我国信息网络安全现状与趋势

2006年是我国实施“十一五”规划的开局之年，信息安全保障工作迈出了新的坚实步伐，信息安全法律法规、标准化和人才培养工作取得了新成果。信息安全基础设施和工程建设进一步完善，信息安全等级保护和风险评估工作取得了新进展。总体上看，2006年我国的信息安全形式总体平稳，但影响信息安全的问题仍不少，自然灾害、网络攻击、病毒传播和安全漏洞等方面都呈现出一些新的问题。 字串4

一、信息网络安全形势

　　2006年，全球信息网络安全呈现出一些新特点： 字串6

　　（1）网络威胁形式多样，经济利益成为网络攻击的最大驱动力。网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级，黑客不光利用电子邮件和网站进行诈骗，具有“网络钓鱼”性质的病毒也开始出现，勒索软件、网络游戏、网络银行盗号木马等被广泛使用，都充分说明了经济利益已经成为网络攻击的最大驱动力。根据瑞星全球反病毒监测网统计显示，2006年上半年具有盗取用户密码等隐私信息特征的病毒共计90,421个，占总病毒数量的75.7%。网络黑客逐步形成了较为严密的组织，在组织内部分工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责；网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强；针对特定目标的网络攻击具有更大的威胁和破坏性。主动防御理论亟待产生行之有效的方法，信息安全防护形势严峻。 字串7

　　社会工程学和Zero-Day等新型攻击技术在实际中的应用，对信息安全技术带来极大的挑战。全球网络钓鱼安全事件频发，赛门铁克在2006年上半年检测出157,477条钓鱼消息，比2005年后半年高出81%，这些事件威胁目标的86%是家庭PC用户。据“反网络钓鱼工作组（APWG）”统计，截至2006年10月底，过去12个月共收到钓鱼报告266,469例。2006年10月我国的网络钓鱼网站占全球钓鱼网站的11.96%，名列全球第二位，位列美国之后。 字串4

　　（2）漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。根据美国CERT/CC统计，自1995年到2006年漏洞累计达到30,780个，2006年共报告漏洞8,064个，平均每天超过22个，2002-2006年第3季度信息安全漏洞的数量统计如图1所示。

字串6

图1　2000-2006年第3季度信息安全漏洞的数量统计 字串5

　　（3）病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。据瑞星2006年上半年的统计数据显示，通过电子邮件进行传播的病毒数量已经呈现下降趋势，黑客们越来越多地通过网站对用户进行攻击。此外，通过移动存储设备传播病毒使很多电脑用户饱受其害。

字串6

　　据公安部调查结果显示，2005年5月至2006年5月，有54%的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的比例为84%（见图2），遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。 字串3

字串8

图2　2005年5月至2006年5月发生网络安全事件类型分布

字串7

　　（4）僵尸网络有进一步扩大的趋势。僵尸网络（英文名称叫BotNet），是互联网上受到黑客集中控制的一群计算机，往往被黑客利用发起大规模的网络攻击，如DDoS、海量垃圾邮件等。安全科研人员十分关注BotNet的发展动向，因为它可以加大病毒或恶意代码传播的自动化程度和破坏强度。近期，僵尸网络呈现出一些新的趋势：部分程序可以扫描计算机的特定信息，如企业和个人信息，以获取网上银行账号等敏感信息。专家研究认为：6.5亿与互联网相连的计算机中大约有11%载有BotNet程序。2006年上半年，CNCERT/CC累计发现中国大陆地区有七百多万个IP地址的主机被僵尸网络控制，其中节点数大于5,000的僵尸网络有199个。我国拥有的“僵尸网络”电脑数目最多，占全球总数的近20%（全球共有470万台）。北京是世界上感染bot僵尸程序病毒的计算机数量最高的城市，约占全球总量的3%。 字串6

　　（5）流氓软件扰乱网络秩序。“流氓软件”是介于病毒和正规软件之间的软件，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。它们往往采用特殊手段频繁弹出广告窗口，危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。我国积极开展治理流氓软件活动，2006年9月4日，一个非盈利性的专门打击流氓软件的民间组织——中国反流氓软件联盟成立。中国互联网协会于同年12月27日举行了“治理恶意软件、保护网民权益”的动员大会暨《抵制恶意软件自律公约》签约仪式。

字串8

　　（6）网络电子犯罪影响变大。网络电子犯罪的特点是智能化、年轻化，且多为内部犯罪，犯罪形式具有隐蔽性、跨地域性和高危害性等特点。随着计算机、互联网络的发展和普及，网络电子犯罪的形式多样、手段新颖，且影响越来越大。据统计，2006年，北京市海淀区法院共审结诈骗类案件205件，其中计算机犯罪案件16起，网络诈骗案件4起。然而在2005年，还没有网络诈骗案件。据美国e-Crime调查显示，2006年每个调查对象反映的安全事件平均为34个，与2005年的86个和2004年136个相比有所下降，但这些犯罪事件对经济和企业运营造成的影响呈上升趋势，40%的调查单位有平均740,000美元的经济损失（2005年为507,000美元），23%的调查单位称这些事件损害了其单位的声誉。我们预测，2007年网络电子犯罪的形势将更为严峻。

字串2

　　（7）信息新技术应用和组网模式带来新的安全问题。无线射频识别（RFID）、IPTV的应用、VoIP以及传感器网络、ad hoc等网络通信模式的变化给信息安全带来了一些新挑战。

字串5

　　RFID系统是使用无线射频技术在开放环境中进行对象识别。在美国，RFID被广泛应用于企业的供应链中，美国军方也使用RFID技术追踪物资。由于信息安全问题的存在，RFID应用尚未普及到至为重要的关键任务中。在RFID系统中，关键的问题之一就是要确保只有授权用户才能识别对应的标签（Tag），而攻击者无法对这些标签进行跟踪。RFID设备具有一定的局限性，如计算能力和存储空间极其有限，这些都给其安全解决方案带来诸多难题。

字串4

　　IPTV是一种利用宽带有线电视网，集互联网、多媒体、通讯等多种技术于一体，给家庭用户提供包括数字电视在内的多种交互式服务的新技术。IPTV面临着众多的安全威胁：IPTV网络设备易遭受攻击；IP网路流量随意性和突发性很大，IPTV网络极易遭受流量冲击等恶意攻击而导致网络瘫痪；网络终端面临病毒入侵、植入木马等安全威胁；节目内容的插播、篡改面临着严峻的挑战。 字串6

　　学术界很早就开始关注VoIP的安全问题，但由于长期未发生规模性的安全事件而未引起足够重视。直到2006年末，VoIP软件Skype传出安全威胁的消息。蠕虫通过Skype Chat功能，诱导用户按要求下载某执行文件后，用户电脑会被植入间谍程序，并能扩散给外部主机。另据报道称，钓鱼攻击开始使用电话来实施欺骗，这将是VoIP面临的另一安全威胁。

字串8

　　此外，传感器网络、ad hoc等组网模式、终端设备的特殊性和局限性也给网络安全带来诸多新的研究课题。 字串4

　　（8）萨班斯（SOX）法案的实施对企业加强IT内控机制起到一定的推动作用。根据SOX法案404条款规定，上市公司必须在年报中提供内部控制报告和内部控制评价报告。这对于我国在美上市公司提出了新的挑战，它们不仅要遵从我国的相关政策，而且要执行SOX法案的游戏规则，信息安全政策和战略的国际化研究有待加强。

二、我国的信息安全政策

字串2

　　（一）创新型国家战略推动信息安全保障工作进程

　　2006年，自主创新受到了前所未有的重视。1月9日，胡锦涛总书记在全国科学技术大会上发表了重要讲话，他动员全党全社会坚持走中国特色自主创新道路，为建设创新型国家而努力奋斗，并指出在新时期新阶段，“信息科技将进一步成为推动经济增长和知识传播应用进程的重要引擎”，“建设创新型国家，核心就是把增强自主创新能力作为发展科学技术的战略基点”，“要抓住信息科技更新换代和新材料科技迅猛发展的难得机遇，把掌握装备制造业和信息产业核心技术的自主知识产权作为提高我国产业竞争力的突破口”。2006年2月国务院发布《国家中长期科学和技术发展规划纲要》，明确指出了未来15年信息安全技术发展的重点：

　　（1）掌握集成电路及关键元器件、大型软件、高性能计算、宽带无线移动通信、下一代网络等核心技术。

字串6

　　（2）开发网络信息安全技术及相关产品，建立信息安全技术保障体系，具备防范各种信息安全突发事件的技术能力。 字串1

　　（3）重点研究开发国家基础信息网络和重要信息系统中的安全保障技术，开发复杂大系统下的网络生存、主动实时防护、安全存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。

　　3月22日，全国人大第四次会议讨论通过的《中华人民共和国国民经济和社会发展第十一个五年规划纲要》提出，“积极防御、综合防范，提高信息安全保障能力的任务。”信息安全保障列入国家“十一五”规划，再显中央对信息安全工作的重视程度。

　　（二）明确了建立信息安全保障体系、提高信息安全保障能力的战略部署 字串6

　　2006年3月中央办公厅、国务院办公厅联合转发了《2006-2020年国家信息化发展战略》（简称《战略》），提出了全面加强国家信息安全保障体系、增强国家信息安全保障能力的战略目标。《战略》是继中办发[2003]27号文件后提出的包括信息安全工作在内的又一纲领性文件，其战略任务可概括为完成信息安全保障六项工作和提高信息安全保障六大能力：

　　信息安全保障六项工作可概括为：建立和完善信息安全等级保护制度；建设以密码为基础的网络信任体系；建设和完善信息安全监控体系，加强网络防范，防止有害信息传播做好信息安全应急处置工作；做好信息安全风险评估工作，综合平衡安全成本和风险，确保重点，优化信息安全资源配置；促进资源共享，加强灾难备份体系建设。

　　提高信息安全保障六大能力可概括为：信息安全核心产品和技术的自主创新能力；信息安全人才保障能力；信息安全法律保障能力；信息安全基础设施支撑能力；网络宣传驾驭能力；国际影响力。

字串6

　　（三）实施了配套的科技政策

　　为配合国家科技创新战略和国家信息化发展规划，国家发展与改革委员会、国家科学技术部、国家自然科学基金委、教育部、信息产业部等相关部门出台了相关配套政策，增加了对信息安全基础理论、关键产品和核心技术的研发力度。 字串7

　　国家发展与改革委积极布局国家“十一五”信息化发展规划，并列专题研究了信息安全问题。 字串7

　　《国家“十一五”科学技术发展规划》规定：在信息领域，重点研究开发高性能CPU和面向网络通信、信息家电、信息安全和工业控制的系统芯片；研究新一代网络与通信关键技术、传感器网络与智能信息处理技术以及新型开放式架构核心路由器、服务器和低成本网络信息终端。国家“863”计划根据国际信息安全技术发展态势，结合我国信息安全技术实际应用需求，重点支持复杂系统下的网络生存、主动实时防护、安全存储、网络病毒防范、网络信任保障等技术和系统的研发。 字串1

　　《国家自然科学基金“十一五”发展规划》在完善学科布局和部署优先发展领域方面向信息科学研究倾斜，把信息安全领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。 字串6

　　《信息产业科技发展“十一五”规划和2020年中长期规划纲要》提出使集成电路在信息安全和国防安全领域的自给率达到70%以上的建设目标，并重点支持和发展密码技术；安全处理芯片；电子认证、责任认定、授权管理；计算环境和终端安全处理；网络和通信边界安全；应急响应和灾难恢复；信息安全测评等技术和相关产品。 字串4

　　（四）积极推进信息安全等级保护和风险评估工作

字串1

　　2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》，拉开了2006年信息安全等级保护工作的序幕。2006年1月20日，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发了《信息安全等级保护管理办法（试行）》，并于2006年3月正式实施。为了配合办法的实施，全国各级公安相关部门已经就相关单位的信息系统安全等级保护基础信息开展全面调查。6月6日，公安部、国家密码管理局、国务院信息化工作办公室联合下发了《关于开展信息安全等级保护试点工作的通知》。8月，召开了“信息安全等级保护试点工作会议”，全面部署了试点工作，并选择了北京、山西、上海、江苏、浙江、安徽、江西、山东、河南、湖北、广东、广西、重庆等13个试点省市。11月底各试点单位完成了试点的各项任务，为在全国范围内开展信息安全等级保护工作打下了基础。信息安全风险评估相关标准的起草工作取得了阶段性进展，《信息安全风险评估指南》正式更名为《信息安全技术信息安全风险评估规范》，并已通过了信息安全标准委员会的评审程序，将于近期颁布。与评估标准相配套的《信息安全风险评估管理指南》已完成征求意见稿。 字串2

　　（五）应急管理工作逐步制度化

　　2006年，国务院发布了《国家突发公共事件总体应急预案》、18项国家专项应急预案、57项国家部门应急预案和31个省级总体预案，突发事件的应急管理工作受到了空前重视。其中，《国家通信保障应急预案》、《互联网网络安全应急预案》、《铁路网络与信息安全事故应急预案》等多项预案都与信息安全保障工作紧密相关。相关部门积极落实应急处置预案，重要信息系统的应急处置和灾难备份工作取得了一定进展。 字串4

三、基础设施建设 字串4

　　（一）组织机构 字串8

　　2006年11月17日，中国信息安全认证中心在京正式成立。认证中心为第三方公正机构和法人实体，其主要业务是，依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展与信息安全有关的管理体系认证和人员培训、技术研发等工作。信息安全认证认可工作是信息安全的基础性工作，是国家信息安全保障工作的重要内容，是全球化和信息化趋势下维护国家主权的重要手段。信息安全认证中心的成立，对我国信息安全产品和系统的认证认可工作走向规范化具有重要的推动作用。 字串7

　　（二）工程项目

　　国家电子政务外网等信息安全保障体系工程建设取得了新进展。

字串1

　　（1）国家电子政务外网。2006年5月12日，《国家电子政务外网安全保障体系总体规划》和《国家电子政务外网一期工程第一阶段中央部分工程网络安全保障体系实施方案》通过专家评审，明确了政务外网统一的安全管理策略，中央级网络安全管理平台和统一认证体系建设已全面展开，将陆续投入使用。尚在建设和完善中的国家政务外网目前可以连接在京中央各部委的中央城域网，以及31个省、自治区、直辖市和新疆生产建设兵团的一级广域骨干网。

字串6

　　（2）电子政务信息安全试点工作。2005年10月，国务院信息化工作办公室决定在广东、河南、天津、重庆4个省市开展电子政务信息安全试点工作。经过近一年的努力，各试点省电子政务信息安全试点工作圆满完成了任务，为今后搞好电子政务信息安全保障工作积累了大量的经验。 字串2

　　（3）“金盾”工程。2006年11月16日，国家发展和改革委员会在北京主持召开大会，通过了“金盾工程”建设项目的竣工验收。“金盾工程”于2003年9月开工，经过全国各级公安机关三年的集中攻坚，2005年底工程建设任务全面完成。目前，全国公安信息网络覆盖了各级公安机关，全国公安基层所队接入主干网的覆盖率达到了90%，最常用的公安信息系统已投入运行并取得重大成效，公安信息应用渗透到各个公安业务领域，公安机关侦查破案打击犯罪的能力和水平显著提升。 字串9

　　（4）“金财”工程。2006年4月，经国务院同意，国家发展和改革委员会正式批准金财工程（一期）建设项目立项。建立统一的信息安全体系是“金财工程”建设的一个重要方面，要实现全系统的应用安全、系统安全、网络安全和物理安全的统一管理，重点建设以认证中心、数据加密为核心的应用安全平台，制定相应的安全管理制度，为“金财工程”提供有效的安全保障。2006年，财政部“金财办”会同安全产品集成商和安全专家制定网络安全实施方案，整体规划完成了部外网网络和财政网络整合后网络系统的安全建设内容。在做好部机关网络及安全建设的同时，加强对地方网络及安全建设的指导与支持。下发《关于“金财工程”网络安全建设咨询和监理有关事项的通知》，统一选定财政系统网络安全建设监理单位。 字串9

　　（5）“金信”工程。金信工程是工商系统信息化建设的一项系统工程，主要是为了在全系统内建设企业信用监管体系。2006年，金信工程全面推进工商行政管理网应用，加快总局机关门户系统建设。推广网络信任服务系统，加强对网站和网络的监控管理。组织起草了《网络和信息安全应急预案》，为全国副省级以上节点统一配置了防病毒软件，按权限配发CA证书，全年共计发放安全密钥355个。通过加强与电信部门沟通，完成了总局5个在京事业单位与工商行政管理网的联网工作。 字串5

　　（6）“金智”工程。2006年8月3日，项目顺利通过了由国家发改委、财政部和教育部联合组织的验收。验收专家组认为，项目建设取得了显著成效：通过CERNET高速传输系统的建设、CERNET主干网和地区网的升级以及CERNET网络运行安全保障系统建设，不仅大大提高了CERNET主干网和地区网的传输速率和联网带宽，而且有力地支持了中国下一代互联网示范工程核心网CNGI-CERNET2等国家重大项目，进一步提升了CERNET上重点学科信息资源的共享能力，为相关重点学科建设、人才培养和科学研究提供了有力支持，推动了教育和科研事业的发展。

　　（7）中国下一代互联网示范工程（CNGI）。2006年，国家发展与改革委继续组织实施下一代互联网示范工程（CNGI）产业化及应用试验专项，设立并批复了34个CNGI项目，突出自主创新，优先支持有自主知识产权或创新应用前景明显的项目；重视支持网络安全、可管理性项目；面向新的通信模式和新的业务模式，重视无线宽带新技术，促进三网业务融合；丰富CNGI的应用。
字串9