盛宴八：SMS诈骗引发监管难题

“×××你好！你的储蓄卡在……(地点)刷卡消费1980元成功，此笔消费将从您账上扣除。如有疑问请拨(某固定电话号码)

某金融相关单位”…… 相信不少人的手机都曾经收到一度非常“流行”的诈骗SMS。 此类信用卡消费类型的SMS诈骗最早于今年5月份出现在上海、厦门等东南沿海城市，然后是广州一带，9月上旬开始波及全国更多的地区。今年十一黄金周期间，在全国各地全面爆发，诈骗遍布上海、厦门、广州、北京等地。据北京市公安局此前披露，9月30日至10月7日，8天内110报警台共接到此类报警1265件，仅10月2日就接报88件。直到现在，警方仍然陆续接到许多信用卡SMS欺诈报警。

当一种诈骗方式被大家所警惕后，最近又出现了一种新骗术。11月起，不少机主开始收到类似于:“近期有不法分子利用SMS骗取客户信用卡卡号和密码，××银行声明，××银行的信用卡SMS号码为800-955××和13××……”

骗子们购置SMS群发器、手机和电脑等工具，把手机和SMS群发器连接起来，以每天群发几千条的速度，随机向各号段的手机号码发送预制的诈骗SMS。而手机号码都出自一本《全国手机号码资料簿》，四百多页的书中收录着全国各省市的手机号段。

目前，中国银行卡发卡量已经超过8亿张，据估算，目前收到诈骗SMS的在百万人以上。此外，据中国银联的不完全统计，全国各地的诈骗总额已超过千万元，单个受害人被骗金额最高达到53万元。SMS诈骗事件会在短时间多次集中爆发，除了犯罪分子的作案手法狡猾隐蔽之外，还有法律监管层面以及电信运营商、商业银行等方面原因；同时，持卡人对银行卡的使用安全意识和技能薄弱，也是犯罪分子屡屡得逞的重要原因。

面对愈演愈烈的银行卡SMS诈骗，中国人民银行于10月17日下发了《中国人民银行关于防范银行卡SMS诈骗的通知》。11月1日，公安部、信息产业部、银监会三部委联合宣布，在全国范围内开展一次声势浩大的打击SMS诈骗违法犯罪活动。由信息产业部、公安部和国务院新闻办联合发布的中国首部SMS法规《通信SMS服务管理规定》将在近期出台。在此之前，信息产业部曾先后下发过《关于规范SMS服务有关问题的通知》、《关于治理当前电信服务热点问题的指导意见》等文件，对各种SMS陷阱和其他不规范电信业务进行整治。

而如此大规模的手机SMS诈骗，作为电信运营商是否应当承担责任呢？这些问题一时成了业界讨论的焦点。部分业内人士认为，在诈骗类案件中，电信运营商到底应该不应该承担责任，主要是看他有无过错。首先，运营公司无权过问手机SMS的内容，过问属于司法权，而运营商不具备司法权；其次，打电话过去如果对方号称是银行录音系统，那么要看这个录音系统是谁安装的，如果是通信公司安装的，那么他就应当承担责任，如果是诈骗嫌疑人安装的，运营商就无责任。而另一方观点则认为，基础电信业务经营者以及接受其委托的互联网信息服务提供者必须承担一定的旁听甄别义务和技术拦截义务。

因此，从长远来看，只有通过立法和完善相关法律法规,才能遏制层出不穷的SMS诈骗活动。据悉,信息产业部会同有关部门正在加紧制定《电信SMS管理办法》。此外，各家商业银行和中国银联正在加强安全管理措施，不断提升银行卡反欺诈的技术手段和防范能力，以更好地保障持卡人的资金安全。(文/刘菁菁)

盛宴九：灾难恢复进入“元年”

2005年，可以视为灾难恢复元年。似乎在一夜间，灾难恢复变成了信息安全业和软件业中最热的名词之一。全球性

的催化剂似乎是2004年12月15日，美国计算机安全巨头Symantec 宣布：正在同Veritas(维尔)软件公司进行谈判，计划以130亿美元的价格收购后者。

2005年7月2日，Symantec 宣布与维尔(Veritas)软件公司的合并事务完成，今后两家公司将以新的Symantec 公司形象统一对外开展业务。11月份，合并后的公司宣布新开发的一种新的IT管理方法，通过安全技术与存储管理技术相结合，以便公司和用户在信息可用性和信息安全性之间获得有效的平衡，确保同时提供网络资源的安全性和可用性，这种方法称为信息完整性。

这起史上最大规模的软件业合并案给人带来震惊，而其新产品和新方法论的出炉更是个业界带来新的思考：在安全形势不断恶化的形势下，安全管理软件厂商与存储以及软件其他领域进行融合是不是大势所趋？软件业大融合时代是否已经到来？

而中国的亮点似乎在于，2005年5月发布的《重要信息系统灾难恢复指南》(以下简称《指南》)。一个月后，围绕《指南》在广东南海召开的“首届中国灾难恢复行业高层论坛”，100多位来自电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业的CIO和CSO与国务院信息化办公室的领导和专家，就灾难恢复建设进行的深入讨论。

从政府和用户层面讲，中国灾难恢复在2005年进入到实际性的操作阶段。通常的看法是中国灾难恢复工作分为三个阶段：2004年8月以前为行动摸索阶段；2004年8月～2005年4月为理论形成阶段；2005年4月以后，则步入实际操作阶段。

2003年8月颁布的“27号文”所确定的国家信息安全保障工作的八条要点中，其中有一条就是重视信息安全应急处理工作，而灾难恢复是应急体系中的最后也是最重要的一道防线。当时，国内仅有少数行业的少数单位在灾难恢复方面积累了一些建设经验。

2004年8月，国务院信息化办公室在新疆组织召开了“8大重要行业和国家重要地区CSO灾难备份研讨会”；9月，国家网络与信息安全协调小组办公室向信息产业部、国家广电总局、各重要信息系统主管部门下发了《关于做好重要信息系统灾难备份工作的通知》(即“11号文”)。一方面，确立了灾难恢复工作的主要目标：提高抵御灾难和重大事故能力，减少灾难打击和重大事故造成的损失，确保重要系统的数据安全和作业持续性，避免引起社会重要服务功能的严重中断，保持社会经济的稳定；另一方面，确立了灾难备份工作的基本原则是“统筹规划、资源共享、平战结合”；同时明确指出，“要制定灾难备份技术与管理标准规范”。

随后，成立了由国信办熊四皓领导的、高阳万国(GDS)为具体编制单位、8大重点行业和5个政府机构专家为审查组的《指南》工作组。在听取各方300多条意见，三易其稿后，2005年4月，国务院信息化办公室颁布了《重要信息系统灾难恢复指南》，以标准规范的形式，对重要信息系统的灾难恢复提出了应遵循的基本要求。(文/毛江华)

盛宴十：风险评估奠定基础

2005年12月6日，中国信息协会信息安全专业委员会组办了一次大规模的“中国信息安全风险评估现状与展望高峰论

坛”，这是2005年的最后一次宣传和推广风险评估试点成果和经验的大会，为2005年在中国首次启动并开展的大规模的风险评估试点工作画上了一个圆满的句号。

信息安全风险评估并不是新鲜概念，早在2002年就被业界众多专家、厂商提出，经过几年的媒体宣传，其重要性也逐渐被广大的用户所认可。然而，由于风险评估的结果是发现系统的弱点，一旦结果泄露后果不堪设想，这对所有系统而言均是敏感而不愿意面对的。因此，虽然风险评估概念很热，但没有系统愿意或者敢于首先进行风险评估尝试，也不知道该采用何种方式进行这新一类的冒险。 然而，不知道系统的弱点，就不能很好地保护系统，这决定了风险评估战略上的重要地位。于是，风险评估就在两难中徘徊，难以真正深入下去！

国务院信息化办公室为了改变这种状况，2005年决心进行大胆的尝试，首先在一些关键系统中进行风险评估试点，取得经验，并完善相关的法律、标准后，在所有重要信息系统中推广。

2005年2月，经国务院信息办批准，成立了以国务院信息化办公室网络安全组组长王渝次司长为组长的信息安全风险评估试点领导小组，小组成员来自公安部、国家安全部、国家保密局等信息安全管理部门以及人民银行、税务总局、国家电网公司、国家信息中心、北京市、上海市、黑龙江省、云南省等8个试点单位。除领导小组外，还成立了以国家信息中心宁家骏主任为组长的专家组，帮助各试点单位解决试点技术问题，并提供培训和咨询服务。并确定了北京、上海、黑龙江、云南、国税、银行、国电、电子政务外网18个试点对象为风险评估的重要试点单位。自此，中国首次大规模的信息安全风险评估试点工作全面启动。

2月18日，国信办向参与试点的部门和地方印发了《信息安全风险评估试点工作方案》，其中明确了试点工作目标、组织形式、时间安排、需要重点研究的问题和评估的参考流程和方法等，并提供了《风险评估指南》和《风险管理指南》的草案作为参考。

国信办熊四皓处长解释，中办2003年颁布的27号文件，将推动信息安全风险评估工作作为提高国家信息安全保障水平的重要措施之一。考虑到信息安全风险评估在中国还是一项新的工作，专业性强，而且非常敏感，中国对开展这项工作的有关问题认识还不足，因此决定从试点开始推动。具体来讲，这次试点目的主要有三个：一是探索信息安全风险评估工作的基本规律和特征，为制定国家有关政策提供实践依据；二是检验和完善信息安全风险评估的有关标准；三是锻炼队伍，培养人才。

经过7个月的试点，9月8日，国信办在上海首次召开了一次重要的风险评估经验总结会，来自北京、上海、黑龙江、云南、国税、银行、国电、电子政务外网等18个试点对象的代表，就试点结果进行了深入总结。代表们一致认为，信息安全风险评估非常重要，根据不同的行业特征可采取不同的方法，有必要将各自的经验进行交流、总结，使风险评估更加完善，标准更加切合实际，并在更广泛的行业推广。

一年下来，我们可以看到，国信办提出的风险评估的三个目的都基本达到了。可以说，这次试点为中国信息安全风险评估工作的进一步开展打下了良好的基础。 也为2006年，继续在国内的重点关键行业继续贯彻27号文件的精神走出了一条切实可行的道路。(文/胡英）