论文部分内容阅读
不久前,党的十八届三中全会提出网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战。
信息安全问题是随着信息技术的发展应用产生的。一般来说,当信息技术发生重大进展、极大促进经济社会进步造福人类时,也会带来新的信息安全挑战。
信息技术应用愈加深入
我们可以回想一下十年前的情况,并作为对照。
10年前,我们国家的互联网网民达到5900万,今天达到了约5.9亿,是过去的10倍;10年前,连到互联网上主要是个人电脑、服务器等设备;今天,有机构预测在全球范围连接到网络上的各类设备已经达到100亿的规模,到2020年,这一规模有可能超过500亿。
此外,不但网络用户和终端的规模在增长,从芯片到整机,从操作系统到应用,复杂度也在明显提升。一般来说,系统和网络越复杂,就有可能产生更多的安全隐患。此外,随着信息技术和互联网的应用、信息消费的发展,网络上沉淀的数据量也越来越大。人们可以从海量的数据中获取有价值的信息,而其中有相当多的信息数据是需要保护的。有机构统计,目前网络上受到保护的数据仅占50%。
今天,网络信息对于大家来说更加重要,或者说我们对网络上信息的依赖程度进一步提高。10年前,有统计说网民上网的主要目的是获取信息和网上娱乐;今天,网民除了在网上获取信息以外,还可能发生与经济相关的活动,有统计数字显示,目前有2.7亿的网民在进行网络购物。
不仅大家网上的经济活动在增加,网络和信息技术对各个行业和领域的影响也在持续扩大。10年前,信息安全出现问题也会影响到生产系统,但当时受到更多影响的是网站服务器和个人终端;今天,因为网络更加普及,信息技术的应用更加广泛,信息安全问题将更多地影响到大坝、桥梁、铁路、交通,甚至给人民群众的生命和财产带来直接的损失。
保障信息安全的三个手段
在这种情况下,我们到底应该怎样应对这些挑战呢?现在,国家发布了一系列有关信息安全的政策文件,进行了全面部署。我们认为,要在新形势下对信息安全工作进行全面部署,当务之急就是要贯彻好这些文件。
在这个前提下,我想分享以下三点认识。
第一,我们应该更加注重信息安全的整体布局、顶层设计、综合协调,加强综合防控。10年前,我们的信息安全工作更多是利用隔离、划清边界、分清责任、加强保护等方式,强调得比较多的是谁主管谁负责、谁运营谁负责,通俗地讲就是自己管好自己的系统。
今天,网络信息系统面临很多新情况,边界的概念正在慢慢变得模糊。首先,移动互联网让边界很难划分。10年前,绝大多数网民都会使用有线的上网方式。今天的5.9亿网民,有4.8亿或者更多在使用移动互联网。其次,云计算、物联网以及信息消费所产生的大数据,它们让网络边界更难划分清楚。在这种情况下,我们应该更多地强调从整体上、系统上加强保护。
对于单个系统来讲,如何加强自己系统的安全防护,对新的攻击方式做出针对性的防护和快速反应;如何加强沟通、合作、信息共享和整体防护,在新的形势下都应该放到更重要的位置上。
第二,我们应该更加注重营造一个公平、开放、透明的网络环境。智能手机的位置信息、通话信息可能会被不断地收集和监控,那么手机上存储的重要数据、敏感信息是不是会在我们不情愿、不知情的情况下被窃取呢?恐怕很多人都难以给出肯定的答案或者是量化的答案,比如拿走了什么、拿走了多少、什么时候拿走的。
所以,在现在提出营造公平、开放、透明的网络环境具有非常重要的意义。
现在,各类终端设备的操作系统和各种各样的应用软件都在联网运行,都需要在线的维护和技术支持,免费也成为一种模式,定向广告、定制服务已经成为一种趋势。而所有这些都以获取用户信息为基础。没有适当的信息怎么定向投放广告,定制服务?获取必要的信息是合理的,也是有些应用得以运行的基本前提。但是,我们希望所有的信息获取过程都公开、公平、开放、透明。对于企业来说,不应该利用技术获取不应该取得的用户信息。
我曾经讲过,我们使用免费软件和服务,非常感谢这些供应商。但是,这些供应商在用户使用其产品的过程中,在获取必要、合理的信息以外,不应该获取其他不必要的信息。这里,需要的并不是某个厂商的承诺,而是一种规则和约束机制。将来,应该有一种评价机制和监督机制,所有的当事方——从用户到产品提供者到服务供应者——都按照合理公平的机制规则来进行。有没有拿用户的信息,有没有做不该做的事情,应该由第三方来评价。这就是我说的:营造一种公平、开放、透明的环境。
第三,互联网和信息技术已经普及到今天这种程度,特别是信息消费正在逐渐兴起,我们一定要把提高网民的信息安全意识作为重要保障。我们拥有近6亿的网民,让所有的网民都成为安全专家并不现实,但我们希望他们应该有必要的信息安全意识。
有些人经常说互联网不安全,或者这个产品不安全,那个产品不安全。的确,互联网是有安全风险的,产品是要提高安全门槛。但是同时,有一些安全问题的发生是因为用户缺乏必要的安全意识,没有利用已有的安全功能才导致的。这好比一部很好的汽车,让一个从来没有开过车的人去开就会出事故,这就不能简单地说是车不安全,而应该是驾驶者会不会开车的问题。
所以,我们应该通过加强宣传教育提升广大网民的基本信息安全意识和安全技能,提高他们识别网络安全风险的能力。互联网上不可能只有鲜花,没有毒草,不可能只有好人,没有坏人。这就需要我们提高免疫能力,同时国家也应该加强互联网的综合治理,给大家营造更好的信息消费环境,保障大家的信息安全。(本文根据赵泽良司长在2013中国信息产业经济年会上的讲话整理,未经本人审阅。)
信息安全问题是随着信息技术的发展应用产生的。一般来说,当信息技术发生重大进展、极大促进经济社会进步造福人类时,也会带来新的信息安全挑战。
信息技术应用愈加深入
我们可以回想一下十年前的情况,并作为对照。
10年前,我们国家的互联网网民达到5900万,今天达到了约5.9亿,是过去的10倍;10年前,连到互联网上主要是个人电脑、服务器等设备;今天,有机构预测在全球范围连接到网络上的各类设备已经达到100亿的规模,到2020年,这一规模有可能超过500亿。
此外,不但网络用户和终端的规模在增长,从芯片到整机,从操作系统到应用,复杂度也在明显提升。一般来说,系统和网络越复杂,就有可能产生更多的安全隐患。此外,随着信息技术和互联网的应用、信息消费的发展,网络上沉淀的数据量也越来越大。人们可以从海量的数据中获取有价值的信息,而其中有相当多的信息数据是需要保护的。有机构统计,目前网络上受到保护的数据仅占50%。
今天,网络信息对于大家来说更加重要,或者说我们对网络上信息的依赖程度进一步提高。10年前,有统计说网民上网的主要目的是获取信息和网上娱乐;今天,网民除了在网上获取信息以外,还可能发生与经济相关的活动,有统计数字显示,目前有2.7亿的网民在进行网络购物。
不仅大家网上的经济活动在增加,网络和信息技术对各个行业和领域的影响也在持续扩大。10年前,信息安全出现问题也会影响到生产系统,但当时受到更多影响的是网站服务器和个人终端;今天,因为网络更加普及,信息技术的应用更加广泛,信息安全问题将更多地影响到大坝、桥梁、铁路、交通,甚至给人民群众的生命和财产带来直接的损失。
保障信息安全的三个手段
在这种情况下,我们到底应该怎样应对这些挑战呢?现在,国家发布了一系列有关信息安全的政策文件,进行了全面部署。我们认为,要在新形势下对信息安全工作进行全面部署,当务之急就是要贯彻好这些文件。
在这个前提下,我想分享以下三点认识。
第一,我们应该更加注重信息安全的整体布局、顶层设计、综合协调,加强综合防控。10年前,我们的信息安全工作更多是利用隔离、划清边界、分清责任、加强保护等方式,强调得比较多的是谁主管谁负责、谁运营谁负责,通俗地讲就是自己管好自己的系统。
今天,网络信息系统面临很多新情况,边界的概念正在慢慢变得模糊。首先,移动互联网让边界很难划分。10年前,绝大多数网民都会使用有线的上网方式。今天的5.9亿网民,有4.8亿或者更多在使用移动互联网。其次,云计算、物联网以及信息消费所产生的大数据,它们让网络边界更难划分清楚。在这种情况下,我们应该更多地强调从整体上、系统上加强保护。
对于单个系统来讲,如何加强自己系统的安全防护,对新的攻击方式做出针对性的防护和快速反应;如何加强沟通、合作、信息共享和整体防护,在新的形势下都应该放到更重要的位置上。
第二,我们应该更加注重营造一个公平、开放、透明的网络环境。智能手机的位置信息、通话信息可能会被不断地收集和监控,那么手机上存储的重要数据、敏感信息是不是会在我们不情愿、不知情的情况下被窃取呢?恐怕很多人都难以给出肯定的答案或者是量化的答案,比如拿走了什么、拿走了多少、什么时候拿走的。
所以,在现在提出营造公平、开放、透明的网络环境具有非常重要的意义。
现在,各类终端设备的操作系统和各种各样的应用软件都在联网运行,都需要在线的维护和技术支持,免费也成为一种模式,定向广告、定制服务已经成为一种趋势。而所有这些都以获取用户信息为基础。没有适当的信息怎么定向投放广告,定制服务?获取必要的信息是合理的,也是有些应用得以运行的基本前提。但是,我们希望所有的信息获取过程都公开、公平、开放、透明。对于企业来说,不应该利用技术获取不应该取得的用户信息。
我曾经讲过,我们使用免费软件和服务,非常感谢这些供应商。但是,这些供应商在用户使用其产品的过程中,在获取必要、合理的信息以外,不应该获取其他不必要的信息。这里,需要的并不是某个厂商的承诺,而是一种规则和约束机制。将来,应该有一种评价机制和监督机制,所有的当事方——从用户到产品提供者到服务供应者——都按照合理公平的机制规则来进行。有没有拿用户的信息,有没有做不该做的事情,应该由第三方来评价。这就是我说的:营造一种公平、开放、透明的环境。
第三,互联网和信息技术已经普及到今天这种程度,特别是信息消费正在逐渐兴起,我们一定要把提高网民的信息安全意识作为重要保障。我们拥有近6亿的网民,让所有的网民都成为安全专家并不现实,但我们希望他们应该有必要的信息安全意识。
有些人经常说互联网不安全,或者这个产品不安全,那个产品不安全。的确,互联网是有安全风险的,产品是要提高安全门槛。但是同时,有一些安全问题的发生是因为用户缺乏必要的安全意识,没有利用已有的安全功能才导致的。这好比一部很好的汽车,让一个从来没有开过车的人去开就会出事故,这就不能简单地说是车不安全,而应该是驾驶者会不会开车的问题。
所以,我们应该通过加强宣传教育提升广大网民的基本信息安全意识和安全技能,提高他们识别网络安全风险的能力。互联网上不可能只有鲜花,没有毒草,不可能只有好人,没有坏人。这就需要我们提高免疫能力,同时国家也应该加强互联网的综合治理,给大家营造更好的信息消费环境,保障大家的信息安全。(本文根据赵泽良司长在2013中国信息产业经济年会上的讲话整理,未经本人审阅。)