方滨兴:提高网络和信息安全保障水平
来源:电信技术 更新时间:2012-04-14
 
作 者:牛小敏


方滨兴 北京邮电大学校长

    方滨兴简介:

    方滨兴,北京邮电大学校长,中国工程院院士,中国通信标准化协会网络与信息安全技术工作委员会(TC8)主席,中国计算机学会计算机安全专委会主任,中国互联网协会网络与安全工作委员会主任,中国通信学会通信安全专委会主任。

    2008年僵尸网络、木马、拒绝服务攻击的泛滥,给我们的通信网络敲响了警钟。移动、固网、互联网的融合,更使网络世界无一处安全之地。魔高一尺,道高一丈,2009年安全之战如何持续上演?在部委调整、电信重组后,中国的网络和信息安全又面临哪些新问题?在网络安全斗争中的运营商又应何去何从?针对这些问题,本刊记者专访了北京邮电大学校长、中国工程院院士方滨兴。

    《电信技术》:从世界范围来看,网络与信息安全面临的整体形势是怎样的?这两年主要的变化是什么?

    方滨兴:从世界范围来看,黑色产业链越来越成为焦点,黑客的技术炫耀开始与经济利益越绑越紧;与此相对应,僵尸网络、木马等变得越来越活跃,而一般性质的蠕虫,尤其是大规模蠕虫则相比过去黯淡了许多;由于几乎没有遇到太多法律上的对抗,导致黑客对网页的攻击越来越泛化,例如钓鱼网站因域名劫持等手段的越来越高超而变得防不胜防。

    《电信技术》:我国在网络与信息安全方面面临的形势如何?对于解决网络与信息安全问题,我国的基本策略和指导思路是什么?与国际上有什么区别?

    方滨兴:在互联网应用与普及方面我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本接轨。比如,我国每年被黑网页在10万个数量级左右,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,DDoS的受害者数量非常庞大。

    我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全;凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路;公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

    就信息安全而言,根据要求政府在网吧管理方面设立相应的管理措施,以保证网吧处于信息安全管理框架之下;就终端而言,政府集中投资让进入市场的计算机预装上家庭信息安全管理软件,从而保证家庭用户的合法权益,保证青少年的身心健康。

    《电信技术》:在信息与网络安全研究方面我国目前重点主要集中在哪些方面?在技术、实施、组织思路方面与国际上相比有什么优劣势?最近两年有什么重大突破?

    方滨兴:目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心,另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步的开展将取决于两个部委的有效协调和合作。

    《电信技术》:如何看待我国开展的高可信网络研究的目的和意义?

    方滨兴:高可信网络的研究与应用是社会发展的必然需求。现代互联网技术起源于冷战时期,其发展动力是军事技术的需求,由于当时没有假设面向公众提供服务,因此缺少必要的互联网安全管理的配套手段与可信技术的配套措施。目前互联网已经成为政府、军事、企业、公众等不可或缺的基础设施,提供高可信的网络基础设施便成为互联网技术的必然发展方向。尤其是在我国,让政府从物理隔绝直接走向当前如此开放而又缺乏足够的安全可信保障手段的公共互联网,显然难度极大,但电子政务又呼唤着政府采取相应的形式与公众在互联网上交流与沟通,因此高可信网络技术便成为支撑电子政务发展的迫切而又必要的基础设施与技术手段,影响着面向公众的电子政务的普遍推广。

    《电信技术》:网络与信息安全涉及方方面面,工业和信息化部的成立以及相关网络与信息安全保障部门的设立对网络与信息安全问题的解决有什么促进?

    方滨兴:过去国家设立的国务院信息化工作办公室,同时又是国家网络和信息安全协调小组的办事机构,从而明确地树立了被普遍认可的协调全国网络与信息安全工作的组织地位。目前,随着国务院信息化工作办公室的撤销,工业和信息化部下属的网络信息安全协调司取代了国家网络信息安全协调小组办公室的地位。因此,在国家级网络与信息安全工作协调过程中,如何摆正工业和信息化部自身所辖的部门利益问题,建立公信力成为一个挑战。

    《电信技术》:电信运营商在提高网络与信息安全方面应扮演什么角色?负有什么责任?

    方滨兴:作为为公众提供信息传输服务的企业,电信运营商有义务也有条件在网络信息安全方面提供更好的服务。从义务的角度来说,运营商在为用户提供服务的同时理所当然地要保证服务的质量,而网络不安全的后果之一就是导致用户得不到期望的服务,因此,运营商采取措施来防范网络与信息安全理应是份内的工作。事实上,运营商建立的流量清洗中心,正是本着这一理念为防范DDoS攻击所采取的措施。从条件的角度来看,运营商有条件在网络的接入端为用户提供网络与信息安全的服务,例如,美国电信运营商AOL在用户接入端为用户提供有偿的有害信息过滤功能,以便家长为保护青少年的身心健康而启用相应的手段。类似的服务形态还有很多,取决于运营商对这类服务的认识以及提供相应的安全服务的热情程度。

    《电信技术》:电信重组之后,我国的三大运营商都成了名副其实的全业务运营商,在全业务时代,网络与信息安全会面临哪些新的问题?

    方滨兴:电信网络的全程全网与互联互通,形成了没有边界的世界,任何网络与信息安全问题都将会是全局性的,决不会某个运营商的网络出现了严重的安全问题,而其余运营商的网络却安然无恙。因此,运营商之间在网络与信息安全方面采取协调一致的手段是非常必要的事情,绝对不能指望网络安全的问题仅出现在别的运营商而不出现在自己这里。另外,全业务意味着每个运营商都同时拥有移动网络与固定网络,两个网络之间的互联互通是必然的,那时手机上网将会成为极为普遍的事情,因此,如何在移动网络与固定网络融合的前提下做好网络与信息安全保障便是摆在三个运营商面前的一个极为重要的题目。

    《电信技术》:过去实现网络安全更多的是一种成本负担,随着运营商向信息服务提供商转型,提供网络安全成为一种增值服务的空间和潜力有多大?对运营商有什么建议?

    方滨兴:随着网络与信息安全问题得到公众的普遍认识,为网络与信息安全买单的意识也逐渐建立起来,最简单的例子是几乎每个计算机用户都会接受为配备杀毒软件而买单的事实。运营商作为电信传输通道的提供商,有着天然的优势来提供网络与信息安全的服务。前面提到的在接入端提供有害信息过滤功能就是一个例子,其可以用月租费的形式来形成增值服务;同样,运营商也可以提供攻击追踪的审计服务,一旦一个用户因攻击而出现瘫痪,从运营商所提供的审计记录中可以发现相应的蛛丝马迹。运营商还可以提供联动追踪能力,由此其他部门做不到的DDoS追踪能力可以通过运营商的联动而追查到位。另外,在IDC托管中也可以提供相应的安全服务,甚至运营商还可以通过带宽资源来提供IRC(容灾中心)服务。

《电信技术》:作为通信标准化协会网络与信息安全技术工作委员会(TC8)主席,您如何看待TC8在2008年所作的工作和取得成绩?2009年的重点是什么?

    方滨兴:要说TC8在2008年作出了什么成绩,我看没有什么特别突出的。其主要原因是网络与信息安全渗透在各个领域,很难将网络与信息安全问题从产品或运行的层面孤立出来,因此各技术委员会之间的交叉,甚至各组之间的交叉都是很自然的事情。另外,国家还有个全国信息安全标准化技术委员会,我们之间的沟通比较少,因此存在重复研究标准的现象。为此只有建立一个行之有效的协调机制,才能在更宏观的层面建立一个完整的网络与信息安全标准的体系框架,才能成体系地进行完整的部署。好在经有关部门协调,中国通信标准化协会在全国信息安全标准化技术委员会中列入了一个工作组,这为今后与全国信息安全标准化技术委员会的合作奠定了基础。

    我认为,2009年主要有两件重要的事情,一是如何与全国信息安全标准委员会进行协作,从而在更高的层面来为国家网络与信息安全标准进行排兵布阵;二是如何抓住国家发展改革委员会在信息安全标准方面进行投入的机会,引导企业按照我们所设置的标准框架体系,在国家的支持下加快网络与信息安全标准化的进程。

    《电信技术》:北京邮电大学有很多机构在研究网络安全方面的内容,您认为科研教育机构应如何参与和推动我国的信息与网络安全工作?

    方滨兴:对科研教育机构来说,一般来说应该在4个方面来参与和推动国家的网络与信息安全工作。

    一是培养网络与信息安全的人才。培养人才是学校的天职,北京邮电大学专门成立了信息安全系。当然,培养网络与信息安全的人才不仅限于学历教育,还要在继续教育上加大力度,尤其是培养国家急需的人才,如等级保护方面的人才。在这些方面北京邮电大学有着得天独厚的优势,北京邮电大学是国内少有的通信与信息安全都十分强的学校,因此在通信领域培养信息安全的人才具有雄厚的基础。

    二是直接参与网络与信息安全技术的研发。学校是技术高密集部门,学校的研究人员相对来说思维更活跃,对新技术跟进得更快,因此有条件发挥学校的优势,在信息安全方面有所突破。我把信息安全分为4个层次,包括物理安全、运行安全、数据安全、内容安全。其中,物理安全的一个主要技术特色就是灾难备份,北京邮电大学刚刚成立了一个且目前是全国惟一的灾备技术国家工程实验室,有条件在这方面发挥作用;运行安全主要表现在网络安全层面,北京邮电大学的计算机学院、网络技术研究院在这方面有着很好的储备;数据安全主要表现在密码技术、认证服务方面,北京邮电大学的信息安全系、网络技术研究院在这方面有着传统的优势;内容安全主要反映在网络文化管理、声图文识别与过滤、舆情分析与预警、信息隐藏等方面,北京邮电大学的信息与通信工程学院、网络文化与创意中心、信息安全系等在这方面也有着深厚的积累。

    三是为社会提供咨询服务。办学有着三大宗旨,培养人才、科学研究、服务社会。北京邮电大学有专门的信息与通信工程学院,有专门的信息安全系,也有专门的网络技术研究院,因此,在网络与信息安全方面,北京邮电大学有条件、也非常愿意为社会提供服务。

    四是推动产学研的进程,为社会提供更好的专利技术,形成更受欢迎的信息安全产品。北京邮电大学一个突出特点就是产学研结合得十分好,学而可研、研而能产、产而成势。目前,有一系列的产品来自于北京邮电大学的技术,以TD-SCDMA为例,北京邮电大学就作出了突出的贡献。

    《电信技术》:您认为我国2009年网络与信息安全工作将面临的重点和难点是什么?有哪些建议?

    方滨兴:2009年,网络与信息安全工作面临的重点:一是将等级保护工作继续推动下去,其难点在于政府部门需要协调一致、密切协作;二是建立信息安全服务机制,推动信息安全服务市场的良性发展,其难点在于如何让用户认识到信息服务的重要性,从而愿意为此买单,同时还要规范信息安全服务外包市场,形成强有力的监管体制;三是加强容灾备份体制的建设,在技术上为第三方容灾备份中心的建设提供支撑,在安全机制上为第三方承担信息系统的备份数据提供必要的保障措施;四是建立联动的网络安全应急体系,并加大宣传力度,进行必要的演练,让相关预案更具有可操作性。

    《电信技术》:2009年,《电信技术》创刊55周年,网络与信息安全也是我刊报道的一个重点领域,您对此有哪些建议?

    方滨兴:我认为,《电信技术》杂志应围绕着国家的需求进行大力报道,包括等级保护、应急响应、有害信息过滤、容灾备份、安全服务外包、安全标准等方面的内容。