下载掌阅APP,畅读海量书库
立即打开
网络改变了生活,丰富了世界,但是网络发展的弊端和危险也随之出现,各种网络不安全问题的存在,严重损害了我国人民的根本利益。网络犯罪、个人信息泄露等一系列的网络安全问题频发。2022年8月31日,中国互联网络信息中心(CNNIC)在京发布第50次《中国互联网络发展状况统计报告》显示,截至2022年6月,我国网民规模达10.51亿。我国网上外卖用户规模达4.69亿,在线办公用户规模达3.81亿,在线医疗用户规模达2.39亿。网民遭遇个人信息泄露的比例为22.8%,遭遇网络诈骗的网民比例为17.2%,遭遇设备中病毒或木马的网民比例为9.4%,遭遇账号或密码被盗的网民比例为8.6%。通过对遭遇网络诈骗网民的进一步调查发现,虚拟中奖信息诈骗占比为40.8%,网络购物诈骗比例为31.7%,网络兼职诈骗比例为28.2%,冒充好友诈骗比例为27.8%,钓鱼网站诈骗比例为21.8%。2021年上半年,中国电信、中国移动和中国联通总计监测发现分布式拒绝服务(英文简称DDoS)攻击378 374起。工业和信息化部网络安全威胁和漏洞信息共享平台收集整理信息系统安全漏洞11 656个。其中,高危漏洞2 353个,中危漏洞5 985个。国内网络安全形势十分严峻,安全威胁来势汹汹,数据泄露、勒索攻击、黑客活动等各类网络安全事件层出不穷,所以必须要高度重视我国的网络安全发展问题。
2010年出现的震网(Stuxnet)病毒是第一个专门定向攻击真实世界中基础(能源)设施比如核电站、水坝、国家电网等的“蠕虫”病毒。2015年美国大选期间,美国前国务卿、民主党潜在总统候选人希拉里·克林顿遭遇邮件门事件,丧失了大选优势。2020年阿塞拜疆能源领域特别是与风力涡轮机相关的SCADA系统遭受威胁攻击,这些攻击针对的目标是阿塞拜疆政府和公用事业公司。随着工业互联网、物联网、大数据和人工智能技术的发展,网络安全问题产生的背景和使用的技术更加复杂,手段更加多样且后果更严重,网络安全不仅是影响人民生活更是关系到国家安全的重要因素。
要掌握网络安全的概念,我们首先要明确信息安全、网络安全、网络空间安全的概念异同,三者均属于非传统安全,均聚焦于信息安全问题。网络安全及网络空间安全的核心是信息安全,只是出发点和侧重点有所差别。
戚继光声韵加密法。“柳边求气低,波他争日时。莺蒙语出喜,打掌与君知。”“春花香,秋山开。嘉宾欢歌须金杯。孤灯光辉烧银缸。之东郊,过西桥,鸡声催初天,奇梅歪遮沟。春花香,秋山开。嘉宾欢歌须金杯。孤灯光辉烧银缸。之东郊,过西桥,鸡声催初天,奇梅歪遮沟。”这是两首看起来很平常的古诗词,如果不了解它们背后的玄妙之处,我们可能并不会把它们和“密码”二字联系到一块。事实上,这两首诗歌是中国古代密码“反切码”的代表。它是明代抗倭名将戚继光为了在战争中传递信息,以防情报被窃取而使用的密码。反切码是在古代注音方法“反切法”的基础上创造的。“反切”在汉代出现,它的规则是用两个汉字拼写给一个汉字注音,取第一个字的声母和第二个字的韵母和声调。如“风”,房声切,取“房”的声母“f”和“声”的韵母“eng”,切出“风”这个字的读音是“feng”。这两首诗歌的精妙在于,取前一首诗歌“柳边求气低,波他争日时。莺蒙语出喜,打掌与君知”中的20个字的声母,依次分别编号1到20;取后一首诗歌36字的韵母,顺序编号1到36。再将当时字音的八种声调,也按顺序编上号码1到8,就形成了完整的“反切码”体系。“补给粮食”这四个字的编码分别是2-30、19-25、1-3、10-21。如在战场上想要传达“补给粮食”的情报只需传递这四对数字就可以达到目的。此案例说明,信息安全保障了军队作战信息的保密性。
这里的信息安全,是狭义信息安全,是指建立在以密码论为基础的计算机安全领域。其中的信息特指存在和流动于信息载体(如磁盘、光盘、网络、数字终端、服务器等)上的信息,信息安全也特指存在和流动于信息载体上信息的不受威胁和侵害。ISO(国际标准化组织)的定义为:信息安全为数据处理系统建立和采用的技术、管理上的安全保护,达到保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露的目的。随着以数字化、网络化、智能化、互联化、泛在化为特征的信息社会到来,信息安全的内涵也随着新技术、新环境和新形态的出现发生着变化,信息安全开始更多地体现在网络安全领域,反映在跨越时空的网络系统和网络空间之中,反映在全球化的互联互通之中。
2020年4月,河南财经政法大学、西北工业大学明德学院、重庆大学城市科技学院等高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。郑州西亚斯学院多名学生反映,学校近两万学生个人信息被泄露,以表格的形式在微信、QQ等社交平台上流传。对此,该校官方微博在回应学生时称,已向公安机关报备,正在调查之中。5月31日,有人在班级微信群中发送两份“返校学生名单”,该名单涉及近两万名学生,信息具体到名字、身份证号、年龄、专业及宿舍门牌号,等。事件发生后,多名学生反映收到骚扰电话。此案例说明,网络安全具有载体虚拟化、传播网络化、影响跨国界的特点,注重从网络系统软硬件的互联互通着眼,关注网络系统中的数据内容是否遭到破坏、更改、泄露,系统是否连续可靠地正常运行等。
随着计算机技术的飞速发展,以信息共享为主要目的计算机网络已经成为社会发展的重要保证。但是,网络中存在很多敏感信息,甚至是国家机密,难免会引起攻击行为的发生,如窃取信息、篡改数据、传播计算机病毒等。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等可能发生的外部因素的考验。网络安全是20世纪80年代后期,尤其是90年代互联网发展及网络广泛应用的产物。信息安全重在信息,网络安全重在网络。网络安全强调的是在互联网普及、社会网络化程度不断提高、网络化国家逐渐成形下,整个网络环境、基础设施、网络空间以及网络各个环节的安全。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因无意或故意威胁而遭到破坏、更改、泄露,保证网络系统连续、可靠、正常地运行。
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。
2019年6月15日,《纽约时报》发表报道称,美国政府官员承认,早在2012年就在俄罗斯电网中植入病毒程序,可随时发起网络攻击。报道还指出,此举部分是为了发出警告,也是为了让美国在与俄罗斯发生重大冲突时处于进行网络攻击的优势地位。美国其实自2012年起就已经对俄罗斯的基础建设系统进行低强度的“侦察”活动,了解其构成与潜在的安全漏洞,但没有主动做出侵略行为。这次转守为攻主要是由于2018年在俄罗斯干预美国选举的背景下所通过的法案,授权美国网战司令部以“威慑、保障或守护”为名,在网上进行秘密活动。在过去的3个月内,美国部分现任和前任政府官员们表示,向俄罗斯电网和其他目标部署美国计算机代码,是向更具进攻性战略转变的一部分。“如果有一天俄罗斯陷入了黑暗,华盛顿就是那个幕后黑手。”
美国国土安全部和联邦调查局也声称,俄罗斯同样对美国电厂、油气管道系统或供水系统内植入恶意代码,以备战时启用。两国互置恶意代码进行网络攻击的行为再次凸显了,电网已成为在线攻击的首要目标,是当今网络战的前沿阵地和主战场。
此案例说明网络空间是继陆、海、空、天之后的第五大战略空间,是影响国家安全、社会稳定、经济发展和文化传播的核心、关键和基础,其安全性至关重要,存在一些急需解决的重大问题。
随着互联网在全世界的普及与应用,信息安全更多地聚焦于网络空间安全。2016年12月27日,国家互联网信息办公室发布并实施了《国家网络空间安全战略》,在此战略中指出,当前和今后一个时期国家网络空间安全(Cyberspace Security)工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等九个方面。网络空间安全主要研究网络空间的组成、形态、安全、管理等,进行网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等。例如:网络犯罪的预防,国家网络安全的维护,杀毒软件等安全产品的研发,网络世界的监管等。不仅包括传统信息安全所研究的信息的保密性、完整性和可用性,还包括构成网络空间基础设施的安全和可信。
网络空间安全是在涵盖包括人、机、物等实体在内的基础设施安全的基础上,同时实现涉及其中产生、处理、传输、存储的各种信息数据的安全,是一个包含物理和虚拟空间以及信息数据全生命周期的整体安全。
信息安全、网络安全、网络空间安全三者既有互相交叉的部分,也有各自独特的部分,安全保护范围如图1-1所示。信息安全可以泛称各类信息安全问题,网络安全可以指网络所带来的各类安全问题,网络空间安全则特指与陆域、海域、空域、太空并列的全球五大空间中的网络空间安全问题。需要特别说明的是:考虑到目前互联网的普及性以及大家对互联网的依赖性,本书中主要使用网络安全,不再过于强调网络安全与信息安全、网络空间安全之间的区别。
图1-1 安全保护范围
互联网发展早期,网络安全的基本属性主要包括机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个方面,简称CIA三元组。随着计算机网络技术的发展,美国国家信息基础设施(NII)的文献中,网络安全包括五个属性:保密性、完整性、可用性、可控性以及不可抵赖性。这五个属性适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、电力供给及通信等领域。
1.保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。这些信息不仅包括国家机密,也包括企业和社会团体的商业机密或者工作机密,还包括个人信息。人们在应用网络时很自然地要求网络能够提供保密性服务,而被保密的信息既包括在网络中传输的信息,也包括存储在计算机系统中的信息。
2.完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征,即数据未授权不能进行改变的特性。数据的完整性是指保证计算机系统上的数据和信息处于一种完整和未受损害的状态,这就是说数据不会因为有意或者无意的事件而被改变或丢失。除了数据本身不能被破坏外,数据的完整性还要求数据的来源具有正确性和可信性,即需要首先验证数据是真实可信的,然后再验证数据是否被破坏。
3.可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。保证信息在需要时能为授权者所用,防止由于主客观因素造成的系统拒绝服务。比如,网络环境下的拒绝服务、破坏网络和有关系统的正常运行都属于对可用性的攻击。可用性是衡量网络信息系统面向用户的一种安全性能。
4.不可抵赖性
即不可否认性。指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供信息的真实统一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。发送信息方不能否认发送过信息,信息的接收方不能否认接收过信息。
5.可控性
可控性是人们对信息的传播路径、范围及其内容所具有的控制能力,即网络系统中的任何信息要在传输范围内和存放空间可控,使信息在合法用户的有效掌控之中。除了采用常规的传播站点和传播内容监控这种形式之外,最典型的是如密码托管策略,当加密算法交给第三方管理时,必须严格按照规定可控执行。