2008年僵尸網(wǎng)絡(luò)、木馬、拒絕服務(wù)攻擊的泛濫，給我們的通信網(wǎng)絡(luò)敲響了警鐘。移動(dòng)、固網(wǎng)、互聯(lián)網(wǎng)的融合，更使網(wǎng)絡(luò)世界無一處安全之地。魔高一尺，道高一丈，2009年安全之戰(zhàn)如何持續(xù)上演？在部委調(diào)整、電信重組后，中國(guó)的網(wǎng)絡(luò)和信息安全又面臨哪些新問題？在網(wǎng)絡(luò)安全斗爭(zhēng)中的運(yùn)營(yíng)商又應(yīng)何去何從？方濱興院士從以下幾個(gè)方面給出了答案：

　　世界網(wǎng)絡(luò)與信息安全發(fā)展趨勢(shì)

　　從世界范圍來看，黑色產(chǎn)業(yè)鏈越來越成為焦點(diǎn)，黑客的技術(shù)炫耀開始與經(jīng)濟(jì)利益越綁越緊；與此相對(duì)應(yīng)，僵尸網(wǎng)絡(luò)、木馬等變得越來越活躍，而一般性質(zhì)的蠕蟲，尤其是大規(guī)模蠕蟲則相比過去黯淡了許多；由于幾乎沒有遇到太多法律上的對(duì)抗，導(dǎo)致黑客對(duì)網(wǎng)頁的攻擊越來越泛化，例如釣魚網(wǎng)站因域名劫持等手段的越來越高超而變得防不勝防。

　　我國(guó)網(wǎng)絡(luò)與信息安全形勢(shì)與指導(dǎo)思想

　　在互聯(lián)網(wǎng)應(yīng)用與普及方面我國(guó)已經(jīng)進(jìn)入了世界大國(guó)的行列，因此我國(guó)的信息安全問題與國(guó)際上的問題基本接軌。比如，我國(guó)每年被黑網(wǎng)頁在10萬個(gè)數(shù)量級(jí)左右，釣魚網(wǎng)站數(shù)量占世界總量比例偏高，位于我國(guó)的僵尸網(wǎng)絡(luò)的肉雞數(shù)量位于世界的前列，DDoS的受害者數(shù)量非常龐大。

　　我國(guó)在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動(dòng)，企業(yè)重在引導(dǎo)，公眾重在宣傳。就是說，凡是政府信息系統(tǒng)，必須接受信息系統(tǒng)安全等級(jí)保護(hù)條例的約束，以行政的手段來強(qiáng)化信息系統(tǒng)的安全；凡是企業(yè)的系統(tǒng)，通過對(duì)信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度，以保證企業(yè)所采用的信息安全防護(hù)手段符合國(guó)家的引導(dǎo)思路；公眾方面則通過對(duì)網(wǎng)絡(luò)安全方面的廣泛宣傳，讓公眾對(duì)網(wǎng)絡(luò)安全具有正確的認(rèn)識(shí)，從而提高相應(yīng)的防范能力。

　　就信息安全而言，根據(jù)要求政府在網(wǎng)吧管理方面設(shè)立相應(yīng)的管理措施，以保證網(wǎng)吧處于信息安全管理框架之下；就終端而言，政府集中投資讓進(jìn)入市場(chǎng)的計(jì)算機(jī)預(yù)裝上家庭信息安全管理軟件，從而保證家庭用戶的合法權(quán)益，保證青少年的身心健康。

　　我國(guó)信息與網(wǎng)絡(luò)安全研究重點(diǎn)與突破

　　目前，政府在信息系統(tǒng)等級(jí)保護(hù)方面加大了推進(jìn)力度，已經(jīng)完成了等級(jí)保護(hù)的定級(jí)工作，接下來的工作就是采取有效措施來實(shí)施信息系統(tǒng)的安全等級(jí)保護(hù)技術(shù)。等級(jí)保護(hù)的大力推動(dòng)，一方面在國(guó)際上展示了我國(guó)政府對(duì)信息安全和網(wǎng)絡(luò)安全的管理決心，另一方面，等級(jí)管理制度的建立，突破了我國(guó)慣性思維的管理理念。隨著工業(yè)和信息化部的成立，公安部與工業(yè)和信息化部在信息系統(tǒng)等級(jí)保護(hù)管理方面出現(xiàn)了職能交叉，因此，等級(jí)保護(hù)工作的進(jìn)一步的開展將取決于兩個(gè)部委的有效協(xié)調(diào)和合作。

　　開展高可信網(wǎng)絡(luò)研究目的與意義

　　高可信網(wǎng)絡(luò)的研究與應(yīng)用是社會(huì)發(fā)展的必然需求?，F(xiàn)代互聯(lián)網(wǎng)技術(shù)起源于冷戰(zhàn)時(shí)期，其發(fā)展動(dòng)力是軍事技術(shù)的需求，由于當(dāng)時(shí)沒有假設(shè)面向公眾提供服務(wù)，因此缺少必要的互聯(lián)網(wǎng)安全管理的配套手段與可信技術(shù)的配套措施。目前互聯(lián)網(wǎng)已經(jīng)成為政府、軍事、企業(yè)、公眾等不可或缺的基礎(chǔ)設(shè)施，提供高可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施便成為互聯(lián)網(wǎng)技術(shù)的必然發(fā)展方向。尤其是在我國(guó)，讓政府從物理隔絕直接走向當(dāng)前如此開放而又缺乏足夠的安全可信保障手段的公共互聯(lián)網(wǎng)，顯然難度極大，但電子政務(wù)又呼喚著政府采取相應(yīng)的形式與公眾在互聯(lián)網(wǎng)上交流與溝通，因此高可信網(wǎng)絡(luò)技術(shù)便成為支撐電子政務(wù)發(fā)展的迫切而又必要的基礎(chǔ)設(shè)施與技術(shù)手段，影響著面向公眾的電子政務(wù)的普遍推廣。

　　工信部的成立對(duì)網(wǎng)絡(luò)與信息安全的促進(jìn)

　　過去國(guó)家設(shè)立的國(guó)務(wù)院信息化工作辦公室，同時(shí)又是國(guó)家網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組的辦事機(jī)構(gòu)，從而明確地樹立了被普遍認(rèn)可的協(xié)調(diào)全國(guó)網(wǎng)絡(luò)與信息安全工作的組織地位。目前，隨著國(guó)務(wù)院信息化工作辦公室的撤銷，工業(yè)和信息化部下屬的網(wǎng)絡(luò)信息安全協(xié)調(diào)司取代了國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組辦公室的地位。因此，在國(guó)家級(jí)網(wǎng)絡(luò)與信息安全工作協(xié)調(diào)過程中，如何擺正工業(yè)和信息化部自身所轄的部門利益問題，建立公信力成為一個(gè)挑戰(zhàn)。

　　電信運(yùn)營(yíng)商在網(wǎng)絡(luò)與信息安全中扮演的角色

　　作為為公眾提供信息傳輸服務(wù)的企業(yè)，電信運(yùn)營(yíng)商有義務(wù)也有條件在網(wǎng)絡(luò)信息安全方面提供更好的服務(wù)。從義務(wù)的角度來說，運(yùn)營(yíng)商在為用戶提供服務(wù)的同時(shí)理所當(dāng)然地要保證服務(wù)的質(zhì)量，而網(wǎng)絡(luò)不安全的后果之一就是導(dǎo)致用戶得不到期望的服務(wù)，因此，運(yùn)營(yíng)商采取措施來防范網(wǎng)絡(luò)與信息安全理應(yīng)是份內(nèi)的工作。事實(shí)上，運(yùn)營(yíng)商建立的流量清洗中心，正是本著這一理念為防范DDoS攻擊所采取的措施。從條件的角度來看，運(yùn)營(yíng)商有條件在網(wǎng)絡(luò)的接入端為用戶提供網(wǎng)絡(luò)與信息安全的服務(wù)，例如，美國(guó)電信運(yùn)營(yíng)商AOL在用戶接入端為用戶提供有償?shù)挠泻π畔⑦^濾功能，以便家長(zhǎng)為保護(hù)青少年的身心健康而啟用相應(yīng)的手段。類似的服務(wù)形態(tài)還有很多，取決于運(yùn)營(yíng)商對(duì)這類服務(wù)的認(rèn)識(shí)以及提供相應(yīng)的安全服務(wù)的熱情程度。

　　電信網(wǎng)絡(luò)的全程全網(wǎng)與互聯(lián)互通，形成了沒有邊界的世界，任何網(wǎng)絡(luò)與信息安全問題都將會(huì)是全局性的，決不會(huì)某個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)出現(xiàn)了嚴(yán)重的安全問題，而其余運(yùn)營(yíng)商的網(wǎng)絡(luò)卻安然無恙。因此，運(yùn)營(yíng)商之間在網(wǎng)絡(luò)與信息安全方面采取協(xié)調(diào)一致的手段是非常必要的事情，絕對(duì)不能指望網(wǎng)絡(luò)安全的問題僅出現(xiàn)在別的運(yùn)營(yíng)商而不出現(xiàn)在自己這里。另外，全業(yè)務(wù)意味著每個(gè)運(yùn)營(yíng)商都同時(shí)擁有移動(dòng)網(wǎng)絡(luò)與固定網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)之間的互聯(lián)互通是必然的，那時(shí)手機(jī)上網(wǎng)將會(huì)成為極為普遍的事情，因此，如何在移動(dòng)網(wǎng)絡(luò)與固定網(wǎng)絡(luò)融合的前提下做好網(wǎng)絡(luò)與信息安全保障便是擺在三個(gè)運(yùn)營(yíng)商面前的一個(gè)極為重要的題目。

　　隨著網(wǎng)絡(luò)與信息安全問題得到公眾的普遍認(rèn)識(shí)，為網(wǎng)絡(luò)與信息安全買單的意識(shí)也逐漸建立起來，最簡(jiǎn)單的例子是幾乎每個(gè)計(jì)算機(jī)用戶都會(huì)接受為配備殺毒軟件而買單的事實(shí)。運(yùn)營(yíng)商作為電信傳輸通道的提供商，有著天然的優(yōu)勢(shì)來提供網(wǎng)絡(luò)與信息安全的服務(wù)。前面提到的在接入端提供有害信息過濾功能就是一個(gè)例子，其可以用月租費(fèi)的形式來形成增值服務(wù)；同樣，運(yùn)營(yíng)商也可以提供攻擊追蹤的審計(jì)服務(wù)，一旦一個(gè)用戶因攻擊而出現(xiàn)癱瘓，從運(yùn)營(yíng)商所提供的審計(jì)記錄中可以發(fā)現(xiàn)相應(yīng)的蛛絲馬跡。運(yùn)營(yíng)商還可以提供聯(lián)動(dòng)追蹤能力，由此其他部門做不到的DDoS追蹤能力可以通過運(yùn)營(yíng)商的聯(lián)動(dòng)而追查到位。另外，在IDC托管中也可以提供相應(yīng)的安全服務(wù)，甚至運(yùn)營(yíng)商還可以通過帶寬資源來提供IRC（容災(zāi)中心）服務(wù)。

　　TC8取得的成績(jī)與下一步工作重點(diǎn)

　　TC8在2008年作出了什么成績(jī)，我看沒有什么特別突出的。其主要原因是網(wǎng)絡(luò)與信息安全滲透在各個(gè)領(lǐng)域，很難將網(wǎng)絡(luò)與信息安全問題從產(chǎn)品或運(yùn)行的層面孤立出來，因此各技術(shù)委員會(huì)之間的交叉，甚至各組之間的交叉都是很自然的事情。另外，國(guó)家還有個(gè)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，我們之間的溝通比較少，因此存在重復(fù)研究標(biāo)準(zhǔn)的現(xiàn)象。為此只有建立一個(gè)行之有效的協(xié)調(diào)機(jī)制，才能在更宏觀的層面建立一個(gè)完整的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)的體系框架，才能成體系地進(jìn)行完整的部署。好在經(jīng)有關(guān)部門協(xié)調(diào)，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中列入了一個(gè)工作組，這為今后與全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的合作奠定了基礎(chǔ)。

　　我認(rèn)為，2009年主要有兩件重要的事情，一是如何與全國(guó)信息安全標(biāo)準(zhǔn)委員會(huì)進(jìn)行協(xié)作，從而在更高的層面來為國(guó)家網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)進(jìn)行排兵布陣；二是如何抓住國(guó)家發(fā)展改革委員會(huì)在信息安全標(biāo)準(zhǔn)方面進(jìn)行投入的機(jī)會(huì)，引導(dǎo)企業(yè)按照我們所設(shè)置的標(biāo)準(zhǔn)框架體系，在國(guó)家的支持下加快網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化的進(jìn)程。

　　科研機(jī)構(gòu)推動(dòng)信息與網(wǎng)絡(luò)安全工作

　　對(duì)科研教育機(jī)構(gòu)來說，一般來說應(yīng)該在4個(gè)方面來參與和推動(dòng)國(guó)家的網(wǎng)絡(luò)與信息安全工作。

　　一是培養(yǎng)網(wǎng)絡(luò)與信息安全的人才。培養(yǎng)人才是學(xué)校的天職，北京郵電大學(xué)專門成立了信息安全系。當(dāng)然，培養(yǎng)網(wǎng)絡(luò)與信息安全的人才不僅限于學(xué)歷教育，還要在繼續(xù)教育上加大力度，尤其是培養(yǎng)國(guó)家急需的人才，如等級(jí)保護(hù)方面的人才。在這些方面北京郵電大學(xué)有著得天獨(dú)厚的優(yōu)勢(shì)，北京郵電大學(xué)是國(guó)內(nèi)少有的通信與信息安全都十分強(qiáng)的學(xué)校，因此在通信領(lǐng)域培養(yǎng)信息安全的人才具有雄厚的基礎(chǔ)。

　　二是直接參與網(wǎng)絡(luò)與信息安全技術(shù)的研發(fā)。學(xué)校是技術(shù)高密集部門，學(xué)校的研究人員相對(duì)來說思維更活躍，對(duì)新技術(shù)跟進(jìn)得更快，因此有條件發(fā)揮學(xué)校的優(yōu)勢(shì)，在信息安全方面有所突破。我把信息安全分為4個(gè)層次，包括物理安全、運(yùn)行安全、數(shù)據(jù)安全、內(nèi)容安全。其中，物理安全的一個(gè)主要技術(shù)特色就是災(zāi)難備份，北京郵電大學(xué)剛剛成立了一個(gè)且目前是全國(guó)惟一的災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室，有條件在這方面發(fā)揮作用；運(yùn)行安全主要表現(xiàn)在網(wǎng)絡(luò)安全層面，北京郵電大學(xué)的計(jì)算機(jī)學(xué)院、網(wǎng)絡(luò)技術(shù)研究院在這方面有著很好的儲(chǔ)備；數(shù)據(jù)安全主要表現(xiàn)在密碼技術(shù)、認(rèn)證服務(wù)方面，北京郵電大學(xué)的信息安全系、網(wǎng)絡(luò)技術(shù)研究院在這方面有著傳統(tǒng)的優(yōu)勢(shì)；內(nèi)容安全主要反映在網(wǎng)絡(luò)文化管理、聲圖文識(shí)別與過濾、輿情分析與預(yù)警、信息隱藏等方面，北京郵電大學(xué)的信息與通信工程學(xué)院、網(wǎng)絡(luò)文化與創(chuàng)意中心、信息安全系等在這方面也有著深厚的積累。

　　三是為社會(huì)提供咨詢服務(wù)。辦學(xué)有著三大宗旨，培養(yǎng)人才、科學(xué)研究、服務(wù)社會(huì)。北京郵電大學(xué)有專門的信息與通信工程學(xué)院，有專門的信息安全系，也有專門的網(wǎng)絡(luò)技術(shù)研究院，因此，在網(wǎng)絡(luò)與信息安全方面，北京郵電大學(xué)有條件、也非常愿意為社會(huì)提供服務(wù)。

　　四是推動(dòng)產(chǎn)學(xué)研的進(jìn)程，為社會(huì)提供更好的專利技術(shù)，形成更受歡迎的信息安全產(chǎn)品。北京郵電大學(xué)一個(gè)突出特點(diǎn)就是產(chǎn)學(xué)研結(jié)合得十分好，學(xué)而可研、研而能產(chǎn)、產(chǎn)而成勢(shì)。目前，有一系列的產(chǎn)品來自于北京郵電大學(xué)的技術(shù)，以TD-SCDMA為例，北京郵電大學(xué)就作出了突出的貢獻(xiàn)。

　　09年網(wǎng)絡(luò)與信息安全工作重點(diǎn)與難題

　　2009年，網(wǎng)絡(luò)與信息安全工作面臨的重點(diǎn)：一是將等級(jí)保護(hù)工作繼續(xù)推動(dòng)下去，其難點(diǎn)在于政府部門需要協(xié)調(diào)一致、密切協(xié)作；二是建立信息安全服務(wù)機(jī)制，推動(dòng)信息安全服務(wù)市場(chǎng)的良性發(fā)展，其難點(diǎn)在于如何讓用戶認(rèn)識(shí)到信息服務(wù)的重要性，從而愿意為此買單，同時(shí)還要規(guī)范信息安全服務(wù)外包市場(chǎng)，形成強(qiáng)有力的監(jiān)管體制；三是加強(qiáng)容災(zāi)備份體制的建設(shè)，在技術(shù)上為第三方容災(zāi)備份中心的建設(shè)提供支撐，在安全機(jī)制上為第三方承擔(dān)信息系統(tǒng)的備份數(shù)據(jù)提供必要的保障措施；四是建立聯(lián)動(dòng)的網(wǎng)絡(luò)安全應(yīng)急體系，并加大宣傳力度，進(jìn)行必要的演練，讓相關(guān)預(yù)案更具有可操作性。（本文根據(jù)電信技術(shù)采訪稿整理而成）

   方濱興簡(jiǎn)介：

方濱興，北京郵電大學(xué)校長(zhǎng)，中國(guó)工程院院士，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)（TC8）主席，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專委會(huì)主任，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與安全工作委員會(huì)主任，中國(guó)通信學(xué)會(huì)通信安全專委會(huì)主任。