在美国,网络安全最近被提到了前所未有的重视高度。美国联邦调查局所属的关键性基础设施保护中心发布了一份题为《关于网络空间安全的国家战略》的报告,第一次明确地将网络安全提升到了关系国家安全的战略高度,第一次将网络安全综合进了关于国家安全的总体思路之中。
该报告指出:“网络空间对于本土安全与国家安全来说都是至关重要的。安全而且可靠的网络空间是支撑国民经济、关键性基础设施以及国防的支柱。因此,‘关于网络空间的国家战略’是一项必须加以实施的战略。”
网络安全的话题现在确实很热。但是,为什么政府和企业不断增加投入,却得不到渴望的安全感?网络安全究竟是什么?一些国际网络安全专家认为,在目前网络安全热的背后,许多人对网络安全的认识其实还处于初级阶段,并不成熟。
9月14日至20日,全球互联网技术标准化组织IETF中的IP安全协议工作组联合主席芭芭拉·福瑞舍(Barbara Fraser)女士一行来到中国,与国内大型企业和金融业的信息化主管进行了为期一周的“思科安全专家中国行”交流活动。这次活动是由思科公司组织的,作为全球领先的网络公司,思科在10多年中确立了自己在信息安全行业中不可撼动的领导地位。思科希望借此行深入地了解中国企业在相关方面遇到的实际问题、潜在困惑和迫切的需求。
福瑞舍女士说,由于安全专业知识的匮乏和认识上的偏差,对网络安全抱有“投资一次、享受终身”思想的人不在少数,它们大多把网络安全产品和方案理解成一道坚固的静态防线,而不能根据用户网络应用及其拓扑结构的发展变化调整或者重新部署网络系统的安全策略,从而埋下了系统安全的隐患。
归纳起来,国内网络用户在选购网络安全产品和部署网络安全系统的实践中还存在着如下一些认识上的误区:
1.认为没有必要制订符合企业长远发展的安全策略;
2.面对不法分子日益猖獗的复合式攻击,不少网络用户试图通过单点产品的简单堆砌来加以应对,而对产品之间的协调工作考虑较少,导致了安全防护体系的整体防御能力低下;
3.对复杂多变的网络环境和层出不穷的安全漏洞认识不足,许多用户把已经部署了的安全防御体系看成是“完美工事”。
福瑞舍女士说,思科在全球参与了很多各种企业的网络架构的设计和搭建工作,之所以可以在全球被广泛接受、认可,很重要的一个原因是思科视安全为网络体系不可分割的一部分。思科不仅在网络产品中慎重的加入了一些安全防护的措施;并且在设计网络结构时就对网络需求进行了模块化的分析,以部署适合企业现状而且可扩展的安全防护手段。这样,使得原本不可预期的网络危机转变为可预防、可控制,并且有补救方案的安全防护问题,从而大大降低了企业网络应用的风险。
不难想像,缺乏防卫能力的网络用户正好给不法分子提供了可乘之机,它们顺藤摸瓜地对用户的网络系统发起攻击,于是一道道安全屏障被穿破,一座座防御工事被摧毁,当然,遭受损失的不仅仅是拥有和使用网络的人们。
福瑞舍女士说,网络安全不分大小,家庭、小企业也应担负起网络安全的相应责任。安全战略的实施应在五个层面上展开:即家庭、企业、关键性机构、国家,以及全体人类。把家庭和小企业用户首次纳入国家信息基础设施安全的范畴之内,这也是《关于网络空间安全的国家战略》这份报告一个很突出的特点。因为由于技术的发展,家庭和小企业中的计算机和网络很容易被犯罪分子单独利用或者集体利用来进攻更大的目标。