7月4日消息，2012年中國計算機網(wǎng)絡(luò)安全年會今日在西安舉行，工業(yè)和信息化部通信保障局熊四皓副局長發(fā)表了“當(dāng)前互聯(lián)網(wǎng)安全幾個熱點問題和應(yīng)對思考”的演講。

　　工業(yè)和信息化部通信保障局熊四皓副局長

　　以下為演講實錄：

　　尊敬的沈昌祥院士，各位來賓，女士們，先生們，上午好!很高興參加由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心主辦的2012年中國計算機網(wǎng)絡(luò)安全年會。

　　經(jīng)過多年的快速發(fā)展，我國信息化建設(shè)和信息通信產(chǎn)業(yè)發(fā)展取得了巨大的成就，信息通信網(wǎng)絡(luò)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施，互聯(lián)網(wǎng)在國家政治、經(jīng)濟、文化、軍事等方面的戰(zhàn)略性地位日益突出。近年來，在全行業(yè)的共同努力下，我國基礎(chǔ)通信網(wǎng)絡(luò)安全狀況總體平穩(wěn)，安全防護水平明顯提升，網(wǎng)絡(luò)安全事件應(yīng)急處置工作水平顯著提高。但我們也要清醒的看到，網(wǎng)絡(luò)空間安全威脅形態(tài)日趨復(fù)雜，安全攸關(guān)利益主體日趨多元，網(wǎng)絡(luò)空間安全與傳統(tǒng)政治、經(jīng)濟、軍事安全緊密結(jié)合、相互轉(zhuǎn)化，網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)違法犯罪行為猖獗，新技術(shù)新業(yè)務(wù)快速發(fā)展引發(fā)的新型網(wǎng)絡(luò)安全問題不斷增加。總的來看，“十二五”期間的網(wǎng)絡(luò)安全形勢將更加嚴峻，面臨的挑戰(zhàn)將更加巨大。

　　當(dāng)前，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的熱點問題主要有：

　　一是構(gòu)建網(wǎng)絡(luò)信任體系是當(dāng)前制約我國互聯(lián)網(wǎng)發(fā)展的最大安全挑戰(zhàn)。網(wǎng)絡(luò)安全工作的目的和歸宿是實現(xiàn)網(wǎng)絡(luò)信任。只有在可信的網(wǎng)絡(luò)環(huán)境里，電子商務(wù)、電子政務(wù)才能得到有力發(fā)展，網(wǎng)絡(luò)犯罪、網(wǎng)上虛假信息和謠言傳播才能得到有效遏制，互聯(lián)網(wǎng)作為新興生產(chǎn)力對經(jīng)濟社會發(fā)展的革命性促進作用才能得到充分發(fā)揮。

　　目前，我國互聯(lián)網(wǎng)誠信體系建設(shè)還剛剛起步，存在的問題還很多。比如網(wǎng)絡(luò)釣魚、仿冒網(wǎng)站、釣魚短信等網(wǎng)絡(luò)欺詐行為十分突出，給用戶和企業(yè)造成嚴重損失;偽造地址發(fā)動網(wǎng)絡(luò)攻擊，利用虛假身份毀壞公民個人和企業(yè)聲譽的情況比較常見(據(jù)CNCERT統(tǒng)計，DDoS的70%是由虛假地址發(fā)起);網(wǎng)絡(luò)信任問題成為制約云計算和電子商務(wù)發(fā)展和普及的主要障礙之一;互聯(lián)網(wǎng)用戶個人信息竊取和販賣問題突出，社會公眾和企業(yè)使用互聯(lián)網(wǎng)的信心受到抑制。

　　網(wǎng)絡(luò)信任體系建設(shè)是復(fù)雜的系統(tǒng)工程，涉及網(wǎng)絡(luò)身份管理、網(wǎng)上行為管理、打擊網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)法制建設(shè)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、網(wǎng)民道德和安全意識教育等諸多方面，需要國家從全局和戰(zhàn)略的角度加強統(tǒng)籌規(guī)劃，需要政府、企業(yè)、用戶、行業(yè)組織、技術(shù)支持機構(gòu)共同努力。當(dāng)前應(yīng)著重抓好網(wǎng)絡(luò)信任體系建設(shè)的突出矛盾和問題，加強網(wǎng)絡(luò)身份管理，推行網(wǎng)絡(luò)證書制度，并在電子商務(wù)、電子政務(wù)等領(lǐng)域率先啟用;在移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興產(chǎn)業(yè)發(fā)展進程中要同步考慮解決網(wǎng)絡(luò)信任的問題，不能走先發(fā)展再治理的老路;要求運營企業(yè)加強監(jiān)測手段建設(shè)，提高網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)和追蹤溯源能力;啟動源地址認證工作，減少通過仿冒IP地址發(fā)起的網(wǎng)絡(luò)攻擊行為;提高對木馬僵尸網(wǎng)絡(luò)等網(wǎng)上惡意程序的監(jiān)測發(fā)現(xiàn)能力，持續(xù)開展治理行動，完善相關(guān)法律，進一步明確網(wǎng)絡(luò)犯罪的量刑，加大執(zhí)法力度。

　　二是移動互聯(lián)網(wǎng)快速發(fā)展帶來的網(wǎng)絡(luò)安全問題日益突出。近年來，移動互聯(lián)網(wǎng)已經(jīng)成為信息產(chǎn)業(yè)中發(fā)展最快、創(chuàng)新最活躍的領(lǐng)域。寬帶無線通信技術(shù)的演進和移動智能終端的普及為移動互聯(lián)網(wǎng)的發(fā)展注入了強大的動力。移動支付、基于移動用戶位置信息的服務(wù)等各類創(chuàng)新應(yīng)用不斷涌現(xiàn)，極大的豐富了用戶的業(yè)務(wù)體驗。移動智能終端、應(yīng)用軟件和軟件商店的緊密結(jié)合，構(gòu)成移動互聯(lián)網(wǎng)獨特的業(yè)務(wù)運營模式，深刻的影響著用戶的消費習(xí)慣和產(chǎn)業(yè)格局。與此同時，移動互聯(lián)網(wǎng)和智能終端的安全問題也備受關(guān)注。一方面互聯(lián)網(wǎng)上原有的惡意程序傳播、遠程控制、網(wǎng)絡(luò)攻擊等傳統(tǒng)網(wǎng)絡(luò)安全威脅向移動互聯(lián)網(wǎng)快速蔓延。另一方面移動互聯(lián)網(wǎng)終端與用戶利益密切相關(guān)，惡意吸費、用戶信息竊取、誘騙欺詐、網(wǎng)絡(luò)攻擊等惡意行為的影響和危害十分突出。分析移動互聯(lián)網(wǎng)安全日益凸顯的原因，至少包括以下方面：一是在互聯(lián)網(wǎng)的可信可管沒有從根本上解決的情況下，作為移動通信和互聯(lián)網(wǎng)融合的產(chǎn)物，移動互聯(lián)網(wǎng)安全依然沒有可靠保證。二是移動智能終端、操作系統(tǒng)和應(yīng)用軟件尚處于發(fā)展演進當(dāng)中，自身安全和相關(guān)安全產(chǎn)業(yè)走向成熟還有很長的路。三是智能終端有限的存儲和計算能力、寬帶無線網(wǎng)絡(luò)和有限的空口資源使移動互聯(lián)網(wǎng)安全防護的可擴展性大大降低。四是黑客地下產(chǎn)業(yè)鏈日益將互聯(lián)網(wǎng)作為攫取經(jīng)濟利益的目標(biāo)，移動用戶安全防范意識和技能的薄弱進一步加劇了安全威脅。五是我國移動互聯(lián)網(wǎng)和智能終端自主可控能力不強，距國際先進水平還有相當(dāng)大的差距。

　　當(dāng)前我部重點從以下方面開展工作：一是圍繞智能終端、應(yīng)用商店帶來的用戶信息泄露、手機惡意程序等問題開展研究和安全評估，根據(jù)評估結(jié)果對移動互聯(lián)網(wǎng)企業(yè)和終端廠商提出整改要求。二是指導(dǎo)互聯(lián)網(wǎng)企業(yè)和技術(shù)機構(gòu)開展移動互聯(lián)網(wǎng)惡意程序監(jiān)測、處置，凈化移動互聯(lián)網(wǎng)環(huán)境。三是在手機進網(wǎng)許可環(huán)節(jié)，對手機操作系統(tǒng)和預(yù)裝應(yīng)用程序開展安全檢測工作，防止手機帶病入網(wǎng)。四是研究強化手機應(yīng)用商店安全監(jiān)管，督促落實應(yīng)用商店經(jīng)營者安全責(zé)任，加強安全檢查。五是支持手機安全產(chǎn)業(yè)發(fā)展，指導(dǎo)中國互聯(lián)網(wǎng)協(xié)會加強反網(wǎng)絡(luò)病毒聯(lián)盟建設(shè)，建立手機惡意程序舉報機制，發(fā)揮社會和輿論監(jiān)督作用。

　　三是用戶個人信息安全問題引發(fā)社會廣泛關(guān)注。近年來網(wǎng)上網(wǎng)下竊取和販賣用戶信息的違法犯罪行為屢禁不止，嚴重侵害用戶利益。金融、教育、醫(yī)療、電信、房地產(chǎn)、物流等領(lǐng)域掌握了大量用戶信息，但不同程度存在濫用和販賣用戶信息的行為。保護用戶信息安全是一項系統(tǒng)工程，需要多部門合作，立法、行政、技術(shù)、自律等多措并舉。工信部作為行業(yè)主管部門，做好電信和互聯(lián)網(wǎng)行業(yè)的用戶信息保護工作是我部職責(zé)?？陀^的說，電信和互聯(lián)網(wǎng)行業(yè)在用戶信息保護方面，還有不少工作需要進一步加強。去年年底， CSDN、天涯社區(qū)網(wǎng)站發(fā)生用戶信息泄露事件，涉及3700多萬注冊用戶。分析用戶信息泄露事件頻發(fā)的原因：一是隨著互聯(lián)網(wǎng)發(fā)展和普及，網(wǎng)上采集和存儲了越來越多的用戶信息，客觀上增加了用戶信息泄露的風(fēng)險和保護難度。二是企業(yè)安全意識不強，安全管理制度不健全，網(wǎng)絡(luò)安全防護水平不高，給黑客入侵或不法分子販賣用戶信息以可乘之機。三是網(wǎng)絡(luò)違法犯罪行為猖獗，網(wǎng)上網(wǎng)下竊取販賣用戶信息的行為普遍。四是我國缺乏用戶信息保護的專門法律，現(xiàn)有法律無法適應(yīng)打擊危害用戶信息安全犯罪的需要。現(xiàn)有刑法僅規(guī)定“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員將在履行職責(zé)或提供服務(wù)過程中獲得的公民個人信息出售或者非法提供給他人應(yīng)受到法律處罰”，而對其他行為主體出售或非法提供用戶信息的行為，以及在中間環(huán)節(jié)傳播和販賣用戶信息的行為處罰缺乏規(guī)定。

　　為保護電信和互聯(lián)網(wǎng)領(lǐng)域用戶信息安全，我部印發(fā)了《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場若干規(guī)定》，對互聯(lián)網(wǎng)企業(yè)收集、使用和保管用戶信息做出了規(guī)定;印發(fā)了《通信網(wǎng)絡(luò)安全防護管理辦法》和《電話用戶信息登記保護管理規(guī)定》，要求企業(yè)提高網(wǎng)絡(luò)和系統(tǒng)防范黑客攻擊的能力，規(guī)范電話用戶登記信息保護工作，保護用戶信息安全;妥善處理了CSDN、天涯等網(wǎng)站信息泄露事件;持續(xù)開展網(wǎng)上木馬程序監(jiān)測清理工作，配合公安機關(guān)打擊涉及用戶信息的犯罪行為。盡管如此，保護用戶信息安全的形勢仍然十分艱巨，發(fā)生重大用戶信息泄露的風(fēng)險仍不能完全消除，做好這項工作仍需要各方的不斷努力。

　　四是網(wǎng)絡(luò)安全威脅不斷演化升級。近年來，分布式拒絕服務(wù)攻擊出現(xiàn)了一些新形勢和新特點，黑客組織從利用普通被控“肉雞”發(fā)動攻擊向利用具有高帶寬的IDC機房轉(zhuǎn)移，從短時間、突發(fā)性攻擊向高級別、持續(xù)性APT攻擊轉(zhuǎn)變，以癱瘓競爭對手服務(wù)、謀取不當(dāng)競爭利益為目標(biāo)的網(wǎng)絡(luò)攻擊日漸增多?！罢鹁W(wǎng)”(Stuxnet)、Duqu(音“讀取”)、“火焰”病毒的相繼出現(xiàn)，表明互聯(lián)網(wǎng)惡意程序向工業(yè)控制系統(tǒng)、能源、交通、金融、電力等重要行業(yè)系統(tǒng)快速延伸。針對網(wǎng)絡(luò)安全威脅新形勢和網(wǎng)絡(luò)攻擊新特點，我部將進一步加強新型網(wǎng)絡(luò)安全威脅分析研究，加強網(wǎng)絡(luò)安全監(jiān)管，不斷提高通信網(wǎng)絡(luò)抵御大規(guī)模網(wǎng)絡(luò)攻擊的能力，加強網(wǎng)絡(luò)安全技術(shù)手段和能力建設(shè)，加強部門間協(xié)調(diào)配合，共同維護網(wǎng)絡(luò)安全。