一、信息安全问题的提出
随着信息社会的来临,信息犯罪成为日益严重的社会问题。
所谓信息犯罪是指行为人利用信息、信息技术手段实施的或以信息资源为攻击对象的危害信息安全的犯罪行为。例如,1988年11月,一个称作“蠕虫(worm)”的程序通过互联网传播,首先减缓了网络上的计算机运行速度,最后导致停机。
据报道,1998年有73%的单位受到各种形式的网络病毒入侵;1998年美国一家网络一年传送的邮件有1/3是垃圾邮件;1999年病毒感染事件比1998年增加了2倍,其中宏病毒入侵案件占60%,超过1300种;1999年西方12个国家的警方在一次打击网上色情的联合行动中,逮捕96人,其中一个网址竞有25万张黄色图像;2000年网上200个网点的赌博金额达到60亿美元。另外,美国一家网站利用技术手段获得别人的经济收入,另一家网站利用输入车牌号码查到车主的地址等。
上述种种情况,对信息安全提出了要求。所谓信息安全是指在信息采集、存储、处理、传播和运用过程中,信息的保密性、认证性、完整性、可访问性、防御性、不可否认性、合法性等得到保护的一种状态。信息安全就是要保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏、处理及能力的丧失。信息安全的具体要求见表13.3。
信息安全最早可追源到古代的保密术。保密术是研究通信安全保密的科学,是保护信息在传递过程中不被敌方窃取、解读和利用的方法,它包括密码加密学和密码分析学。随着现代信息安全问题的出现和加剧,1977年,美国国家标准局(NBS)正式公布实施了美国数据加密标准(DES),公开DES的加密算法,以广泛应用于商业领域。
现代的信息安全最突出的是计算机安全。计算机安全,主要指一种确定的状态,使计算机数据和程序文件不致于被非授权人员、计算机或其程序所访问、获取或修改。一般而言,计算机安全可以通过被授权人员使用计算机系统的物理范围、利用特别的软件和在计算机操作规程中构造安全功能等方法来实现。1971年,莱姆普逊(Lampson)的存取监控器模型为计算机安全保护提供了基本的理论,1972年舍尔(Schell)提出“安全内核”概念,1984年到1988年间,西蒙斯(Simmons)提出并完善认证理论。总之,计算机安全的基本要求包括:用户身份验证、存取访问控制、数据完整性、审计和容错等五方面。1983年美国国防部公布了“可信计算机系统评估准则”(trustedcomputer system evaluation criteria,即TCSEC),其指导思想是:根据不同的安全应用需求确定相应强度的控制水平,即不同的安全等级。1988年,邓宁(Denning)提出数据库视图技术,为防止最小数据泄露提供了技术途径。
随着信息资源系统的建设,信息系统安全问题也不断暴露出来。IBM的研究员费舍尔(Fisher)最先认识到这个问题,1984年他出版信息系统安全的第一部著作。1985年,沃约罗克(Voyolock)和肯特(Kent)提出高级网络协议的安全问题01987年,美国国家计算机安全中心(NCSC)公布“可信网络定义”(trustedne twork interpretation),扩展TCSEC的应用范围01988年,国际标准化组织(ISO)提出OSI网络安全体系标准(IS0/7498-2)。进入90年代,随着网上商业活动的发展,人们开始研究和应用防火墙(frewall),以满足信息安全的需求。
二、信息安全政策的中外比较
信息安全的风险包括人为错误、自然灾害、信息窃取、信息欺诈、信息破坏、病毒、信息战争等。因此,对信息安全的需求也就包括:用户身份验证、存取访问控制、信息交换的有效性和合法性、软件和数据的完整性、加密、监理、审计、防病毒、防灾等。
只有安全的信息,才是真正的财富。因此,信息安全对策可以有两种:技术对策和管理对策,具体包括安全技术、组织机构和人员保证、工作规范和标准、人事制度、法律规范等。
目前,世界信息技术发达国家制定广泛的信息安全政策以加强对信息的保护。
1.美国
早在20世纪40年代,美国总统就发布了关于联邦安全保密政策的行政命令。其后,美国国会通过《1946年原子能法》、《1947年国家安全法》、《1949年出口管制法》、《1951年发明安全法》、《1969年出口管理法》等,都涉及信息安全问题。进入70年代,针对计算机和网络在现代经济发展、国家安全、社会生活各方面的重要地位和作用,美国先后颁布《1977年联邦计算机系统保护法》、《1978年联邦电子基金转换法》,1978年,佛罗里达州制定了第一个禁止计算机犯罪的法律。1984年,美国国会通过《联邦禁止利用电子计算机犯罪法》。此后,还连续颁布《小企业计算机安全与教育法》、《信用卡欺诈法》、《伪造信息存取设备与计算机欺诈及滥用法》,规定计算机犯罪的技术术语、范围、类别,以及相应的处罚标准,明确计算机犯罪法令的适用对象以及负责法令实施的政府机构,为防范和打击计算机犯罪活动提供了一个初步的法律框架。
此后,美国又制定《1987年计算机安全法》、《1988年计算机匹配与隐私法》、《1988年国家技术信息法》、《1991年高性能计算机法》、《1992年美国技术领先法》、《1995年文书削减法修正案》、《1996年通信法》、《1996年数字版权法》、《1996年克林格一卡亨法》即《信息技术管理改革法》、1996年OMB的M96-20即《信息技术管理改革法的实施》、1996年OMB的A-130通报即联邦信息资源的管理、1999年OMB的M99-20通报即联邦自动化信息资源的安全、《2000年互联网非歧视法》(lntemet Nondiscrimination Act),等等。
其中,美国的A-130通报对信息安全保障作出具体的规定,如对联邦政府各自动化信息系统制定安全政策,包括适度安全、系统分类、信息安全计划、最低限度信息安全措施、一般支持系统的信息安全措施、重点应用系统的信息安全措施等。
2000年初,美国出台电脑空间安全计划,旨在加强和保护关键基础设施、计算机系统和网络免受威胁的防御能力。现在,美国国防部决定不再使用普通的密码,而使用人体特征为密码。2000年美国加强对电子公告板和“论坛”的管理,具体的管理办法包括:制定张贴规则供张贴者自律,网站行使权利,删除违规信息,接受举报,制止违规行为等。2000年10月1日,电子签名法正式生效。2000年10月5日美国参议院司法委员会通过《互联网网络完备性及关键设备保护法案》。2000年5月8日,美国司法部和联邦调查局共同创建一个专门监督互联网欺诈行为的网站,消费者可以进行投诉。
2000年5月,美国参谋长联席会议颁发《2000年联合构想》,正式提出“信息战”的概念。“信息战”是联合部队夺取优势至关重要的能力。美国军方推出了一系列军事信息安全新举措:修订过时的计算机法规;开始入侵侦测网建设;信息访问新政策;网络安全改进计划;运用智能卡技术实现计算机安全新概念。美国信息战的重点是进一步加强信息战理论研究,建立信息战体制,研究新的信息战装备特别是计算机网络攻防装备和手段。美国已经研制成功微计算机芯片的“固化病毒”,正在组织力量研究“计算机病毒枪”或日“计算机病毒炮”。美军公开征募黑客从军,不断加大信息战的投入。
2.日本
1985年12月,日本制定了计算机安全规范,并出版相应的指南。日本通产省起草的《信息社会基本法》,包括计算机系统事故对策、防止计算机犯罪措施、数据保护及软件保护等。1986年,成立了日本安全管理协会,并设立四个组,分别研究计算机安全、EDP审核、人的因素和保密等基础课题。1989年11月,曰本警视厅公布了《计算机病毒及非法程序的对策指南》。2000年6月8日日本邮政省公布旨在对付黑客的信息安全对策——《信息网络安全可靠性基准》的补充修改法案,提出基于风险管理的“信息安全准则”的指导原则。日本设立由所有省、厅参加的“信息安全对策推进会议”,负责信息的安全工作。2000年7月,日本信息技术战略本部及信息安全会议共同拟定信息安全指导方针,制定出《关于防范电脑恐怖活动的特别行动计划》,要求各级政府在12月底前制定出适合本单位特点的《信息安全基本方针》以及《信息安全对策基准》,并拨款开发网络安全技术,包括防止非法存取技术、查明黑客来路的跟踪系统、病毒检测与消除技术及数据码技术等。在信息政策的指导下,日本东芝公司已有能力制造“固化病毒”的计算机病毒武器。
3.俄罗斯
2000年9月,俄罗斯总统普京批准《国家信息安全构想》,明确了保障信息安全应采取的措施。根据法律规定,俄罗斯联邦安全部门获准在未经用户许可或者完全不知晓的情况下,可以监控网络上传输的信息,窃听电话交谈和查看寻呼机留言。俄罗斯在信用卡保密性能的技术分析、互联网软件的安全性能鉴定、电信加密软件或计算机开发系统软件的安全等级等方面加大了研究力度。同时,把“信息战”问题放在突出地位,并为此专门成立了新的国家信息安全与信息对抗机构,建立了信息部队,提出“信息心理对抗”的概念,建立“信息对抗、信息心理对抗教育和防范体系”。
4.欧盟
1981年英国制定的《数据保护法》和1990年制定的《计算机滥用法》,对打击非法侵入、破坏计算机系统、计算机犯罪等进行规定。德国修订后的《刑法》,增加了有关计算机犯罪的规定,并将计算机资料及程序纳入《不正当竞争防止法》中。1997年6月德国颁布世界上第一部规范互联网的法律一《多媒体法》。
1991年欧共体12个成员国批准了《软件版权法》。1994年3月法国新刑法生效,对非法入侵计算机的行为专门进行了规定,定名为侵犯自动化处理系统罪。2000年4月法国原子能委员会建立一个信息技术安全评估中心,职能是研究和鉴定新的信息系统安全项目,如智能芯片型等,以满足工业界对信息安全的要求。
三、建立中国的信息安全政策体系
世界各国普遍重视信息安全,或通过制定专门的法律法规来防止信息安全风险行为,或通过修订已有的法律法规对危害信息安全的行为进行规制。信息安全问题在我国屡屡出现,建立我国的信息安全政策体系刻不容缓。
当前,我国已经制定了一些信息安全政策。例如,1994年2月实施的《中华人民共和国计算机信息系统安全保护条例》、1997年的《计算机信息网络国际联网安全保护管理办法》以及修改的刑法第285条、第286条、第287条,对非法入侵计算机信息系统罪、破坏计算机信息系统罪、利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为,做出了规定。
但是,我国信息安全政策体系仍没有完善,而我国的国情与国外不同,制定的信息安全政策既要借鉴国外的经验,又必须从实际出发,促进信息事业的可持续发展和综合国力的提高。
1.制定信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展
国家信息安全是一个关系国家生存、发展各个方面的重要安全问题。要从政治、经济、安全、技术等方面,全面地制定国家信息安全战略,着眼于国家在21世纪的长远发展,重点解决信息安全方面的重大战略问题。
2.加强信息安全技术的研究、开发和运用,发展信息安全产业,有效克服信息系统的安全弱点
鼓励企业研究和开发信息技术,特别是具有自己知识产权的安全操作系统、电子商务安全平台、数字认证、防火墙系列产品、实用非否认协议、计算机网络安全评测产品、虚拟专用网、网络入侵检测系统、“黑客”入侵检测系统、互联网网络安全监视系统、数字水印、无线通信网络的安全协议、智能卡软件安全规范、智能安全集成平台、互联网安全集成系统、安全引擎工具包、网络安全教育;新的密码体制如量子密码、DNA密码、混沌理论等。
同时,政府要鼓励企业加强自我保护,如采取给所有操作系统和服务器加装补丁程序,经常对网络进行扫描及其他网络安全措施,以建立一个综合性的保护体系。
3.制定法规,建立机构,统一规范和管理信息安全工作
成立跨部门的国家信息安全管理委员会,协调各个职能部门的分工协作。建立国家信息安全基础设施,如国际出入口监控中心、安全产品评测认证中心、病毒检验和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、信息战防御研究中心等。
4.普及信息安全知识,提高全民信息安全意识
通过专业教育与培训教育相结合,针对不同层次、不同对象,因地制宜开展信息安全知识教育。
5.加强信息安全的国际合作,共同打击网络犯罪
世界上已经起草《世界反网络犯罪条约》,美国、加拿大、法国、澳大利亚、南非等国家已共同组建电子商务监督网,加强对网上犯罪的防范。我国也要积极参与这方面的国际合作。
6.加紧信息战准备,不断提高信息作战能力