习近平总书记于4月19日在京主持召开了网络安全和信息化工作座谈会并发表重要讲话,强调以创新、协调、绿色、开放、共享五大发展理念为统领,从推动我国网信事业发展、建设网络良好生态、突破核心技术、处理安全和发展关系、增强互联网企业使命感责任感、提供强有力人才支撑等方面着手,推进网络强国建设,推动我国网信事业发展,让互联网更好造福国家和人民。习总书记的一系列重要讲话,表明网络强国犹如时代之“雄鹰”,网络安全和信息化便是其“一体之两翼”。建设网络强国,既要解决网络安全问题,也要推动信息化发展,让这两支“翅膀”均衡发展,不断壮大,成为推动国家前进的强大动力源。
深刻认识当前网络安全的紧迫形势
近年来,我国网络规模、用户规模、产业规模均居世界前列,已成为互联网大国。随着云计算、大数据、物联网、移动互联网等为代表的新一代信息技术的快速发展,虚拟世界对实体世界影响日趋增强,对经济、社会各领域正在产生革命性影响。与此同时,网络安全威胁和风险问题也日益突出,并向经济、社会、文化、生态、国防等领域传导渗透,网络安全成为事关国家主权、安全和发展的重大战略问题。
根据国家互联网应急中心在《中国互联网站发展状况及其安全报告(2016)》指出,2015年针对我国境内网站的仿冒页面(URL链接)191699个,较2014年增长85.7%,涉及IP地址20488个,较2014年增长199.4%,党政机关、科研机构、重要行业单位网站是黑客组织攻击特别是APT攻击的重点目标。
研究分析网络安全领域严峻形势,有三大挑战值得高度关注:
一是广义政务应用的挑战。下一代互联网、物联网、云计算、大数据、移动互联网等新技术正在加快应用到电力、电信、石油、交通、政府服务等重要领域,关系国计民生的“智能电网”、“智慧能源”、“智慧交通”、“智慧政务”等重要网络设施、智能终端和数据库等基础性设施极易成为恶意网络攻击和破坏的目标。
二是移动政务应用的挑战。现代社会数字化、移动化、集成化等趋势越来越明显,给信息与网络安全提出了全新的要求。以互联网经济比较发达的浙江省为例,为了建设服务型政府,浙江政务服务网集中打造了“行政审批一张网”、“便民服务一张网”和“阳光政务一张网”,网站集合全省4000余机构组织,6万多个政务事项,2.4万个便民事项,7个应用软件APP。众多的功能和服务提供了多项数据接口,而数据接口安全认证和协议的不完善将导致移动应用成为不法分子实施诈骗、盗窃、恐怖,危害老百姓生命财产、危害国家安全的工具。在这方面,近几年已经有不少的教训需要汲取。
三是重大活动的安全挑战。当前,针对政府门户网站攻击势力一部分是从经济利益考虑,但更多的是一些敌对势力、分裂势力地恶意破坏性攻击。尤其在我国召开重大活动期间,一些黑客企图通过控制政府门户网站,抹黑、攻击党和政府,误导人民群众。而我国政府网站传统的网络防火墙、IDS/IPS等安全产品对应用系统的攻击防御能力比较薄弱,易被不法人士蓄意攻击利用。
面对互联网技术日新月异的发展趋势,传统的安全保障技术、方法与当前活跃的互联网业态不相适应的问题愈发凸现。在拓展网络经济新空间,加快建设网络强国的时代背景下,强化网络安全保障,建立新型网络安全保障体系成为确保新经济快速发展,再创竞争优势的必经路径。
切实解决信息与网络安全的突出问题
早在2014年,总书记就指出“没有网络安全就没有国家安全,没有信息化就没有现代化”,把信息和网络安全问题提到了前所未有的高度。因此,切实解决信息和网络安全问题,是全面贯彻习总书记系列重要讲话精神的重要工作。根据公开披露的信息,我国信息和网络安全方面的突出问题主要表现在三方面:
一是网站管理机制不健全。管理机制主要包括制度、机构和人员三个方面,人员技术水平是否达到工作要求,是否把安全作为网站工作的重中之重来抓,制度是否落实到位,是否认真执行等。目前我国政府各部门网站还是处于分散管理状态,近两年开始,部分政府网站开始迁移到政务云平台,建立网站集群等。大多数网站处于自行维护状态,但由于技术水平不一、管理制度不到位,就容易导致网站在出现安全问题的时候,不能得到及时地处理和解决。
二是网站人员技术水平有限。信息技术飞速发展,黑客攻击手段越来越高,网站工作人员技术水平与现阶段工作要求还有一些差距。表现为安全保护措施不到位,缺少必要的网络安全防护设备,某些单位甚至缺乏如防火墙、防毒墙等基本设备;网站代码编写安全性比较差,存在多种漏洞,包括弱口令、恶意注入、跨站攻击等。黑客通过这些漏洞就可以获取数据库信息、管理员账号及密码,随后进入网站管理后台,甚至控制 Web 服务器主机。这样,就可以轻而易举地对网站内容进行修改、删除、篡改等操作。同时,如果在黑客入侵后,并未及时发现,那么黑客将在获知网站漏洞且不暴露自己的情况下,利用漏洞获得网站控制权限,并通过持续利用的网站产生直接利益。
