【正文】 問題。三、網(wǎng)絡(luò)信息安全涉及的問題（一）網(wǎng)絡(luò)信息安全的基本屬性講到這里，我們要回憶一下，到底安全涉及到哪些問題？就像前面說的，它涉及到在網(wǎng)絡(luò)中傳輸?shù)男畔?、信息的管理、信息的存儲以及我們信息?nèi)容本身的安全。在這樣一個情況下，我們從通信安全、計算機安全、信息系統(tǒng)的安全發(fā)展到當(dāng)今的網(wǎng)絡(luò)空間安全?，F(xiàn)在，我們還有各種健康服務(wù)，比如我們戴的手環(huán)，大家通過手機APP就了解我們每個人的健康情況，也可以在網(wǎng)上請我們的醫(yī)生給我們做遠程診斷?，F(xiàn)代，我們進入了一個全民信息化社會的新的階段。當(dāng)今我們進入了信息安全和信息化發(fā)展的一個新時期，所以我們必須了解前面這些東西，要了解這個背景。如果我們平常不注意數(shù)據(jù)的備份，不把我們的系統(tǒng)做好備份，中斷之后就很難完全恢復(fù)出來，這也是很危險的一件事情。外因還有與自然的威脅，比如我們現(xiàn)在可能有地震，可能有洪水，有斷電，這給我們的電腦、給我們整個信息系統(tǒng)、給網(wǎng)絡(luò)都會帶來癱瘓、中斷的威脅。當(dāng)然我們現(xiàn)在還有很多企業(yè)，面對企業(yè)的商業(yè)間諜活動，還有一些犯罪團伙故意盜取資金。第二，還有很多，比如共同面對的威脅，比如犯罪分子、恐怖分子。我們說外部的原因更多，是來自于人為的威脅，這個我們可以說有三個層面。而且現(xiàn)在，我們網(wǎng)絡(luò)的環(huán)境也越來越復(fù)雜，這是一個原因。另外，我們的維護工作也可能不及時，比如銀行的網(wǎng)銀帳號，你是不是經(jīng)常改變？我們的口令是不是經(jīng)常重新設(shè)置？往往我們都做不到。在我們?nèi)魏我粋€軟件的編制，也就是信息系統(tǒng)或者電腦，我們設(shè)計的時候，都會優(yōu)先考慮怎么好用，怎么滿足用戶的需求，而把安全往往放在后面，因為安全這塊必然帶來應(yīng)用的復(fù)雜。第二個原因是外來的威脅和破壞，這個是由于有利益關(guān)系，受利益的驅(qū)動就犯罪，所以有人為的，有環(huán)境的問題。所以信息安全問題產(chǎn)生的根源常常說是因為有病毒，有黑客，或者是有漏洞，是不是這些問題就是我們網(wǎng)絡(luò)安全問題的根源呢？我們說這個答案是比較淺薄的，或者說不正確的、不全面的。同時，由于我們在應(yīng)用程序中不可避免的會有一些失誤，也就是我們常說的bug。（二）網(wǎng)絡(luò)安全問題的根源安全問題一方面是由于互聯(lián)網(wǎng)結(jié)構(gòu)松散，網(wǎng)絡(luò)沒有集中控制造成。我們常說的拒絕攻擊的辦法，它通過互聯(lián)網(wǎng)在你的系統(tǒng)里頭，把你的每一臺機器都感染了，所謂蠕蟲病毒之后，使得那些服務(wù)器系統(tǒng)不再工作，這也是給你植入了邏輯炸彈，當(dāng)一定的邏輯的時候，它讓你的系統(tǒng)死機、宕機。獲取了之后，為了用你的口令密碼注冊進去，騙取你的內(nèi)部資源，騙取你的資金、資產(chǎn)，這些都是非常危險的。還有一種是通過黑客攻擊，使得你的機器不干活了，我們叫做拒絕服務(wù)，本來你的機器應(yīng)該正常工作，它把你的資源全搶占，讓你的電腦或者是系統(tǒng)不能夠從事正常的服務(wù)，這種攻擊也是影響非常壞的。這是一個示意圖，比如在互聯(lián)網(wǎng)上，一些黑客他們可以找到你隱蔽的通道，找到你的后門，不走正門，然后對你進行攻擊。第二，它利用電子郵件盜發(fā)或者騙取。黑客本來是指計算機水平高超的一些專家，他們可以侵入到你正常的系統(tǒng)里，不經(jīng)授權(quán)修改你的程序，修改你的系統(tǒng)，現(xiàn)在這個東西已經(jīng)成為一個在互聯(lián)網(wǎng)上、在信息系統(tǒng)中未經(jīng)允許做壞事的一個代稱。計算機也是這樣，它侵入到你的計算機之后，可能不是馬上發(fā)作，而是等待時機再發(fā)作。第二個原因，計算機的病毒檢測和發(fā)現(xiàn)對病毒來說，也是比較困難的一件事情。造成這種安全問題的第一個是病毒，病毒是什么呢？大家知道，跟我們?nèi)松「腥静《疽粯樱秩胛覀冋５募◇w，使我們某一個部分不能發(fā)揮作用，也就是傳染。同時，有人做了壞事還可以抵賴。另外，信息有可能被人冒充。比如它可以有更很好的一些很高級的讀寫指令，它可以隨便地侵入我們個人的數(shù)據(jù)中間，當(dāng)然還有一些人惡意破壞。另外，我們在整個計算機的設(shè)備的設(shè)計中間也有缺陷。另外，我們?nèi)擞卸栊?，就是說不愿意，按說我們的口令應(yīng)該經(jīng)常變化，但是我們經(jīng)常很難這樣做。首先我們從管理上說，我們從自身來說，我們?nèi)鄙侔踩囊庾R，比如我們個人設(shè)計的密碼，經(jīng)常是我們叫弱口令，或者等于沒有口令。在這種情況下，互聯(lián)網(wǎng)發(fā)展到今天，安全超越了技術(shù)的范疇，安全決定成敗，安全是當(dāng)前我們核心競爭力的一個重要標志，誰掌握了安全，誰就掌握了發(fā)展的命脈，誰就能夠在互聯(lián)網(wǎng)的發(fā)展和應(yīng)用中占據(jù)先導(dǎo)的、主導(dǎo)的位置。因為現(xiàn)代安全事件不斷，經(jīng)常使系統(tǒng)受到攻擊，而且計算機犯罪也非常猖獗?，F(xiàn)在，網(wǎng)上盜取個人信息非常普遍，影響也非常大，而且，很多問題我們國家的安全、政府的安全、企業(yè)的安全也受到影響。第二，網(wǎng)絡(luò)信息要提供完整。網(wǎng)絡(luò)化帶來的一個不可分割的問題就是網(wǎng)絡(luò)安全，全球的網(wǎng)絡(luò)化不僅把計算機連接起來，把網(wǎng)頁連接起來，而且把所有的信息資源連接起來，現(xiàn)在我們有下一代互聯(lián)網(wǎng)，有物聯(lián)網(wǎng)，還有萬聯(lián)網(wǎng)，就是把人和物都聯(lián)結(jié)在一起，這樣的話，使得面臨的安全問題越來越復(fù)雜，所以安全也成為我們網(wǎng)絡(luò)服務(wù)一個根本的保障。比如現(xiàn)在城市里的滴滴打車、快滴打車，我們現(xiàn)在的電子商務(wù)，我們在網(wǎng)上淘寶，所以總的來說，今后信息化有美好的憧憬。比如我們現(xiàn)在可以異地存錢、支付，過去我們存錢在哪個儲蓄，所存的只能在那取錢，現(xiàn)在全國聯(lián)網(wǎng)，哪兒都可以通存通兌，但是如果沒有網(wǎng)絡(luò)的支撐，這也是不行的。雖然在域名上有一些管理，但是結(jié)構(gòu)是比較松散的，因為這個我們常說互聯(lián)網(wǎng)是一個草根型的網(wǎng)絡(luò)，它分散管理確實便于互聯(lián)，用戶之間也比較透明，在這種狀況下，便于實現(xiàn)大家對資源的共享。網(wǎng)絡(luò)的特點是可以把身處異地的人、物、事情聯(lián)在一起，大大縮短了我們物理上、時空上的距離，所以決定了它的前景非常廣泛。這些說明信息化社會已經(jīng)滲透到我們生活的方方面面，每一個角落。一、信息安全的現(xiàn)狀信息化社會已經(jīng)成為當(dāng)今大家都要面對的一個現(xiàn)實，我們現(xiàn)在每個人都有手機，現(xiàn)在,計算無處不在，我們每個人的手機都是一個幾年前功能很強大的一個個人電腦，現(xiàn)在無論在國防建設(shè)，在我們國家的能源、交通，在我們的企業(yè)的生產(chǎn)經(jīng)營，在我們的政府的管理，特別是在我們個人的學(xué)習(xí)和生活中間，我們都離不開信息化社會的影響，都不能離開信息化社會。比如現(xiàn)在我們都有網(wǎng)上銀行，我們手機都有個人的微信，我們現(xiàn)在都進入了移動支付的年代，我們都有手機錢包/支付寶。信息社會的最大特點是什么呢？就是離不開網(wǎng)絡(luò)的支撐，我們現(xiàn)在對網(wǎng)絡(luò)的依賴程度越來越高。但是大家知道，互聯(lián)網(wǎng)是一個開放分布式的協(xié)同的計算網(wǎng)絡(luò)環(huán)境，從根上說，互聯(lián)網(wǎng)沒有一個嚴格的統(tǒng)一集中的管理，它是一個分散化的東西。但是另一面，這種應(yīng)用依賴于網(wǎng)絡(luò)資源，如果網(wǎng)斷了，我們就什么事干不成了。我們過去很多部門建了一些封閉的專網(wǎng)，但是慢慢的，很多專網(wǎng)也要像互聯(lián)網(wǎng)延伸，因為互聯(lián)網(wǎng)有大量的信息，有大量的客戶，大家都離不開互聯(lián)網(wǎng)。網(wǎng)絡(luò)的存在還養(yǎng)成了我們對網(wǎng)絡(luò)行為的習(xí)慣，現(xiàn)在年輕人特別是小孩，甚至嬰幼兒，很早就上網(wǎng)，這是我們當(dāng)前的一個特點。首先是網(wǎng)絡(luò)要可以，用網(wǎng)斷掉了、被破壞掉，那就不行。另外，網(wǎng)絡(luò)信息要保護我們國家的、企業(yè)的、個人的私密?？偟膩碚f，網(wǎng)絡(luò)安全是一個令人擔(dān)憂的事件，正因為這樣，去年在我們國家的網(wǎng)絡(luò)安全上，有了一個劃時代的意義，中央成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，并且親自由總書記擔(dān)任組長，這個小組和辦公室規(guī)格之高，所未有，影響也是非常深遠。我們很多人的東西都受到了損失，國家利益也受到了影響，企業(yè)的商業(yè)秘密也有被破壞。二、網(wǎng)絡(luò)不安全的原因及其根源（一）網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)為什么不安全？有很多原因。比如我們經(jīng)常在手機或者銀行帳號、網(wǎng)銀上設(shè)置的密碼過于簡單，把自己的生日當(dāng)做密碼，或者是一些常用的123456，這些都是我們?nèi)鄙侔踩庾R的表示。另外，在技術(shù)上也有很多缺陷，這是比較硬的因素，主要是互聯(lián)網(wǎng)發(fā)展的過程是從一個開放的、草根式的網(wǎng)絡(luò)逐步地滾大。另外，我們過去開發(fā)的一些軟件本身也有缺陷。信息的漏洞往往在我們通過網(wǎng)絡(luò)在傳遞信息的時候，有可能被人竊取，就像我們物理上丟錢包一樣，你自己虛擬的也被丟掉。另外，有可能被人篡改，這些都是我們當(dāng)今必須看到的在互聯(lián)網(wǎng)信息安全的一些原因。現(xiàn)在，由于互聯(lián)網(wǎng)和電話網(wǎng)、電視網(wǎng)的結(jié)合，使得互聯(lián)網(wǎng)的風(fēng)險更加提高了，我們互聯(lián)網(wǎng)受到破壞之后，就會影響到其他網(wǎng)絡(luò)，比如電話網(wǎng)、電視網(wǎng)和其他的東西。計算機病毒也是一樣，惡意的代碼侵入了你正常的系統(tǒng)，使你的系統(tǒng)不能很好地工作，它可以侵入你的PC機，侵入你的手機，如我們感染病毒，手機自動地跑話費，而且還可以攻擊到后臺，比如大型機、小型機，這是我們說的第一個原因。就像你得了病，開始它有潛伏期，你沒有發(fā)現(xiàn)，你覺得你是好人，但實際上你可能感染了病毒。之所以有這樣的病毒，我們計算機或者信息系統(tǒng)或者網(wǎng)絡(luò)受到安全，網(wǎng)絡(luò)受到黑客的攻擊。在這種情況下我們可以看到，黑客攻擊的方法非常多，比如它想辦法獲取你的口令。另外，它可能在你的系統(tǒng)里埋下一些后門，尋找你的漏洞。另外，或者是在你的系統(tǒng)里，安裝一些所謂的邏輯炸彈，也就是埋下一些定時炸彈，當(dāng)你的程序系統(tǒng)走到一定的邏輯的時候，這個炸彈嘣的一下就爆發(fā)了，使你的系統(tǒng)癱瘓，或者被破壞。比如很多黑客是利用所謂的特洛伊木馬潛伏在你的系統(tǒng)內(nèi)部，它在那里不斷地獲取你的數(shù)據(jù)，沒用的它就不管，比如你的口令、密碼的時候，它就把它獲取了。在這種情況下，我們要警惕我們當(dāng)前這樣一些東西，我們看到在網(wǎng)絡(luò)上存在著各種各樣的非法入侵者，使得你的系統(tǒng)可能資產(chǎn)被破壞，資金會被盜取這樣一些行為。以上我簡單介紹了一下我們常見的一些安全問題和一些影響。另一方面也是由于我們當(dāng)前大量使用這種開放式的系統(tǒng)、系統(tǒng)的開放性造成的。大家知道，計算機信息系統(tǒng)的程序都是由人來編制的，人是可能出錯的，這些黑客或者這些安全問題正是找準了我們一些漏洞、一些失誤，進而進行破壞。這些都是原因，但它沒有說到我們網(wǎng)絡(luò)安全問題的根源，根源還是兩個層次，一個層次是內(nèi)因，就是我們信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)自身的脆弱性，它的不健壯性，由于它過程復(fù)雜，結(jié)構(gòu)復(fù)雜，應(yīng)用復(fù)雜。內(nèi)在的問題，由于信息系統(tǒng)本身從系統(tǒng)理論上說，程序和數(shù)據(jù)都存在失誤的可能性，也就是不確定性。這是我們一個天生的弱點，所以人有可能犯錯誤，你可能無意識的比如產(chǎn)生一些誤操作。內(nèi)在的一個原因是我們現(xiàn)在信息系統(tǒng)做的越來越大，越來越復(fù)雜，結(jié)構(gòu)越復(fù)雜，出錯的可能性越大。另外一個是我們內(nèi)在的，由于應(yīng)用系統(tǒng)越來越復(fù)雜，我們要處理的事情越來越多，在使用上，我們往往既要要求快，又要求好，可能對安全就疏忽了。首先是現(xiàn)在大家知道的原因，在國家層面上就有很多安全的威脅，國家之間利益的根本對抗是影響網(wǎng)絡(luò)安全最根本的一個原因。像現(xiàn)在恐怖分子利用網(wǎng)絡(luò)宣傳致暴，怎么樣來制造暴力事件，包括之前網(wǎng)上教人怎么做炸彈，這些問題都是必須要堅決打擊的。還有一些局部的安全，有些人他小孩他不懂，學(xué)了黑客的一些東西，為了賣弄自己的才能，以這個為樂。像四川省這幾次大的地震對整個計算機網(wǎng)絡(luò)造成了很大的損失，包括電信網(wǎng)、互聯(lián)網(wǎng)都有影響，當(dāng)然很快就恢復(fù)了。上升到知識這個角度考慮，信息安全保障的背景是非常重要的。在這樣一個信息安全發(fā)展的新階段里，可以看到，我們過去簡單的只有電話、電報，后來有了計算機，有了網(wǎng)絡(luò)。現(xiàn)代網(wǎng)絡(luò)化社會不僅僅是有專網(wǎng)、有互聯(lián)網(wǎng)，大家知道還有物聯(lián)網(wǎng)，比如家里的智能電表、智能水表都可以連接起來，直接了解。所以進入了一個網(wǎng)絡(luò)化的社會，這樣一個社會給我們安全帶來了新的挑戰(zhàn)。因為我們現(xiàn)在可以說無網(wǎng)不在，我們不僅有地面的，比如接入寬帶入網(wǎng)，而且還有各種無線網(wǎng)，這個時候，信息安全保障工作的意義更加重大。在這樣一個問題里，就涉及到網(wǎng)絡(luò)信息安全的基本屬性，一般來說，用這樣五個屬性，就是保密性、完整性、可用性、可控性，還有抗否認性，或者是叫抗抵賴性。講到這里我們可以看到，信息安全確實給當(dāng)今信息化社會中的我們每一個人、每一個組織、每一個機構(gòu)、每個國家都帶來了相當(dāng)大的困惑。困惑是什么呢？我們現(xiàn)在有了很多信息安全的技術(shù)手段，到底我們怎么樣才算是安全？我們現(xiàn)在是不是已經(jīng)安全？這個問題實際上一直困擾了很多人、很多單位。一個大家注意，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)信息安全，它是一個系統(tǒng)的安全，一定要站在大系統(tǒng)，甚至是巨系統(tǒng)的角度來觀察這個問題，它不是一個簡單的枝節(jié)的問題。第三個，我們現(xiàn)在看到網(wǎng)絡(luò)安全越來越超越了我們各種物理的、時空的邊界，它是跨時空的，為什么我們現(xiàn)在叫網(wǎng)絡(luò)空間？它的邊界是無限的。正因為這樣，我們說網(wǎng)絡(luò)信息安全的范疇不僅僅是技術(shù)問題，更是管理問題、組織問題，也是一個社會問題。要做好安全，一個嚴格意義上的安全，應(yīng)該說是非常的不容易的。但實際上，真正在網(wǎng)絡(luò)信息安全中間，達到書面上的詞典上這個定義是一個非常難的事情。正因為這樣，在這種情況下，在網(wǎng)絡(luò)信息安全非常嚴峻的形勢下，在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展的背景下，如何做到可以預(yù)見風(fēng)險、威脅和危險，使得我們受到的傷害或者我們能夠有所掌控，使這種安全風(fēng)險是我們可以容忍的，使我們受到的損失一旦發(fā)生一些不測事件的時候最小，滿足我們信息化、信息網(wǎng)絡(luò)、信息系統(tǒng)正常運行的基本的要求，這是最重要的。要做好網(wǎng)絡(luò)安全，一般來說，我們都是采用PPDR模型。首先，我們要做好它的保障，在保障的基礎(chǔ)上，一旦發(fā)生問題能夠檢測出來，盡快響應(yīng)。如果進來之后，我們的東西他拿不走，拿走了他看不懂，然后也改不了，而且，一旦有人采取了這種非法事件，我們讓他跑不掉也賴不掉，這是我們信息安全的五大屬性。這些技術(shù)涉及到這樣幾個方面，一個是密碼技術(shù)，比如我們把它加密之后，別人看不清楚，看不懂。第三個是訪問的控制，就像你有鑰匙別人就不能有你家的鑰匙，因為機關(guān)也是，我們要刷門卡。第二，要有安全審計，誰在網(wǎng)上做了什么東西，我可查。這些密碼技術(shù)實際是非常重要的，它是安全技術(shù)的核心。另外，要有訪問的控制，哪些可以讓人訪問，哪些不能讓人訪問。另外，我們有些東西不能夠隨便把它篡改，我們要加上一些信息的隱藏、水印，加上權(quán)限管理。（四）發(fā)展國家信息安全技術(shù)的四項基本原則要發(fā)展我們國家的信息安全技術(shù)，要堅持四項基本原則。第二個是要堅持重點突破，要選擇我們有基礎(chǔ)和優(yōu)勢的重要領(lǐng)域，做好我們的安全技術(shù)研發(fā)和它的應(yīng)用推廣。在90年代的時候，我們電網(wǎng)也初步網(wǎng)絡(luò)安全試點，后來他們下決心自主研發(fā)，應(yīng)該說取得了非?？茖W(xué)的成績。第四點，還要著眼于未來，繼續(xù)加強新技術(shù)的研究，特別是關(guān)鍵技術(shù)研究。第三點，跟大家講一下我們在電子政務(wù)和電子商務(wù)中間（網(wǎng)絡(luò)中間）怎么樣加強安全保障體系的建設(shè)。一、電子政務(wù)的安全需求分析要做好政務(wù)網(wǎng)絡(luò)或者商務(wù)網(wǎng)絡(luò)的安全，首先要對它的安全保障