书城教材教辅新时期青少年安全与审美读本
7561000000018

第18章 网络安全(2)

互联网的发展和应用给人们带来了无数的便利,缔造着财富神话、商业奇迹,从而有力地推动了人类社会的进步和繁荣。据统计资料显示,截止到1999年年底,全球个人电脑总数达7.65亿台;基于因特网的电子商务,到2002年,全球通过网站达成的贸易额达5万亿美元左右。就中国目前来看,计算机网络的发展速度也是十分惊人的,我国已建立了四大公用数据通信网(中国公用数字数据网、中国公用数字分组交换网、中国公帧中继网、中国公用电子信箱系统),还建立了公用计算机互联网、教育科研网、科技网等公共网站,“三金工程”也在紧锣密鼓地实施准备之中。截止到1999年12月13日,我国WWW站点数约15153个;中国互联网信息中心(CNNIC)2000年7月22日发布《中国互联网发展状况统计报告》中宣布,截止到2000年6月30日,我国计算机数已达650万台,上网用户达1690万户。从以上数据和资料可以看出,互联网的影响已渗透到社会的各个方面和各个角落,可以说互联网已成为信息社会化进程中的不可缺少的组成部分。然而,随着信息化进程的深入和互联网的迅速发展,网络安全问题也日益突出。黑客对网络的攻击,计算机病毒对互联网的威胁,犯罪分子借助互联网进行的高科技犯罪,有害信息(包括暴力、色情、封建迷信、反动思想和言论等)在网上的泛滥,计算机信息的窃取、改造、伪造以及互联网本身存在的问题等都严重地威胁到计算机网络的安全。据《今日美国》报道,黑客一年给美国民办信息网络带来的损失估计高达100亿美元;据美国着名的MISMANAGIZE等市场调查公司的报告:在美国大约有60%的微机曾受到病毒侵害,其中9%的病毒侵入损失都在10万美元以上。北京信源网络公司的一份市场调查报告表明,在国内大约有90%的网络用户遭到过病毒的侵害。美国总审计署的一份报告指出:仅1995年就有25万人次企图渗透到美国军事计算机网络中去,而且65%获得成功。与国际互联网相接的中国网络中心9596受到过境内外黑客的攻击或侵入,其中网站、银行和证券机构是黑客攻击的重点,某些国家机关及新闻单位亦难逃厄运。由此可以看出网络安全已涉及经济、政治、文化、军事等各个领域,大至国家民族的兴衰及国家安全和安定团结,小到单位个人的损失。所以解决计算机网络安全问题已刻不容缓。网络化是社会发展的产物,这是不可否认的基本事实,我们不能因为网络出现安全问题就放弃发展网络,放弃应用信息技术,相反我们应当面对现实,竭尽所能,采取一切可能的措施和手段,降低网络安全受到威胁的概率,减少损失,使人类社会信息化进程顺利、健康地发展。目前就全世界来看,互联网的安全防卫主要来自技术防卫,然而罪犯攻击互联网安全的手段越来越高明,工具越来越先进,令人防不胜防,而反攻击的手段、技术又相对滞后,当发现互联网安全漏洞的时候,危害已经造成。所以仅仅是技术上的防卫和完善已难以适应日趋严峻的计算机互联网的安全问题了。可见,网络安全教育十分重要和必要。

人是一切社会活动的主体,使用网络的主体是人,给网络造成安全危害的也是人,所以维护网络安全的关键也在于人,这就有必要积极开展和普及计算机互联网安全教育。世界各国对于安全技术从来都非常重视,投入了大量的人力、物力进行技术开发和应用,以确保网络安全,然而却忽视了网络安全教育。与技术的投入相比,安全教育的投入实在是少之又少了,其中一个重要原因可能是人们对安全教育的作用认识不足。通过网络安全教育,可以提高人们的思想认识,强化安全意识,提高人们明辨是非的能力,增强社会责任感,从而减少对计算机互联网安全造成威胁的人为因素,使每个社会成员为维护网络安全尽一份职责。从这一方面来看,教育可起到预防的作用。但是,我们必须认识到,无论是技术上的安全防卫,还是进行网络安全教育,我们都不能保证互联网的绝对安全,而只能是相对的安全。

网络安全教育的基本思路

网络安全问题并不是近几年才出现的,而是从因特网开始产生时就已经存在了,只是随着科技的发展和互联网的普及,安全问题越来越突出而已,而且安全问题也不会随着网络的发展而消失。正如任何社会一样,不管其发达程度如何,也不管其文明程度如何,都存在危害社会安全的犯罪问题,所以我们必须进行网络安全教育,而且网络安全教育不应只是一次性的教育,而应是分层次的持久性的教育。网络安全教育的目的是使所有用户及工作人员深刻理解网络安全在网络应用和发展中的地位和作用及自己在其中的安全责任,熟悉操作过程,执行安全策略,减少人为的因素或操作不当而带来的不必要的损失或风险。

1.对中小学生进行网络安全基础教育

由于计算机网络提供的信息资源巨大而丰富多彩,其中不仅具有积极的内容,也泛滥着许多不健康的信息,而使用网络的青少年尚在发育之中,思想道德观念不够成熟,正确的人生观和世界观尚未牢固确立,缺乏正确分析、判断事物的能力,对于网上的信息可能会全盘接受,不加以区分,不能自觉抵制不良信息。而且大多数的少年黑客道德意识、法律意识不成熟,只是由于对计算机网络的好奇而在网络上采取具有危害性的行为。所以对中小学生进行信息辨别能力的培养以及其他方面内容的网络安全教育,其作用、意义是显而易见的,也是网络安全教育中的重点,否则就会影响我国一代甚至几代人的健康成长。

2.加强对高校师生的网络安全教育。

对大学入校新生进行网络安全教育,开设网络安全课;对高年级学生、研究生及教师应当加强网络安全的培训工作,举办各种培训班、讲座,提高他们的计算机网络安全意识和素质。

3.对于各个家庭用户,也应加强宣传,让他们有机会参加培训班,对家庭进行有针对性的培训。

随着国家信息化的深入发展,人们对信息技术的依赖性愈益加深,网络将深入到日常生活,家庭用户的比例必将迅速增加,所以必须对家庭用户进行网络安全教育。

4.各个单位也必须重视网络安全教育。

单位应该对领导、员工加强职业道德、事业心、责任心的培养教育以及技术培训。通过分层次、持久性的网络安全教育,才能使全民提高网络安全意识和素质,充分发挥人在网络安全综合策略中的重要作用。

1.网络安全教育的基本内容。

马克思主义认为,物质生活的生产方式制约着整个社会生活、政治生活和精神生活的过程。不是人们的意识决定人们的存在,相反,是人们的社会存在决定人们的意识。工具的意义只存在于工具性和方法论层面,它无法取代人的主观思维活动,虽然它会对人的认识行为和认知结果产生一定的影响。网络安全除了健全法律、法规,提高技术水平,还应加强网络安全教育。

2.网络伦理道德教育。

由于威胁网络安全最主要的还是人为的因素,而人们的行为之所以会威胁到网络的安全,主要是由于网络道德行为严重失范所引起,其中突出的表现是网络犯罪,如黑客的攻击行为,利用网络进行的诈骗,传播色情信息等。而法律的强制和技术的屏障对于威胁网络安全的行为总是有一定的局限性、滞后性,因此近年来国外对网络道德问题的研究非常重视,以期从道德教育着手来解决网络安全问题。同时,与此相关的一些研究机构、组织纷纷成立,并开始出现各种规模不等的学术讨论会。他们还为其用户制定了一系列相应的规则,这些规则涉及网络行为的方方面面。比较着名的是美国计算机伦理协会为计算机伦理学所制定的十条戒律,这十条戒律对我们今天的网络社会是很有借鉴意义的。其具体内容是:

①你不应用计算机去伤害别人;②你不应干扰别人的计算机工作;③你不应窥探别人的文件;④你不应用计算机进行偷窃;⑤你不应用计算机作伪证;⑥你不应使用或拷贝没有付钱的软件;⑦你不应未经许可而使用别人的计算机资源;⑧你不应盗用别人的智力成果;⑨你应该考虑你所编的程序的社会后果;⑩你应该以深思熟虑和慎重的方式使用计算机。再如,作为一个全国性组织的美国计算机协会,它希望其成员支持这样的伦理道德和职业行为规范:①为社会和人类作出贡献;②避免伤害他人;③要诚实靠;④要公正并且不采取歧视性行为;⑤尊重版权和专利权在内的财产权;⑥尊重知识产权;⑦尊重他人的隐私;⑧保守秘密。

目前,随着电脑网络的日益发展,一些西方国家的高等学校已将“网络道德教育”纳入教育课程,如美国杜克大学就为学生开设了“伦理学和国际互联网络”的课程。而我国,在中小学当前开设的计算机、网络课程中,学的只是技术理论,基本不探讨网络道德问题,部分学生认为计算机网络与道德无关,网络的使用只是知识技术问题而不存在社会道德问题等。在这方面我们可借鉴其他国家的做法,把网络伦理道德教育问题融入当代社会教育的系统之中,为网络安全构筑道德屏障,这也是当代社会发展向教育提出的新任务。

3.计算机法律、法规基本知识教育。

因特网是由20世纪60年代美国国防部的阿帕网演变而成的,它的大发展始于20世纪80年代末90年代初。从全国范围来看,因特网的发展几乎是在无组织的自由状态下进行的,缺乏专门机构对其进行正规的管理,更不用说有专门的、完善的法律明文对之进行约束了,正因为如此,使得一些不法分子在网络空间里大显身手。我国目前也没有网络方面的专门立法,只是散见于《刑法》

以及其他一些条例、规定之中,如1991年6月国务院颁布的《计算机软件保护条例》,1994年2月国务院颁布的《中华人民共和国计算机信息系统安全保护条例》和《中华人民共和国计算机信息网络国际联网管理暂行规定》,1996年4月原邮电部发布的《中国公用计算机互联网国际联网管理办法》,1996年4月原邮电部电信总局下发的《关于加强中国公用计算机互联网Chinanet网络安全管理的通知》,1997年5月国务院颁布的《中华人民共和国计算机信息网络国际联网暂行规定》,1997年12月公安部发布的《计算机信息网络国际联网安全保护管理办法》,2001年1月国家保密局发布的《计算机信息系统国际联网保密管理规定》等,远远没有形成系统性的专门立法。但是,互联网世界只是对现实社会的虚拟,是人类现实世界的延伸,只是工具、手段、环境具有特殊性而已,所以通常的各种法律也应适用于互联网。互联网以自由着称,但互联网里的自由也同现实世界中的自由一样,是有限度的自由,是理性的自由,以遵守法律为前提。我国的法律及以上的有关互联网的规定、条例为维护网络安全提供了法律依据和保障,可以以这些法律、法规、条例为主要内容对人们进行教育,增强法律意识,从而让人们知道在互联网上什么可为,什么不可为,并且用法律武器来维护自己的合法权益,同时还可以举报不法分子,对攻击网络安全的不法分子用法律来进行惩罚。

4.网络安全基本知识教育。

要对人们进行网络安全教育,就必须让人们了解什么是网络安全,网络安全所涉及的内容有哪些,影响网络安全的环境因素以及危害网络安全会造成的损失和潜在危害。对网络安全基本知识的教育可以让人们对网络安全有个大体的了解,可以正确理解和认识网络安全,这是进行网络安全教育的基础,也是极其重要的安全对策。

5.安全技术防卫知识的教育。

世界各国都非常重视利用技术来保障计算机网络安全,虽然安全技术防卫不能完全普遍有效地保障网络安全,但是安全技术防卫在网络安全的预防和补救中的地位和作用是不可估量的。然而现在的普遍现象是这些安全技术防卫只是掌握在少数人的手中,大多数人只是消极地、被动地应用一些抗病毒软件,这就使得许多技术手段缺乏实施的社会环境,也使得不法分子对网络安全的攻击屡屡得手,加剧了网络安全的隐患。因此,如何普及安全技术防卫知识也就成为网络安全教育的重要内容。

6.网络安全意识教育。

长期以来,网络安全问题一直没有引起人们足够的重视,安全意识不强是一种普遍的现象。几乎所有的网络在建站之初及其发展过程中,其发展的方向都不约而同地选择了便利性、实用性,而忽略了不应忽略的重要一环--网络安全。

许多单位也存在类似的情况,只管使用不管安全。有些网站或用户在上网时对网络安全并不是没有考虑,也在资金、管理、技术上下了一番功夫,只是在发展过程中随着网络的应用、业务的开拓,没有出现安全问题,警惕性就逐渐降低了。

殊不知正是人们安全意识的缺乏,才给网络留下了一些不应该出现的漏洞,给不法分子留下了空间,从而带来了网络安全的危机。网络尤其是政府、银行、证券公司的网站一旦受到攻击或发生故障,其所造成的损失不仅是不可估量的,而且也是不可挽回的,所有曾付出的人力、物力都将付诸东流。2000年10月28日,世界各地的媒体刊发了一条具有轰动性的消息:世界电脑软件业龙头老大美国微软公司的电脑系统被“黑”,生产软件的源代码可能被窃,新开发的WINDOWS和OFFICE产品的具体计划可能被盗闭。专家们认为,这次事件完全是由于微软安全工作的疏漏造成的,因为黑客使用了一些常见的技巧和手段来窃取微软国内公司网络的口令。微软公司完全有能力阻挡这次黑客的攻击,而事情毕竟发生了。

这次黑客事件只能说明像微软这样的大公司也没有足够的安全防范意识。而此次事件所造成的损失不仅仅局限于微软公司,很有可能依赖于微软对在很大程度上产品的现代社会产生危害。因为微软的操作系统的市场占有率超过80%,黑客可根据窃取的源代码发现软件中薄弱之处而加以攻击。微软被黑再次给我们重重地敲响了警钟:必须提高网络安全意识。我国90%的网络设施还存在安全隐患,许多应用系统仍处于不设防的状态,再加上技术研究及基础知识的薄弱,安全问题显得尤为严重,加强公众的网络安全意识教育也就更为迫切。网络安全是一项巨大的社会系统工程,必须唤醒社会公众的安全意识,才能给计算机网络构筑一道坚固的安全屏障,促使网络顺利发展。

7.网络安全管理制度的教育。

管理是保证网络安全的有效手段,任何安全方案的实现都离不开管理,尤其是各个单位、网站、网吧、机房更要重视管理,因为相对来说这些地方上网的人员比较集中,必须有严格的管理制度,对上网人员、工作人员进行管理制度的教育可提高网络的安全性。一般的管理制度大体包含三个方面的内容:一是对人员的管理,一般要求从事网络的工作人员都应有良好的品质和可靠的工作动机,不能有任何犯罪记录和不良嗜好,对工作人员要有一套完整的管理措施,包括人员筛选录用政策、上网和离职控制、安全检查等一系列制度。另外,对工作人员及上网人员的日常操作也要进行管理,避免不当操作。二是对系统进行管理,其最低要求是系统运行的连续性,对系统进行备份、恢复,避免由于自然灾害、事故、设备的损坏及恶意的破坏行为所引起的服务功能的间断或丧失。三是操作程序的管理。网络的不安全尤其是内部网络的不安全主要体现在对网络的违规使用,比如越权使用某些业务,查看、修改机密文件或数据库,对计算机系统或网络的恶意攻击等。通过对工作人员、上网人员的计算机网络安全教育,可以使有关人员按管理制度的要求进行操作,明确其在网络安全中的职责和责任,减少人为的因素造成的破坏或操作不当给系统带来的不必要的损失和风险。