构建安全生态体系迫在眉睫
移动互联网时代,人们的工作与生活越来越依赖于互联网。有关数据显示,截止到2014年底,中国网民数量已经超过6.49亿,同时在世界前十大互联网公司中,中国公司已经占据4席,成为名副其实的互联网大国。
互联网开放、自由的特性给人们带来了极大的便利的同时,诸多的网络安全问题也随之而来,网络违法手段日益复杂多样,网络安全已然影响到我国经济社会的健康发展,构建网络安全生态体系迫在眉睫。
基于此,以“共建网络安全,共享网络文明”为主题的第二届国家网络安全宣传周于6月1日至7日举办,共设置启动日、金融日、电信日、政务日、科技日、法治日、青少年日7个主题宣传日,并围绕当前网络安全的重点领域,开展系列专题宣传活动。宣传活动不仅展示了我国网络安全领域的科学技术能力,而且针对社会公众普遍关注的网络钓鱼诈骗、信息泄露等与公众切身利益相关的网络安全事件进行了讲解,并普及实用的网络安全知识和基本的防护技能。
中国电子信息安全研究院副院长左晓栋在接受《通信产业报》(网)采访时认为,网络安全生态体系需要政府、企业以及广大公众共同搭建。
法律法规尚不健全
北京网络安全反诈骗联盟最新报告显示,仅今年一季度,便接到全国诈骗报案1147例,涉案金额达831.8万元。
目前,我国互联网行业法律法规尚不健全,缺乏基本的执法依据,对于网络案件的处理能力薄弱。对此,工业和信息化部电子科学技术情报研究所网络安全情报和战略研究部部长肖俊芳在接受采访时建议,我国应加快建立健全个人信息保护相关法律法规体系,为消费者提供有力的保护。
据悉,目前我国已经相继出台了《关于加强网络信息保护的决定》、新《消费者权益保护法》等一系列法律法规。然而,在移动互联网时代,违法犯罪手段日益多样化,现有的法律法规需要进一步完善,以满足消费者的维权需求。
6月3日,在第二届国家网络安全周电子认证服务应用研讨论坛上中国电子认证服务产业联盟常务副理事长、原信息产业部信息化推进司司长季金奎更是直言,在我国信息化领域《中华人民共和国电子签名法》是迄今为止真正意义上的唯一一部法律。
现有的法律法规是否真的不够健全?为此《通信产业报》(网)记者采访了三大运营商有关负责人,三家均表示,以现有的技术手段,可以依据大数据分析对网络诈骗等行为进行实时监控,然而由于运营商本身不具备执法能力,因此即便发现了相关行为也无权对其进行处理,如果能够得到法律层面的支持,网络安全问题能够从运营商层面得到一定的控制。由于法律依据不足,在协助有关部门打击网络犯罪的过程中,很多非法行为甚至无法从法律层面被判罪。
企业缺乏安全意识
从网络大国向网络强国迈进的过程中,网络安全成为凶猛的拦路虎。在“互联网+”行动的大形势下,互联网企业纷纷追逐新产品、新技术,往往忽视了网络安全才是互联网企业发展的基础,一旦公众对其安全保障能力失去信任,后果不堪设想。
刚刚过去的五月,陌陌、网易、支付宝、携程旅行网、艺龙旅行网、招商证券、同花顺、齐鲁证券等互联网企业因各种原因接连出现服务中断的现象,在6月1日第二届国家网络安全周启动之际,给相关企业以及广大公众上了一堂生动的网络安全教育课。
左晓栋认为,近期频发的网络安全事件足以反映出我国企业网络安全意识不足,落实国家有关部门以及行业的网络安全标准不够充分,容灾备灾能力有待提升。
根据中国人民银行制定的《银行业信息系统灾难恢复规范》的有关规定,联网线路实施双路由备份方案,备份线路的提供者不得为主线路运营商;如果与同一运营商合作,需要采取不同专线的方式,即如果使用光纤接入的SDH电路作为主线路,那么备份线路应使用基于铜线的DDN或者FR中继业务。
互联网企业对于外部入侵的防范手段不应仅停留在防火墙、入侵检测、反病毒老三样阶段,中国科学院软件研究所研究员丁丽萍在接受《通信产业报》(网)记者采访时建议,要加强应对APT、DDoS攻击的能力,提升内部的安全审计和安全运维工作以及应急响应和灾备工作能力。制定入侵取证机制,并培养相关人员,以便在事件发生后,分析获取安全事件发生的时间、人员、地址、技术手段、原因等,为加强防范和提起诉讼创造条件。
目前,BAT、360等巨头均有针对网络诈骗、DDoS攻击等网络安全问题的防护方案。然而,想要拥有一个类似的方案需要强大的技术团队和后期维护团队,对于中小企业而言并不现实,中小企业的最佳选择是将网络安全维护外包。
核心技术受制于人
社会普遍呼吁公众加强自身网络安全意识,不随意扫描不明二维码、点击不明链接等。然而,有些危险用户可能并不察觉,在购买终端之前,操作系统开发商、终端制造商、销售商都可能在终端内置窃取用户个人信息、敏感数据的应用,通过出售这些信息获利,黑色利益链已然形成。
我国企业的技术实力和科技创新能力薄弱,如在移动操作系统方面,多家企业基于安卓平台做二次研发。
中国工程院院士倪光南指出,解决网络安全问题,必须优先解决我国操作系统核心技术受制于人的问题,基于安卓平台的二次研发不能满足我国互联网产业的长远发展。
中国电信ICT解决方案中心解决方案经理方宇告诉记者,由于缺乏核心技术和自主化操作系统,目前解决网络安全最好的办法就是在原有系统下构建一个相对安全的独立操作环境,用户所有操作在该环境下完成。但是他坦言,这一技术也并不完善,用户如果想要真正做到个人信息安全,只能放弃使用终端的部分产品。