汪怡廷

摘 要 当我们评判一个系统是否安全时，不应该只看它应用了多么先进的设施，更应该了解它最大的弱点是什么，因为网络的安全性取决于它最薄弱环节的安全性。

关键词 网络安全 因素 个人信息 安全

中图分类号：TP393.08 文献标识码：A

通过考察近几年在Internet上发生的黑客攻击事件，我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后，加之Internet提供的便利，攻击者可以很方便地组成团体，使得网络安全受到的威胁更加严重。

隐藏在世界各地的攻击者通常可以越过算法本身，不需要去试每一个可能的密钥，甚至不需要去寻找算法本身的漏洞，他们能够利用所有可能就范的错误，包括设计错误、安装配置错误及教育培训失误等，向网络发起攻击。但在大多数情况下，他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。

我们可以粗略地将对系统安全造成的威胁归结为6大类 ： 教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。需要指出的是，这几类威胁之间可能会有交叉与重叠之处。另外，一些文献对系统安全的威胁分类方法可能同这里给出的不同，但大多没有本质的区别。

要真正理解网络的信息安全，需要对网络信息系统存在的安全缺陷和可能受到的各种攻击有深入正确的理解。所谓“知已知彼，百战不殆”，通过对系统缺陷和攻击手段进行分类与归纳，可让人们正视系统的不足与所受威胁。

对于安全系统的使用者来说，可以采用 2 种不同的安全模型。

（1）火车司机型在这种系统中，使用者只需要控制系统的启停，安全系统便能够辨别出危险信号，自动找寻安全道路，使用者在其他时间可以放心大胆地干别的事情。

（2）航空飞行员型在这种模型中，即使系统已经拥有很先进的自动导航设备，而且大多数情况下系统已经处在自动运行中，仍然要求使用者必须在安全方面训练有素。

在这 2 种模型中，第一种显得非常好用。用惯了图形用户界面的人都希望安全系统在经过简单的指导安装之后，不用再亲自介入以后的运行了。这种想法很自然，但实现起来并不容易。网络世界远远没有铁路系统那么有序，缺少像铁轨那样严格控制并引导列车前进的机制，由于可能出现的异常情况太多，所以没有什么办法可以让人一劳永逸。

有些人会认为：“不是还有防火墙吗？交给它好了！”这同样是错的，防火墙并不是万灵药，它虽然堵住了大量不安全的缺口，但还是小心翼翼地向外界打开了一扇访问内部信息的小门。尽管此门的开启受到限制，可路却通了。如果有人利用这条路径进行数据驱动型的攻击，防火墙是无能为力的。

最近，电视和网上公布一些网上个人信息被泄密的信息，这直接关系到个人秘密和隐私，在当今互联网飞速发展的时代，加强网络信息保护至关重要，势在必行。

网络时代，个人信息是网络交易的前提和基础，一旦被对方掌握，会给信息安全造成极大威胁。由于缺少相关法律，对利用公民个人信息谋取巨额利润的一些商家甚至不法分子难以追究其法律责任。如果我国不加快个人信息保护立法步伐，将会带来公民对个人信息安全缺乏信心、互联网公司收集不到有效信息、社会公信难以形成等问题。

目前我国一些法律虽然涉及了对个人信息保护的内容，但比较零散，也缺乏法律位阶比较高的法律，还难以形成严密的保护个人信息的法律网，这就容易使不法分子钻空子。

在加强网络信息管理过程中，建议对那些提供公共或专业服务、涉及个人信息储存和利用的机构，要对其承担的相关法律义务加以明确；对于非法手段获取个人信息的行为，应规定较为严厉的惩治措施。

在完善法律法规的同时，还要多措并举、多管齐下，各有关监管部门切实担负起监管职责，执法部门严格执法，网民也应增强提高个人信息的保护和防范意识互联网是社会大众共有的虚拟世界，这一虚拟世界早已和现实社会密不可分，这就决定了互联网不是绝对自由的平台，而应该是和谐与法治秩序的领地。如果管理不善，国家信息安全就会受到威胁，企业电子商务就会受到影响，大众个人隐私就会受到损害。

与现实社会管理一样，互联网管理不仅要依靠行业和个人自律，更应依靠机制和法律。对于网络监管，动力来自社会，呼声来自民间；作为国家利益和公众利益的代表，政府介入其中，健全法律机制，促进立法、执法，敦促行业自律，引导并保持互联网健康的发展方向，依据了社会形势，顺应了民众呼声。明确在互联网中哪些是得到保护的、哪些是要进行限制、禁止的，让网民明确自己的权利与义务，使得上网行为有章可循、有法可依，是公民合法权益的一部分，更是依法治国的题中应有之义。

我国互联网立法势在必行，全国人大常委会审议加强网络信息保护的决定草案，是依据社情、顺应民意、符合国际惯例的势在必行之举。草案的审议也显示了我国依法治理网络，维护国家社会有序安全，保障人民群众利益的决心。