我國計算機網(wǎng)絡(luò)軟硬件均存漏洞個別企業(yè)交“保護費”換取網(wǎng)絡(luò)安全

　　●　國家互聯(lián)網(wǎng)應(yīng)急中心披露的數(shù)據(jù)顯示，全國有十分之一的政府部門網(wǎng)站遭遇黑客篡改

　　●　從2006年年底開始，大規(guī)模的網(wǎng)絡(luò)攻擊越來越多。網(wǎng)絡(luò)攻擊表現(xiàn)出的商業(yè)目的也越來越明顯

　　●　專家認為，我國在網(wǎng)絡(luò)安全立法方面最大的問題是還沒有國家網(wǎng)絡(luò)安全戰(zhàn)略

　　中國網(wǎng)民已經(jīng)成為一個高危群體。在近日舉行的 “計算機網(wǎng)絡(luò)安全年會”上，我國互聯(lián)網(wǎng)安全官員指出，中國已成為網(wǎng)絡(luò)攻擊最大的受害國之一，中國的計算機網(wǎng)絡(luò)幾乎每時每刻都在遭受各種攻擊。

　　其實，自互聯(lián)網(wǎng)問世起，網(wǎng)絡(luò)攻擊就沒有停止過。但值得人們注意的是，近年來，在自發(fā)的、零星的網(wǎng)絡(luò)攻擊的同時，商業(yè)化的、大規(guī)模的、有預(yù)謀的網(wǎng)絡(luò)攻擊逐漸增多，個中原因較為復(fù)雜。

　　中國互聯(lián)網(wǎng)絡(luò)受攻擊嚴重

　　國家互聯(lián)網(wǎng)應(yīng)急中心在此次年會上披露的數(shù)據(jù)顯示，中國遭受的大量黑客攻擊來源于境外。2010年，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)共近48萬個木馬控制端IP,其中有 22.1萬個位于境外；監(jiān)測發(fā)現(xiàn)13782個僵尸網(wǎng)絡(luò)控制端IP,有6531個位于境外。

　　據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報送的數(shù)據(jù)，2010年，在中國實施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名半數(shù)以上在境外注冊。

　　此外，2010年，中國境內(nèi)政府網(wǎng)站被篡改數(shù)量為4635個，與2009年的2765個相比，增加了67.6%。在國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測的政府網(wǎng)站列表中，2010年被篡改的政府網(wǎng)站比例達到10.3%，即全國有十分之一的政府部門網(wǎng)站遭遇黑客篡改。受到黑客攻擊的網(wǎng)站包括中國國防部、水利部、國土資源部、最高人民檢察院等。

　　在對中國境內(nèi)網(wǎng)站進行網(wǎng)頁篡改攻擊數(shù)量最多的前20位攻擊者中，疑為來自境外的有8個。

　　據(jù)了解，我國的網(wǎng)絡(luò)安全問題近年來一直存在。全球最大的殺毒軟件公司賽門鐵克一直對中國的網(wǎng)絡(luò)攻擊問題保持關(guān)注，記者從該公司拿到的數(shù)據(jù)表明，早在2007年的時候，全球已有600多萬臺計算機被他人非法遠程控制。其中，中國占的比例最大，約占全球計算機總數(shù)的26%。北京是全球存在被非法控制計算機最多的城市，約占全球總數(shù)的5%，且數(shù)量仍在繼續(xù)上升。

　　該公司的一位資深專家稱，中國已經(jīng)成為世界上被非法控制計算機最多的國家，一旦不法之徒利用這些被控制的計算機實施網(wǎng)絡(luò)攻擊，其后果將不堪設(shè)想。

　　網(wǎng)絡(luò)安全隱患大量存在

　　中國國家互聯(lián)網(wǎng)應(yīng)急中心的一位負責人稱，政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護，某些政府網(wǎng)站被篡改后長期無人過問，還有些網(wǎng)站雖然在接到報告后能夠恢復(fù)，但并沒有根除安全隱患，從而遭到多次篡改。

　　北京郵電大學教授劉德良在接受《法制日報》記者采訪時說，造成我國網(wǎng)絡(luò)安全問題如此突出的原因比較復(fù)雜，安全隱患較多。

　　“從計算機硬件來看，光纖以及網(wǎng)絡(luò)終端設(shè)備或者各個節(jié)點，比如計算機芯片這些都與網(wǎng)絡(luò)安全有關(guān)。而計算機芯片則涉及到計算機里很重要的安全隱患。從軟件上來看，操作系統(tǒng)，還有其他的安全軟件、功能軟件都可能成為網(wǎng)絡(luò)安全的隱患。如果從更宏觀的層面來看，現(xiàn)在國際互聯(lián)網(wǎng)的根服務(wù)器由美國掌控，這可能也是影響網(wǎng)絡(luò)安全的一個重要因素?！眲⒌铝颊f。

　　“以硬件為例，我國大部分計算機使用的都是因特爾的處理器。因特爾是美國廠商，如果遇到特殊情況，可能會對我國的網(wǎng)絡(luò)安全構(gòu)成威脅?！眲⒌铝颊f，

　　中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯說，從操作系統(tǒng)來看，我國絕大部分電腦使用的都是 windows操作系統(tǒng)，這個操作系統(tǒng)可以被遠程控制，所以曾發(fā)生過微軟黑屏等事件。對于系統(tǒng)供應(yīng)商來說，一旦有需要就可以利用這個發(fā)動攻擊。

　　網(wǎng)絡(luò)攻擊背后存利益鏈條

　　由于網(wǎng)絡(luò)安全隱患的存在，近年來大規(guī)模的網(wǎng)絡(luò)攻擊接連不斷， 其背后也往往存在利益導(dǎo)向。

　　“實際上，從2006年年底開始，大規(guī)模的網(wǎng)絡(luò)攻擊越來越多。網(wǎng)絡(luò)攻擊表現(xiàn)出的商業(yè)目的也越來越明顯?！卑⒗舅拐f。

　　劉德良認為，在以前的黑客事件中，大多數(shù)是黑客想顯示自己的能力，攻擊規(guī)模也較小。但現(xiàn)在黑客越來越多地利用遠程控制程序(即所謂的木馬程序)非法控制他人的電腦，獲取被控制電腦或服務(wù)器上的信息。一旦黑客利用這些被控制的電腦同時訪問某一網(wǎng)絡(luò)服務(wù)器，就會導(dǎo)致該服務(wù)器所在的網(wǎng)絡(luò)擁堵乃至癱瘓。由于利用遠程控制程序非法控制他人的電腦或服務(wù)器還可以竊取被控制電腦或服務(wù)器上的各種信息，通過利用或出售這些信息而獲得經(jīng)濟利益，因此，現(xiàn)在在網(wǎng)絡(luò)上已形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網(wǎng)上黑色產(chǎn)業(yè)鏈。

　　《法制日報》記者了解到，上述黑色產(chǎn)業(yè)鏈現(xiàn)在已經(jīng)非常成熟，并向著組織化、規(guī)?；凸_化的方向發(fā)展。

　　“黑色產(chǎn)業(yè)鏈上的各個環(huán)節(jié)，分工明確、銜接緊密。從教授如何制作惡意程序或代碼，惡意程序或代碼的編寫、制作及傳播，到對特定目標的攻擊、對用戶信息的竊??；從對攻擊目標的勒索、敲詐，到利用第三方進行洗錢、銷贓，整個產(chǎn)業(yè)鏈的結(jié)構(gòu)非常完整，而且產(chǎn)業(yè)鏈的各個環(huán)節(jié)都有利可圖?！眲⒌铝颊f。

　　記者在互聯(lián)網(wǎng)隨意搜索，便發(fā)現(xiàn)了一些傳授黑客技術(shù)和販賣控制電腦的廣告。

　　“在一些地方的電線桿上都能看到‘代理抓肉雞——被控制電腦’的廣告。黑客也可以將‘肉雞——被控制電腦的控制權(quán)’倒賣給廣告商，在被控制電腦上隨意投放廣告，一舉一動都能被監(jiān)視。黑客的門檻越來越低，交幾百元的學費，一個會初級電腦操作的人就能掌握抓‘肉雞’的技術(shù)，開始他的‘創(chuàng)業(yè)’生涯?！眲⒌铝颊f。

　　劉德良分析說，近來，黑客對醫(yī)藥行業(yè)和游戲行業(yè)的攻擊十分普遍，甚至形成了互聯(lián)網(wǎng)企業(yè)只有交“保護費”才能免遭攻擊的局面。此外，還有許多走上信息化道路但自身防范力量比較弱的中小企業(yè)面對攻擊，也不得不交“保護費”換取網(wǎng)絡(luò)安全。

　　據(jù)悉，公安部于2010年部署開展了集中打擊黑客攻擊破壞活動專項行動，共破獲黑客攻擊破壞違法犯罪案件180起，抓獲各類違法犯罪嫌疑人460余名，打掉14個提供黑客攻擊程序、教授黑客攻擊犯罪方法并涉嫌組織黑客攻擊破壞活動的網(wǎng)站，專項行動取得了預(yù)期成效。

　　網(wǎng)絡(luò)安全未受到足夠重視

　　與頻繁的網(wǎng)絡(luò)攻擊相比，我國在網(wǎng)絡(luò)安全立法方面則未能及時跟上。

　　在此次計算機安全年會上，有關(guān)官員稱，中國正致力于通過立法加強網(wǎng)絡(luò)安全。 2010年11月，全國人大常委會表決通過，同意由工業(yè)和信息化部、公安部通過制定《信息安全條例》等專項法規(guī)，以解決當前互聯(lián)網(wǎng)缺乏法律規(guī)范的問題。據(jù)悉，這一條例將對信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為等內(nèi)容進一步作出明確規(guī)定。

　　“從具體的操作層面來看， 目前還沒有網(wǎng)絡(luò)安全的立法。如軟硬件的生產(chǎn)、采購、市場檢驗，人員網(wǎng)絡(luò)安全的意識，上網(wǎng)規(guī)范等內(nèi)容都應(yīng)該是網(wǎng)絡(luò)立法應(yīng)該關(guān)注的，但是我國現(xiàn)在沒有統(tǒng)一的立法，只停留在部門規(guī)章，層次比較低，很不規(guī)范，不適應(yīng)這種建立真正的互聯(lián)網(wǎng)安全保障的要求。”劉德良說，在已有的法律當中，也輕視了網(wǎng)絡(luò)安全的重要性，沒有把網(wǎng)絡(luò)安全視為國家安全和公共安全的內(nèi)容。比如刑法里的危害國家安全罪及危害公共安全罪，都沒有把網(wǎng)絡(luò)安全犯罪納入其中。

　　“中國將積極建立健全網(wǎng)絡(luò)安全防護和應(yīng)急體系。”工業(yè)和信息化部通信保障局局長王秀軍曾提出，中國將建設(shè)必要的網(wǎng)絡(luò)安全技術(shù)手段，提高防護能力和運行水平；同時，將認真履行和維護中國在全球網(wǎng)絡(luò)安全中的責任和權(quán)利。

　　劉德良認為，我國在網(wǎng)絡(luò)安全立法方面最大的問題就是還沒有國家網(wǎng)絡(luò)安全戰(zhàn)略，從國際經(jīng)驗來看，這是最高的保證網(wǎng)絡(luò)安全的指導(dǎo)性的、綱領(lǐng)性的法律文件。

　　“一個國家的網(wǎng)絡(luò)安全防護體系，實際上是一個國家安全保障的內(nèi)容，里面要涉及到網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)體制和協(xié)調(diào)機構(gòu)，現(xiàn)在我國的互聯(lián)網(wǎng)管理部門存在各自為政的現(xiàn)象。一旦出現(xiàn)重大網(wǎng)絡(luò)國家安全事件，誰來負責？我國戰(zhàn)略不清晰，缺乏領(lǐng)導(dǎo)機構(gòu)和協(xié)調(diào)機制?！眲⒌铝颊f。

　　對此，劉德良建議，我國未來的網(wǎng)絡(luò)安全立法應(yīng)向以下方面努力：首先應(yīng)該有信息網(wǎng)絡(luò)安全戰(zhàn)略，對一個國家的網(wǎng)絡(luò)安全建設(shè)作出一個大的指導(dǎo)，其中要明確一些領(lǐng)導(dǎo)機構(gòu)之間的權(quán)限分工。其次要建立統(tǒng)一的網(wǎng)絡(luò)安全立法。

    （編輯：Jesse）