网络病毒的入侵有着不可替代的作用,但网络安全产品并非万能,只能对来自外部的非法攻击起到保护作用,而真正有目的的盗取或破坏信息的黑客还是占少数。与安全存储的被忽视相反,网络攻击的危害性被夸大了。

中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来黑客引起。据公安部最新统计,70%的泄密犯罪来自于内部;计算机应用单位80%未设立相应的安全管理;58%无严格的调存管理制度。一个能进入办公室的普通人比一个技术一流的网上黑客的潜在威胁要大得多。

造成对存储安全疏忽主要有三个方面的原因:第一,对计算机信息安全的三层保护系统认识不足,有些用户甚至没有安全存储的概念。第二,缺乏应有的重视,尤其是对信息泄露和内部人员犯罪的认识及重视。在国外,安全投入占企业基础投入的5%~20%,而在中国却很少超过2%。第三,市场上缺少合适的桌面级计算机信息安全产品。

目前,国内大量的研究工作、产品开发和实际应用都集中在网络安全问题上,另有一部分是针对计算机病毒,对计算机桌面信息安全的技术研究和实际应用要少得多,很多所谓“桌面信息安全产品”也仅局限于对数据的口令/密码的保护。虽然许多IT厂商提出了多种安全电脑解决方案,但是大多因硬件解决方案成本过高和软件解决方案不安全等原因,只限于小范围内的应用,没有得到普及。

可以说一直到不久之前,先进的加密技术和产品还几乎被以美国为主的先进国家所垄断。这些产品由于有战略价值和可能危害国家安全,所以不允许自由销售到国际市场,而中国则被列为第五类严格控制出口的国家。

从另一方面讲,我国对安全产品的进口也有严格的控制。英特尔的CPU序列号、传闻中的系统软件后门,每一次都引起了包括我国政府在内的各国政府的高度重视,毕竟,没有谁会把关系到生死存亡的信息安全交付到别人手上。

同时,对于国内厂商来说,研发和生产安全电脑产品还有一定的技术门槛。几方面的原因,造成了目前市场上安全电脑产品的空缺。值得庆幸的是,国内用户已开始意识到安全计算机的重要性,而我国在安全技术和产品上也取得了一些实质性的进展。总之,解决目前信息技术的安全隐患,提高计算机终端信息安全防护能力,堵住信息安全的漏洞,除了需要有关厂商增加对技术创新、产品定制、解决方案、专业化服务等方面的投入外,政府和职能部门也应该通过多种手段,加强对全社会存储安全意识的引导和教育。

4.2.4电子商务存在的风险

随着通信网络技术的飞速发展,特别是互联网的普及,人们的消费观念和整个商务系统也发生了巨大的变化,人们更希望通过网络的便利性来进行网络采购和交易,这就促使了电子商务的出现,并在世界范围内掀起了电子商务的热潮。

电子商务的发展给人们的工作和生活带来了新的尝试和便利,但电子商务并没有像人们想象的那样普及和深入。除使用习惯等其他因素外,一个很重要的原因就是电子商务的安全性还不够可靠,这成为阻碍电子商务发展的瓶颈。美国密执安大学一个调查机构通过对23000名互联网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄漏,从而导致巨大的利益损失。所以,研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴国外的先进技术和经验,支持和发展具有独立知识产权的电子商务安全产品,成为目前我国发展电子商务的关键。