网络与信息安全策略的研究

专题：网络与信息安全　网络与信息安全策略的研究　魏亮　（信息产业部电信研究院通信标准所北京１０００４５）　网络与信息安全越来越受到重视，虽然中国的安全防护水平有所提升，但是相对发达国家仍有差　距．应进一步研究相关策略。本文首先分析了网络与信息安全的现状与未来所面临的挑战，然后　结合网络与信息安全的需求提出了保障其安全的策略以应对未来新的挑战。　１　引言　中国一贯重视网络与信息以及与其相关的工作。　自２００２年成立国家网络与信息安全协调小组，２００３年下　发２７号文件，２００４年召开全国信息安全工作会议全面部　署信息安全工作以来，在各方面的共同努力下安全保障工　作不断加强，制定并实施了国家信息安全战略，逐步建立了　信息安全管理和工作机制。　２网络与信息安全现状与挑战　传统电信网网络与信息安全现状基本得到认可。传统　电信网具有相对封闭、业务网与承载网合一、基于非智能终　端开展业务、相对有效的运维经验以及相对单一的点对点　语音业务等特点．因此传统电信承载网的可靠性和可用性　已经经过长期检验并证明具备应急通信的能力；业务网具　备可控性、执法监听以及溯源能力：在必要的无线段、接人　虽然中国基础信息网络和重要信息基础设施的安全防　护水平有了一定的提升，但是由于在网络与信息安全领域　段具备加密能力，在承载网具备隔离的能力。虽然传统电信　网也存在骚扰电话、垃圾短信等问题。但是用户认可传统电　信网当前的安全能力．对监管传统电信网也具备有效　的手段和方法。运营商也有长期运营经验。有能力维持现有　安全水平。　的起步较晚，包括安全算法、安全协议、安全基础理论研究。　安全基础设施、安全技术、安全管理、安全评测等在内的各　个方面相对发达国家而言仍有相当大的差距。　中国、运营商以及用户都在关注网络与信息安　全，但是关注点各不相同，甚至的不同部门、不同类　型的运营商、不同的用户关注的安全问题也各不相同．因　当前下一代电信网主要基于软交换、ＩＭＳ架构。由于软交　换、ＩＭＳ架构下的承载网采用ＩＰ技术，终端具备一定的智能．　因此安全能力受到一定的质疑。中国现有的软交换网络几乎　此对网络与信息安全的需求也不相同．所以有必要研究　中国的网络与信息安全的现状和未来、信息安全面临的　挑战以及对网络与信息安全的需求．进而探讨网络与信　息安全的相关策略。　都构建在专用ＩＰ网络上，承载网安全虽然不如传统电信网的　ＳＤＨ网络但也基本可以接受。业务网具备一定程度的可控性，　但是承载网ＩＰ层面的溯源能力仍有欠缺。信息由ＩＰ包统计　复用传送，机密性、完整性难以保障。由于基于软交换、ＩＭＳ的　维普资讯 http://www.cqvip.com

＿　专题：朗络与信息安全　下一代电信网具有ＩＰ承载、终端可能具备智能等特点，所以　用户对其安全能力可能有一定的怀疑，主管部门对部分　业务缺乏监管经验，运营商也正在摸索运维经验。　互联网在设计之初对安全方面考虑较少，再加上互联　网是全球范围互联的网络，难以全程全网地进行安全设计　与运维，因此互联网承载网的可靠性远远不如传统电信网，　这主要体现在以下几个方面：除了接人服务外几乎所有业　务都基于主机开展．无论是网络运营商还是业务运营　商都难以控制业务；难以保障互联息的完整性和机密　性；面对数以万计的业务难以监管。在用户看来互联网　随时可能中断，网络上存在大量的黑客攻击、网络钓鱼，诈　骗、垃圾邮件、病毒等；在运营商看来，网络与业务缺乏相关　性、难以控制并且缺乏溯源等能力；在看来互联网业务　种类繁多，只能一事一议，造成监管上的滞后。总之无论是　用户、运营商还是主管部门都认为互联网当前的网络　与信息安全存在问题，有待改进和提高。　当前中国的网络与信息安全存在以下一些问题：　・相关的法律、法规尚未健全：网络与信息安全含义　没有明确界定，已有的法律、法规分属不同法律部　门，体系庞杂，多是把实际做法上升为法律形式，而　没有统一的立法思想与主旨，缺乏评价网络行为的　统一标准。法律位阶低，以行政立法为主，内容重　复．监管手段单一。　・全社会对网络与信息安全的重视程度依然不够：在　各部门的宣传下，全社会对网络与信息安全的认识　已有所提高。但在社会经济生活中，对网络与信息　安全问题的重视程度依然不够，认识也比较模糊。　・安全基础设施和基础性工作尚待加强：面对日益复　杂、多变的网络环境和各种安全风险．亟需加强国　家信息安全保障的基础设施建设。　・互联网安全问题难以解决：近年来互联网问题依然　突出并呈现多样化的特征，除传统的病毒、垃圾邮　件、非法信息传播外，危害更大的间谍软件、广告软　件等纷纷加入到互联网安全破坏者的行列。另外互　联网存在多头管理、责权不清、职能重叠的现象，无　法有效解决安全问题。　３网络与信息安全的需求　网络与信息安全的需求可以分成网络自身安全、业务提　供安全、信息传递安全以及信息内容安全４个层面来描述。　网络自身安全主要是指业务网可靠稳定地运行，出现　问题后能够快速恢复或者提供应急通信手段。从用户角度　而言．网络自身安全主要涉及业务的可用性，可以作为服务　质量的一部分。用户当然希望业务的服务质量越高越好，但　是也可以接受较低的价格带来的较低服务质量。对运营商　而言，网络自身安全涉及到能否提供业务，这直接关系到商　业信誉以及盈利能力。但是运营商不会无节制地追求网络　自身安全，通常希望可以平衡成本与收益，向用户提供适度　的安全。就国家而言，网络自身安全主要包括通信网络持续　提供服务的能力，无论是闲时、忙时、受攻击时、战争时、自　然灾害时，网络都能为国民提供基本的通信服务。　业务提供安全主要是指业务提供中的可控性。业务提　供安全包括业务使用的可追查性、业务执法监听能力等。　就用户而言，业务提供安全应当保证非法用户不能盗取合　法用户的身份，用户信息不被扩散，位置、习惯等用户隐私　不被收集和非法使用，用户对业务的使用应当正确计费　等。就运营商而言，业务提供安全应当保证非法用户不能　使用业务，对业务的使用应当有记录，为国家提供执法监　听的能力．对用户使用业务的正确计费等。就国家而言，业　务提供安全主要包括业务溯源能力、业务阻断能力、执法　监听能力等。　信息传递安全是指信息传递过程中信息的可用性、机　密性和完整性。就用户而言，希望所传递的信息具备可用性　和完整性，并且具备很强的保密性。为达到保密性目的，用　户可以采用端到端加密的方式。就运营商而言，信息传递安　全意味着成本的增加，因此通常只提供基本的隔离以及对　无线段进行必要的加密。就国家而言，信息传递安全中的机　密性可能会影响．通常要求网络提供明文的执法　监听点。　内容安全一般指对垃圾信息、有害信息的识别。垃圾信息　和有害信息增加用户的负担，影响青少年健康成长，降低运营　商网络使用效率，影响国家精神文明建设。但是问题在于用　户、运营商以及国家对垃圾信息、有害信息的理解和定义可能　不同．此外垃圾信息和有害信息的获取和识别，特别是如何获　取和识别语音、视频类垃圾信息还是有待解决的问题。　４网络与信息安全策略的探讨　用户、运营商以及国家在网络与信息安全方面在面对　不同的挑战、在不同安全层面上有不同程度的需求。虽然用　户、运营商以及国家对安全的需求并非完全一致，但是网络　维普资讯 http://www.cqvip.com

电　与信息安全策略的总体目标应当一致：在优先确保和不影　响的前提下，为用户提供适度安全并保障运营商　运营安全。为达到网络和信息安全总体目标，尽可能满足来　自用户、运营商以及国家的安全需求，这可以采用以下几个　方面的安全策略。　（１）法律法规方面策略　加速立法．尽快制定网络与信息安全纲领性文件，划清　职责、依法行政。考虑到网络与信息安全法律法规方面的现　全标准相对零散，急需下列工作：研究标准体系，从各个层　面全方位保障网络与信息安全；制定基础性的标准来界定　网络与信息安全相关的范围和内容；制定，修订设计方面的　标准，使网络从设计规划之初就考虑国家、运营商和用户需　要的稳定性和可靠性等：制定，修订建设方面的标准，使网　络在建设时能满足相应的容灾等安全要求；制定，修订相关　标准，使网络在运维和废弃阶段满足安全要求；制定一系列　设备安全技术要求，保障设备层面可以提供所需要的安全　状．建议制定“中华人民共和国网络与信息安全法”。“网络与　信息安全法”应当确立安全的法律原则和基本制度，明确国　家各部门以及社会各方面在信息安全保障上的职责，建立和　完善网络信息安全的监控制度、网络信息安全分析与共享制　度、网络信息安全的评估制度、网络信息安全的应急保障制　度、有害信息的防治制度、网络信息安全技术特别是商业密　码技术的管理制度、网络信息安全的人才培养和培训制度。　依据“网络与信息安全法”出台司法解释、管制办法，依法调　动社会各方力量，包括市场力量，排除国内外敌对势力和不　法分子的干扰、破坏和攻击，确保国家基础设施的安全。　（２）监督管制方面策略　本着有所为、有所不为的原则，依据法律对涉及国　家安全和公众安全的业务，网络严格监管，对不涉及安全　的业务，网络适当放松监管尺度。监督管制策略应当是行业主　管部门在总结监管现状的基础上．进一步深入研究监管理论，　完善业务分类．区分涉及和公众安全的网络，业务以　及不涉及和公众安全的网络／业务。对涉及国家安　全、公众安全的网络／业务应当加强监管：实行业务准人、设备　准人机制；在网络，业务的设计阶段、运营阶段以及废弃阶段进　行定期安全评估和检查；完善应急通信体系，加强应急响应活　动中指挥协调力度。对不涉及和公众安全的网络／业　务适当放开，放松监管，鼓励发展，促进便利快捷通信，丰富文　化生活，进一步促进人们生活质量的提高。　（３）技术标准方面战略　鼓励具有自主知识产权的安全技术的研发，制定相关　安全的行业标准以及国家标准。网络与信息安全是信息化　持续发展安全保障的重要基础和支撑，其标准化工作是国　家信息安全保障体系建设的重要组成。网络与信息安全标　准的研究与制定为国家主管部门管理信息安全提供了有效　的技术依据，这对于保证设备的正常运行并在此基础上保　证中国国民经济和社会管理等领域中网络信息系统的运行　安全和信息安全具有非常重要的意义。当前网络与信息安　功能；制定一系列安全评估测试方面的标准，有效衡量当前　网络安全程度：制定一系列标准使网络设备和组网能满足　合法监听、溯源等要求。　（４）适度安全策略　运营商应当在满足国家法律和监管要求的前提下，权　衡成本与产出，保障网络，业务的适度安全。安全是一个不　稳定的状态．因此很难做到完全的安全。此外安全是需要　付出代价的，实现不同的安全级别需要付出相应的代价。　因此通常情况下只需要将网络安全风险控制在一定的范　围。应当首先确认所保护的包括无形资产在内的资产自身　的价值．然后再考虑相应的安全投资。除了要考虑成本和　效益平衡外，还必须考虑网络发展与安全之间的关系。应　当遵循“同步规划、同步建设、同步发展”的原则，在促进发　展的同时．加强对网络安全问题的管理，实现网络发展与　安全的协调统一。　（５）技术和管理保障方面策略　运营商应当运用先进的管理和技术手段．遵照法律法　规以及监管要求，为国家的应急通信、执法监听等提供技术　手段，为用户提供适度安全。运营商应跟踪采纳先进技术以　及管理经验，保障网络可靠稳定的运行，保护用户隐私信　息，提供应急通信能力，保障用户通信秘密以及通信自由。　应在充分、全面、完整地对网络的安全漏洞和安全威胁进行　分析、评估和检测的基础上，建立安全防护体系。安全防护　体系的根本目标是提供整个网络的“安全最低点”的安全性　能，防止网络安全最薄弱的环节遭到攻击。　（６）国际合作方面策略　由于网络的开放性以及全球互通的特性，为保障网络　与信息安全，运营商必须加强国际合作。首先，网络与信息　安全是全世界共同面临的问题，研究国外安全技术和安全　策略，可避免重复研究与重复投资：其次，由于网络的无界　性，网络安全问题的解决只依靠某一个国家是不现实的，这　需要世界各国的通力合作，在健全本国法律的基础上由国　维普资讯 http://www.cqvip.com

一　专题：丽络与傣想安全　际相关组织进行协调，尽可能地建立相应的规则并付诸实　施．这样网络安全的问题才可能得到妥善的解决；第三，网　靠运营商、制造商以及主管部门已经不能完全保障　网络与信息安全。用户必须增强安全意识，拥有一定程度　的安全防护能力。虽然不能要求每个用户都成为安全专　家．但是用户对终端以及安全威胁的了解能够更有效地　络与信息安全问题是全球关注的问题，网络与信息安全框　架的制定者以及参与者可能涉及知识产权、利益分配的问　题。总之在保障的前提下，应当采用国际化策略来　解决网络与信息安全问题。应当采用下列措施来贯彻国际　化战略：加强国际交流，学习国外先进的管理经验以及先进　技术；加强国际合作，共同打击涉及网络的犯罪行为；在不　涉及的情况下，推广安全技术，获得相应利益等。　保障网络与信息安全。　５结语　网络与信息安全是全社会、全世界共同面对的问题，并　且是不断发展变化的问题，不可能短时间有效解决。本文针　对当前网络的现状与需要提出了保障网络与信息安全的策　略　能在一定程度上缓解问题。网络与信息安全相关问题应　滚动研究．不断深入以应对未来新的挑战。　（７）自主防护策略　用户应当增加安全意识，在行业自律、监管的前　提下尽力自主防护。在终端越来越智能的发展趋势下，仅　Ｓｔｒａｔｅｇｙ　Ｓｔｕｄｙ　ｏｆ　Ｓｅｃｕｒｉｔｙ　Ａｂｏｕｔ　Ｎｅｔｗｏｒｋ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｗｅｉ　Ｌｉａｎｇ　（Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｔａｎｄａｒｄｓ　Ｒｅｓｅａｒｃｈ，Ｃｈｉｎａ　Ａｃａｄｅｍｙ　ｏｆ　Ｔｅｌｅｃｏｍ　Ｒｅｓｅａｒｃｈ　ｏｆ　ＭＩＩ，Ｂｅｉｊｉｎｇ　１０００４５，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ　Ｉｎ　ｎｏｗ　ｄａｙｓ，ｍｏｒｅ　ａｎｄ　ｍｏｒｅ　ａｔｔｅｎｔｉｏｎｓ　ｈａｄ　ｂｅｅｎ　ｐａｉｄ　ｔｏ　ｓｅｃｕｒｉｔｙ　ａｂｏｕｔ　ｎｅｔｗｏｒｋ　ａｎｄ　ｉｎｆｏｒｍａｔｉｏｎ．Ｓｏｍｅ　ｐｒｏｇｒｅｓｓ　ｈａｄ　ｂｅｅｎ　ｇｏｔ　ｉｎ　ｓｅｃｕｒｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ　ｉｎ　Ｃｈｉｎａ，ｔｈａｔ’ｓ　ｓｔｉｌｌ　ｎｏｔ　ｅｎｏｕｇｈ　Ｓｔｒａｔｅｇｙ　ｏｆ　ｓｅｃｕｒｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ　ｉｓ　ｎｅｅｄｅｄ　ｔｏ　ｂｅ　ｓｔｕｄｙ．Ｔｈｅ　ａｒｔｉｃｌｅ　ｓｔｕｄｉｅｄ　ｔｈｅ　ｓｉｔｕａｔｉｏｎｓ　ｉｎ　ｎｏｗ　ｄａｙｓ　ａｎｄ　ｃｈａｌｌｅｎｇｅｓ　ｉｎ　ｔｈｅ　ｆｕｔｕｒｅ　ｔｈｅｎ　ｇｏｔ　ｓｏｍｅ　ｓｔｒａｔｅｇｙ　ａｂｏｕｔ　ｓｅｃｕｒｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ　ａｃｃｏｒｄｉｎｇ　ｔｏ　ｔｈｅ　ｒｅｑｕｉｒｅｍｅｎｔ　ｏｆ　ｓｅｃｕｒｉｔｙ　ａｂｏｕｔ　ｎｅｔｗｏｒｋ　ａｎｄ　ｉｆｏｒｍａｔｉｎｏｎ．　Ｋｅｙ　ｗｏｒｄｓ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，ｓｅｃｕｒｉｔｙ　ｓｉｔｕａｔｉｏｎ，ｓｅｃｕｒｉｔｙ　ｓｔｒａｔｅｇｙ　（收稿日期：２００７—０１—１５）　ｊ　ｊ　・简讯・　通信世界网标准频道近日上线　通信标准上网可查阅　２００７年２月１　１３，通信世界网标准频道（ｈ【ｌｐ　ｔａＪ１ｄａｒ（Ｌ　ｃｗｗ．ｎｅｔｃｎ／）￣式上线．并对外提供服务。通信世界网标准频道　上线后．由人民邮电出版社通信标准出版中心出版发行的中　华人民共和国通信行业标准纸质出版物继续出版。所有通信　标准将通过电子形式．利用通信世界网上平台发行。　人民邮电出版社出版的通信行业标准已经超过１　０００种。　中华人民共和国通信行业标准是保证中国通信网的先　进性、统一性、完整性的重要技术依据，因此纸质印刷版是　必须的。但是随着通信技术和网络技术的发展，为了满足标　准用户的不同需求，并且在获得信息产业部授予的网络出　版专有权后．人民邮电出版社决定增加网络出版和发行渠　道．利用通信世界网这个ＩＣＴ综合信息服务平台，让用户可　以随时查询到标准信息．也可以在线阅读或者打印标准，提　１９９７年５月．原邮电部科技司授权人民邮电出版社承担　中华人民共和国通信行业标准的出版发行工作。并且享有专有　出版权。作为信息产业部惟一指定的出版发行通信行业标准的　高用户使用通信标准的效率，同时给标准用户更多的选择。　从现在开始．希望利用网络查阅通信标准的用户，通过　邮局或银行汇款完成充值程序后，即可立即登录标准频道　在线阅读或者打印标准文档。　单位，人民邮电出版社成立了通信标准出版中心，到目前为止，