企迪网-免费的企业信息发布平台 加入收藏
企迪网
名人堂是“企迪网”打造的品牌栏目,邀请贯穿信息产业全行业名人开辟专栏,发表观点,经验分享,热点话题等文章,为业内带来诸多思考和启发。顾问团、编委会、理事会由行业著名专家组成,是“企迪网”的智囊。诚挚邀请各界名人加入,与我们一起分享您的睿智,共同促进信息化发展。

2000年国内外信息安全概况

日期:2014-02-24 来源:企迪网 作者:何德全

一、引言

2000年是人类的世纪之交年。在这一年里,以互联网为代表的信息技术的发展不仅直接牵动了科学技术的创新、信息产业的发展和知识经济的勃兴,而且已逐渐成为经济繁荣、社会进步和国际竞争的推动力,深刻影响着全球经济的整合,国家战略的调整和安全观念的转变。在这一年里,美国几大家著名商业网站的先后遭攻和日本十多个政府官方网络的一并被黑,使得各国政府在极其重视信息化发展的同时,高度关注包括网络安全、数据安全、信息内容安全、信息基础设施安全及国家与公共信息安全在内的信息安全问题。从而使2000年同时成为全球的信息安全年。

二、国外信息安全的有关情况

从“信息高速公路”到“数字化地球”,信息化浪潮席卷全球。综观全球信息安全形势,可以看到以下突出特点:

(一) 互联网快速增长,信息社会逐步形成,安全成为战略性问题。

首先是互联网发展速度十分迅猛。全球互联网用户在1996年不足4000万,1998年达到1亿,现已超过2亿。1998年万维网的网页有5亿个,1999年底达到11亿个;到2000年底,全球上网计算机超过1亿台。其次是互联网已经与国家发展和人们生活息息相关。目前,从交通、通讯、电力、能源等国家重要基础设施,到卫星、飞机、航母等关键军用设施,直至与人民群众生活联系密切的教育、商业、文件、卫生等公共设施,都离不开互联网。第三是互联网及相关产业的发展带动了整个信息产业及国民经济的快速增长。在过去5年中,美国超过33%的经济增长来自于信息产业的拉动。信息技术成为当代知识经济的支柱,与网络相关的软件技术每三个月更新一次,由此迎来的高新技术产业化的新浪潮,将重塑21世纪的经济面貌。第四是信息技术极大推进了全球化进程。信息技术革命导致不断强化的网络化将全球的相互依赖,信息与资本的转移,组织与管理的集中等推向深入,从而使网络成为全球化趋势中的重要环节,现代社会对网络的依赖越来越大。第五是信息化的安全成为一个战略性问题,针对全球化进程中的网络化发展,美国著名安全战略家约瑟夫.奈提出了相互依赖的国家安全观,不少战略研究组织和专家分别对信息时代的安全问题展开讨论,提出了不少新观念和设想。

(二) 西方发达国家信息优势明显,“数字化鸿沟”引起世界各国的高度警惕。

西方发达国家经历了工业化社会后,基本已进入信息化社会。大多数发展中国家和欠发达国家却刚刚步入信息化进程,甚至面临着信息化与工业化或农业化并举的发展阶段,发达国家与发展中国家在信息化方面的“鸿沟”客观存在,并有逐渐扩大的可能。以美国为例,他在信息资源的开发与使用上占据绝对优势:2000年,美国上网人数已超过1亿,占全球“网民”总数的一半多;美国现有网站占全球网站总数的70%以上,互联网上访问量最大的100家网站中,美国占有90多个;全球互联网业务有90%与美国有关;互联网管理过程中所有的重大决定都由美国制订;美国还控制了全球80%的计算机系统和软件市场以及计算机中央处理器(CPU)、计算机操作系统和网络关键产品的技术。此外,通过管理互联网域名服务系统(DNS)、网络信息中心(NIC)和传送控制与互联网协议(TCP/IP),英文信息主宰着全球互联网站,西方国家拥有对互联网及其网上信息资源的控制权,美国拥有全球11个互联网信息交换枢纽中的9个,成为名副其实的“全球信息霸主”。这种“信息霸主”地位,使美国在政治、军事、科技、经济和外交等方面占得先机。这种信息战略优势,已受到世界各国的高度关注,使得全球信息安全问题变得尤为复杂。

(三)黑客攻击事件频繁,信息安全问题备受社会关注。

随着信息化进程的加快,针对网络系统的各种非法入侵、黑客行动及其他的犯罪活动也随之增多,如商业机密被窃取、军事情报遭泄漏、巨额资金被盗取、网络系统被致瘫等。近年来,美国针对互联网的犯罪案件迅速增加,尤其是去年2月7日至9日,美国雅虎、亚马逊、电子港湾、有线电视新闻广播网等8家大型网站先后遭到黑客的猛烈攻击,被迫中止服务,损失达12亿美元,引起全球震动。此前不久的1月24日至28日,日本科技厅、通产省、运输省、总务厅等11个省厅的政府网页连续遭到黑客攻击,人事院系统在两分钟内受到1.2万次打击,总务厅统计局主页上的统计数据全部被毁。这些非法入侵活动的猖獗,使信息安全问题成为西方各国政府的头等大事。

(四)全球信息化打破了传统的地域概念,使信息安全问题较之其它安全问题更为错综复杂。

互联网的全球性、快捷性、共享性、全天候性决定了信息安全的新特征。首先,信息基础设施本身的脆弱性和攻击技术的不断更新,使信息安全易攻难守。黑客的攻击就是明显的例证:由于网上攻击在距离、速度上已突破传统的限制,并拥有多维、多点、多次实施隐蔽打击的能力,它对国家信息基础设施的威胁会越来越大。其次,信息网络同时又是一种覆盖全球的新兴媒体,各国的民族文化和道德价值观将面临越来越大的侵袭和冲击。对民族文化的保护和对不良信息的控制将更为困难。给各国对网上信息的管理与控制带来巨大的经济成本和技术困难。此外,网络的社会化,“网上论坛”、“网上俱乐部”、“网上聊天室”的推出,使网络的社会凝聚力和组织能力大增,到2000年底,全球1000多家获联合国认可的非政府组织(NGO)都已上网运行,而末注册的NGO总数估计在5000以上。它们构成了“网络空间”中不容忽视的力量。政治势力一旦介入,就会形成以网站和网民为特点的新型社团和政党。为人类发展带来巨大生机和繁荣的互联网同时也给国家管理和社会稳定带来巨大的隐患。

(五)各国政府高度重视信息安全问题,积极寻求保证信息安全的对策。

为保护信息化时代的国家利益,各国政府无不高度重视信息安全。首先,发达国家普遍认识到信息安全不单是一个纯技术问题、产业问题、经济问题或军事问题,而是一个涉及各行业、各层面的综合社会问题。信息安全问题的解决是一个社会系统工程,需要由国家统一指挥、多部门密切配合。其次,各国加强了信息安全管理。美国成立了直属总统的关键基础设施保护委员会负责保护美国的信息安全。普京则把信息安全提到俄罗斯国家战略的高度予以重视。于2000年9月批准了“俄罗斯国家信息安全学说”, 成立了直属总统的信息安全领导机构。为对付黑客与病毒的威胁和泄密,1999年9月,日本政府成立的由通产省、邮政省等12个省厅首脑参加的“信息安全省厅局长协调会议”在2000年发挥了重要作用。截止到2000年5月,美、英、德、法、加、荷、澳、芬、日、韩等20个国家建立了信息安全测评认证机构和计算机安全应急中心(cert)等信息安全基础设施。第三,发达国家都在加快立法工作,规范网络行为,同时加强网上执法能力。仅美国到1999年,已经通过了涉及计算机、互联网和安全问题的法律文件379个,其中有关打击计算机犯罪的议案26个;有关保障计算机和网络系统安全的议案18个。德国、法国、英国、俄罗斯等60多个国家自1987年以来,也就信息安全问题制订了一系列法律、法规。第四、加大对信息安全核心技术和产品研发的投入。美国政府在2000年投资20亿美元保护其重要基础设施。日本政府提出到2003年在信息安全对策方面要赶上美国。其他西方国家也纷纷调整科研发展规划,将信息安全技术列为战略性技术予以重点投入。

三、国内信息安全的有关情况

我国信息化的发展目前还处于起步阶段,但发展速度异常迅猛。1996年,我国互联网上网用户为6万,到2000年底,上网用户已达2250万,预计到2005年将达到6000万;至2000年底,我国上网计算机已达892万台,在中国顶级域名“CN”下注册的机构已经超过12.2万个,WWW站点超过26万个;网络服务供应商(ISP)达300多家,网络内容供应商(ICP)达到1000多家;预计到2005年,信息经济领域增加值将约占国民生产总值的 40%,地市以上政府80%的业务将利用计算机网络进行。但是,必须看到,我国信息网络的安全保障能力还滞后于发展,信息安全的形势仍相当严峻,例如,在英国简氏战略报告和其它网络组织对各国信息防护能力的评估中,我国都被列入防护能力最弱国的行列,不仅大大低于美国、俄罗斯、以色列等信息安全强国,而且还在印度、韩国之下。在2000年里,我国信息安全问题变得日益严峻,主要表现在:

(一) 邪教和境内、外敌对势力利用互联网进行宣传和破坏活动,严重影响我社会政治稳定。

主要表现在以下方面:(1)邪教使国内外非法组织利用互联网组党结社,进行非法组织和串联活动。截至2000年底,邪教组织“法轮功”在互联网上设立的站点或反动宣传主页达100多个。(2)境外敌对势力利用互联网向国内渗透,扩展影响。他们利用电子邮件、电子杂志等各种免费的媒体新闻,散布谣言,肆意抵毁和丑化我国政府和国家的形象,并在网页上举办各种政治性论坛,攻击我国的基本制度和政策,影响极坏。(3)境外间谍机关利用互联网从事间谍情报活动。西方传媒已多次披露国外情报机构利用网络收集发展中国家政治、军事和经济情报的事实,网上情报的隐蔽性和快速性更强,从而给我国家安全带来更大危害。(4)西方国家大量宣扬的所谓民主、人权等价值观,和传播的黄色淫秽内容,通过互联网络传入国内,直接侵蚀我民族凝聚力,威胁我国的社会稳定。据中国互联网发展状况统计报告分析,我国2250万网民中, 年龄在30岁以下的有75%,其中20%以上为学生, 70%的网民具有大专以上学历,68.84%的网民上网是为了看新闻。(5)西方媒体在互联网上对我进行“妖魔化”宣传的实质并未改变,在这场没有硝烟的战争中,我们面临的形势不容乐观,必须予以高度警惕和关注。

(二) 政府上网和信息传递存在失密、窃密风险,对我国家安全构成现实威胁。

目前我国已有300余个政府部门在网上建立了自己的站点,在GOV下注册的域名已超过3000个。多数部门热衷于建网、上网,对网络的涉密程度及安全要求缺乏了解,安全隐患和问题较多。2000年,经互联网发生的重大泄密案件近10起,涉及政治、军事、经济等领域。从2000年政府信息化建设的实际看,安全问题和隐患仍较突出。首先是安全保密措施不力。对我国政府上网工程的数百个网站进行的测试表明,80%以上的网站安全保障措施不足,难以抵御常见的黑客攻击。其次是内部管理控制不严。致使涉密材料直接上网,近年来已发生多起绝密文件或重要会议文件在网上泄露的恶性案件。第三是安全制度不健全,而且监督不够。政府部门在信息化建设中,对信息安全管理制度的重视还不够。加之内部工作人员在使用网络的过程中缺乏安全保密意识,致使涉及我国科研秘密、军事机密和工作机密的信息在网上暴露,给我国带来严重损失。第四是对承建政府信息化工程的公司、企业缺乏管理和规范,有的国外公司直接参与包括信息安全在内的政府信息化工程系统集成,有的国内公司没有安全保密的制度和观念,将参与的涉密信息化系统工程的有关技术内容用作商业宣传和发表文章,有的不法之徒还将这些敏感和涉密的材料通过网络向境外兜售,给我国的安全保密工作带来现实威胁。

(三)网上犯罪已经成为社会犯罪的新形式,金融安全隐患增多。

2000年,见端报端的网络犯罪接近30起,内容涉及金融、欺诈、诽谤、非法入侵、知识产权和泄密、窃密等领域,网络犯罪已经成为社会犯罪的常见形式,尤见于信息化程度高的行业。以银行为主的金融系统是我国信息化程度最高的行业,由于巨大的经济利益及金融网络系统的脆弱性,使金融系统网络更易成为犯罪分子的攻击目标。自从1986年7月发生首例金融计算机犯罪案件以来,针对金融系统的高技术犯罪的发案率逐年上升,给银行造成了巨大的损失。1999年公安系统立案侦察的盗用他人帐号以非法牟利等攻击金融网络系统的犯罪共900余起。2000年因计算机故障导致的业务中断事件较严重的就有3起。目前,我国金融电子化体系发展迅速,但金融证券等领域的信息系统及网络建设仍摆脱不了在设备上依赖进口,在管理上缺乏规范的现实困难,面对金融信息化迅速发展及银行业务不断创新的形势要求,如果我们对高技术犯罪在思想上重视不够、环节上控制不力、制度上落实不好、技术上保障不行,就难免落在犯罪分子后面,甚至措手不及软弱无力。

(四)西方国家对我加强技术渗透,密码成为技术安全中的突出问题。

我国处在信息化发展的初期,在信息技术和主要的网络设备上不得不依赖进口,在操作系统、专用芯片和大型应用软件等方面仍受制于人。这种受制于人的客观现实给西方的信息霸权和技术渗透提供了良机,也给我国的信息安全带来了深层的技术隐患。美国的密码渗透就是信息霸权最典型的例子和最现实的问题。据欧盟官方报告披露:从40年代起至今,美国为保持其在信息安全上的绝对优势,一直暗中破坏或控制国际上生产和使用的密码系统的有效性。美国曾与瑞士的密码机厂商暗中合作,达到有效解读130多个国家的外交和军事保密通信的目的;针对互联网的发展,美国在鼓励其厂商追求国际经济利益的同时,通过控制密码出口谋求其国际安全利益,有的美国软件公司的出口产品中插入了美国国家安全局设计的“功能降低区(WRF)”部分;它们的加密技术虽然都采用了128比特密钥,但在每次使用时,128比特中的88比特会被一并发出,秘密部分仍然只有40比特。针对我国的信息化进程和安全管理政策,美国长期采用禁运加渗透的两面手法。一方面将我国政府部门、军队以及高科技研究机构列入高强度密码产品的“禁运黑名单”;另一方面则鼓励其密码厂商采用配套、试用、赠送、合作等手段和技术兼容、接口专用、处理速度等借口将强度降低了的密码设备变相销售给我金融系统和商业领域,给我国家安全和公共安全带来严重隐患。

(五)信息安全市场增长很快,国外产品仍占主导地位,国内信息安全产业亟待扶持。

我国是信息化的最大市场,同时也是信息安全的最大市场,随着全社会信息安全意识的提高,2000年我国的信息安全市场增长很快,不包括政府军队的密码市场,商用密码及其它信息安全产品的市场,交易额接近20亿元人民币,是1999年的一倍多。商用密码仍是市场中的主角,占了近一半的市场份额,其它的一半多分别由防火墙产品、识别与鉴别产品、防病毒产品、CA认证产品、漏洞扫描和入侵检测产品、网络隔离产品、防电磁辐射产品、数据安全保护产品和安全服务占据,其中防火墙产品、防病毒产品、CA认证产品增长最快,所占市场份额也较高。上述十类信息安全产品的存在,表明我国的信息安全产业已具雏形,但从市场占有率看,总体市场的1/3为外国产品所占有,除商用密码产品外,其它九类产品中,市场份额较大的产品,国外产品的占有率几乎高达2/3。这表明我们的信息安全产业仍很幼稚。特别需要政策的保护和扶持。但目前我国的信息安全产业政策比产业本身更幼稚:一方面是已有的法律法规难以落到实处,法规制约的往往只是那些守法者。违法不究使得已有法规的权威性大打折扣;另一方面,产业发展急需的税收政策、采购政策、知识产权保护政策等却很少有人问津。信息安全技术属于高度敏感的两用技术,很多国家对此都有明确的政策限制和保护,对我国日益迅速的信息化进程而言,政府到底怎样管理信息安全产业,我们应该制定什么样的政策才能保证信息安全产业有一个良好的发展氛围,是目前亟待从战略和战术两个层面都要解决的问题。

四、我国信息安全管理现状

信息网络是国家发展的基础资源,同时又是国际竞争的重要手段,发展得好可以趋利避害,管理不当对安全是致命的威胁。我国的信息安全关系到民族的兴衰、发展和存亡。没有信息安全,就没有政治安全、经济安全、社会安全和军事安全。虽然互联网和信息化进程在我国正在平安推进,但是其蓬勃发展所面临的从战略信息战、经济争夺、文化侵略、政治渗透、黑客入侵和网络化犯罪等威胁却与日剧增。近年的事实已经说明,信息安全已经威胁到国家主权和安全。党和国家领导在大力推进国家信息化的同时高度重视信息安全,并从管理、技术和法制三大方面作出了相应部署,加强对信息安全的综合管理。

(一)加大国家宏观管理力度,强化信息安全管理。

2000年也堪称中国的信息安全年。2000年四月,十五届五中全会通过的“关于国民经济和社会发展的建议”中明确提出将“强化信息网络的安全保障体系”。为加强全国信息化工作的领导,国务院专门成立了“国家信息化工作领导小组”,负责组织协调国家计算机网络与信息安全管理方面的重大问题。同时,国家加强了信息安全基础设施的建设,新成立“国家计算机网络与信息安全管理中心”,以加强对公共信息网络中信息内容的管理;要求加强“国家信息安全测评认证中心”的建设,以便尽早建立起国家的信息安全测评认证体系。在信息安全管理方面,公安部门、国家安全机关、国家保密部门和国家密码管理部门与信息产业部门、国家新闻管理部门、宣传管理部门等各司其职、相互配合,做了大量的信息安全工作。

(二)重视信息安全技术,积极推动产业化。

信息安全的斗争,表现为高技术的竞争。信息安全技术是各国竞相争导的制高点。2000年我国在信息安全技术发展方面也有相当大的举措。

首先,基础科研获得空前重视。国家科技部针对我国政治、经济、文化和基础设施等重大领域面临的信息安全严峻形势,报请国务院批准于2000年6月正式启动国家863计划信息安全技术应急计划。成立了信息安全技术发展战略研究专家组,确定了政务网安全、电子商务安全、网络传媒安全、网络安全管理、测评认证、信息防护和基础技术研究等六大类关键技术,共32个专题项目,全国有65家单位参与了该项计划,此外,科技部还在973计划中将“信息安全基础技术”列为专项支持。科学院也在“九五”攻关末期,增列“若干信息安全关键技术研究”重大科研课题,组织精干专业人才开展联合攻关。科技兴贸计划、中小企业创业基金等也都将“信息安全技术”纳入其中,使“信息安全技术”成为基础科研和应用开发的热点之一。

其次,大力推进信息安全技术的产业化。针对信息安全技术的具体应用,国家计委在2000年度的“高技术产业化项目”中,专门设立信息网络专项,对信息安全技术予以特别支持。内容涉及电子商务安全、政府网络安全、关键安全设备研制、安全测试技术和基础安全平台等。信息产业部也从信息安全管理和信息产品两个方面,对信息安全技术的产业化进行专题支持。其它政府部门则根据本部门信息化的实际需求,对信息安全技术的应用和实现提出了明确要求和经费保障。据初步估计,各部委2000年在信息安全上的直接投入超过10亿元。科技部充分利用我国信息安全技术的区位优势,先后在四川成都和上海浦东分别建立“国家信息安全产业化基地”,并与上海市共同启动了“上海信息港安全防护工程”,在全国信息化进程中起到了十分重要的示范作用。

第三,积极制定信息安全技术的标准。2000年国家质量技术监督局批准发布的信息安全新标准10余项,初步改变了我国信息安全标准偏重密码和数量太少的面貌,由国家信息安全测评认证中心和北京市国家质量技术监督局编写的《首都信息化安全标准指南》首次对信息安全的标准体系进行了较为全面的阐述。在测评标准方面,“计算机信息系统等级保护标准”作为强制性标准发布。而对国际通用的“信息技术安全性评价准则”(ISO15408)标准的等同采用工作历经三年终于在2000年底完成,为我国加入WTO后的信息安全测评认证工作打下了基础。除国家标准外,信息安全行业标准的制定在2000年也是异常活跃。公安部发布了“计算机病毒防治产品评级准则”、中国人民银行发布“银行计算机信息系统安全技术规范”等。

第四,学术交流空前活跃。2000年,信息安全方面的学术会议接连不断。上半年,以内部的座谈会和研讨会为主,重点探讨信息安全的形势和战略问题。下半年则以公开的学术或工作会议为主,重点在于讨论技术与管理,较大型的会议有:中国信息协会信息安全专业委员会年会、世界计算机大会信息安全专题会议、电子商务安全技术研讨会、中国计算机学会信息保密专委会年会、第二届中国计算机信息系统安全展览会和商用密码科研生产定点单位工作会及展览会等。此外,信息安全杂志开始面市,一种是《警察科学文摘》的《网络安全》专刊,另一种是四川大学信息安全研究所的剪报文集《信息安全动态》。在信息安全网站方面,2000年最大举动是“中国信息安全论坛(ChinaFirst)”网站的开通和运行。

(三)加快法制建设步伐,规范信息网络环境。

2000年我国在信息安全方面的法律法规建设方面成效卓著。首先,信息安全问题真正纳入国家立法的轨道。本年内全国人民代表大会常务委员会通过了《关于维护互联网安全的决定》,国务院发布了第291号令,公布实施《中华人民共和国电信条例》,其中第五章对电信安全作了详细规定。同期,国务院还通过了《互联网信息服务管理办法》。其次,信息安全各主管部门也针对互联网安全的现实问题,制定了相应的部门规章,如国务院新闻办公室同信息产业部发布实施了《互联网络从事登载新闻业务管理暂行规定》;教育部发布《教育网站和网校暂行管理办法》;国家工商总局颁布《经营性网站备案登记管理暂行办法》;信息产业部发布《关于互联网中文域名管理的通知》等均从不同角度对信息安全作了相应规定。再次,不少信息化程度较高的行业,在信息安全方面也作了相应的行业规定,如中国人民银行将2000年作为“信息安全年”,并下发《关于加强银行计算机安全防范金融计算机犯罪若干问题的决定》;中国证监会专门制定并发布了《网上证券委托暂行管理办法》,对信息安全问题作了明确规定。第四,全社会针对信息安全法制建设的学术研究日益活跃。一改过去由技术人士讨论法律问题的状况,越来越多的法律专业人才,包括不少著名专家和学者开始关注信息安全的法律法规问题,并提出了不少建设性的意见。这些进展表明:我国信息安全的基本框架已具雏形。但要形成能适应我国信息化发展的保障体系,仍须各部门积极配合,狠抓落实,采取积极有效的措施,共同防范信息化发展过程中的安全风险。

五、结论

全球信息化是不可逆转的发展潮流,信息安全问题是无法回避的现实挑战。要做到在发展中保安全、在安全中求发展,除了国家层面在管理、技术上和法规上的综合性推动外,关键是要各信息化建设单位要进一步提高信息安全意识,加强信息安全管理。因为信息安全问题归根到底是一个管理问题,而且往往表现为信息技术使用和信息化建设中相当具体的管理问题。信息安全的技术和措施如果不能落到实处,信息安全问题就无法从根本上解决,但愿2001年成为我国的信息安全管理年。

(作者单位:中国工程院 中国国家信息安全测评认证中心)

来源《中国信息年鉴-2001》

  • 北京汇祥林科技有限公司北京汇祥林科技有
  • 北京企迪信息技术有限公司西安分公司北京企迪信息技术
  • 用友金融信息技术有限公司用友金融信息技术
  • 广州红帆电脑科技有限公司广州红帆电脑科技
  • 北京九恒星科技股份有限公司北京九恒星科技股
  • 中创软件工程股份有限公司中创软件工程股份
  • 万达信息股份有限公司万达信息股份有限
  • 华三通信技术有限公司华三通信技术有限
  • 远光软件远光软件
  • 擎天科技擎天科技
  • 用友软件股份有限公司用友软件股份有限

      中国软件