2008年僵尸網(wǎng)絡、木馬、拒絕服務攻擊的泛濫，給我們的通信網(wǎng)絡敲響了警鐘。移動、固網(wǎng)、互聯(lián)網(wǎng)的融合，更使網(wǎng)絡世界無一處安全之地。魔高一尺，道高一丈，2009年安全之戰(zhàn)如何持續(xù)上演？在部委調(diào)整、電信重組后，中國的網(wǎng)絡和信息安全又面臨哪些新問題？在網(wǎng)絡安全斗爭中的運營商又應何去何從？方濱興院士從以下幾個方面給出了答案：

　　世界網(wǎng)絡與信息安全發(fā)展趨勢

　　從世界范圍來看，黑色產(chǎn)業(yè)鏈越來越成為焦點，黑客的技術(shù)炫耀開始與經(jīng)濟利益越綁越緊；與此相對應，僵尸網(wǎng)絡、木馬等變得越來越活躍，而一般性質(zhì)的蠕蟲，尤其是大規(guī)模蠕蟲則相比過去黯淡了許多；由于幾乎沒有遇到太多法律上的對抗，導致黑客對網(wǎng)頁的攻擊越來越泛化，例如釣魚網(wǎng)站因域名劫持等手段的越來越高超而變得防不勝防。

　　我國網(wǎng)絡與信息安全形勢與指導思想

　　在互聯(lián)網(wǎng)應用與普及方面我國已經(jīng)進入了世界大國的行列，因此我國的信息安全問題與國際上的問題基本接軌。比如，我國每年被黑網(wǎng)頁在10萬個數(shù)量級左右，釣魚網(wǎng)站數(shù)量占世界總量比例偏高，位于我國的僵尸網(wǎng)絡的肉雞數(shù)量位于世界的前列，DDoS的受害者數(shù)量非常龐大。

　　我國在網(wǎng)絡安全方面的解決策略是政府重在行動，企業(yè)重在引導，公眾重在宣傳。就是說，凡是政府信息系統(tǒng)，必須接受信息系統(tǒng)安全等級保護條例的約束，以行政的手段來強化信息系統(tǒng)的安全；凡是企業(yè)的系統(tǒng)，通過對信息安全產(chǎn)品的市場準入制度，以保證企業(yè)所采用的信息安全防護手段符合國家的引導思路；公眾方面則通過對網(wǎng)絡安全方面的廣泛宣傳，讓公眾對網(wǎng)絡安全具有正確的認識，從而提高相應的防范能力。

　　就信息安全而言，根據(jù)要求政府在網(wǎng)吧管理方面設立相應的管理措施，以保證網(wǎng)吧處于信息安全管理框架之下；就終端而言，政府集中投資讓進入市場的計算機預裝上家庭信息安全管理軟件，從而保證家庭用戶的合法權(quán)益，保證青少年的身心健康。

　　我國信息與網(wǎng)絡安全研究重點與突破

　　目前，政府在信息系統(tǒng)等級保護方面加大了推進力度，已經(jīng)完成了等級保護的定級工作，接下來的工作就是采取有效措施來實施信息系統(tǒng)的安全等級保護技術(shù)。等級保護的大力推動，一方面在國際上展示了我國政府對信息安全和網(wǎng)絡安全的管理決心，另一方面，等級管理制度的建立，突破了我國慣性思維的管理理念。隨著工業(yè)和信息化部的成立，公安部與工業(yè)和信息化部在信息系統(tǒng)等級保護管理方面出現(xiàn)了職能交叉，因此，等級保護工作的進一步的開展將取決于兩個部委的有效協(xié)調(diào)和合作。

　　開展高可信網(wǎng)絡研究目的與意義

　　高可信網(wǎng)絡的研究與應用是社會發(fā)展的必然需求?，F(xiàn)代互聯(lián)網(wǎng)技術(shù)起源于冷戰(zhàn)時期，其發(fā)展動力是軍事技術(shù)的需求，由于當時沒有假設面向公眾提供服務，因此缺少必要的互聯(lián)網(wǎng)安全管理的配套手段與可信技術(shù)的配套措施。目前互聯(lián)網(wǎng)已經(jīng)成為政府、軍事、企業(yè)、公眾等不可或缺的基礎設施，提供高可信的網(wǎng)絡基礎設施便成為互聯(lián)網(wǎng)技術(shù)的必然發(fā)展方向。尤其是在我國，讓政府從物理隔絕直接走向當前如此開放而又缺乏足夠的安全可信保障手段的公共互聯(lián)網(wǎng)，顯然難度極大，但電子政務又呼喚著政府采取相應的形式與公眾在互聯(lián)網(wǎng)上交流與溝通，因此高可信網(wǎng)絡技術(shù)便成為支撐電子政務發(fā)展的迫切而又必要的基礎設施與技術(shù)手段，影響著面向公眾的電子政務的普遍推廣。

　　工信部的成立對網(wǎng)絡與信息安全的促進

　　過去國家設立的國務院信息化工作辦公室，同時又是國家網(wǎng)絡和信息安全協(xié)調(diào)小組的辦事機構(gòu)，從而明確地樹立了被普遍認可的協(xié)調(diào)全國網(wǎng)絡與信息安全工作的組織地位。目前，隨著國務院信息化工作辦公室的撤銷，工業(yè)和信息化部下屬的網(wǎng)絡信息安全協(xié)調(diào)司取代了國家網(wǎng)絡信息安全協(xié)調(diào)小組辦公室的地位。因此，在國家級網(wǎng)絡與信息安全工作協(xié)調(diào)過程中，如何擺正工業(yè)和信息化部自身所轄的部門利益問題，建立公信力成為一個挑戰(zhàn)。

　　電信運營商在網(wǎng)絡與信息安全中扮演的角色

　　作為為公眾提供信息傳輸服務的企業(yè)，電信運營商有義務也有條件在網(wǎng)絡信息安全方面提供更好的服務。從義務的角度來說，運營商在為用戶提供服務的同時理所當然地要保證服務的質(zhì)量，而網(wǎng)絡不安全的后果之一就是導致用戶得不到期望的服務，因此，運營商采取措施來防范網(wǎng)絡與信息安全理應是份內(nèi)的工作。事實上，運營商建立的流量清洗中心，正是本著這一理念為防范DDoS攻擊所采取的措施。從條件的角度來看，運營商有條件在網(wǎng)絡的接入端為用戶提供網(wǎng)絡與信息安全的服務，例如，美國電信運營商AOL在用戶接入端為用戶提供有償?shù)挠泻π畔⑦^濾功能，以便家長為保護青少年的身心健康而啟用相應的手段。類似的服務形態(tài)還有很多，取決于運營商對這類服務的認識以及提供相應的安全服務的熱情程度。

　　電信網(wǎng)絡的全程全網(wǎng)與互聯(lián)互通，形成了沒有邊界的世界，任何網(wǎng)絡與信息安全問題都將會是全局性的，決不會某個運營商的網(wǎng)絡出現(xiàn)了嚴重的安全問題，而其余運營商的網(wǎng)絡卻安然無恙。因此，運營商之間在網(wǎng)絡與信息安全方面采取協(xié)調(diào)一致的手段是非常必要的事情，絕對不能指望網(wǎng)絡安全的問題僅出現(xiàn)在別的運營商而不出現(xiàn)在自己這里。另外，全業(yè)務意味著每個運營商都同時擁有移動網(wǎng)絡與固定網(wǎng)絡，兩個網(wǎng)絡之間的互聯(lián)互通是必然的，那時手機上網(wǎng)將會成為極為普遍的事情，因此，如何在移動網(wǎng)絡與固定網(wǎng)絡融合的前提下做好網(wǎng)絡與信息安全保障便是擺在三個運營商面前的一個極為重要的題目。

　　隨著網(wǎng)絡與信息安全問題得到公眾的普遍認識，為網(wǎng)絡與信息安全買單的意識也逐漸建立起來，最簡單的例子是幾乎每個計算機用戶都會接受為配備殺毒軟件而買單的事實。運營商作為電信傳輸通道的提供商，有著天然的優(yōu)勢來提供網(wǎng)絡與信息安全的服務。前面提到的在接入端提供有害信息過濾功能就是一個例子，其可以用月租費的形式來形成增值服務；同樣，運營商也可以提供攻擊追蹤的審計服務，一旦一個用戶因攻擊而出現(xiàn)癱瘓，從運營商所提供的審計記錄中可以發(fā)現(xiàn)相應的蛛絲馬跡。運營商還可以提供聯(lián)動追蹤能力，由此其他部門做不到的DDoS追蹤能力可以通過運營商的聯(lián)動而追查到位。另外，在IDC托管中也可以提供相應的安全服務，甚至運營商還可以通過帶寬資源來提供IRC（容災中心）服務。

　　TC8取得的成績與下一步工作重點

　　TC8在2008年作出了什么成績，我看沒有什么特別突出的。其主要原因是網(wǎng)絡與信息安全滲透在各個領(lǐng)域，很難將網(wǎng)絡與信息安全問題從產(chǎn)品或運行的層面孤立出來，因此各技術(shù)委員會之間的交叉，甚至各組之間的交叉都是很自然的事情。另外，國家還有個全國信息安全標準化技術(shù)委員會，我們之間的溝通比較少，因此存在重復研究標準的現(xiàn)象。為此只有建立一個行之有效的協(xié)調(diào)機制，才能在更宏觀的層面建立一個完整的網(wǎng)絡與信息安全標準的體系框架，才能成體系地進行完整的部署。好在經(jīng)有關(guān)部門協(xié)調(diào)，中國通信標準化協(xié)會在全國信息安全標準化技術(shù)委員會中列入了一個工作組，這為今后與全國信息安全標準化技術(shù)委員會的合作奠定了基礎。

　　我認為，2009年主要有兩件重要的事情，一是如何與全國信息安全標準委員會進行協(xié)作，從而在更高的層面來為國家網(wǎng)絡與信息安全標準進行排兵布陣；二是如何抓住國家發(fā)展改革委員會在信息安全標準方面進行投入的機會，引導企業(yè)按照我們所設置的標準框架體系，在國家的支持下加快網(wǎng)絡與信息安全標準化的進程。

　　科研機構(gòu)推動信息與網(wǎng)絡安全工作

　　對科研教育機構(gòu)來說，一般來說應該在4個方面來參與和推動國家的網(wǎng)絡與信息安全工作。

　　一是培養(yǎng)網(wǎng)絡與信息安全的人才。培養(yǎng)人才是學校的天職，北京郵電大學專門成立了信息安全系。當然，培養(yǎng)網(wǎng)絡與信息安全的人才不僅限于學歷教育，還要在繼續(xù)教育上加大力度，尤其是培養(yǎng)國家急需的人才，如等級保護方面的人才。在這些方面北京郵電大學有著得天獨厚的優(yōu)勢，北京郵電大學是國內(nèi)少有的通信與信息安全都十分強的學校，因此在通信領(lǐng)域培養(yǎng)信息安全的人才具有雄厚的基礎。

　　二是直接參與網(wǎng)絡與信息安全技術(shù)的研發(fā)。學校是技術(shù)高密集部門，學校的研究人員相對來說思維更活躍，對新技術(shù)跟進得更快，因此有條件發(fā)揮學校的優(yōu)勢，在信息安全方面有所突破。我把信息安全分為4個層次，包括物理安全、運行安全、數(shù)據(jù)安全、內(nèi)容安全。其中，物理安全的一個主要技術(shù)特色就是災難備份，北京郵電大學剛剛成立了一個且目前是全國惟一的災備技術(shù)國家工程實驗室，有條件在這方面發(fā)揮作用；運行安全主要表現(xiàn)在網(wǎng)絡安全層面，北京郵電大學的計算機學院、網(wǎng)絡技術(shù)研究院在這方面有著很好的儲備；數(shù)據(jù)安全主要表現(xiàn)在密碼技術(shù)、認證服務方面，北京郵電大學的信息安全系、網(wǎng)絡技術(shù)研究院在這方面有著傳統(tǒng)的優(yōu)勢；內(nèi)容安全主要反映在網(wǎng)絡文化管理、聲圖文識別與過濾、輿情分析與預警、信息隱藏等方面，北京郵電大學的信息與通信工程學院、網(wǎng)絡文化與創(chuàng)意中心、信息安全系等在這方面也有著深厚的積累。

　　三是為社會提供咨詢服務。辦學有著三大宗旨，培養(yǎng)人才、科學研究、服務社會。北京郵電大學有專門的信息與通信工程學院，有專門的信息安全系，也有專門的網(wǎng)絡技術(shù)研究院，因此，在網(wǎng)絡與信息安全方面，北京郵電大學有條件、也非常愿意為社會提供服務。

　　四是推動產(chǎn)學研的進程，為社會提供更好的專利技術(shù)，形成更受歡迎的信息安全產(chǎn)品。北京郵電大學一個突出特點就是產(chǎn)學研結(jié)合得十分好，學而可研、研而能產(chǎn)、產(chǎn)而成勢。目前，有一系列的產(chǎn)品來自于北京郵電大學的技術(shù)，以TD-SCDMA為例，北京郵電大學就作出了突出的貢獻。

　　09年網(wǎng)絡與信息安全工作重點與難題

　　2009年，網(wǎng)絡與信息安全工作面臨的重點：一是將等級保護工作繼續(xù)推動下去，其難點在于政府部門需要協(xié)調(diào)一致、密切協(xié)作；二是建立信息安全服務機制，推動信息安全服務市場的良性發(fā)展，其難點在于如何讓用戶認識到信息服務的重要性，從而愿意為此買單，同時還要規(guī)范信息安全服務外包市場，形成強有力的監(jiān)管體制；三是加強容災備份體制的建設，在技術(shù)上為第三方容災備份中心的建設提供支撐，在安全機制上為第三方承擔信息系統(tǒng)的備份數(shù)據(jù)提供必要的保障措施；四是建立聯(lián)動的網(wǎng)絡安全應急體系，并加大宣傳力度，進行必要的演練，讓相關(guān)預案更具有可操作性。（本文根據(jù)電信技術(shù)采訪稿整理而成）

   方濱興簡介：

方濱興，北京郵電大學校長，中國工程院院士，中國通信標準化協(xié)會網(wǎng)絡與信息安全技術(shù)工作委員會（TC8）主席，中國計算機學會計算機安全專委會主任，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡與安全工作委員會主任，中國通信學會通信安全專委會主任。