2008年@@僵尸网络@@@@、木马@@、拒绝服务@@攻击的泛滥@@,给我们的通信网络敲响了警钟@@。移动@@、固网@@、互联网的融合@@,更使网络世界无一处安全之地@@。魔高一尺@@,道高一丈@@,2009年@@安全之战如何持续上演@@?在@@部委调整@@、电信重组后@@,中国的网络和信息安全@@又面临哪些新问题@@?在@@网络安全斗争中的运营商又应何去何从@@?方滨兴@@院士从以@@下几个方面给出了答案@@:
世界网络与信息安全@@发展趋势@@
从世界范围来看@@,黑色产业链越来越成为焦点@@,黑客的技术炫耀开始与经济利益越绑越紧@@;与此相对应@@,僵尸网络@@、木马@@等变得越来越活跃@@,而一般性质的蠕虫@@,尤其是大规模蠕虫则相比过去黯淡了许多@@;由于几乎没有遇到太多法律上的对抗@@,导致黑客对网页的攻击越来越泛化@@,例如@@钓鱼网站因域名劫持等手段的越来越高超而变得防不胜防@@。
我国网络与信息安全@@形势与指导思想@@
在@@互联网应用与普及方面我国已经进入了世界大国的行列@@,因此@@我国的信息安全@@问题与国际上的问题基本接轨@@。比如@@,我国每年@@被黑网页在@@@@10万个数量级左右@@,钓鱼网站数量占世界总量比例偏高@@,位于我国的僵尸网络@@的肉鸡数量位于世界的前列@@,DDoS的受害者数量非常庞大@@。
我国在@@网络安全方面的解决策略是政府重在@@行动@@,企业@@重在@@引导@@,公众重在@@宣传@@。就是说@@,凡是政府信息系统@@,必须接受信息系统安全等级保护条例的约束@@,以@@行政的手段来强化信息系统的安全@@;凡是企业@@的系统@@,通过对信息安全@@产品的市场准入制度@@,以@@保证企业@@所采用的信息安全@@防护手段符合国家的引导思路@@;公众方面则通过对网络安全方面的广泛宣传@@,让公众对网络安全具有正确的认识@@,从而提高相应的防范能力@@。
就信息安全@@而言@@,根据要求政府在@@网吧管理方面设立相应的管理措施@@,以@@保证网吧处于信息安全@@管理框架之下@@;就终端而言@@,政府集中投资让进入市场的计算机预装上家庭信息安全@@管理软件@@,从而保证家庭用户的合法权益@@,保证青少年@@的身心健康@@。
我国信息与网络安全研究重点与突破@@
目前@@,政府在@@信息系统等级保护方面加大了推进力度@@,已经完成了等级保护的定级工作@@,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术@@。等级保护的大力推动@@,一方面在@@国际上展示了我国政府对信息安全@@和网络安全的管理决心@@,另一方面@@,等级管理制度的建立@@,突破了我国惯性思维的管理理念@@。随着工业和信息化部的成立@@,公安部与工业和信息化部在@@信息系统等级保护管理方面出现了职能交叉@@,因此@@,等级保护工作的进一步的开展将取决于两个部委的有效协调和合作@@。
开展高可信网络研究目的与意义@@
高可信网络的研究与应用是社会发展的必然需求@@。现代互联网技术起源于冷战时期@@,其发展动力是军事@@技术的需求@@,由于当时没有假设面向公众提供服务@@@@,因此@@缺少必要的互联网安全管理的配套手段与可信技术的配套措施@@。目前@@互联网已经成为政府@@、军事@@、企业@@、公众等不可或缺的基础设施@@,提供高可信的网络基础设施便成为互联网技术的必然发展方向@@。尤其是在@@我国@@,让政府从物理隔绝直接走向当前如此开放而又缺乏足够的安全可信保障手段的公共互联网@@,显然难度极大@@,但电子政务又呼唤着政府采取相应的形式与公众在@@互联网上交流与沟通@@,因此@@高可信网络技术便成为支撑电子政务发展的迫切而又必要的基础设施与技术手段@@,影响着面向公众的电子政务的普遍推广@@。
工信部的成立对网络与信息安全@@的促进@@
过去国家设立的国务院信息化工作办公室@@,同时又是国家网络和信息安全@@协调小组的办事机构@@,从而明确地树立了被普遍认可的协调全国网络与信息安全@@工作的组织地位@@。目前@@,随着国务院信息化工作办公室的撤销@@,工业和信息化部下属的网络信息安全@@协调司取代了国家网络信息安全@@协调小组办公室的地位@@。因此@@,在@@国家级网络与信息安全@@工作协调过程中@@,如何摆正工业和信息化部自身所辖的部门利益问题@@,建立公信力成为一个挑战@@。
电信运营商在@@网络与信息安全@@中扮演的角色@@
作为为公众提供信息传输服务@@的企业@@@@,电信运营商有义务也有条件在@@网络信息安全@@方面提供更好的服务@@@@。从义务的角度来说@@,运营商在@@为用户提供服务@@的同时理所当然@@地要保证服务@@的质量@@,而网络不安全的后果之一就是导致用户得不到期望的服务@@@@,因此@@,运营商采取措施来防范网络与信息安全@@理应是份内的工作@@。事实上@@,运营商建立的流量清洗中心@@,正是本着这一理念为防范@@DDoS攻击所采取的措施@@。从条件的角度来看@@,运营商有条件在@@网络的接入端为用户提供网络与信息安全@@的服务@@@@,例如@@,美国电信运营商@@AOL在@@用户接入端为用户提供有偿的有害信息过滤功能@@,以@@便家长为保护青少年@@的身心健康而启用相应的手段@@。类似的服务@@形态还有很多@@,取决于运营商对这类服务@@的认识以@@及提供相应的安全服务@@的热情程度@@。
电信网络的全程全网与互联互通@@,形成了没有边界的世界@@,任何网络与信息安全@@问题都将会是全局性的@@,决不会某个运营商的网络出现了严重的安全问题@@,而其余运营商的网络却安然无恙@@。因此@@,运营商之间在@@网络与信息安全@@方面@@采取协调一致的手段是非常必要的事情@@,绝对不能指望网络安全的问题仅出现在@@别的运营商而不出现在@@自己这里@@。另外@@,全业务意味着每个运营商都同时拥有移动@@网络与固定网络@@,两个网络之间的互联互通是必然的@@,那时手机上网将会成为极为普遍的事情@@,因此@@,如何在@@移动@@网络与固定网络融合的前提下做好网络与信息安全@@保障便是摆在@@三个运营商面前的一个极为重要的题目@@。
随着网络与信息安全@@问题得到公众的普遍认识@@,为网络与信息安全@@买单的意识也逐渐建立起来@@,最简单的例子是几乎每个计算机用户都会接受为配备杀毒软件而买单的事实@@。运营商作为电信传输通道的提供商@@,有着天然的优势来提供网络与信息安全@@的服务@@@@。前面提到的在@@接入端提供有害信息过滤功能就是一个例子@@,其可以@@用月租费的形式来形成增值服务@@@@;同样@@,运营商也可以@@提供攻击追踪的审计服务@@@@,一旦一个用户因攻击而出现瘫痪@@,从运营商所提供的审计记录中可以@@发现相应的蛛丝马迹@@。运营商还可以@@提供联动追踪能力@@,由此其他部门做不到的@@DDoS追踪能力可以@@通过运营商的联动而追查到位@@。另外@@,在@@IDC托管中也可以@@提供相应的安全服务@@@@,甚至运营商还可以@@通过带宽资源来提供@@IRC(容灾中心@@)服务@@。
TC8取得的成绩与下一步工作重点@@
TC8在@@2008年@@作出了什么成绩@@,我看没有什么特别突出的@@。其主要原因是网络与信息安全@@渗透在@@各个领域@@,很难将网络与信息安全@@问题从产品或运行的层面孤立出来@@,因此@@各技术委员会之间的交叉@@,甚至各组之间的交叉都是很自然的事情@@。另外@@,国家还有个全国信息安全@@标准化技术委员会@@,我们之间的沟通比较少@@,因此@@存在@@重复研究标准的现象@@。为此只有建立一个行之有效的协调机制@@,才能在@@更宏观的层面建立一个完整的网络与信息安全@@标准的体系框架@@,才能成体系地进行完整的部署@@。好在@@经有关部门协调@@,中国通信标准化协会在@@全国信息安全@@标准化技术委员会中列入了一个工作组@@,这为今后与全国信息安全@@标准化技术委员会的合作奠定了基础@@。
我认为@@,2009年@@主要有两件重要的事情@@,一是如何与全国信息安全@@标准委员会进行协作@@,从而在@@更高的层面来为国家网络与信息安全@@标准进行排兵布阵@@;二是如何抓住国家发展改革委员会在@@信息安全@@标准方面进行投入的机会@@,引导企业@@按照我们所设置的标准框架体系@@,在@@国家的支持下加快网络与信息安全@@标准化的进程@@。
科研机构推动信息与网络安全工作@@
对科研教育机构来说@@,一般来说应该在@@@@4个方面来参与和推动国家的网络与信息安全@@工作@@。
一是培养网络与信息安全@@的人才@@。培养人才@@是学校的天职@@,北京邮电大学专门成立了信息安全@@系@@。当然@@,培养网络与信息安全@@的人才不仅限于学历教育@@,还要在@@继续教育上加大力度@@,尤其是培养国家急需的人才@@,如等级保护方面的人才@@。在@@这些方面北京邮电大学有着得天独厚的优势@@,北京邮电大学是国内少有的通信与信息安全@@都十分强的学校@@,因此@@在@@通信领域培养信息安全@@的人才具有雄厚的基础@@。
二是直接参与网络与信息安全@@技术的研发@@。学校是技术高密集部门@@,学校的研究人员相对来说思维更活跃@@,对新技术跟进得更快@@,因此@@有条件发挥学校的优势@@,在@@信息安全@@方面有所突破@@。我把信息安全@@分为@@4个层次@@@@,包括物理安全@@、运行安全@@、数据@@安全@@、内容安全@@。其中@@,物理安全的一个主要技术特色就是灾难备份@@,北京邮电大学刚刚成立了一个且目前@@是全国惟一的灾备技术国家工程实验室@@,有条件在@@这方面发挥作用@@;运行安全@@主要表现在@@网络安全层面@@,北京邮电大学的计算机学院@@、网络技术研究院在@@这方面有着很好的储备@@;数据@@安全@@主要表现在@@密码技术@@、认证服务@@方面@@,北京邮电大学的信息安全@@系@@、网络技术研究院在@@这方面有着传统的优势@@;内容安全@@主要反映在@@网络文化管理@@、声图文识别与过滤@@、舆情分析与预警@@、信息隐藏等方面@@,北京邮电大学的信息与通信工程学院@@、网络文化与创意中心@@、信息安全@@系等在@@这方面也有着深厚的积累@@。
三是为社会提供咨询@@服务@@@@。办学有着三大宗旨@@,培养人才@@、科学研究@@、服务@@社会@@。北京邮电大学有专门的信息与通信工程学院@@,有专门的信息安全@@系@@,也有专门的网络技术研究院@@,因此@@,在@@网络与信息安全@@方面@@,北京邮电大学有条件@@、也非常愿意为社会提供服务@@@@。
四是推动产学研的进程@@,为社会提供更好的专利技术@@,形成更受欢迎的信息安全@@产品@@。北京邮电大学一个突出特点就是产学研结合得十分好@@,学而可研@@、研而能产@@、产而成势@@。目前@@,有一系列的产品来自于北京邮电大学的技术@@,以@@TD-SCDMA为例@@,北京邮电大学就作出了突出的贡献@@。
09年@@网络与信息安全@@工作重点与难题@@
2009年@@,网络与信息安全@@工作面临的重点@@:一是将等级保护工作继续推动下去@@,其难点在@@于政府部门需要协调一致@@、密切协作@@;二是建立信息安全@@服务@@机制@@,推动信息安全@@服务@@市场的良性发展@@,其难点在@@于如何让用户认识到信息服务@@的重要性@@,从而愿意为此买单@@,同时还要规范信息安全@@服务@@外包市场@@,形成强有力的监管体制@@;三是加强容灾备份体制的建设@@,在@@技术上为第三方容灾备份中心的建设提供支撑@@,在@@安全机制上为第三方承担信息系统的备份数据@@提供必要的保障措施@@;四是建立联动的网络安全应急体系@@,并加大宣传力度@@,进行必要的演练@@,让相关预案更具有可操作性@@。(本文根据电信技术采访稿整理而成@@)
方滨兴@@简介@@:
方滨兴@@,北京邮电大学校长@@,中国工程院院士@@,中国通信标准化协会网络与信息安全@@技术工作委员会@@(TC8)主席@@,中国计算机学会计算机安全专委会主任@@,中国互联网协会网络与安全工作委员会主任@@,中国通信学会通信安全专委会主任@@。
