信息產業部總工程師蔣林濤發表主題演講
2005 年 12 月 21 日,“2005 年中國電信業網絡與信息安全研討會”在京召開,來自信息產業部、科技部及公安部等部門的領導,及電信運營商、設備商、網絡增值服務商等共同就電信、網絡安全進行探討,從信息監管政策、應急措施等方面作了深入交流,共同倡議構建安全網絡,服務和諧社會。
信息產業部電信研究院總工程師蔣林濤:
因為原來給的題目是對網絡安全和信息安全的思考,我發現這個題目太大,所以我濃縮了一下,所以這樣時間上來說半個小時左右還是可以的。
首先談一下安全問題的概況。
目前真正運作的是兩個網絡,一個是電信網,一個是 Internet 網。傳統的電信網是一個可信任的網絡,用戶在使用傳統電信網時沒有感覺到危險。Internet,目前它正在設定新的體系架構,Internet 的引入把很多問題都搞亂了,Internet 是舊世界的破壞者,它打破了一個舊世界,但它不是新世界的建立者,它把信息通信網搞成了一個無政府主義的社會。
它除了保證網絡的通達性外,將一切交給了用戶,網絡是不安全的,用戶可以對網絡不信任,Internet 的確也無法信任,安全問題由用戶自己解決,資源問題靠用戶自率去解決。
美國國防部最近有一個研究,大概研究了三年,他認為 Internet 當時提出來的時候是為什么環境提出的呢?是一個教育科研環境,是以文字處理為主的。現在目前 Internet 實際使用環境是什么樣的呢?兩個一比發現實際環境非常大,屬于不適應這個東西的話它自身發展就不行。于是研究三年以后發現三個問題需要解決,一個是網絡安全問題,一個是網絡服務問題,一個是“三元”結構問題。所以 Internet 確實它有很多安全問題。
Internet 由于網絡不安全,所以用戶為了保護自身的利益就加密,自身數據的私密性,大量、無介質的使用加密技術,SSL、SHTTP、IPSEC 等安全加密技術被濫用,導致國家安全方面的巨大漏洞。所以社會問題安全要花很大的程度去解密。現在 Internet 網絡越來越大,現在有哪個業務不是 IP 化的業務,除了電話業務以外幾乎所有的業務都是 IP 業務,所這個情況下安全問題如果不充分的考慮這個問題未來會帶來非常大的問題。
由于今天時間的原因,我只是講一下信息安全的問題,網絡安全只是講一下在保證信息安全的前提下網絡需要提供什么能力。首先簡單講一下網絡安全和信息安全的問題。
網絡安全指的是
第一,網絡本身是一個高可靠、高可用、高可達的。
第二,網絡必須是可信任的。這個事情對未來是很重要的,因為現在用戶對 Internet 是不信任的,因為他不信任所以才可以亂加密的,因為信息部知道什么時候就截取了。一個不可信任的網絡,他要加密這對安全管理方面也是一個難度問題。
第三,網絡安全要保證用戶信息傳送的透明性和不被非法截獲或艦艇的可能性。首先不要人為的改變它里面的東西,因為我們知道在任何條件過程中不可能一點都不錯,但是這個網絡如果人為可以改變的話,那就不安全了。再一個是不被非法截獲,如果執法部門說這個
人要被監視,要截獲的話,那必須要有能力提供,如果網絡不能提供這樣的問題的話就是很大的問題,現在 Internet 就是沒有這樣的功能。為什么現在 Internet 要搞新的體系架構,其實跟這個問題有關。所以從網絡來說這個問題也是一個重要的問題,就是不能非法截獲,但是為了執法這個功能必須要有。
第四,網絡的可抗擊性。
信息安全:
由于這個頭緒是非常多的,但是我歸了一下類分為三類。
1、為了社會的安全,為了社會的秩序這方面的信息安全。比如說有很多非法信息,在網上是不允許傳播的,非法信息的定義是不一樣的,這類信息必須第一要能夠截獲信息,第二要能判別,第三反應、阻斷、溯源。
2、關于用戶信息的安全。是為了保證用戶從一個端到另一個端傳輸的安全。第一網絡應該是可信的,可信的網絡在傳輸過程中不會對你造成非常大的危險。但是執法過程的截獲必須是要有的。用戶分不同等級的用戶,比如以電話用戶為例普通的用戶是不準加密的,如果是商業用戶他允許你加商議密碼,所以根據不同的檔次來進行密碼處理。但是要注意,這是在有監管、管理的情況之下來做的,而不是失控的,而目前尤其商業這塊是完全失控的。
3、系統安全。
首先看一下信息安全里,不良信息目前為止國內國際都是這樣的情況一步步的在加強。我們的網絡發展起來以后自然會利用網絡的正常能力傳輸一些不良的事情。比如最近講手機實名制,因為我們知道現在手機的系統本身是比較安全的,但是目前利用手機犯罪的非常多,于是要產生一個手機實名制的問題,說白了就是把你的身份證和 SIM 卡綁定在一起。從目前來說用一個很正常的通訊網絡手段是可以干很多很的事情的,在操作正常范圍情況下可以做的事,那么這個情況下信息安全怎么做?截獲、判定、反應、阻斷和溯源,這些目前為止對網絡安全非常重要。我們現在很多網絡做不到這些,目前為止有兩條很難做到。第一條是截獲,截獲要是執法部門能看得懂的截獲,所以在這五點里判定、反應和手段還可以。再比如判定也是很難的過程。所以我們認為目前最大的難點是截獲和溯源。
剛才我進了目前為止對我們來說有幾個過程,這些過程里其實截獲難度對大,我們相信你們有時候會收到很多完全違禁的 E-mail,我也收到過一個東西,先發過來一個文章之前先發給我一個工具,說下面的文章是加密的解密就很了,如果我不感興趣就不看了,但是你有辦法截獲嗎?根本截獲不了,所以這個問題是一個很大很大的問題。另外一個問題,當時我跟方主任也一直討論過,就是溯源問題。溯源問題我們始終提的很高,比如說我發現了這個東西,找到某一個人,那很多事情好處理了。但是現在溯源是一個很困難的問題,現在最簡單的一個問題沒有做,這個事情我曾經跟制造商提過,就是所有的極端路由器能夠對原地進行監測?當時我們提出這個要求,但是這是很難做到的。這不是不可行,是現在沒有行,當然這也是下面需要做的。所以對原地址的檢查是非常重要的,有了原地址檢查不但可以找到這個人而且有很多工具的東西都比較難做。比如說海量工具的東西,一旦有溯源檢查以后海量東西很難發出去的。
提供通常完備的應急反應網絡,這點做的還是可以的。
對信息監管部門目前也存在一些問題,就是怎么判斷和識別非法信息的問題,這其實是很難的。比如圖片,什么樣的圖片認為是黃色的,或者什么樣的圖品不是黃色的?很難判斷,技術上是有很大難點的。
我們現在應急網絡還不錯,現在各個管局每天緊張的要命地說半夜一個電話過來他就很緊張,這說明他們的反應還是非常快的。另外一個制定相應的法律法規做的也還是可以的。
技術手段:
對未來網絡一定要能提供信息截獲點,而且是明文信息。技術手段里有一些還是可以做
到的,但是我還要強調信息溯源的問題,就是一定要強制的讓所有的接入設備能夠對原地址進行檢查。
下面我就執法監測講一下
很多搞 Internet 網的專家們都是很反感的,Internet 本身就是一個自由的網,什么都管起來怎么發展呢?但是目前這個情況正好是 Internet 在原來的情況之下誰也不提執法監測,現在為止 Internet 事實上已經成為任何一個國家包括中國、美國,已經作為國家的信息基礎設施了,整個信息就是鋪在這個網絡上的,在這樣的情況下如果沒有這條的話怎么保證社會國家的安全?所以經濟計劃里安全是第一條,首先要解決安全問題。這條是下面一定要做,但是對現在的網絡來說難度也是最大的。用戶的信息還要保證傳輸的透明性,當然信息不應該是被人為改動的,目前我們的 Internet 從來沒有一個 Internet 運營商能夠保證說在我的網上傳輸的信息是不可以被截獲的,不可以被篡改的,做不到。于是他采取了報個偽冒個人的信息等等,我收到很多郵件看到是我自己發給自己,這顯然有人為,所以在這樣的情況下導致了加密手段的濫用。
加密技術這里不談,加密手段是有很多種但是不能濫用任何國家都有規定,而且我們國家明文規定加密不僅不能濫用而且所有的加密必須都是國產的。只有有資質的單位才能開發這些安全設備。其實國家有很多法律在那兒放這兒,但是目前由于這個網絡本身的原因加密手段是被濫用的,所以這個問題要引起高度重視。對密碼的管理有很多管理手段,但是很多難以執行,這里關鍵問題還是溯源問題不好說,真正溯源問題能解決誰也不敢干。
現在有病毒、有黑客、有各種各樣的攻擊,那么網絡里到底什么來處理這些事情呢?病毒能攻擊誰?黑客能攻擊誰?什么地方不受攻擊?從現在來看病毒是利用計算機操作系統的龍都攻擊使用該操作系統的節點設備。特點是,通過讀取帶有該病毒的數據進行傳染,不打開數據包,不讀取數據是不會感染病毒的。黑客攻擊也是這樣,它主要是攝取了計算機的管理取,如果里不打開工具包的話他是攝取不了的。比如說用戶的控制面和數據面必須分開,如果不分開數據面是可以攻擊網絡設備的,因為所有的網絡設備是要打開控制包的。另外一個就是海量數據的攻擊。目前為止對于網絡節點來說真正可以做的是海量數據攻擊,但是對于海量數據攻擊最有效的辦法就是原地址檢查,檢查了以后使得你很難冒仿人家。
抵抗攻擊的手段
第一資源不可達,就是這個用戶的信息和另外一個信息不可達。比如說我這兒搞電話業務,另外一個地區搞視頻業務,其實抗攻擊最有效的東西是隔離。在節點里要增加抗病毒和抗黑客的能力,這些是指對業務需要處理的一些節點。
從信息安全角度出發對公眾信息通信網的要求
1、要愛提供截獲病毒、黑客攻擊手段的能力,截獲下來交給公安系統,至于以后病毒怎么處理那施公案系統做的事。
2、網絡狀態異常告警
3、網絡的數據平面和控制平面具有一定的抗海量數據攻擊的技術措施。
監管部門發現病毒、研究病毒這都是他們的事。發現黑客應該有應急網絡反應,對于以后的安全問題應該分兩大塊,一個是網絡和網絡管理者他應該管什么;管理者應該處理信息分析信息,這樣分開以后問題就好解決了。目前國安全的人越來越多,但是網絡里的安全問題越來越多。Internet 下一步一定是解決安全問題,而且已經肯定了問題要放在第一步。
推薦訪問: 信息產業部 總工程師 演講在偉大祖國73華誕之際,我參加了單位組織的“光影鑄魂”主題黨日活動,集中觀看了抗美援朝題材影片《長津湖》,再一次重溫這段悲壯歷史,再一次深刻感悟偉大抗美援朝精神。1950年10月,新中國剛剛成立一年,
根據省局黨組《關于舉辦習近平談治國理政(第四卷)讀書班的通知》要求,我中心通過專題學習、專題研討以及交流分享等形式,系統的對《習近平談治國理政》(第四卷)進行了深入的學習與交流,下面我就來談一談我個人
《習近平談治國理政》(第四卷)是在百年變局和世紀疫情相互疊加的大背景下,對以習近平同志為核心的黨中央治國理政重大戰略部署、重大理論創造、重大思想引領的系統呈現。它生動記錄了新一代黨中央領導集體統籌兩個
《真抓實干做好新發展階段“三農工作”》是《習近平談治國理政》第四卷中的文章,這是習近平總書記在2020年12月28日中央農村工作會議上的集體學習時的講話。文章指出,我常講,領導干部要胸懷黨和國家工作大
在《習近平談治國理政》第四卷中,習近平總書記強調,江山就是人民,人民就是江山,打江山、守江山,守的是人民的心。從嘉興南湖中駛出的小小紅船,到世界上最大的執政黨,在中國共產黨的字典里,“人民”一詞從來都
黨的十八大以來,習近平總書記以馬克思主義戰略家的博大胸襟和深謀遠慮,在治國理政和推動全球治理中牢固樹立戰略意識,在不同場合多次圍繞戰略策略的重要性,戰略和策略的關系,提高戰略思維、堅定戰略自信、強化戰
《習近平談治國理政》第四卷集中展示了以習近平同志為核心的黨中央在百年變局和世紀疫情相互疊加背景下,如何更好地堅持和發展中國特色社會主義而進行的生動實踐與理論探索;對于新時代堅持和發展什么樣的中國特色社
在黨組織的關懷下,我有幸參加了區委組織部組織的入黨積極分子培訓班。為期一周的學習,學習形式多樣,課程內容豐富,各位專家的講解細致精彩,對于我加深對黨的創新理論的認識、對黨的歷史的深入了解、對中共黨員的
《習近平談治國理政》第四卷《共建網上美好精神家園》一文中指出:網絡玩命是新形勢下社會文明的重要內容,是建設網絡強國的重要領域。截至2021年12月,我國網民規模達10 32億,較2020年12月增長4
剛剛召開的中國共產黨第十九屆中央委員會第七次全體會議上討論并通過了黨的十九屆中央委員會向中國共產黨第二十次全國代表大會的報告、黨的十九屆中央紀律檢查委員會向中國共產黨第二十次全國代表大會的工作報告和《