我国网络信息安全凸显三大问题 亟待通过制度建设加强

　　核心提示：今年以来国内多家主流互联网企业频发安全事故，影响千万用户。业内人士指出，目前我国信息安全有三大问题亟待解决，即灾备制度有要求无追责、互联网企业重业务轻安全、高校网站防御力薄弱。专家，可以设计互联网安全保险产品、建立网络安全制度，以及完善信息安全立法，以制度建设推动信息安全，为“互联网+”战略保驾护航。

　　记者张非非叶健

　　 / XINHUA08.COM)--今年以来国内多家主流互联网企业频发安全事故，影响千万用户。业内人士指出，目前我国信息安全有三大问题亟待解决，即灾备制度有要求无追责、互联网企业重业务轻安全、高校网站防御力薄弱。专家，可以设计互联网安全保险产品、建立网络安全制度，以及完善信息安全立法，以制度建设推动信息安全，为“互联网+”战略保驾护航。

　　――网络企业频出故障网络安全问题凸显

　　今年5月底以来，国内多家主要互联网企业先后出现网络故障，中断服务，甚至出现信息安全问题，一时间网络安全问题凸显。

　　5月28日，携程网由于内部员工操作失误，页面和APP瘫痪长达10小时以上，受直接影响用户多达千万级。

　　5月27日，支付宝出现故障，导致部分用户无法使用。虽然支付宝解释为，因为市政建设使支付宝光缆被挖断。但是记者从多位业内安全人士处获悉，支付宝作为国内领先的互联网金融机构，其网络带宽应有足够冗余，不应该挖断一根光缆就导致部分地区服务中断，其真实原因仍有待确认。

　　此外，部分网站遭到黑客，导致异常。知名旅游网站艺龙网遭到网络导致无法正常访问。专车平台Uber出现系统故障，用户无法正常使用，业内认为很可能是黑客。5月31日，邮电大学官网遭到伊朗黑客团队，并出现主页。6月3日，中新网遭黑客，用户登陆中新网首页只能看到者留言。

　　中国工程院院士兼中国互联网协会理事长邬贺铨表示，网络信息安全领域频现的重大事件，其背后呈现出的是“双重风险”格局。一重风险源于技术层面的单点层出不穷。猎豹移动公司CEO傅盛指出，不少安全事件是源自黑客群体，其目的往往出于恶作剧心理或单纯套利。例如，全球最大的比特币交易所“Mt.Gox”在2014年3月份申请破产前，便公开表示遭到黑客窃取用户数据。

　　另一重风险显示存在有组织的“国家级”。国家互联网应急中心报告显示，我国部分网站页面被劫持，经查是由于境外服务器对我国境内部分递归域名服务器投毒所致。

　　国家互联网应急中心运行部主任王明华介绍称，越来越多的有组织高级持续性(APT)事件浮出水面，APT成为国家间网络对抗的新型有力武器。

　　――我国网络安全三大问题亟待解决

　　有关业内人士指出，目前我国信息安全存在三大问题亟待解决，即灾备制度有要求无追责、互联网企业重业务轻安全、高校网站防御力薄弱。

　　首先，灾备制度有要求、无追责。多位安全人士告诉记者，无论是携程断网，还是支付宝被一根光缆“绊倒”，其故障时间都以“小时”计，这与企业的灾备不足有一定关系。

　　上海律师协会信息网络与高新技术业务委员会主任商建刚告诉记者，“我考察过多家专业灾备企业，由于多数互联网企业都是重速度、轻安全，因此灾备企业发展都比较缓慢。虽然我国有针对灾备的一些要求，但对于不做好灾备工作的企业也没有惩罚，这也让灾备制度形同虚设。”

　　其次，互联网企业重业务、轻安全。国内知名安全团队KEEN安全服务总监吕礼胜认为，“保障企业的信息安全，三分靠技术，七分靠管理。但是我们接触一些互联网企业发现，很多企业考虑到项目时间、资金和人员，常常以满足用户需求为第一目的，安全很容易被掉。”

　　杭州安恒信息技术公司总裁范渊认为，在互联网企业发展过程中，一开始最注重发展业务、用户、流量，99%的情况下对安全都重视不够。很多互联网企业的操作流程，明显是缺乏监督、审计和风险控制。一旦出现情况，企业很难快速找出问题。如携程，一名员工的操作失误能引发整个网达10小时的瘫痪，而其在去年也被曝出过网站、APP有安全漏洞，这就说明其内部安全控制长期存在问题。

　　第三，教育、网站冗余，成为安全薄弱环节。多位安全人士告诉记者，许多高校都是网站无数，比如某师范院校就有2000个网站。有些机关的域名也非常多，由于疏于管理常遭到黑客。与此同时，一些、公司、院校对信息保密、数据库安全重视不够，在发生网络的情况下很容易造成大量数据丢失。

　　――对策：完善立法、设计保险、列

　　随着“互联网+”战略的推进，千万级乃至上亿级用户的互联网应用会越来越多，业内专家，针对互联网企业的信息安全制度宜尽早建立。尽快完善信息安全立法，同时可考虑设计“互联网安全保险”，把出现安全事故的企业列入“”，三年予以重点。

　　一、完善信息安全立法。商建刚，目前针对信息安全的法律法规严重不足，互联网企业对于安全更多出于自觉，或者是事故倒逼。而在、日美等地，发生信息安全事故的企业都会面临很严重的法律风险。中国可以借鉴海外经验，先由国务院颁布法规积累经验，继而推动立法，让信息安全的企业付出代价，让“安全+”为“互联网+”保驾护航。

　　二、设计“互联网安全保险”，鼓励互联网企业建立信息安全保障制度。记者采访发现，目前有部分企业推出了用户损失赔偿制度。此前，奇虎360针对用户搜索到虚假信息导致的财产损失进行赔偿，支付宝也承诺对账号被的用户进行赔偿。

　　多位业内人士认为，可以针对互联网安全开发公共保险产品，一些涉及财产交易的平台可进行投保。一旦发生信息泄露导致财产损失，用户既有明确的索赔对象，保险公司也会倒逼互联网企业进行信息安全建设。

　　安言咨询张耀疆，互联网安全保险的难点在于原因的认定和定损，因此可以尝试先在一些收费的互联网服务上开展互联网安全保险，比如互联网金融行业、电子商务行业等。

　　三、建立三年期“”制度，重点监督发生信息安全事件的企业。目前，不少互联网企业对于信息安全仍以免责条款自保。例如某商业互联网企业在《隐私条款及服务说明》的“信息安全”一栏显示，“用户明确同意其使用会员服务所存在的风险将完全由其自己承担”。这也表明，即使用户在该网站的数据丢失，该网站是免责的。

　　商建刚、张耀疆认为，现在互联网企业更看重发展速度，如果没有外在约束，即使发生信息安全事故，企业也觉得是可以接受的。因此，可以考虑建立“”制度，对于被曝出信息安全事故、影响用户较多、内部管理不规范的企业，定期予以集中核实、披露，并在三年内定期汇报信息安全改进状况。