2007年元旦至春節期間，“熊貓燒香”病毒肆虐神州，一個多月時間全國就有上百萬互聯網用戶和單位的局域網遭受破壞。被感染的電腦出現癱瘓，所有可執行文件被改成“熊貓手持三炷香”的圖案，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。其傳播速度、危害范圍都是空前的，一時間人們談“熊貓”色變。由于病毒制造者還以自己出售和由他人代賣的方式在網絡銷售該病毒，導致該病毒的各種變種在網上大面積傳播。《瑞星2006安全報告》、《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》，將其列為十大病毒之首、2006年度的“毒王”。 
　　網絡病毒一直是互聯網用戶心中的陰影，雖然“熊貓燒香”病毒走了，然而“灰鴿子”、“木馬”等病毒卻一波未平，一波又起。人們疑惑地問：難道網絡就沒有安全的時候了嗎？我們的電腦安全該如何保障？或許，深入剖析一下“熊貓燒香”病毒案，能夠帶給我們一些亡羊補牢的思考與啟示。
　　黨中央、國務院非常重視信息安全工作。2006年印發的《2006－2020年國家信息安全戰略報告》，專門強調了建設國家信息安全保障體系、加強互聯網治理問題。2007年1月23日中共中央政治局第三十八次集體學習會，專門學習研究了加強網絡文化建設和管理，切實把互聯網建設好、利用好、管理好的問題。本文結合“熊貓燒香”案暴露出的安全隱患，提出加強網絡信息安全的幾點思考：
一、必須切實增強國民的網絡信息安全防范意識
　　黨的十六大確定了我國“以信息化帶動工業化、以工業化促進信息化、走新型工業化道路”的發展戰略，把信息化提到國家戰略的高度，作為解決現實緊迫問題和發展難題的重要手段，成為支撐經濟社會發展的重要基礎設施。目前，我國的電話用戶、網絡規模已經位居世界第一，互聯網用戶和寬帶接入用戶均位居世界第二（據最新統計數據顯示，截止今年一季度，互聯網用戶已達1.44億戶）。信息產業對經濟增長貢獻度穩步上升：2005年，信息產業增加值占國內生產總值的比重達到72%，對經濟增長的貢獻度達到16.6%；電子信息產品制造業出口額占出口總額的比重已超過30%；掌握了一批具有自主知識產權的關鍵技術；部分骨干企業的國際競爭力不斷增強。隨著信息技術的快速發展與互聯網逐漸普及，信息化把人們的許多夢想變為了現實，帶來了諸多便捷。可以說，我們現在是一半生活在物質世界中，一半生活在虛擬的網絡世界中。
　　但是，我們也應看到，在我國，計算機網絡是一個新興的領域，歷史才10多年時間。許多網民上網看重的是計算機網絡的便捷性，但對互聯網的開放性、社會性所帶來的網絡和信息安全隱患卻認識不足，信息安全意識相當淡薄。同時，不少網民還缺乏最基本的網絡安全防范知識和良好的上網習慣。反病毒專家們指出，“熊貓燒香”病毒在技術上并無多少過人之處，但在傳播手段上卻有所“創新”，特別是利用了廣大網民的疏忽，如對一些內含病毒的誘惑性網頁或郵件缺乏防備、經常使用盜版軟件、計算機安全級別設置過低、以及忽視系統和應用軟件的升級等，從而導致數以千計的企業受到侵害，數以百萬計的個人用戶“中招”，教訓是非常深刻的。
　　互聯網是一把雙刃劍。在給經濟社會帶來深刻影響的同時，其日益凸顯的信息安全問題也對人民的正常生活和國家的安全體系構成了威脅。目前信息安全已影響到政治、經濟、文化等方面，對這一嚴峻形勢特別是“信息戰”的影響，我們應當有清醒的認識。當前，計算機病毒越來越“兇”， 黑客攻擊日益增多，網上竊密及有害信息傳播事件不斷發生，網絡安全問題十分突出，而相當多的人信息安全意識卻非常淡薄，缺乏應有的認識和警惕性，或麻木不仁，或不以為然。資料顯示，“熊貓燒香”病毒和不久前大規模爆發的“灰鴿子”病毒制造者的目的，主要還是非法牟利。試想，如果這些病毒制造者被賦予了政治或軍事目的，其后果就不只是經濟上的損失了！我國既是一個崛起的信息發展大國, 同時又是一個信息弱國,信息安全是關系到我國未來生存和發展的大問題。因此，大力加強全社會的網絡信息安全教育，提高國民的信息安全防范意識，已成了當前信息化建設中需要解決的一個緊迫而突出的問題。
二、必須構建維護國家信息安全的應急和長效預防機制
　　加強網絡與信息安全的管理，是網絡安全運行與健康發展的前提和保障。不論是過去所說的三分技術、七分管理，還是現在強調的技術與管理并重，都把管理工作置于一個非常重要的地位。應當說，這些年我們在網絡信息安全管理方面做了大量工作，也取得了一定成效，但從總體水平講，我們的信息安全防范工作仍處在封堵漏洞、事后補救的被動應付狀態，特別是經常性的網絡監管工作很不到位。這一點在“熊貓燒香”病毒肆虐過程中暴露得非常突出。“熊貓燒香”病毒制造者李俊，早在2003年就制造了“武漢男生”病毒、后來又制造了“武漢男生2005”病毒及“QQ尾巴”病毒。對于這樣一個有著深刻背景的“黑客”，誰去“查處”了？怎么“防范”的？又是怎樣“運用必要的行政手段，規范網上行為，堵塞不良信息傳播和擴散渠道”的？雖然一些地方和部門也制定了一些網絡和信息安全方面的管理辦法，但大多貼在墻上或鎖在柜子里，沒有真正落到實處。李俊等人更是囂張之極，根本不把國家監管部門和反病毒專家放在眼里。“熊貓燒香”病毒肆虐時，一群軟件高手自發地在論壇上組織起來，貼出一份份詳細的病毒分析報告。然而令人“震驚”的是，病毒作者似乎對這些高手的動向了如指掌。每過一段時間，他就會在病毒新變種中留言，感謝這些高手關注他制造的病毒。如果不是他有意或無意中露出“WHBoy”的馬腳，恐怕還不知費多少周折才能破獲這一病毒案。
　　信息安全不僅需要強有力的信息科學技術作支撐，還需要有健全、完善的體系作保障。“熊貓燒香”病毒在短時間內大面積傳播感染的事實，從反面說明現在的網絡安全問題，不是某一項防病毒技術或殺毒軟件，也不是某一、二個反病毒廠家就能完全解決問題的。殺毒畢竟是一種事后的補救措施，更何況病毒造成的損失有些是無法彌補的。因此，只有構建起具有超前的預防技術、完善的監控體系、健全的應急指揮和處置機構的長效機制，才能從源頭上、在萌芽狀態預防和控制病毒和有害信息的傳播，筑起保障我國信息安全的鋼鐵長城。為此，一些專家建議，應當“建立健全國家網絡空間安全的危機管理系統”，這一系統的主要職責是：第一，對網絡空間可能出現的各種風險、威脅、攻擊進行分析與評價；第二，進行預防、預警以及網絡安全事故的管理；第三，回應各種網絡安全事故與威脅，并及時恢復和確保網絡空間；第四，維持重要的信息基礎設施的正常運轉。
　　當前，應大力加強國家信息安全保障體系建設，努力探索和把握信息化與信息安全的內在規律，積極防御，綜合防范，主動應對信息安全挑戰。要積極跟蹤、研究和掌握國際信息安全領域的先進理論、前沿技術和發展動態，抓緊開展對信息技術產品漏洞、后門的發現研究，掌握核心安全技術，同時要加強密碼技術的開發利用，提高網絡關鍵設備的技術防范能力。要整合力量，優化信息安全資源配置，引導反病毒企業提高站位，從保證國家互聯網信息安全的全局出發，思考和確定企業發展戰略，積極研發系統的反病毒服務器產品、網絡產品和定制產品，而不僅僅是把精力放在個人反病毒產品的研發和生產上。要建立和完善信息安全等級保護制度，重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統，不斷提高信息安全的基礎支撐能力、網絡輿論宣傳駕馭能力和我國在國際信息安全領域的影響力。最近，信息產業部為建立綜合治理網絡環境的長效機制，明確提出了“三誰原則”，即“誰主管，誰負責”，“誰經營，誰負責”，“誰接入，誰負責”。截止目前，電信企業協助相關部門依法關閉非法網站900余個，有效凈化了網絡環境。
三、必須加強互聯網的行業自律，提高從業者的職業道德
　　網絡空間不應當是一個“無政府社會”，而應當是一個秩序井然的“法治社會”。要維護網絡空間的有序運作，創造新型的信息文明，除了通過加強政府監管和立法來進行保障，還必須進一步加強互聯網的行業自律，大力提高從業者和網民的職業道德素質。
　　在反思“熊貓燒香”病毒為什么能夠肆虐的教訓時，有的反病毒專家指出，一些病毒制造者以前曾是網絡安全員，由于受經濟利益驅動，加入了制造、販賣、傳播病毒的黑客隊伍。這是應當引起重視的一個問題。另據《科技日報》報道，春節以來肆虐網上、危害遠超出“熊貓燒香”的“灰鴿子”病毒，原本是一種遠程控制軟件，后來被心存不軌的人利用，制作出了能使他人計算機成為“肉雞”（即計算機感染病毒后任人控制擺布）的病毒；更有圈內人士自曝販賣“肉雞”的傳銷經驗，讀后令人不寒而栗。［6］這也從反面說明，建立健全以自我約束共識為基礎的、可供遵循的網絡禮節和自律規范，是建立一個規范有序的網絡空間，創造新型的信息文明的當務之急。
　　由于近年來我國互聯網用戶迅猛擴展，導致網絡空間基本上處于無政府狀態。所以，當前，首先要抓緊制定和完善互聯網規范，加強行業自律以及社會監督。行業自律雖不具有法律效力，也沒有強制力，但它是廣大互聯網用戶為維護互聯網正常秩序而形成的共識和自我約束規范。國外互聯網上的自律，一般通過用戶與服務提供商簽訂合同，在享受網絡便捷服務的同時，必須遵守已建立起來的基本規范，如果違反便自動出局，或者別的用戶便不愿與他互動交流。其次，要采取切實措施提高從業者和網民的道德素質。一是通過教育和培訓，提高現有從業人員的自我規范、自我約束的意識，二是通過宣傳教育和社會監督，培養廣大網民文明上網、安全上網的習慣，為維護互聯網空間的規范有序和健康發展提供誠信支撐。
四、必須進一步加強信息立法工作
　　法律是保障互聯網安全的一道利器。近年來，網絡安全問題日益增多，計算機違法犯罪活動呈上升趨勢，其中一個很重要的原因，就在于法制的滯后和缺失，沒有能對一些企圖利用制造病毒謀取不義之財的不法分子形成心理威懾，促使其不敢為。《計算機信息網絡國際聯網安全保護管理辦法》雖明確規定了制造和傳播病毒是違法的，但對于木馬、黑客程序、“流氓軟件”等并沒有明確的界定，特別是信息安全方面的責任如何認定、如何賠償等方面較為空白，受損用戶想要通過法律手段維護自己的權益有一定難度。這也是黑客們至今還肆無忌憚的一個重要原因。
　　應當說，這些年我們在信息安全領域的法制建設方面做了大量工作，但是，相對于網絡信息技術的迅猛發展及其在經濟社會生活各方面日益顯著的作用，互聯網立法工作滯后和不完善的問題也日益突出。因此，應當充分認識加強信息安全立法的緊迫性、重要性，強化信息化的相應立法工作，抓緊建立和完善國家信息安全法律框架，積極推進《信息安全條例》的起草及《互聯網信息服務管理辦法》的修改完善，加強對新技術、新業務引發的信息安全問題及其對策的研究，尤其是應盡快研究制定有關網絡安全和公眾無形財產保護的法律法規，用法律法規威懾病毒制造者和非法牟利者，打擊網絡犯罪，保障網絡空間的有序運作，為公眾提供一個良好的網絡環境，切實維護好國家的政治、經濟、文化和信息安全。

（責任編輯：中大編輯）