“2009年,对于网络安全市场而言,经济危机带来的并不完全是寒冬。相反,在全球经济萧条的大环境下,存活的企业更加意识到了企业安全的重要性。”微软战略安全架构师裔云天近日接受本报记者采访时表示,互联网已经改变了我们的生活方式,日益蓬勃发展的社交网站、博客、电子商务网站就是最好的印证。但是,随着网络上对个人(或机构信息、财产进行针对性攻击的激增,目前互联网在安全和隐私方面的缺乏已经到了让人无法接受的地步。
“微软去年在整个研发上总共花了90亿美金,其中三分之一花在安全上,包括改进产品安全,修补我们已有产品的漏洞等。”裔云天说。
网络安全形势严峻
据微软最新发布的第六期安全研究报告显示,随着软件公司操作系统安全性的日益提高,目前第三方应用软件已成为恶意软件的主要攻击目标,2008年下半年发现的漏洞中有90%涉及到应用软件。
“比如开发财务软件,先要完成应收账应付账,再兼顾界面友好等情况,但是在功能完成的情况下,对安全方面的考虑和开发却很不够。这就导致了软件本身在安全方面漏洞百出。中国不少中小型企业的开发商,本身活下来就很困难,所以他们也很难把自己的开发人员送到外面去进行安全培训,而且据我所知,国内很少有安全培训,这就是为什么会出现这么多漏洞的原因。”裔云天分析说。
此外,报告还显示,2008年下半年冒牌安全软件的数量大幅增加,已成为计算机安全的主要威胁,而计算机设备的丢失和被盗仍然是造成数据破坏的最主要原因。裔云天解释说,冒牌安全软件就是利用人们渴求计算机安全的心理,以安全软件的形式诱惑用户购买和安装,但实际上却不提供或只提供有限防护的恶意软件,而且该类软件还经常会盗取用户的个人信息。
金山软件日前发布的《2009年4月份中国电脑病毒疫情及互联网安全报告》也显示,2009年4月份,新增电脑病毒、木马177.3891万个,病毒、木马感染电脑数量为2008.3015万台次。其中,网页挂马、软件漏洞依然是病毒传播的主要途径,互联网安全形势依旧很严峻。
裔云天表示,造成目前严峻形势的最主要原因是病毒已经完全互联网化,电脑病毒本身在技术上并没有进步。以前黑客编写病毒、传播、窃取账号、出售等环节都需要自己完成,但现在整个链条由于通过互联网运作,从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号,已经形成了一个高效的流水线。
亟待有效法律出台
近年来,我国互联网用户数量持续快速增长,并超过美国跃居全球首位。与此同时,网络黑客犯罪行为也日益猖獗。2007年初,一个名叫“熊猫烧香”的病毒在极短时间内通过网络迅速传播,曾使数百万台电脑中毒,造成重大损失。
中国工程院院士方滨兴接受记者采访时指出,国家信息安全保障体系包括积极防御、综合防范等多个方面的多个原则。因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。具体包括:加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。
“当然,要增强国家信息安全保障能力,还必须掌握核心安全技术。此外还应具有信息安全的法律保障能力、基础支撑能力等。”方滨兴说。
据悉,十一届全国人大常委会第六次会议曾审议了刑法修正案七草案,拟对利用网络犯罪的黑客行为实行严厉打击。刑法修正案七草案中增加规定:侵入国家事务、国防建设、尖端科学技术领域以外的其他计算机信息系统,获取计算机信息系统中存储、处理或者传输的数据,或者对计算机信息系统实施非法控制,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
草案同时规定严惩为他人实施黑客犯罪提供程序、工具者。草案规定,“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚”。
但中国电子商务协会政策与法律委员会副主任阿木斯对此表示,对现行法律的修正和补充只是暂时的,面对信息社会网络信息迅速发展的趋势,原有法律的修订不能全面解决问题,“我们仍然期待信息安全法、个人信息隐私保护法等更具体、更有针对性的法律出台。”