时间:2023-06-02 09:21:05
“密码飓风”席卷中国互联网
泄密的网站包括天涯社区、人人网等中国各大知名网站,用户数超过1亿,泄露的信息包括账号、明文密码、MD5加密密码、电子邮件、家庭住址、电话、真实姓名等敏感信息。更为严重的是,泄露的范围已经从社交类网站扩展到电商行业,乃至更为宽泛的领域。
2011年12月21日,是中国互联网应该铭记的日子。
这一天,国内知名程序员网站CSDN的用户资料数据库在网上曝光。随之而来的,是席卷中国互联网的一场密码飓风,至今为止,事件尚处于爆发阶段,神秘的泄密人也没有露面,更没有谁能确切说出最终会是什么样的局面……
让我们简要梳理一下事件的前因后果。
12月4日,黑客“臭小子”在国内安全问题反馈平台“乌云”上宣称,自己掌握了139、百合网、开心网等多家大型网站的用户数据库,包括管理账号密码、邮箱密码等等,但并没有引起足够的重视。
12月21日,CSDN社区的640万用户账户、密码、邮箱资料遭到泄露;网民发现,CSDN数据库的大小和“臭小子”贴图中的280507KB大小完全一致。事态开始严重起来。
密码库事件爆发后1个半小时左右,金山毒霸产品经理韩某“hzqedison”把CSDN用户数据库传到了迅雷快传(会员分享),根据金山公司的说法,“将部分网上流传密码库分发给同事自查,不慎被外人所获知”。
“蝴蝶效应”以超出人们预料的速度开始形成,事情变得不可收拾。
12月22日~28日,中国各大知名网站全面沦陷。根据网上各类报道综合以及“中国黑客教父”龚蔚的不完全统计,波及的网站包括多玩游戏(800万,括号内为用户数,下同。如无特别说明,则用户数不详)、人人网(500万)、梦幻西游、7K7K游戏、网站(188万)、UUU9(700万)、网易土木在线、天涯社区(4000万)、北京麒麟网信息科技有限公司(900万)、某知名婚恋网站(526万)、(168万)myspace、塞班论坛(140万)、太平洋电脑(200万)、木蚂蚁(13万)(12万)、ys168(30万)……
泄露信息包括账号、明文密码、MD5加密密码、电子邮件、角色名称、所在服务器、最后登陆时间、最后登陆IP、昵称、数据库排序ID、家庭住址、电话、真实姓名以及其他相关数据。
更为严重的是,泄露的范围已经从社交类网站扩展到电商行业,乃至更为宽泛的领域。
除了卓越、凡客中招之外,12月27日,京东商城曝出存在“用户权限控制不当”的漏洞,“任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、E-mail等。”
12月28日,“乌云”再次漏洞预警,称支付宝和当当网资料被盗,当当网1200万全字段用户资料已经泄露,支付宝被泄用户达到1500-2500万,但随后这些公司均予以否认。
同一天,圆通速递公司网页被篡改,空荡荡的网页上只有一句话:“JUSTFORFUN”(就是为了好玩);金山毒霸也被曝存在泄密漏洞,金山方面回应,正在查证数据来源。
12月29日,有网友爆料,交通银行、民生银行及工商银行的用户数据已经泄露。三大银行的态度是坚决辟谣,全面否认。
与此同时,广东省公安厅出入境政务服务网的网上申请数据也被泄露,泄密信息包括编号、真实姓名、护照号码、港澳通行证号码,申请日期、状态,以及用户的出生年月、邮寄地址、证件有效期、出入事由等等。当天晚上,广东省公安厅通过官方微博@平安南粤证实了此事,并表示“技术漏洞已修补完毕”。
根据龚蔚的说法,事件还远未结束,本次泄露及公布的数量与实际被黑客掌握的用户账号数相比只是冰山一角,“预计重大事件将在2012年爆发,规模影响中国几亿的移动终端用户。”
修改密码不过是心理安慰
修改密码能起到的补救作用是有限的,其实不过是心理安慰――对用户的心理安慰,以及网站自身的自我安慰。至于打口水战或者推诿责任,更是不负责任的表现。
此次事件也折射出不同网站对待用户的态度。
除了少数网站勇于承担,或者说在铁定事实面前不得不承认之外,一般网站的态度就是先否认,尽量脱开干系,实在摆脱不了的话,才扭扭捏捏地承认,并且强调自己是无辜的,是“躺着中枪”,是“被顺手牵羊”。
12月21日晚间,CSDN在其官方网站公告《致CSDN会员的公开道歉信》:“我们非常抱歉,近日发生了CSDN用户数据库泄露事件,您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码。如果您在其他网站也使用同一密码,请一定同时修改相关网站的密码。”
CSDN解释:“2009年4月之前是明文密码,2009年4月之后是加密的,但部分明文密码未及时清理;2010年8月底清理掉了所有明文密码。所以,从2010年9月开始注册的账户全部都是安全的,9月之前的则有可能不安全。”
对于数据库泄露原因,CSDN并无确切回应,声称“正在调查中”。
即便如此,网友并不买账。“36氪”社区网友“学徒姚佐”称:“看见2010年注册的也有中招的,明显官方在撒谎。”
如果说CSDN明文存储密码的做法让人大跌眼镜,那么,在没有查清楚数据库泄露原因的情况下,就让用户修改账号密码的做法无异于掩耳盗铃。
修改密码到底能起到什么作用呢?来看看三大顶级黑客是怎么说的。
“毕竟很多公众是用通用密码的,一个沦陷了所有账户都暴露了。”中国红客联盟创始人林勇一语道破修改密码的补救作用。
除此之外,修改密码的真正作用,可能就是心理安慰了――对用户的心理安慰,以及网站自身的自我安慰。
个中原因在于,黑客需要的是这些大型网站的数据库,用户的密码对他们来说并不重要。如果是明文密码,自然捡了个便宜,但就算是所谓的“MD5不可逆算法”,其实对黑客来说,也是轻而易举之事。360安全专家石晓虹对本报记者说:“由于黑客已经收集了大量明文密码,并以此构建了庞大的在线密码字典(彩虹表),常规的hash值经过密码字典匹配后,93%以上会被破解。”
龚蔚认为:“泄密门事件,目前还没有一个网站给出明确的黑客入侵手法分析,或者泄密事件的安全分析报告。一味的要用户更改密码,可见继续忽悠是他们惯性逻辑,密码换来换去的有屁用,保险箱都被人偷了,还不知道怎么被人偷的,还要我换美金存里面,说这样就会安全。”
甚至,用户修改密码可能还会有负面影响。中国鹰派联盟创始人老鹰(万涛)对本报记者说:“整体的安全环境不改善,修改密码无非是增加更多的用户信息……”
不幸的是,要求用户修改密码几乎成了所有被泄密网站的通用做法。
而且,道歉的网站也不多。比如天涯社区,最开始否认,后来承认并且道歉,“在得知用户隐私遭黑客泄露以后,天涯网已经启动应急预案,通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码,同时也已经向公安机关进行了报案。”
道歉的还有金山毒霸及其员工:“做错事要承认错误,但网上称我最早在迅雷泄露了用户数据,这不是事实,是污蔑……”
但CSDN策划部总监谭茂马上反唇相讥:“传播泄密资料已经犯法了,提醒用户不要下载这才是安全公司的起码准则,不知道金山公司将此泄密资料放在网上传播是何目的?”
打口水仗的还有CSDN与人人网。蒋涛表示:“关于密码泄密,我们第一时间公开道歉并通知用户,其他人沉默或否认,但都通知用户修改密码。最恶劣的是某上市公司不但否认且赖账CSDN,被暴库的476万用户数据和CSDN的重合度只有0.65%,怎么碰撞?更蹊跷的是,随后新浪微博被曝474万数据,有92%和他的库重复,这家公司真是善于混淆视听。”
对广大网民来说,关心的重点在于账户的安全,至于打口水战或者推诿责任,那不是转移视线,挺没趣的吗?
网络信息安全应提升到足够高度
网络信息安全应该提升到国家战略安全的高度。总是“亡羊”之后才来“补牢”,总是要求用户做这做那,是解决不了任何问题的。但目前的局面是,大多数网站并不重视网络安全技术。
12月28日,工业和信息化部《关于近期部分互联网站信息泄露事件的通告》。通告将泄露事件定性为“严重侵害了互联网用户的合法权益,危害互联网安全”的恶性事件,“我部对窃取和泄露用户信息的行为表示强烈谴责。”
《通告》要求各互联网站“高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。”并且,“各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。”
事实上,这次事件已经不仅仅局限于用户信息的小范围。有评论认为,“泄密门”危机应上升到国家安全高度:“不只是一起无关紧要的网络安全事件,当它已经直接威胁到每个公民的经济安全,就应该提高到国家安全的高度来重视。世界上一些先进国家很早就开始强调网络信息安全战略,将网络信息安全提升到国家战略安全层次。”
“从出发点来说,也不算什么恶作剧。”万涛否定了此次事件属于黑客娱乐,带有恶作剧性质的说法,“直接效果是揭露了冰山的面目,间接的效果和过程是个蝴蝶效应……风暴向何处已经超出了黑客圈子的估计和智慧。”针对有关可能会对“网络实名制”产生不利影响的观点,他认为:“要人们履行义务(实名),请同时保障权利(隐私安全),而显然后者现在是一塌糊涂。需要提醒的是,问题可不出在黑客这边。”
龚蔚认为国内网站普遍对网络安全缺乏尊重:“网站应该怎么做才安全?我告诉他两个字:‘尊重’。对安全事件的尊重、对安全管理人员的尊重,对黑客技术的尊重,对保护用户安全的尊重,你应该是去尊重这种技术的,态度决定了结果。”
但目前的局面是,大多数网站并不尊重技术。某安全公司检测显示,“国内83%的网站存在安全漏洞,其中34%属于高危级别,极易遭到黑客入侵”。
总是“亡羊”之后才来“补牢”,总是要求用户做这做那,不过是一些网站的应付之举。也许,明智的做法是,在危机来临之前就解决问题,而不是等危机爆发了来个漂亮的危机公关,或者是将责任全盘推到黑客身上。
“我不认为这是一个黑客行为”
――专访中国红客联盟创始人林勇
林勇(Lion)简介:中国红客联盟创始人。2011年9月22日,被誉为“中国黑帽子大会”的COG2011信息安全论坛在上海召开,lion荣获COG信息安全社会影响力奖。他重组了中国红客联盟,新网站于2011年11月1日开放。
网络导报记者(以下简称“记者”):根据你对这次上亿用户密码泄露事件的判断,你认为它会是什么人或者组织所为?
林勇(以下简称“林”):不清楚。现在也不好乱猜测。
记者:按照《COG黑客自律公约》的界定,“社会普通公众的隐私权,尤其是儿童与未成年人应当得到保护。以买卖社会普通公众隐私信息为目的的活动不是黑客行为。”那么,这次泄露事件属于黑客行为吗?
林:这次密码泄露,依据小道消息说是有人为了炫耀放出来的。黑客圈子内部交换数据比较正常,但放出数据来估计是受到anonymous组织(一个组织松散的全球黑客组织)的影响。我本人认为这些放数据出来的人没有一些道德底线,做人做事还是要有原则的。我不认为这是一个黑客行为。
记者:即便这些数据库已经被卖了多次,但公布出来,也会形成巨大的舆论冲击。这里面是否会有一些其他的利益诉求?
林:不排除这些人在下一盘大棋。
记者:有的网站说这次被盗的数据为“2009年之前的备份数据”,是这样吗?
林:这次泄漏的数据应该是09年到2011年积累的数据。攻击所利用的漏洞我估计大多是java structs2和discuz x2的漏洞。可以说是目前浮出水面的最大的一次网络安全事件,但实际上这只是冰山一角。
记者:龚蔚说明年可能会有更大的爆发,涉及到数亿移动互联网用户。这是不是就是你说的“冰山一角”?
林:暴露的只是冰山一角。也不多说了。
记者:在不知道黑客入侵手法的情况下,被泄密的网站要求用户更改密码以求安全,你认为这样做除了心理安慰之外,有实际效果吗?
林:毕竟很多人是用通用密码的,一个沦陷了所有账户都暴露了。网站遇到攻击后,提醒用户改密码还是很有必要的。当然,改密码不只是被攻击的这个网站的密码要改,很多的账户密码都要更改。建议不重要的账户可以用通用密码,重要的email、淘宝之类的一定要设置单独密码。
记者:如果说这些黑客的目标在于大型网站的数据库,那么,对此事负责的显然只是这些网站。网站致歉就足够了吗?
林:出了事的企业一定要开展全面排查,找出攻击源头,修补相关漏洞,并加强安全防范措施。同时,数据一定要采用强加密方式保存,这次很多明文密码泄露,可以看出这些企业对用户是很不负责任的。这不是一个道歉就能说得过去的。
记者:是的,道歉没用。这件事情似乎强加给了黑客一些羞辱。那这个事件对黑客圈子来说,是否也会有一些影响?比如,找到那个公布信息的源头?今后打击这方面的行为?
林:对黑客圈子的影响绝对是有的。国家刚公布2012年要开展为期一年的打击黑客专项行动,这下刚好撞枪口上了。我们也在猜测其背后的实际目的。我们希望国家能加大打击力度,让更多的人走上正途,净化一下这个圈子。
记者:你对这件事是不是感到很愤怒?有人说泄露数据的这个人坏了行规,黑客圈要清理门户。
林:两方面吧。一是感到震惊,买卖公众数据确实是很不道德的。这东西我知道很早在流传,但没想到有人敢放出来,这损害的是公众利益。第二,从积极方面讲,我觉得这是对网络安全行业的促进,经过这次事件的洗礼,网络安全在很多企业将占有一席之地。
记者:网络安全已经成为一个全球性话题。有人说,这次密码泄露事件是针对实行网络实名制的?
林:这次密码泄露事件不排除是对实名制的挑战。实施实名制应该建立在安全保障的前提下。在网络安全还没得到充分重视,一些网站的保护措施还不够的背景下,如果盲目实行实名制,还再让“人”如入无人之境的话,到时候泄露的就不只是一堆密码和邮箱了。
记者:老鹰也很担心这一点?
林:网络安全应该是开展互联网业务的基础保障。特别是以后进入云的时代,所有数据都在网上的情况下,网络安全会更加重要。而目前的情况是,网络安全得不到企业的重视,网络安全人才在企业也得不到重视。
企业不重视安全,对网络安全投入不够,造成网络应用漏洞很多,让人有机可趁;网络安全技术人员得不到重视,在企业的地位和收入不高。生活的压力,让很多人铤而走险,投入了“黑产”的怀抱,结果造成网络安全圈子的混乱局面。所以,要改变这种现状需要多方努力。很希望看到国家加大这方面投入。
记者:数据的力量非常强大,也非常可怕!如果安全做好了,就可以驯服它,让它发挥正面作用了。
林:这是对互联网企业敲响的一次警钟,也是网络安全这个行业发展的一个契机。这个事件的根源在于,有些人盯上了这些企业的数据库,因为它们能换到钱。有利益的驱使,就必然有人去冒险。现在暴露的只是账户密码和邮箱,如果将来泄露的是姓名、性别、电话、家庭住址、身份证号、银行账号呢?
关键词:‘斯诺登’事件;网络安全
最近情报界和互联网界的一条爆炸性新闻引起了全球媒体的持续讨论与广泛关注,那就是美国前特工斯诺登(Edward Snowden)通过英国《卫报》爆料美国国家安全局(NSA)“棱镜”监听项目。事件曝光已有多天,继“棱镜”项目后,事件持续发酵,大有当初维基解密泄露美国外交情报时的架势。而不同于维基解密事件,这次事件由于直接将中美两个重量级政府栓在一起,发生于中美元首会谈刚刚结束之际,又涉及网络安全这一热门话题,更是分外引人遐想。让我们共同回顾下事件的发展,并效仿昔日“章鱼哥保罗”对未来可能的结果做个预测吧。
爱德华・约瑟夫・斯诺登(Edward Joseph Snowden),标准的80后军二代。当过兵,退伍后曾在中情局(CIA)从事信息技术与网络安全相关工作,后进入与国家安全局(NSA)合作的国防承包商继续从事类似工作直至案发。
2013年初,斯诺登开始有意通过媒体对外公开其所掌握的部分美国监视项目的情报。考虑到这是个玩命的活,他同时联系了英国《卫报》(The Guardian)和以揭露“水门事件”而闻名的《华盛顿邮报》(Washington Post)。5月20日,斯诺登以治疗癫痫为由请假飞往香港。6月5日,《卫报》首先披露美国外国情报监视法庭(FISC)要求电信公司Verizon每天上交用户通话记录。6月6日,《卫报》与《华盛顿邮报》同时曝光了“棱镜”项目,“棱镜门”事件由此正式展开。6月9日,斯诺登在香港公布其身份。6月12日,《南华早报》引述斯诺登的消息指美国国家安全局早在2009年起就有计划地对中国和香港进行网络黑客攻击。6月17日,斯诺登进一步指出,英国情报机构曾于2009年G20峰会期间对多国领导人的通信进行窃听,不知当时正在北爱出席八国集团峰会的各位大大们作何感想。
互联网运作模式有其特点,中国商业和政府秘密被盗的风险要远远大于美国。“南太平洋评论”资深媒体人沃克・罗分析,互联网对商界带来的问题远比政府要大,因为政府在传送过程中会对数据进行加密,而个人和商界使用加密手段的并不多,因为谷歌、Hotmail等系统虽有加密技术,但若要真给电子邮件或文件加密,耗时费力,十分困难。由此,中国公司在国外做业务的时候,商业计划会毫不知情地落入美国人之手。
长期以来,奥巴马政府一直指责中国政府攻击美国政府和企业的计算器网络,中国则强调自己是网络攻击的最大受害者,中美之间唇枪舌剑,龃龉不断,总体是美攻中守。然而,斯诺登爆出的惊天秘密使历来以网络空间国际警察自居的美国政府,在中美网络攻击这场争执中,已经丧失了道德制高点。
斯诺登循合法方式离开香港,无疑令美国不快,却避免了一场旷日持久的外交冲突。中国中央政府自然也松了一口气,不用在引渡斯诺登这样的棘手问题上为难了,中国外交转向主动。有分析称,自古以来,无论是政府还是商界,都在想方设法刺探对方的所思所想,即使在朋友之间也是如此。
斯诺登的爆料足以让中国在网络安全问题上更为警觉,也增加了中美关系的复杂性,但中美关系日趋成熟,没有可能因斯诺登案件而反目成仇。拉美“南太平洋评论”资深媒体人沃克・罗(WalkerRowe)分析,斯诺登事件表明,美中两国都在密切关注对方。然而,这并不意味着会加剧两国的紧张关系。相反,这为中美两国改善两国人民之间的沟通和理解创造了机会。
美国贝克研究所研究员克里斯・布朗克(ChrisBronk)分析,斯诺登爆料的时机和内容虽然使中美有关网络攻击的讨论出现大逆转,但这并不意味着两国会停止讨论网络空间问题。相反,国安局被斯诺登爆料显示,中美两国均存在严重的内部安全关切需要解决。应该意识到,推动全球信息透明度的力量不可忽视。
斯诺登爆料使美国信息技术企业与用户之间建立的信任荡然无存。同时,斯诺登事件告诉世界,全球通讯面临的风险和限制触目惊心,国际社会亟需建立网络空间安全行为规范。有分析指,中美在这方面完全有条件携手合作,提高对最有价值的信息的防护。
斯诺登事件揭露了互联网安全的脆弱性。现在互联网虽已无远弗届,是现代人生活不可或缺一环,但不单专制国家以国家安全为名监控网络,连美英等民主大国亦肆意监控民众、甚至入侵外国网络的“老大哥”。此个中有及国际社会该反思之处,特别是在网络世界应如何就国家安全,与保障个人私隐取得平衡?且一个国家若入侵他国网络,是否须设具公信力、中立的国际组织可作申诉仲裁?值得我们加倍思量。
关键词:网络安全事件;应急响应;联动系统
一、应急响应的技术特点
网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生,且引起的损失巨大。应对网络事件关键是速度与效率。应急响应(即“Incident Response),指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备,在网络安全事件发生后,尽快作出正确反应,减少损失或尽快恢复正常运行,追踪攻击者,搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象,又称应急响应的客体,指:针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外,广义上应急响应的对象还包括:扫描等违反安全政策的事件。应急响应过程包含三种角色:事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现:1、事先的充分准备;2、事件发生后的采取的抑制、根除和恢复等措施。
(一)入侵检测
应急响应由事件引发,同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测,是目前最主要检测手段(IDS)。
(二)事件隔离与快速恢复
首先,在检测基础上,确定事件类型和攻击源后,对于安全性、保密性要求高的环境,应及时隔离攻击源,制止事件影响进一步恶化;其次,对外提供不可中断服务的环境,如运营平台、门户网站等,应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
(三)网络追踪和定位
确定攻击者网络地址及辗转攻击路径,在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题,但它与现在网络隐私保护存在矛盾。
(四)取证技术
取证是一门针对不同情况要求灵活处理的技术,它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态,对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计,但并不是绝对的,取证可能来自任何一点蛛丝马迹。但是在目前的情况下,海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源,协同应对网络安全事件,属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。
(一)联动系统的体系结构
图1 联动系统的体系结构
1、应急响应协调中心。是信息共享、交换与分析中心,负责协调体系正常运行,属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标,根据技术力量与资源状况设置机构,甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员,增强自身主动防御能力及采取合理措施能力。
(二)应急响应协调中心
应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。
图2 应急响应协调中心机构设置
1、研发。研发部门,也是实验部门,主要负责研究安全技术与安全工具,以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。
2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。体系内的具备ISAC功能机构,该部门承担着公告、反馈和信息整理的功能,在研发机构协助下实现信息资源(包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等)共享,;还应提供网站资源链接,常见问题(FAQ),常用工具,技术论坛与事件及漏洞的上报渠道等。
4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务,但是联动系统的响应人员在响应过程中可得到体系援助,使应急响应更及时有效。
5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力,并与该部门承担应急响应功能。
6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面,是保持体系键康发展,提高客户合作能力的机构。
7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系,以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。协调中心及联动系统运作。
(三)联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短,使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中,响应人员通过网络或传真方式向组织报告事件详细信息,并取得帮助与建议,最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系,响应过程中响应人员得到的建议。事件响应结束后,响应人员要完成事件跟踪报告与总结,并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析,找出易发生的安全事件,并以预警信息结合预防建议的形式,遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量,对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
(一)应用应急专线与无线通信手段
在报告事件时,受害者的理想方式:通过网络,交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系,客户报告事件也应在网络或专用 软件外拥有应急报告方式,比如传真、移动电话。
(二)事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
(三)信息共享与隐私保护以及配套法律建设
联动系统的本就是实现质信息共享。敏感信息应予以保护,比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享,而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善,联动系统也应根据实践建立起自身的规范约束。
(四)异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份,保证数据安全性。
参考文献:
1、工信部建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,将公共互联网网络突发事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色标示。面向社会预警信息有网站、短信、微信等多种形式。
2、工信部要求基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业通过多种途径监测和收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估。认为可能发生特别重大或重大突发事件的,应当立即报告。
(来源:文章屋网 )
(河北兴泰发电有限责任公司,河北邢台054000)
摘要:随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。现基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
关键词 :复杂冗余;网络安全;安全审计系统
0引言
随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。本文基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
1合理构建网络安全基础设施
1.1防火墙系统
防火墙是指隔离在本地网络与外部网络之间的一个执行访问控制策略的防御系统。防火墙部署在风险区域(例如Internet)和安全区域(例如内部网络)之间,对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙系统作为维护网络安全的第一屏障,其性能好坏直接关乎整个网络安全的强度。具体防火墙系统的设计可以在网络的不同外部接入网和核心网络汇聚层之间采取硬件式防火墙,从而达到对外部接入网的相关网络访问进行全面监测的目的,以保障网络运行环境的安全。
1.2入侵监测系统
防火墙实现的是网络边界安全防范,但由于各种原因总会有部分恶意访问能够突破边界防护,对内部网络构成威胁。入侵监测系统能够对进入受保护网络的恶意流量实现监测、报警,入侵防御系统甚至能够与防火墙等边界安全设备实施联动,及时阻断恶意流量,减轻恶意访问对内部网络所造成的破坏。入侵监测系统设计的目的在于更好地应付网络业务、规模的扩大趋势,提升处理网络攻击事件的能力,从而最大程度上避免因各种操作风险而引发的各项潜在损失。具体的入侵监测系统部署示意图如图1所示。
1.3虚拟专用网(VPN)技术
虚拟专用网(VirtualPrivateNetwork,VPN)是一种基于公共数据网,给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
1.4安全审计系统
虽然网络安全的各类硬件部署可以很好地解决网络安全相关问题,但由于网络内部人员违规操作或过失行为造成的损失,是无法控制的。因而,需要构建安全审计系统,减少违规操作的潜在损失。安全审计系统的基本搭建方式是通过网络并联的方式,强化关键服务器对网络路径数据包的监控力度,同时借助协议解析、状态监测等先进技术,实行对网络数据包的再过滤,进而制定一个系统性审计制度,消除重要事件带有攻击性的特征。最后,安全审计系统需要对攻击性网络事件及时响应,阻断未授权用户的访问,同时进行日志记录工作,将攻击事件按照严重程度打包并传送到主界面,通过后期的人为操作,进一步强化对攻击性事件的防护能力。
1.5内网安全风险管理系统
内网安全风险管理系统是基于对内网本身的安全性考虑而设计的,体现出内网大数据和分布性部署的特点,会经常疏忽系统的补丁、防病毒软件的升级工作。另外,由于受到权限的影响,内网本身会在一定程度上降低防火墙系统的级别设置,形成宽松的内网环境,从而造成不明软件恶意安装、检测内网系统数据,从而造成大量的内网安全漏洞以及管理真空的风险。在实际操作过程中,主要利用在内网安全风险管理系统的终端上嵌入式安装AGENT的方式,实行对终端网络的监控,对于没有安装AGENT或是没有达到内网安全要求的终端,禁止其对内网系统的访问,以最终实现安全终端准入的要求。
2网络安全管理平台
2.1网络安全事件管理
网络安全事件管理平台主要是将收集到的不同类型的信息,通过一种特定的方式分类、归集,以减少事件风暴发生的概率。其通过对海量事件的整理,挖掘出真正值得关注的网络安全事件,找出不同类别网络攻击对象的关联与共同点,及时找到解决的应对措施,以提升整个网络在甄别网络安全事件上的准确率。在实际操作中可以看到,网络安全事件管理的主要对象是全网性的安全威胁状况,根据网络潜在威胁的程度,系统性地进行预测,从而最大程度上保障网络业务的正常运作。
对于威胁管理,主要是将网络各个系统收集到的事件归结到资产中,根据资产的价值规模以及关键程度,实行事件等级分类。另外,运用关联性的分析引擎,进行关联分析和映射,可以有效判定事件在处理操作上的优先次序,适当评估出目前资产遭受攻击的程度以及可能会发生经济损失的程度。威胁管理可以精确评估出当下事件对目标资产的影响,对于事前的控制具有十分重要的作用。脆弱性管理是确定网络资产安全威胁概率、发生威胁后的脆弱性,同时有效评估损失和后期影响的一个过程。脆弱性管理的对象是核心资产,方式是对网络系统的核心资产、漏洞、威胁进行全面、综合的监控和管理。
2.2网络安全信息管理
网络安全信息管理主要包括网络安全知识管理、资产信息管理两个方面,方法是对于网络安全基础设施提供的信息,提供有针对性的信息管理平台,对较少涉及的网络安全事件做出具体分析。主要包括以下两个核心库:首先是资产信息库,资产信息库的构建目的是实现系统性的关联性分析,作用是推动后期网络安全事件管理定位,解决潜在性威胁;其次是安全知识库,安全知识库涵盖了众多的网络安全知识以及网络安全补丁,可以为网络安全管理人员提供解决实际问题的参考信息。
3结语
本文从网络安全基础设施出发,从入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统、安全审计系统等方面对复杂冗余网络下的网络安全设计进行了深入分析,主要涵盖了网络安全事件管理和网络安全信息管理两个方面。本文设计能极大地提升网络安全事件的监控和防范能力,提高处理效率。另外,通过对网络安全进一步的统一管理及配置,可以更好地降低复杂冗余网络中的各项风险,改善网络运用的安全环境。
[
参考文献]
[1]朱瑶.财务信息管理系统安全问题[J].黑龙江科技信息,2010(35).
[2]叶军.基于防火墙技术的计算机网络信息安全的探讨[J].硅谷,2010(23).
[3]陈向阳,肖迎元,陈晓明,等.网络工程规划与设计[M].北京:清华大学出版社,2007.
[4]柳扬.计算机信息管理在网络安全中的应用研究[J].电子制作,2013(16).
仅供参考
为保证有效平稳处置互联网网络安全突发事件中,实现统一指挥、协调配合,及时发现、快速反应,严密防范、妥善处置,保障互联网网络安全,维护社会稳定,制定本预案。
一、总则
(一)编制目的
为提处置网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地预防和减少网络与信息安全突发事件及其造成的损害,保障信息资产安全,特制定本预案。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机病毒防治管理办法》,制定本预案。
(三)分类分级
本预案所称网络与信息安全突发事件,是指本系统信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。
1、事件分类
根据网络与信息安全突发事件的性质、机理和发生过程,网络与信息安全突发事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2、事件分级
根据网络与信息安全突发事件的可控性、严重程度和影响范围,县上分类情况。
(1)i级、ⅱ级。重要网络与信息系统发生全局大规模瘫痪,事态发展超出控制能力,需要县级各部门协调解决,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全突发事件。
(2)ⅲ级。某一部分的重要网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,属县内控制之内的信息安全突发事件。
(3)ⅳ级。重要网络与信息系统使用效率上受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的信息安全突发事件。
(四)适用范围
适用于本系统发生或可能导致发生网络与信息安全突发事件的应急处置工作。
(五)工作原则
1、居安思危,预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
2、提高素质,快速反应。加强网络与信息安全科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3、以人为本,减少损害。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公共财产、信息资产遭受损失。
4、加强管理,分级负责。按照“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。
5、定期演练,常备不懈。积极参与县上组织的演练,规范应急处置措施与操作流程,确保应急预案切实有效,实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。
二、组织指挥机构与职责
(一)组织体系
成立网络安全工作领导小组,组长局党委书记、局长担任,副组长由局分管领导,成员包括:信息全体人员、各通信公司相关负责人。
(二)工作职责
1、研究制订我中心网络与信息安全应急处置工作的规划、计划和政策,协调推进我中心网络与信息安全应急机制和工作体系建设。
2、发生i级、ⅱ级、ⅲ级网络与信息安全突发事件后,决定启动本预案,组织应急处置工作。如网络与信息安全突发事件属于i级、ⅱ级的,向县有关部门通报并协调县有关部门配合处理。
3、研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
4、指导应对网络与信息安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
5、及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为i级、ⅱ级、ⅲ级的网络与信息安全突发事件,应及时向相关领导提出启动本预案的建议。
6、负责提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
三、监测、预警和先期处置
(一)信息监测与报告
1、要进一步完善各重要信息系统网络与信息安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向领导汇报。初次报告最迟不得超过4小时,较大、重大和特别重大的网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、重要信息系统管理人员应确立2个以上的即时联系方式,避免因信息网络突发事件发生后,必要的信息通报与指挥协调通信渠道中断。
3、及时上报相关网络不安全行为:
(1)恶意人士利用本系统网络从事违法犯罪活动的情况。
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。
(3)网络恐怖活动的嫌疑情况和预警信息。
(4)网络安全状况、安全形势分析预测等信息。
(5)其他影响网络与信息安全的信息。
(二)预警处理与预警
1、对于可能发生或已经发生的网络与信息安全突发事件,系统管理员应立即采取措施控制事态,请求相关职能部门,协作开展风险评估工作,并在2小时内进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2、领导小组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
(三)先期处置
1、当发生网络与信息安全突发事件时,及时请技术人员做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向上级信息安全领导小组通报。
2、信息安全领导小组在接到网络与信息安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为ⅲ级网络与信息安全突发事件,技术人员处置工作提出建议方案,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量,做好应急处置工作。对有可能演变为ⅱ级或i级的网络与信息安全突发事件,要根据县有关部门的要求,上报县政府有关部门,赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。
四、应急处置
(一)应急指挥
1、本预案启动后,领导小组要迅速建立与现场通讯联系。抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥网络与信息安全应急处置工作。
2、需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
(二)应急支援
本预案启动后,领导小组可根据事态的发展和处置工作需要,及时申请增派专家小组和应急支援单位,调动必需的物资、设备,支援应急工作。参加现场处置工作的有关人员要在现场指挥部统一指挥下,协助开展处置行动。
(三)信息处理
现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组,不得隐瞒、缓报、谎报。符合紧急信息报送规定的,属于i级、ⅱ级信息安全事件的,同时报县委、县政府相关网络与信息安全部门。
(四)扩大应急
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开信息安全工作领导小组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向县政府有关部门请求支援。
(五)应急结束
网络与信息安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导小组,提出应急结束的建议,经领导批准后实施。
五、相关网络安全处置流程
(一)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。现网站出现非法信息或页面被篡改,要第一时间请求相关职能部门取证并对其进行删除,恢复相关信息及页面,同时报告领导,必要时可请求对网站服务器进行关闭,待检测无故障后再开启服务。
(二)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1)对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2)发现服务器感染病毒木马,要立即对其进行查杀,报告领导,根据具体情况,酌情上报。
3)由于病毒木马入侵服务器造成系统崩溃的,要第一时间报告领导,并联系相关单位进行数据恢复。
(三)突发性断网
指突然性的内部网络中某个网络段、节点或是整个网络业务中断。
1)查看网络中断现象,判定中断原因。若不能及时恢复,应当开通备用设备和线路。
2)若是设备物理故障,联系相关厂商进行处理。
(四)数据安全与恢复
1.发生业务数据损坏时,运维人员应及时报告领导,检查、备份系统当前数据。
2.强化数据备份,若备份数据损坏,则调用异地光盘备份数据。
3.数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
4.中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。
(五)有害信息大范围传播
系统内发生对互联网电子公告服务、电子邮件、短信息等网上服务中大量出现危害国家安全、影响社会稳定的有害、敏感信息等情况进行分析研判,报经县委、县政府分管领导批准后启动预案;或根据上进部门要求对网上特定有害、敏感信息及时上报,由上级职能部门采取封堵控制措施,按照市上职能部门要求统一部署启动预案。
(六)恶意炒作社会热点、敏感问题
本系统互联网网站、电子公告服务中出现利用社会热点、敏感问题集中、连续、反复消息,制造舆论焦点,夸大、捏造、歪曲事实,煽动网民与政府对立、对党对社会主义制度不满情绪,形成网上热点问题恶意炒作事件时,启动预案。
(七)敏感时期和重要活动、会议期间本地互联网遭到网络攻击
敏感时期和重要活动、会议期间,本系统互联网遭受网络攻击时,启动预案。要加强值班备勤,提高警惕,密切注意本系统网上动态。收到信息后,及时报警,要迅速赶赴案(事)发网站,指导案(事)件单位采取应急处置措施,同时收集、固定网络攻击线索,请求县上技术力量,分析研判,提出技术解决方案,做好现场调查和处置工作记录,协助网站恢复正常运行并做好防范工作。
六、后期处置
(一)善后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。
(二)调查和评估
在应急处置工作结束后,信息安全工作领导小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。
七、应急保障
(一)通信与信息保障
领导小组各成员应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。
(二)应急装备保障
各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时,由领导小组负责统一调用。
(三)应急队伍保障
按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的,具有管理规范、服务能力较强的企业作为我县网络与信息安全的社会应急支援单位,提供技术支持与服务;必要时能够有效调动机关团体、企事业单位等的保障力量,进行技术支援。
(四)交通运输保障
应确定网络与信息安全突发事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。
(五)经费保障
网络与信息系统突发公共事件应急处置资金,应列入年度工作经费预算,切实予以保障。
八、工作要求
(一)高度重视。
互联网信息安全突发事件应急处置工作事关国家安全、社会政治稳定和经济发展,要切实增强政治责任感和敏感性,建立应急处置的快速反应机制。
(二)妥善处置。
正确区分和处理网上不同性质的矛盾,运用多种手段,依法开展工作,严厉打击各类涉网违法犯罪活动,严守工作秘密,严禁暴露相关专用技术侦查手段。
为加强网络与信息安全管理,提高应急防范处置能力,保障基础信息网络、重要网络与信息系统和重要网站安全,维护国家安全与社会稳定,促进国民经济与社会信息化健康发展,根据《省网络与信息安全事件应急预案》、《市网络与信息安全事件应急预案》及省、市政府有关文件要求,制定本预案。
(一)编制目的
提高我区处置网络与信息安全突发公共事件能力,形成科学、有效、反应迅速的应急工作机制,最大限度地减轻网络与信息安全突发公共事件的危害,确保我区基础网络、电子政务系统与其他重要信息系统能够连续运行和数据安全,维护正常的经济、政治、社会秩序,促进社会的和谐发展。
(二)编制依据
1、《中华人民共和国突发事件应对法》;
2、《中华人民共和国计算机信息系统安全保护条例》;
3、《全国人民代表大会常务委员会关于维护互联网安全的决定》;
4、《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》;
5、《省人民政府有关部门和单位制定和修订突发公共事件预案框架指南》;
6、《信息安全事件分类分级指南》;
7、《省网络与信息安全事件应急预案》;
8、《市网络与信息安全事件应急预案》。
(三)工作原则
1、积极防御、综合防范。重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。
2、统一领导、分级负责。按照“谁主管谁负责、谁运营谁负责”以及“条块结合、以块为主”的原则,建立和完善安全责任制、协调管理机制和联动工作机制。
3、以人为本、快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,最大限度地避免公民财产遭受损失。
4、科学决策、果断处置。按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
5、依靠科学、平战结合。加强技术储备、规范应急处置措施与操作流程,实现应急处置工作的科学化、程序化与规范化。
(四)适用范围
本预案是适应于我区范围内网络与信息安全事件预防和应急处置工作的专项预案。国家有关法律法规、规章对信息内容安全事件的预防和处置工作另有规定的,依照其规定执行。
本预案所称网络与信息安全事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击和利用计算机病毒进行破坏,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对国内信息网络或设施、重要网站进行大规模的破坏活动等原因,严重影响到我区各级网络与信息系统的安全、正常运行,出现业务中断、系统破坏、数据破坏或信息失泄密或窃密等,从而在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接和间接经济损失的事件。
本预案所称重要网络与信息系统,主要是指国家事务处理信息系统(党政机关办公系统);财政、税务、工商、审计、劳动保障、卫生等关系到国计民生的网络与信息系统;教育、科研等单位的网络与信息系统;公用通信、广播电视传播等基础信息网络中的信息系统;重要网站中的重要信息系统和其他领域的重要信息系统及承载这些信息系统的网络系统。
(五)分级分类
1、事件分类
根据网络与信息安全突发公共事件的发生过程、性质和特征,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指管道建设、电力中断、网络损坏或者是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动、反动宣传和恶意煽动等引起的网络与信息系统的损坏。
2、事件分级
根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,将网络与信息安全突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
(1)I级(特别重大):重要网络与信息系统发生全区性大规模瘫痪,事态发展超出区政府和区级主管部门的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。
(2)II级(重大):重要网络与信息系统发生全区性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害,需要全区多部门协同处置的突发公共事件。
(3)III级(较大):某一区域或部门的重要网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门协同处置的突发公共事件。
(4)IV级(一般):除上述情形外,重要网络与信息系统受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。
二、应急组织体系及职责
(一)应急组织体系
区政府设立网络与信息安全突发公共事件应急指挥部,负责本行政区域的网络与信息安全突发公共事件预防和处置工作。
1、区网络与信息安全事件应急指挥部(以下简称区指挥部),为我区网络与信息安全应急处置的组织协调机构,由区长和分管信息化工作的副区长担任指挥长、副指挥长,成员由区委办、区政府办、区委宣传部、区委610办、工信局、公安分局、发改局、教育局、科技局、财政局、文化广电局等单位负责人组成。全区网络与信息安全突发公共事件防范及应急处置工作由区网络与信息安全事件应急指挥部统一领导、统一指挥、统一协调。
2、区网络与信息安全事件应急指挥部下设办公室(以下简称指挥部办公室),设在区工信局,由区工信局局长兼任办公室主任。副主任分别由区工信局、公安分局、政府办分管领导担任。成员由区委办(保密局、机要局)、区政府办(应急办、信息股)、区工信局、公安分局、区委宣传部、财政局、文化广电局、区委610办等有关科室负责人组成。区指挥部办公室组织有关专家成立专家小组,建立社会应急支援体系。区公安分局为全区网络与信息安全突发公共事件的应急信息通报与预警监测机构。
(二)工作职责及任务
1、区网络与信息安全事件应急指挥部职责
研究制订区网络与信息安全应急处置工作的规划、计划和政策,协调推进全区网络与信息安全应急机制和工作体系建设;发生I、II级网络与信息安全突发公共事件后,决定启动本预案,组织应急处置工作。
2、区网络与信息安全事件应急指挥部办公室职责
(1)负责和处理区指挥部的日常工作,检查督促指挥部决定事项的落实。
(2)研究提出网络与信息安全应急机制建设规划和年度工作计划,检查、指导和督促全区网络与信息安全应急机制建设。
(3)负责区级网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
(4)指导全区应对网络与信息安全突发公共事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
(5)负责对区级各部门、各乡镇应急处置工作的指导、协调、监督与检查工作,并组织力量进行援救。
(6)及时收集网络与信息安全突发公共事件相关信息,分析重要信息并向区指挥部提出处置建议。对可能演变为I级或II级的网络与信息安全突发公共事件,应及时向区指挥部提出启动本预案的建议。
3、相关单位职责
(1)当发生重大网络与信息突发公共事件时,各主管部门为本系统应急处置的第一责任人,负责对本系统网络与信息安全的应急处置工作。
(2)区公安分局为全区网络与信息安全突发公共事件的监测通报单位,接收来自各成员单位和重要信息系统主管部门上报的信息,负责信息汇总、分析、研判、报告和通报,必要时受区指挥部办公室的委托向社会预警信息。在应急期间会同有关部门维持治安、交通秩序,依法打击网上违法犯罪活动,监督、检查、落实网上安全技术措施,处置网上病毒等各类有害信息,重要通信设施的安全保卫等工作。
(3)区工信局负责协调各电信运营企业及有关部门,负责在应急期间指挥系统的通信保障和基础通信设施的保障、修复,对基础信息网络事故的调研、报告、应急处置等工作。
(4)区财政局负责审核区政府有关部门提出的应急准备和救援工作所需资金,并列入年度区级财政预算。
(5)区文广局负责组织监测发现影响和可能影响广播电视传播网络正常运行的事件,并组织开展处置恢复工作,配合无线电管理部门监测发现无线干扰广播电视信号事件,配合有关部门开展处置恢复工作;组织监测发现卫星干扰广播电视信号事件,并进行处置;组织监测网上有害、敏感视听节目,并会同有关部门进行处置和管控;负责全区广播电视网络等基础设施的安全应急保障工作,确保信息传输通畅。
(6)区委宣传部负责信息安全事件的网上舆论引导和管理工作;对互联网时政新闻信息进行管理,会同有关部门对手机时政类新闻信息进行管理;通知相关部门或网站及时删除危害国家安全和社会稳定的有害信息、依法关闭严重违规的网站;会同有关部门负责对重大敏感时期和重要活动、会议期间重点网站发生网络与信息安全事件的处置;会同有关部门负责回答公众与各新闻媒体对网络与信息安全事件的询问。
(7)区委办(保密局、机要局)、区政府办:负责组织查处互联网失泄密事件,对互联网失泄密案件有关材料进行密级鉴定;负责互联网失泄密事件的应急处置工作。负责对各部门、重要业务系统的密码、密钥管理和推广应用,保证密码、密钥安全。
(8)本预案未规定具体职责的其他有关部门和单位均应制订部门应急预案,服从区协调小组指挥,根据应急处置工作需要,开展相应工作。
4、区网络与信息安全专家小组职责
区网络与信息安全专家小组由区政府办、区公安分局、区广电局、区财政局、区人社局、区教育局、区住建局等社会重要信息系统的主管科室负责人组成。
专家组职责:负责提供技术咨询,参与重要信息的研判,参与网络与信息安全突发公共事件的调查和总结评估工作,必要时参加应急处置工作。
三、监测、预警和先期处置
(一)信息监控与报告
1、各重要网络与信息系统的主管部门和运营单位要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任制,制定本单位信息通报制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,事发单位在按规定向有关部门报告的同时,应按紧急信息报送的规定及时向区公安分局报告。初次报告最迟不得超过2小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、区公安分局应整合现有的应急服务报警接警资源,实行网络与信息安全突发公共事件的统一接警,保证信息通报和联系渠道畅通。
3、各重要信息系统主管部门及相关负责人员应确立两个以上的即时联系方式,公众可通过固定电话、移动电话、互联网等多种联系方式进行报警,避免因信息网络突发公共事件发生后,必要的信息通报与指挥协调通信渠道中断。
4、建立网络与信息安全报告制度。各重要网络与信息系统主管部门(单位),发现下列情况时应及时向区公安分局报告:
⑴利用网络从事违法犯罪活动的情况;
⑵网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况;
⑶网络恐怖活动的嫌疑情况和预警信息;
⑷其他影响网络与信息安全的信息。
(二)预警处理与预警
1、对于可能发生或已经发生的网络与信息安全突发公共事件,事发单位应立即采取措施控制事态,并在2小时内进行风险评估,判定事件等级并在本系统预警。必要时应启动相应的预案,同时向指挥部办公室、区公安分局通报情况。
2、公众发现网络与信息安全突发公共事件或事故时,可向区公安分局报告。区公安分局接到报警后,应及时向相关的责任部门(单位)通报情况。各单位接到通报后应立即组织现场救助,查明事件状态及原因,并反馈给区公安分局。
3、召开重要会议、重大活动等特殊重要时期,区指挥部办公室根据指挥部指示,通知各有关单位按照“Ⅲ级/预警”安全事件处理要求和流程做好应急准备;当发生或可能发生“Ⅲ级/预警”及以上重大网络与信息安全事件时,有关单位要根据本预案,按提高一级安全事件的处理要求和流程进行各项应急处理。
4、对Ⅲ级(较大)、Ⅳ级(一般)网络与信息安全事件,事发单位和地区应当按照有关应急预案处置程序处置,并报区指挥部办公室备案。
3、区公安分局接到报警信息后应及时组织有关专家对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别,并及时向区指挥部办公室报告。
4、区指挥部办公室接到报告后,应迅速报送区指挥部,同时对重大信息进行会商研判,提出处置意见和建议,并向相关部门进行通报。
5、区指挥部接到报告后,应及时对信息作出判断,提出处理意见。对发生和可能发生I级或Ⅱ级的网络与信息安全突发公共事件时,应迅速召开区指挥部会议,研究确定网络与信息安全突发公共事件的等级,决定启动本预案,同时确定指挥人员。
6、对需要向社会预警的网络与信息安全突发公共事件,由区指挥部授权区公安分局根据其可能造成的危害程度、紧急程度和发展态势,及时预警信息,预警信息分别用蓝色(一般)、黄色(较重)、橙色(严重)和红色(特别严重)来表示。预警信息应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。
7、各相关应急联动机构应根据的预警信息,做好相应的网络与信息安全应急保障准备工作。
8、各相关应急联动机构应根据的预警信息,做好相应的网络与信息安全应急保障准备工作。
四、应急处置
(一)应急响应程序
当我区可能发生或已发生“Ⅳ级/预警”、“Ⅲ级/预警”、“Ⅰ、Ⅱ级/紧急”级别的网络与信息安全事件,事发单位应立即电话报告区指挥部办公室。区指挥部办公室接到紧急报告时,立即报告区指挥部。经指挥部批准,指示事发单位和相关部门是否启动应急预案并进入应急响应状态。
(二)应急响应
1、Ⅰ级响应
当可能发生或已经发生Ⅰ级网络与信息安全事件,事发单位应在1小时内立即将安全事件发生的基本情况电话报告至区指挥部办公室。区指挥部向市网络与信息安全事件应急指挥部报告。
(1)区网络与信息安全事件应急指挥部进入Ⅰ级响应状态。紧急安排24小时值班,及时收集安全事件信息和汇总,并派出联络员参加市网络与信息安全事件应急指挥部办公室工作。同时向市网络与信息安全事件应急指挥部办公室报告事件的机理、原因和造成的危害,严密监测、监控和跟踪事件发展态势。
(2)按照市网络与信息安全事件应急指挥部指令开展应急处置工作。同时,指挥部组织公安、保密、通信等职能部门、技术支撑机构和区网络与信息安全专家小组,按照本案的“现场应急处置措施”条款控制事态发展。
(3)各有关单位和部门按照各自职责和现场应急处置规定和要求,负责对事件进行监测、监控、跟踪和应急处置,并根据事件的发展变化情况,及时向区指挥部报告事件动态及发生的机理、原因和造成的危害。指挥部每小时向市网络与信息安全事件应急指挥部报告事件的发展和工作进展。
2、Ⅱ级响应
当可能发生或已经发生Ⅱ级网络与信息安全事件,事发单位应在向区指挥部办公室报告的同时,按照本案的“现场应急处置措施”条款做好应急处置工作。指挥部指示事发单位进入Ⅱ级应急处置程序。
(1)指挥部进入应急状态,负责统一领导、指挥、协调Ⅱ级事件应急处置工作。指挥部各成员保持24小时联络畅通。区指挥部办公室安排24小时值班,收集和汇总事件信息,每小时向指挥部报告事件的发展变化和处置进展情况。
(2)事发单位的应急机构进入紧急状态,在区网络与信息安全事件应急指挥部的统一指挥、协调下,负责本单位应急事件处置和支援保障工作。
(3)事发单位及时组织力量,监测、跟踪和收集事件信息,分析、研判事件特点、机理和危害,每小时向区应急指挥部办公室报告事件的发展变化和处置进展情况。
(4)各信息系统主管部门立即组织力量,全面了解、分析和研判主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报指挥部办公室。
(5)指挥部办公室负责收集、汇总事件变化和处理情况,有关重大事项及时报区指挥部,并通报指挥部各成员单位。
(6)指挥部组织公安、保密、通信等职能部门以及技术支撑保障队伍,采取技术措施,尽快控制事态;组织、督促相关运行单位有针对性地加强防范,防止事件蔓延和升级。对于信息内容安全事件要及时采取必要的管控措施,防止有害信息传播扩散。
(7)事发单位根据事件发生原因,有针对性地采取措施,恢复受破坏信息系统正常运行,要尽量保留相关证据和数据信息,有必要时要组织公安部门开展侦查和调查工作,并及时向市指挥部办公室报告。
(8)区委宣传部根据指挥部的指示,做好向社会有关单位的信息工作,对受灾单位和个人进行解释、疏导,未经批准,其他单位和个人不得相关信息。
(9)指挥部办公室根据事件的发展和进展情况,提出是否需要救援和进行跨部门协作。指挥部负责组织协调需要跨部门协作的应急事件处置工作。
3、Ⅲ级响应
当可能发生或已经发生Ⅲ级网络与信息安全事件,由事发单位根据事件的性质和情况确定。
(1)事发单位的应急机构进入应急状态,按照相关应急预案做好应急处置工作。
(2)事发单位在4小时内将事态发生变化情况报区指挥部办公室。指挥部办公室将有关重大事项报指挥部,并及时通报相关部门。
(3)事件处置中需要有关单位和部门配合和支持的,指挥部办公室予以协调。公安、保密、通信等技术支撑部门应积极提供配合和支持。
(4)各有关单位和部门根据指挥部办公室的通报,结合本系统网络与信息系统实际有针对性地加固本网和采取防范措施,防止造成更大范围的影响和损失。
4、Ⅳ级响应
当可能发生或已经发生Ⅳ级网络与信息安全事件,事发单位自行做应急处置,并报区指挥部办公室备案。
(三)现场应急处置
发生网络与信息安全事件的单位在启动本级预案或报经指挥部批准启动区预案的同时,须做好现场应急处置工作。
(1)尽最大可能收集事件相关信息,正确定位威胁和安全事件的来源,缩短响应时间。
(2)检查威胁造成的结果:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,再次侵入的可能性,损失的程度,确定暴露出的主要危险等。
(3)抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通道,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊防卫状态安全警戒,反击攻击者的系统等。
(4)根除。在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,对攻击源进行定位并采取合适的措施将其中断。
(5)恢复信息。恢复数据、程序、服务、系统。清理系统,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复中涉及机密数据,遵照机密系统恢复的相关要求。
(四)应急结束
1、发生网络与信息安全事件的单位根据事件的处置进展情况,及时向指挥部办公室提出终止应急预案建议。
2、区指挥部办公室接到终止应急预案建议后,组织相关部门及专家组对网络与信息安全事件的处置情况进行综合评估,按预警级别做出决定,并报市指挥部办公室备案。
3、总结。回顾并整理发生事件的各种相关信息,详细记录所有情况,认真总结经验教训,提出改进措施,逐级上报调查报告。
五、事后工作
(一)事后处置
1、在应急处置工作结束后,事发单位要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。各有关主管部门要提供必要的人员和技术、物资和装备以及资金等支持,并将善后处置的有关情况报区指挥部办公室。
2、积极鼓励和利用社会资源进行救济援助,充分发动社会各方面的力量,积极开展自救互助。要加强监督力度,确保政府、社会救助资金和物资的公开、公正和合理使用。
(二)调查和评估
在应急处置工作结束后,主管部门应立即组织有关人员和专家组成事件调查组,在有关部门的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报区指挥部办公室,并根据问责制的有关规定,对有关责任人员作出处理。特别重大网络与信息安全突发公共事件的调查评估报告,应经区指挥部审核后,报区委、区政府,必要时采取新闻会的形式向社会公众通报。
六、保障措施
区指挥部及指挥部办公室各成员单位在指挥部的统一领导下,认真履行各自职责,落实任务,密切配合,确保应急预案有效实施。并做好各项保障工作。
(一)积极推进信息安全等级保护和信息安全风险评估工作。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制订并不断完善网络与信息安全应急处置预案,建立科学化、制度化的处理流程。
(二)建立健全指挥调度机制和信息安全通报机制,进一步完善信息安全应急处理协调机制。
(三)建立应急处理技术平台,进一步提高安全事件的发现和分析能力,从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(四)加强应急通信装备准备,建立备份系统和紧急保障措施,形成跨部门、多手段、多路由,有线和无线相结合、微波和卫星相结合的反应快速、灵活机动、稳定可靠的通信系统。
(五)各重要网络与信息系统的业主单位在建设系统时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时,由区指挥部办公室负责统一调用。
(六)重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。
(七)加强信息安全人才培养,强化信息安全宣传教育,尽快建设一支高素质、高技术的信息安全核心人才及管理队伍,提高全社会网络与信息安全防御意识。
(八)大力发展网络与信息安全服务业,增强全社会应急支援能力。
(九)提供必要的交通运输保障和经费保障,优化网络与信息安全应急处理工作的物质保障条件。
(十)明确监督主体和责任,对预案实施的全过程进行监督检查,保障应急措施到位,预案实施有效。
七、监督管理
(一)宣传教育和培训
各有关单位要充分利用各种传播媒介及有效的形式,加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急救援的基本知识,提高公众防范意识和应急处置能力。有关单位要制定相应的教育材料,普遍开展信息安全教育,及时向社会和公众公布有关信息网络突发公共事件应急预案、报警电话等。
制订严格的网络与信息安全公共事件的应急管理、工作流程,增强应急处置工作中的组织能力。加强对网络与信息安全事件的技术准备培训,提高技术人员的防范意识及技能。
(二)预案演练
建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
(三)监督检查和奖惩
各重要信息系统主管部门要认真贯彻落实预案的各项要求与任务,区指挥部办公室要经常检查预案的落实情况,对各项制度、计划、方案、人员、物资等进行实地验证,并以演练的评定结果作为是否有效落实预案的依据。对在网络与信息安全事件应急工作中表现突出的单位和个人给予表彰;对未有效落实预案各项规定的单位和部门进行通报批评,责令限期改正;对保障不力、瞒报漏报网络与信息安全事件,给国家和社会造成严重损失的单位和个人依照相关规定进行惩处。
八、附则
(一)预案管理
本预案原则上每年评估一次,根据实际情况适时修订。本预案修订工作由区工信局负责,报区政府批准。区政府有关部门、重要信息系统按照本预案的规定履行各自职责,并制定相应预案,报区工信局备案。
(二)预案解释
本预案由区工业和信息化局负责解释。
【关键词】计算机网络安全管理 机关事业单位 管理
随着计算机网络的广泛应用,事业单位计算机网络暴露出越来越多的安全问题,已不能满足人民群众的生产、生活需要,网络安全管理的重要性日益显现。事业单位的计算机网络是一个服务型网络,它将单位内部和外部连接起来,为广大民众提供服务,因此具有更高的开放性,在安全上面临着内部和外部的双重威胁,所以事业单位必须实施全面的严格的安全管理措施,才能确保网络安全可靠地运行。
1计算机网络安全现状和存在的隐患
1.1安全现状
我国互联网发展迅速,互联网用户人数全球首位,但是有关互联网安全的法律法规还处于空白状态,用户的网络操作没有限制,网络环境复杂,存在极大的安全隐患。从目前状况来看我国事业单位网络安全状况有以下几个特点:(1)网络安全意识淡薄。许多事业单位对网络安全的重视力度有限,没有严格的全面的网络安全管理条例,管理存在漏洞。(2)安全防范基础薄弱。硬件方面,很多事业单位没有硬件防护措施,只简单地依靠软件防护;软件方面,国内的防护软件多是面向个人用户的,面向事业单位的不太多,功能有限,不能满足需要。(3)专业人才缺乏。我国网络安全管理发展较晚,人才严重缺乏,有些事业单位内部没有专业网络安全管理人才,多由网络承建商参与维护,十分被动[1]。
1.2存在的安全隐患
1.2.1内部因素
从实际来看,来自事业单位内部的网络安全隐患威胁性更大,这些安全隐患可能是由于员工疏忽,也可能是蓄意破坏,通常这些隐患一旦触发,危害极大,常常会导致网络无法提供正常的服务或造成数据泄露,因为这些潜在的安全隐患,是反入侵防御系统和反病毒软件无法检测和难以防范的。这些安全隐患包括:员工操作不当和疏忽、故意破坏和恶意攻击、未按规定移动存储设备或介质等。
1.2.2员工操作不当和疏忽
由于员工不熟悉网络环境或者工作粗心,操作不当,将服务器的重要数据损坏或泄露。如员工对网络管理软件不熟悉,将服务器的数据库删除,或者将防护软件关闭或卸载等;再有就是,员工本出于好心,为了赶工作进度,将网络服务器核心数据拷贝带出,或是上传至外部网络,导致机密泄露;或是为了方便,员工未严格遵守规定操作,造成安全事故等。
1.2.3未按规定移动存储设备或介质
事业单位一般都有专门的存储设备用以存储或备份重要数据,以应对意外的突发件导致的数据丢失。对于重要存储数据,一般都有明确的严格使用规范,尽管如此,由于员工的安全意识淡薄,在使用时大多都未严格按照规范使用,很容易导致数据泄露或损坏,或是,由于员工的保密意识不强,未加留意,将存储设备或介质丢失。
1.2.4外部因素
事业单位网络是与外部相连的,这样既带来了有利的一面―可以方便的信息,服务大众,宣传国家政策,同时也带来了一定的安全隐患―黑客攻击、病毒感染等。事业单位外部常见的网络安全威胁有恶意攻击,病毒和木马感染等,这些潜在的安全因素都可能导致网络瘫痪,网络不能正常运行,给事业单位和人民大众都带来损失和不便。黑客编写病毒或木马,对网络构成了巨大的威胁,很容易被非法分子利用,用于非法活动,窃取事业单位机密,瘫痪事业单位网络等。另外,互联网技术不完善和操作系统漏洞导致病毒木马猖獗,对事业单位网络安全构成了严重威胁。
2机关事业单位计算机网络的安全防护管理
2.1为计算机设置足够强度的密码
电脑操作系统是将密码作为第一道的防御线,这就要求我们对自己的计算机设置足够强度的密码,设置的密码应该不容易被破解,要有一定的复杂性,最好是字母、数字、大小写、特殊符号等的组合形式,而且还要定期更改密码,缩短密码使用的周期。
2.2做好移动介质的防范和保护
单位内部的移动介质要使用规范,要采取相应的安全防护措施,避免交叉感染病毒和机密文件的随意考取,要制定相应的管理制度规范单位内部移动介质的使用,杜绝职工非法拷贝敏感数据。
2.3要及时备份数据,保护文件数据
要定期备份数据,包括系统文件,避免因为中病毒或者系统崩溃造成不必要的麻烦和损失。对重要的文件应加密存放,一些重要及敏感的数据必须制定相应的加密程序,并制定相关责任人,文件通过U盘等载体传送时也应加密。对于存放在系统中的重要文件,如果系统选用的是NTFS文件系统,可用系统自带的EFS对文件进行加密。方法是:用鼠标右键单击需要加密的对象,选择“属性”,“高级”,勾选“加密内容以便保护数据”选项,点击“应用”,根据提示单选相应的选项,点击“确定”完成加密。对于U盘里的文件可以采用设置密码压缩文件的方式存放。
2.4建立网络服务器安全设置模块
网络服务器的安全控制包括设置口令锁定服务器控制台;设定服务器登陆时间限制、非法访问者位测和关闭的时间间隔;安装非法访问设备等。最有效的措施是安装防火墙,彻底解决黑客攻击、木马程序及互联网病毒等各种危险的入侵,全面保护上网安全。同时要做好单位内的个人计算机IP地址和MAC地址的绑定,便于网络管理员进行管理。防止由于个人随意更改IP地址,造成单位内职工上网秩序的混乱,引起一些不必要的麻烦[2]。
网络环境的复杂性、多边姓以及系统的脆弱性,导致了计算机网络管理的难度加大,也就决定了网络安全威胁的客观存在。可以说,如果没有安全的计算机网络办公环境,我们的工作就没有安全的保障。因此,机关事业单位一定要重视计算机网络安全管理,加大对计算机安全管理的监管力度,建立完善的管理体系。
参考文献:
[关键词]网络安全事件安全对策
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是部级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,ForumofIncidentResponseandSecurityTeams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李卫:计算机网络安全与管理.北京:清华大学出版社,2000
[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001
目前随着互联网的发展普及,网络安全的重要性及企业以及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势,还包括对威胁事件的预判,为网络安全管理员的决策分析和溯源提供有力的依据,将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。
那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中,静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。
电力企业作为承担公共网络安全艰巨任务的职能部门,通过有效的技术手段和严格的规范制度,对本地互联网安全进行持续,有效的监测分析,掌握网络安全形势,感知网络攻击趋势,追溯恶意活动实施主体,为重要信息系统防护和打击网络违法活动提供支撑,保卫本地网络空间安全。
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面很早就已经做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。
1安全态势感知系统架构
网络安全态势感知系统的体系架构(如图一),由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。
网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上,进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置,态势展示则结合上述三个模块的数据进行综合的展示,身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下,进行网络安全事件关联分析和威胁情报的深度挖掘,形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理,通报下发,调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。
1.1数据采集层
数据采集系统组成图(如图二),由采集集群与数据源组成,采集集群由管理节点,工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。
1.2基础数据管理
基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三),数据存储访问组件式基础数据平台的多源数据整合组件,整合流量安全事件、非流量平台接入数据、互联网威胁数据等,网络安全态势感知,分析与预警涉及的数据较广,有效地态势分析与预测所需资源库需要大量有效数据的支撑,因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作,并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。
1.3威胁线索分析
网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业,包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。
1.4网络安全态势分析
态势分析功能(如图五)应从宏观方面,分析整个互联网总体安全状况,包括给累网络安全威胁态势分析和展示;微观方面,提供对特定保护对象所遭受的各种攻击进行趋势分析和展示,包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件,网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外,态势分析应提供网络安全总体态势的展示和呈现。
1.5攻击反制
通过分析发现的安全事件,根据目标的IP地址进行攻击反制,利用指纹工具获得危险源的指纹信息(如图六),如操作系统信息、开放的端口以及端口的服务类别。漏洞扫描根据指纹识别的信息,进行有针对性的漏洞扫描[4],发现危险源可被利用的漏洞。根据可被利用的漏洞进行渗透测试,如果自动渗透测试成功,进一步获得危险源的内部信息,如主机名称、运行的进程等信息;如果自动渗透测试失败,需要人工干预手动进行渗透测试。
通过攻击反制,可以进一步掌握攻击组织/攻击个人的犯罪证据,为打击网络犯罪提供证据支撑。
1.6态势展示
图七:态势展示图
态势展示依赖一个或多个并行工作的态势分析引擎(如图七),基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析,借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出,数据分析结果通过大数据可视化技术进行展示[5]。
2安全态势感知系统发展
网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析,凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势。众所周知,网络安全态势感知的发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同。根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测[6]。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。
3结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策[7]。
为了保证本单位网络畅通,安全运行,保证网络信息安全,特制定**县财政局网络安应急制度。
一、贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、信息网络安全事件定义 :
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、单位网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
3、单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
三、设置网上应急小组,组长由单位有关领导担任,成员由信息中心人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。
四、单位网络信息工作
1、加强网络信息审查工作,若发现单位主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。
2、信息服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息中心对单位网实施24小时值班责任制,开通值班电话,保证与上级主管部门、相关网络部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
六、加强突发事件的快速反应。单位信息中心具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后及时向应急小组及上一级领导报告。 (2)保护现场,立即与网络隔离,防止影响扩大。 (3)及时取证,分析、查找原因。 (4)消除有害信息,防止进一步传播,将事件的影响降到最低。 (5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
七、做好准备,加强防范。信息中心成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
八、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
九、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
关键词:食品安全;网络舆论;大众媒介
中图分类号:G206.2 文献标识码:A文章编号:1672-8122(2011)09-0026-02
食品安全警报的连连拉响,让公众谈“食”色变。在食品安全信息和知识的传播层面,大众媒介当之无愧成为主角。然而,与普通新闻事件有别,由于食品安全事件关乎每一位公众的健康与生存,公众对于该事件的介入度也是史无前例。而这种高介入度的参与,则有赖于网络互动传播。
几乎每一个时间节点,网络传播都会迎来或大或小的技术变革。从论坛到SNS社区,从博客到微博,网络载体的革新,所承载的已不仅仅是技术本身,而更是一种意识形态的变迁。人们借助大众媒介的报道素材,展开抽丝剥茧的追查,经过“公审”式的网络群议,让公众体会到了网络空间群体声音的力量。食品安全时代,一种与“媒介舆论场”相对应的“民间舆论场”正在网络空间大行其道。
一、食品安全事件之网络舆论场
回顾近一年来大大小小的食品安全事件,发现都遵循同一路径:媒体曝光――网络热议――相关部门介入、查处。这一传播路径中,网络热议这一扩散性的传播和舆论形成过程,成为事态进一步发展的重要推手。而这一推手的内涵,恰恰是网络传播所构建的民间舆论场。
民间舆论场的形成,恰恰是由于媒介舆论引导的不成熟。媒介舆论场构建于民间舆论场之上,并对民间舆论场具有一定的引导作用。但是,当媒介所映射的“舆论场”不能满足公众的知情权与表达欲望,他们便会通过其他渠道,如口头、网络等方式获取信息、传播信息,形成媒介舆论场控制之外的“民间舆论场”。
在2011年4月初发生的“染色馒头”事件中,网络民间舆论场的作用不可小视。4月11日,财经频道《消费主张》栏目独家播出了《超市馒头如此出炉》一片,节目报道了上海盛禄食品有限公司分公司在生产馒头过程中,随意更改生产日期、违规添加色素、防腐剂并将回收馒头重新当作原料再生产等行为。在节目播出过程中,“染色馒头”话题同步引爆网络,截至4月12日下午16点,仅仅一天不到的时间,在新浪微博上,关于“染色馒头”的相关评论和转发就达到了185万。在搜索引擎中搜索“染色馒头”,相关报道和评论网页则达到了91万余条。鉴于民间舆论的影响,全国各地相关部门陆续展开对染色馒头食用安全问题的调查。一些行业协会更是向企业发出“诚信经营”的倡议,呼吁企业自觉遵守法规,落实诚信经营行为,并为此建立有效地监督机制。
继“染色馒头”后发生的一系列食品安全事件,如“牛肉膏”事件、“瘦肉精”事件、“塑化剂”事件,几乎也都遵循同一路径。
二、食品安全“网络舆论场”之弊病
可以显见,媒介引导之下所构建的网络民间舆论场,对于食品安全事件的发现与尽快解决起到了无可比拟的加速作用。然而,并非所有食品安全事件都遵循这一路径,网络舆论场在传播食品安全问题的过程中也显露出一系列弊病。
第一,信息源多而杂,不利于管理和引导。可以显见,在诸多食品安全事件中,网络信息几乎都呈现出海量的表现形态。
截至2011年6月26日15:00,笔者对几大食品安全事件作了一项统计,通过百度搜索引擎键入“染色馒头”事件,找到相关结果约2080000个;键入“牛肉膏”事件,找到相关结果约2470000个;键入“瘦肉精”事件,找到相关结果约17100000个;而键入“塑化剂”事件,搜索结果更是高达41900000个。
而在不同的网络舆论载体中,更是呈现出海量的信息,其中包括大量的观点性信息。通过网络论坛、博客、微博,网民们进行集聚式的热议,对不同类型信息的传播和放大起到了推波助澜的作用。仅以新浪微博为例,截至6月27日20:00涉及“染色馒头”的微博达到135208条,涉及“牛肉膏”的微博达46340条,涉及“瘦肉精”的微博达507688条,而涉及“塑化剂”的微博则达到348141条。
无论是对百度搜索引擎的统计结果,还是对新浪微博的统计结果,都表明:网民对于食品安全事件的关注度和参与度甚高。然而,在传播食品安全信息和观点的网络空间内,海量信息也存在杂乱的特点,尤其表现为:无用信息、浅表性信息占据大多数,而深入性观点信息则相对匮乏;网络信息中不乏虚假内容,尤其是对谣言的传播呈放大态势。
第二,网民成分复杂,舆论主体层次参差。中国互联网络信息中心(CNNIC)2011年的《第27次中国互联网络发展状况统计报告》显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人。另外,我国手机网民规模达3.03亿,依然是拉动中国总体网民规模攀升的主要动力。
这意味着,我国网民结构已经突破了原有的高知、高薪局限,向多元化方向发展。这也直接导致了在近年来发生的食品安全事件中,网民表现出了千差万别的网络言论。当中既有专家学者的理性思考,媒体网民的信息扩散,更有普通网民的情绪化发泄。身份、年龄、职业、学识等诸多因素,让广大网民在网络这一公共平台中作出迥然不同的表现。
而当公众聚焦于某一食品安全事件时,网民们的意见也总是相互影响、相互作用,各种意见在不断碰撞之后产生化学反应,在各个舆论圈之间,广大网络公众互为作用,并时刻保持流动,甚至改变原有的立场,最终形成高速运转“网络舆论场”。
三、食品安全之网络舆论引导
在诸多食品安全事件中,网络信息源的混乱与网络舆论场的无序,直接导致了食品安全舆论方向的偏离。因此,作为舆论监督者的大众媒介,理应在食品安全事件中担负起引导网络舆论的领衔角色。此外,在食品安全事件中,建立一个完善的网络舆论引导体系,对于食品安全事件的有序发展具有重要意义。
第一,通过媒介议程设置,加强公众理性认识。食品安全事件中,“网络舆论场”陷入无序境地的一个重要原因,就是缺乏权威声音的引导。而在网络传播时代,大众媒介的作用依然是不容小视。在某一社会事件中,大众媒介往往充当议程设置者的角色,对于事件发生、发展过程中的话题,大众媒介可以设置出有利于引导舆论方向的议程。通过大众媒介对某一信息的集中性报道,可以让某一角度的事实在公众心中得以强化。
因此,在引导网络舆论的过程中,大众媒介应当利用好、发挥好自身的这一功能,及时抓住食品安全事件的核心问题,展开议程设置,从而影响公众探讨事态的方向,间接起到引导网络舆论的作用。
第二,加强观点性信息传播,树立网络意见领袖。意见领袖是在信息传递和人际互动过程中少数具有影响力、活动力,既非选举产生又无名号的人。意见领袖是一支活跃的力量,传播者要想通过大众传播媒介来影响广大受众,必须先设法影响大众传播中具有影响力的意见领袖。网络空间中同样存在意见领袖,他们是网络互动中的活跃者、话语引领者。无论是大众传播时代还是新媒体时代,意见领袖都是引领舆论走向的重要力量。在诸多食品安全事件中,无序的大众言论亟需意见领袖对其加以引导。
因此,在食品安全事件中,大众媒介应加强网络报道,尤其是在网络社区、论坛、博客、微博等自媒体空间发表理性、辩证的言论,以引导混沌不请的大众舆论,使其朝着有序、积极的方向发展。
第三,规避沉默的螺旋,鼓励多元化观点传播。在舆论传播中,个人往往会通过观察了解哪些观点占优势、受欢迎,哪些处于劣势、不受欢迎,然后采取相应对策。这样,一方讲话另一方沉默的倾向便开始了一个螺旋过程,这个过程不断把一种舆论确立为主要的意见。在“沉默的螺旋”作用下,表面上强势的舆论显得更加强劲,表面上弱势的舆论则更加软弱。由于网络舆论场是一个相对混乱、无序的舆论环境,尽管舆论表现形式呈现多元化,但经过不断的内部整合、稀释,网络舆论场最终会形成某几大特定的主导舆论,最终将不再呈现多元化的表现形式。一旦网络舆论朝着消极方向发展,其舆论负面效应将不容忽视。
因此,应鼓励网络言论多元化传播,避免不同的观点在“沉默的螺旋”中走向弱化甚至消失。只有保持多元化信息和言论的畅通,才能有助于公众全面、辩证地了认识食品安全事件,以形成正确、理性的网络舆论,从而推动事态的积极发展。
第四,严格控制和防止虚假信息的传播,实现舆论平衡。从近年来发生的食品安全事件来看,大多数信息都来源于大众媒介的报道,而网络这一信息和观点空间只是对大众媒介传播的进一步讨论、升华和分层。而从大众媒介的报道质量来看,在诸多食品安全实践中,目前,大众媒介往往将报道重心放在披露、揭黑上。当然,曝光隐藏于身处的食品安全问题是大众媒介的职责所在,然而,也必须看到,一味地披露、揭黑只能带来公众的不满情绪,一旦激化,反而会影响问题的正常解决。
因此,大众媒介在报道和传播信息的过程中,应当尽可能多地实现平衡报道,对于一些事态的正面信息也应加以关注,如相关部门对事件的解决进度、该食品安全事件解决后的现状等等。同时,由于食品安全事件的特殊性,还需对公众进行常识层面的普及,让公众清楚透彻地了解该食品安全事件的问题所在,以便对事态有一个客观的认识。
参考文献:
[1] 邵培仁.传播学[M].北京:高等教育出版社,2002.
[2] (英)麦奎尔著.刘燕南等译.受众分析[M].北京:中国人民大学出版社,2006.
[3] 展江.一个自由而负责的新闻界[M].北京:中国人民大学出版社,2004.
[4] Shoemaker(休梅克).大众传媒把关[M].上海:上海交通大学出版社,2007.
[5] 吕蒙.网络舆论监督热背后的冷思考[J].记者摇篮,2011(6).
[6] 常法武.舆论监督:提高引导能力的着力点[J].新闻战线,2011(3).
