首页 >> 电信技术55周年庆 >> 系列报道 >> 正文
方滨兴:提高网络和信息安全保障水平
2009年2月10日 09:15    电信技术    评论()    
作 者:牛小敏


方滨兴 北京邮电大学校长

    方滨兴简介:

    方滨兴,北京邮电大学校长,中国工程院院士,中国通信标准化协会网络与信息安全技术工作委员会(TC8)主席,中国计算机学会计算机安全专委会主任,中国互联网协会网络与安全工作委员会主任,中国通信学会通信安全专委会主任。

    2008年僵尸网络、木马、拒绝服务攻击的泛滥,给我们的通信网络敲响了警钟。移动、固网、互联网的融合,更使网络世界无一处安全之地。魔高一尺,道高一丈,2009年安全之战如何持续上演?在部委调整、电信重组后,中国的网络和信息安全又面临哪些新问题?在网络安全斗争中的运营商又应何去何从?针对这些问题,本刊记者专访了北京邮电大学校长、中国工程院院士方滨兴。

    《电信技术》:从世界范围来看,网络与信息安全面临的整体形势是怎样的?这两年主要的变化是什么?

    方滨兴:从世界范围来看,黑色产业链越来越成为焦点,黑客的技术炫耀开始与经济利益越绑越紧;与此相对应,僵尸网络、木马等变得越来越活跃,而一般性质的蠕虫,尤其是大规模蠕虫则相比过去黯淡了许多;由于几乎没有遇到太多法律上的对抗,导致黑客对网页的攻击越来越泛化,例如钓鱼网站因域名劫持等手段的越来越高超而变得防不胜防。

    《电信技术》:我国在网络与信息安全方面面临的形势如何?对于解决网络与信息安全问题,我国的基本策略和指导思路是什么?与国际上有什么区别?

    方滨兴:在互联网应用与普及方面我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本接轨。比如,我国每年被黑网页在10万个数量级左右,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,DDoS的受害者数量非常庞大。

    我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全;凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路;公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

    就信息安全而言,根据要求政府在网吧管理方面设立相应的管理措施,以保证网吧处于信息安全管理框架之下;就终端而言,政府集中投资让进入市场的计算机预装上家庭信息安全管理软件,从而保证家庭用户的合法权益,保证青少年的身心健康。

    《电信技术》:在信息与网络安全研究方面我国目前重点主要集中在哪些方面?在技术、实施、组织思路方面与国际上相比有什么优劣势?最近两年有什么重大突破?

    方滨兴:目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心,另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步的开展将取决于两个部委的有效协调和合作。

    《电信技术》:如何看待我国开展的高可信网络研究的目的和意义?

    方滨兴:高可信网络的研究与应用是社会发展的必然需求。现代互联网技术起源于冷战时期,其发展动力是军事技术的需求,由于当时没有假设面向公众提供服务,因此缺少必要的互联网安全管理的配套手段与可信技术的配套措施。目前互联网已经成为政府、军事、企业、公众等不可或缺的基础设施,提供高可信的网络基础设施便成为互联网技术的必然发展方向。尤其是在我国,让政府从物理隔绝直接走向当前如此开放而又缺乏足够的安全可信保障手段的公共互联网,显然难度极大,但电子政务又呼唤着政府采取相应的形式与公众在互联网上交流与沟通,因此高可信网络技术便成为支撑电子政务发展的迫切而又必要的基础设施与技术手段,影响着面向公众的电子政务的普遍推广。

    《电信技术》:网络与信息安全涉及方方面面,工业和信息化部的成立以及相关网络与信息安全保障部门的设立对网络与信息安全问题的解决有什么促进?

    方滨兴:过去国家设立的国务院信息化工作办公室,同时又是国家网络和信息安全协调小组的办事机构,从而明确地树立了被普遍认可的协调全国网络与信息安全工作的组织地位。目前,随着国务院信息化工作办公室的撤销,工业和信息化部下属的网络信息安全协调司取代了国家网络信息安全协调小组办公室的地位。因此,在国家级网络与信息安全工作协调过程中,如何摆正工业和信息化部自身所辖的部门利益问题,建立公信力成为一个挑战。

    《电信技术》:电信运营商在提高网络与信息安全方面应扮演什么角色?负有什么责任?

    方滨兴:作为为公众提供信息传输服务的企业,电信运营商有义务也有条件在网络信息安全方面提供更好的服务。从义务的角度来说,运营商在为用户提供服务的同时理所当然地要保证服务的质量,而网络不安全的后果之一就是导致用户得不到期望的服务,因此,运营商采取措施来防范网络与信息安全理应是份内的工作。事实上,运营商建立的流量清洗中心,正是本着这一理念为防范DDoS攻击所采取的措施。从条件的角度来看,运营商有条件在网络的接入端为用户提供网络与信息安全的服务,例如,美国电信运营商AOL在用户接入端为用户提供有偿的有害信息过滤功能,以便家长为保护青少年的身心健康而启用相应的手段。类似的服务形态还有很多,取决于运营商对这类服务的认识以及提供相应的安全服务的热情程度。

    《电信技术》:电信重组之后,我国的三大运营商都成了名副其实的全业务运营商,在全业务时代,网络与信息安全会面临哪些新的问题?

    方滨兴:电信网络的全程全网与互联互通,形成了没有边界的世界,任何网络与信息安全问题都将会是全局性的,决不会某个运营商的网络出现了严重的安全问题,而其余运营商的网络却安然无恙。因此,运营商之间在网络与信息安全方面采取协调一致的手段是非常必要的事情,绝对不能指望网络安全的问题仅出现在别的运营商而不出现在自己这里。另外,全业务意味着每个运营商都同时拥有移动网络与固定网络,两个网络之间的互联互通是必然的,那时手机上网将会成为极为普遍的事情,因此,如何在移动网络与固定网络融合的前提下做好网络与信息安全保障便是摆在三个运营商面前的一个极为重要的题目。

    《电信技术》:过去实现网络安全更多的是一种成本负担,随着运营商向信息服务提供商转型,提供网络安全成为一种增值服务的空间和潜力有多大?对运营商有什么建议?

    方滨兴:随着网络与信息安全问题得到公众的普遍认识,为网络与信息安全买单的意识也逐渐建立起来,最简单的例子是几乎每个计算机用户都会接受为配备杀毒软件而买单的事实。运营商作为电信传输通道的提供商,有着天然的优势来提供网络与信息安全的服务。前面提到的在接入端提供有害信息过滤功能就是一个例子,其可以用月租费的形式来形成增值服务;同样,运营商也可以提供攻击追踪的审计服务,一旦一个用户因攻击而出现瘫痪,从运营商所提供的审计记录中可以发现相应的蛛丝马迹。运营商还可以提供联动追踪能力,由此其他部门做不到的DDoS追踪能力可以通过运营商的联动而追查到位。另外,在IDC托管中也可以提供相应的安全服务,甚至运营商还可以通过带宽资源来提供IRC(容灾中心)服务。

[1]  [2]  编 辑:高娟
关键字搜索:北邮  方滨兴  网络安全  信息安全  
[ 本站暂时关闭评论 ]
 
  推 荐 新 闻
  技 术 动 态
  通 信 圈