摘要 网络与信息安全越来越受到重视,虽然中国的安全防护水平有所提升,但是相对发达国家仍有差距,应进一步研究相关策略。本文首先分析了网络与信息安全的现状与未来所面临的挑战,然后结合网络与信息安全的需求提出了保障其安全的策略以应对未来新的挑战。
1、引言
中国政府一贯重视网络与信息以及与其相关的工作。自2002年成立国家网络与信息安全协调小组,2003年下发27号文件,2004年召开全国信息安全工作会议全面部署信息安全工作以来,在各方面的共同努力下安全保障工作不断加强,制定并实施了国家信息安全战略,逐步建立了信息安全管理体制和工作机制。
虽然中国基础信息网络和重要信息基础设施的安全防护水平有了一定的提升,但是由于在网络与信息安全领域的起步较晚,包括安全算法、安全协议、安全基础理论研究,安全基础设施、安全技术、安全管理、安全评测等在内的各个方面相对发达国家而言仍有相当大的差距。
中国政府、运营商以及用户都在关注网络与信息安全,但是关注点各不相同,甚至政府的不同部门、不同类型的运营商、不同的用户关注的安全问题也各不相同,因此对网络与信息安全的需求也不相同,所以有必要研究中国的网络与信息安全的现状和未来、信息安全面临的挑战以及对网络与信息安全的需求,进而探讨网络与信息安全的相关策略。
2、网络与信息安全现状与挑战
传统电信网网络与信息安全现状基本得到认可。传统电信网具有相对封闭、业务网与承载网合一、基于非智能终端开展业务、相对有效的运维经验以及相对单一的点对点语音业务等特点,因此传统电信承载网的可靠性和可用性已经经过长期检验并证明具备应急通信的能力;业务网具备可控性、执法监听以及溯源能力;在必要的无线段、接入段具备加密能力,在承载网具备隔离的能力。虽然传统电信网也存在骚扰电话、垃圾短信等问题,但是用户认可传统电信网当前的安全能力,政府对监管传统电信网也具备有效的手段和方法,运营商也有长期运营经验,有能力维持现有安全水平。
当前下一代电信网主要基于软交换、IMS架构。由于软交换、IMS架构下的承载网采用IP技术,终端具备一定的智能,因此安全能力受到一定的质疑。中国现有的软交换网络几乎都构建在专角IP网络上,承载网安全虽然不如传统电信网的SDH网络但也基本可以接受。业务网具备一定程度的可控性,但是承载网IP层面的溯源能力仍有欠缺,信息由IP包统计复用传送,机密性、完整性难以保障。由于基于软交换、IMS的下一代电信网具有IP承载、终端可能具备智能等特点,所以用户对其安全能力可能有一定的怀疑,政府主管部门对部分业务缺乏监管经验,运营商也正在摸索运维经验。
互联网在设计之初对安全方面考虑较少,再加上互联网是全球范围互联的网络,难以全程全网地进行安全设计与运维,因此互联网承载网的可靠性远远不如传统电信网,这主要体现在以下几个方面:除了接入服务外几乎所有业务都基于主机独立开展,无论是网络运营商还是业务运营商都难以控制业务;难以保障互联网信息的完整性和机密性;政府面对数以万计的业务难以监管。在用户看来互联网随时可能中断,网络上存在大量的黑客攻击、网络钓鱼/诈骗、垃圾邮件、病毒等;在运营商看来,网络与业务缺乏相关性、难以控制并且缺乏溯源等能力;在政府看来互联网业务种类繁多,只能一事一议,造成监管上的滞后。总之无论是用户、运营商还是政府主管部门都认为互联网当前的网络与信息安全存在问题,有待改进和提高。
当前中国的网络与信息安全存在以下一些问题:
相关的法律、法规尚未健全:网络与信息安全含义没有明确界定,已有的法律、法规分属不同法律部门,体系庞杂,多是把实际做法上升为法律形式。而没有统一的立法思想与主旨,缺乏评价网络行为的统一标准。法律位阶低,以行政立法为主,内容重复,监管手段单一。●全社会对网络与信息安全的重视程度依然不够:在各部门的宣传下,全社会对网络与信息安全的认识已有所提高。但在社会经济生活中,对网络与信息安全问题的重视程度依然不够,认识也比较模糊。
安全基础设施和基础性工作尚待加强:面对日益复杂、多变的网络环境和各种安全风险,亟需加强国家信息安全保障的基础设施建设。
互联网安全问题难以解决:近年来互联网问题依然突出并呈现多样化的特征,除传统的病毒、垃圾邮件、非法信息传播外,危害更大的间谍软件、广告软件等纷纷加入到互联网安全破坏者的行列。另外互联网存在多头管理、责权不清、职能重叠的现象,无法有效解决安全问题。
3、网络与信息安全的需求
网络与信息安全的需求可以分成网络自身安全、业务提供安全、信息传递安全以及信息内容安全4个层面来描述。
网络自身安全主要是指业务网可靠稳定地运行,出现问题后能够快速恢复或者提供应急通信手段。从用户角度而言,网络自身安全主要涉及业务的可用性,可以作为服务质量的一部分。用户当然希望业务的服务质量越高越好,但是也可以接受较低的价格带来的较低服务质量。对运营商而言,网络自身安全涉及到能否提供业务,这直接关系到商业信誉以及盈利能力。但是运营商不会无节制地追求网络自身安全,通常希望可以平衡成本与收益,向用户提供适度的安全。就国家而言,网络自身安全主要包括通信网络持续提供服务的能力,无论是闲时、忙时、受攻击时、战争时、自然灾害时,网络都能为国民提供基本的通信服务。
业务提供安全主要是指业务提供中的可控性。业务提供安全包括业务使用的可追查性、业务执法监听能力等。就用户而言,业务提供安全应当保证非法用户不能盗取合法用户的身份,用户信息不被扩散,位置、习惯等用户隐私不被收集和非法使用,用户对业务的使用应当正确计费等。就运营商而言,业务提供安全应当保证非法用户不能使用业务,对业务的使用应当有记录,为国家提供执法监听的能力,对用户使用业务的正确计费等。就国家而言,业务提供安全主要包括业务溯源能力、业务阻断能力、执法监听能力等。
信息传递安全是指信息传递过程中信息的可用性、机密性和完整性。就用户而言,希望所传递的信息具备可用性和完整性,并且具备很强的保密性。为达到保密性目的,用户可以采用端到端加密的方式。就运营商而言,信息传递安全意味着成本的增加,因此通常只提供基本的隔离以及对无线段进行必要的加密。就国家而言,信息传递安全中的机密性可能会影响国家安全,通常要求网络提供明文的执法监听点。
内容安全一般指对垃圾信息、有害信息的识别。垃圾信息和有害信息增加用户的负担,影响青少年健康成长,降低运营商网络使用效率,影响国家精神文明建设。但是问题在于用户、运营商以及国家对垃圾信息、有害信息的理解和定义可能不同,此外垃圾信息和有害信息的获取和识别,特别是如何获取和识别语音、视频类垃圾信息还是有待解决的问题。
4、网络与信息安全策略的探讨
用户、运营商以及国家在网络与信息安全方面在面对不同的挑战、在不同安全层面上有不同程度的需求。虽然用户、运营商以及国家对安全的需求并非完全一致,但是网络与信息安全策略的总体目标应当一致:在优先确保和不影响国家安全的前提下,为用户提供适度安全并保障运营商运营安全。为达到网络和信息安全总体目标,尽可能满足来自用户、运营商以及国家的安全需求,这可以采用以下几个方面的安全策略。
法律法规方面策略
加速立法,尽快制定网络与信息安全纲领性文件,划清职责、依法行政。考虑到网络与信息安全法律法规方面的现状,建议制定“中华人民共和国网络与信息安全法”。“网络与信息安全法”应当确立安全的法律原则和基本制度,明确国家各部门以及社会各方面在信息安全保障上的职责,建立和完善网络信息安全的监控制度、网络信息安全分析与共享制度、网络信息安全的评估制度、网络信息安全的应急保障制度、有害信息的防治制度、网络信息安全技术特别是商业密码技术的管理制度、网络信息安全的人才培养和培训制度。依据“网络与信息安全法”出台司法解释、管制办法,依法调动社会各方力量,包括市场力量,排除国内外敌对势力和不法分子的干扰、破坏和攻击,确保国家基础设施的安全。 |