来源:搜狐 更新时间:2012-04-14
|
2005年12月21日,“2005年中国电信业网络与信息安全研讨会”在京召开,来自信息产业部、科技部及公安部等部门的领导,及电信运营商、设备商、网络增值服务商等共同就电信、网络安全进行探讨,从信息监管政策、应急措施等方面作了深入交流,共同倡议构建安全网络,服务和谐社会。
信息产业部电信研究院总工程师蒋林涛:
因为原来给的题目是对网络安全和信息安全的思考,我发现这个题目太大,所以我浓缩了一下,所以这样时间上来说半个小时左右还是可以的。
首先谈一下安全问题的概况。
目前真正运作的是两个网络,一个是电信网,一个是Internet网。传统的电信网是一个可信任的网络,用户在使用传统电信网时没有感觉到危险。Internet,目前它正在设定新的体系架构,Internet的引入把很多问题都搞乱了,Internet是旧世界的破坏者,它打破了一个旧世界,但它不是新世界的建立者,它把信息通信网搞成了一个无政府主义的社会。
它除了保证网络的通达性外,将一切交给了用户,网络是不安全的,用户可以对网络不信任,Internet的确也无法信任,安全问题由用户自己解决,资源问题靠用户自率去解决。
美国国防部最近有一个研究,大概研究了三年,他认为Internet当时提出来的时候是为什么环境提出的呢?是一个教育科研环境,是以文字处理为主的。现在目前Internet实际使用环境是什么样的呢?两个一比发现实际环境非常大,属于不适应这个东西的话它自身发展就不行。于是研究三年以后发现三个问题需要解决,一个是网络安全问题,一个是网络服务问题,一个是“三元”结构问题。所以Internet确实它有很多安全问题。
Internet由于网络不安全,所以用户为了保护自身的利益就加密,自身数据的私密性,大量、无介质的使用加密技术,SSL、SHTTP、IPSEC等安全加密技术被滥用,导致国家安全方面的巨大漏洞。所以社会问题安全要花很大的程度去解密。现在Internet网络越来越大,现在有哪个业务不是IP化的业务,除了电话业务以外几乎所有的业务都是IP业务,所这个情况下安全问题如果不充分的考虑这个问题未来会带来非常大的问题。
由于今天时间的原因,我只是讲一下信息安全的问题,网络安全只是讲一下在保证信息安全的前提下网络需要提供什么能力。首先简单讲一下网络安全和信息安全的问题。
网络安全指的是
第一,网络本身是一个高可靠、高可用、高可达的。
第二,网络必须是可信任的。这个事情对未来是很重要的,因为现在用户对Internet是不信任的,因为他不信任所以才可以乱加密的,因为信息部知道什么时候就截取了。一个不可信任的网络,他要加密这对安全管理方面也是一个难度问题。
第三,网络安全要保证用户信息传送的透明性和不被非法截获或舰艇的可能性。首先不要人为的改变它里面的东西,因为我们知道在任何条件过程中不可能一点都不错,但是这个网络如果人为可以改变的话,那就不安全了。再一个是不被非法截获,如果执法部门说这个人要被监视,要截获的话,那必须要有能力提供,如果网络不能提供这样的问题的话就是很大的问题,现在Internet就是没有这样的功能。为什么现在Internet要搞新的体系架构,其实跟这个问题有关。所以从网络来说这个问题也是一个重要的问题,就是不能非法截获,但是为了执法这个功能必须要有。
第四,网络的可抗击性。
信息安全:
由于这个头绪是非常多的,但是我归了一下类分为三类。
1、为了社会的安全,为了社会的秩序这方面的信息安全。比如说有很多非法信息,在网上是不允许传播的,非法信息的定义是不一样的,这类信息必须第一要能够截获信息,第二要能判别,第三反应、阻断、溯源。
2、关于用户信息的安全。是为了保证用户从一个端到另一个端传输的安全。第一网络应该是可信的,可信的网络在传输过程中不会对你造成非常大的危险。但是执法过程的截获必须是要有的。用户分不同等级的用户,比如以电话用户为例普通的用户是不准加密的,如果是商业用户他允许你加商议密码,所以根据不同的档次来进行密码处理。但是要注意,这是在有监管、管理的情况之下来做的,而不是失控的,而目前尤其商业这块是完全失控的。
3、系统安全。
首先看一下信息安全里,不良信息目前为止国内国际都是这样的情况一步步的在加强。我们的网络发展起来以后自然会利用网络的正常能力传输一些不良的事情。比如最近讲手机实名制,因为我们知道现在手机的系统本身是比较安全的,但是目前利用手机犯罪的非常多,于是要产生一个手机实名制的问题,说白了就是把你的身份证和SIM卡绑定在一起。从目前来说用一个很正常的通讯网络手段是可以干很多很的事情的,在操作正常范围情况下可以做的事,那么这个情况下信息安全怎么做?截获、判定、反应、阻断和溯源,这些目前为止对网络安全非常重要。我们现在很多网络做不到这些,目前为止有两条很难做到。第一条是截获,截获要是执法部门能看得懂的截获,所以在这五点里判定、反应和手段还可以。再比如判定也是很难的过程。所以我们认为目前最大的难点是截获和溯源。
刚才我进了目前为止对我们来说有几个过程,这些过程里其实截获难度对大,我们相信你们有时候会收到很多完全违禁的E-mail,我也收到过一个东西,先发过来一个文章之前先发给我一个工具,说下面的文章是加密的解密就很了,如果我不感兴趣就不看了,但是你有办法截获吗?根本截获不了,所以这个问题是一个很大很大的问题。另外一个问题,当时我跟方主任也一直讨论过,就是溯源问题。溯源问题我们始终提的很高,比如说我发现了这个东西,找到某一个人,那很多事情好处理了。但是现在溯源是一个很困难的问题,现在最简单的一个问题没有做,这个事情我曾经跟制造商提过,就是所有的极端路由器能够对原地进行监测?当时我们提出这个要求,但是这是很难做到的。这不是不可行,是现在没有行,当然这也是下面需要做的。所以对原地址的检查是非常重要的,有了原地址检查不但可以找到这个人而且有很多工具的东西都比较难做。比如说海量工具的东西,一旦有溯源检查以后海量东西很难发出去的。
提供通常完备的应急反应网络,这点做的还是可以的。
对信息监管部门目前也存在一些问题,就是怎么判断和识别非法信息的问题,这其实是很难的。比如图片,什么样的图片认为是黄色的,或者什么样的图品不是黄色的?很难判断,技术上是有很大难点的。
我们现在应急网络还不错,现在各个管局每天紧张的要命地说半夜一个电话过来他就很紧张,这说明他们的反应还是非常快的。另外一个制定相应的法律法规做的也还是可以的。
技术手段:
对未来网络一定要能提供信息截获点,而且是明文信息。技术手段里有一些还是可以做到的,但是我还要强调信息溯源的问题,就是一定要强制的让所有的接入设备能够对原地址进行检查。
下面我就执法监测讲一下
很多搞Internet网的专家们都是很反感的,Internet本身就是一个自由的网,什么都管起来怎么发展呢?但是目前这个情况正好是Internet在原来的情况之下谁也不提执法监测,现在为止Internet事实上已经成为任何一个国家包括中国、美国,已经作为国家的信息基础设施了,整个信息就是铺在这个网络上的,在这样的情况下如果没有这条的话怎么保证社会国家的安全?所以经济计划里安全是第一条,首先要解决安全问题。这条是下面一定要做,但是对现在的网络来说难度也是最大的。用户的信息还要保证传输的透明性,当然信息不应该是被人为改动的,目前我们的Internet从来没有一个Internet运营商能够保证说在我的网上传输的信息是不可以被截获的,不可以被篡改的,做不到。于是他采取了报个伪冒个人的信息等等,我收到很多邮件看到是我自己发给自己,这显然有人为,所以在这样的情况下导致了加密手段的滥用。
加密技术这里不谈,加密手段是有很多种但是不能滥用任何国家都有规定,而且我们国家明文规定加密不仅不能滥用而且所有的加密必须都是国产的。只有有资质的单位才能开发这些安全设备。其实国家有很多法律在那儿放这儿,但是目前由于这个网络本身的原因加密手段是被滥用的,所以这个问题要引起高度重视。对密码的管理有很多管理手段,但是很多难以执行,这里关键问题还是溯源问题不好说,真正溯源问题能解决谁也不敢干。
现在有病毒、有黑客、有各种各样的攻击,那么网络里到底什么来处理这些事情呢?病毒能攻击谁?黑客能攻击谁?什么地方不受攻击?从现在来看病毒是利用计算机操作系统的龙都攻击使用该操作系统的节点设备。特点是,通过读取带有该病毒的数据进行传染,不打开数据包,不读取数据是不会感染病毒的。黑客攻击也是这样,它主要是摄取了计算机的管理取,如果里不打开工具包的话他是摄取不了的。比如说用户的控制面和数据面必须分开,如果不分开数据面是可以攻击网络设备的,因为所有的网络设备是要打开控制包的。另外一个就是海量数据的攻击。目前为止对于网络节点来说真正可以做的是海量数据攻击,但是对于海量数据攻击最有效的办法就是原地址检查,检查了以后使得你很难冒仿人家。
抵抗攻击的手段
第一资源不可达,就是这个用户的信息和另外一个信息不可达。比如说我这儿搞电话业务,另外一个地区搞视频业务,其实抗攻击最有效的东西是隔离。在节点里要增加抗病毒和抗黑客的能力,这些是指对业务需要处理的一些节点。
从信息安全角度出发对公众信息通信网的要求
1、要爱提供截获病毒、黑客攻击手段的能力,截获下来交给公安系统,至于以后病毒怎么处理那施公案系统做的事。
2、网络状态异常告警
3、网络的数据平面和控制平面具有一定的抗海量数据攻击的技术措施。
监管部门发现病毒、研究病毒这都是他们的事。发现黑客应该有应急网络反应,对于以后的安全问题应该分两大块,一个是网络和网络管理者他应该管什么;管理者应该处理信息分析信息,这样分开以后问题就好解决了。目前国安全的人越来越多,但是网络里的安全问题越来越多。Internet下一步一定是解决安全问题,而且已经肯定了问题要放在第一步。