让全球网络更安全：许网络一个未来

　　今年的5月17日是一个不同寻常的日子。因为这天不仅是38界世界电信日，也是首届世界信息社会日。信息产业部围绕“让全球网络更安全”的主题，举行了盛大的庆祝活动。

　　信息产业部副部长奚国华、国务院信息工作办公室副主任杨学山等领导出席大会并致词。

　　国际电联电信标准化局局长赵厚麟表示，希望借此机会，提升社会各界对信息技术作为推动经济和社会发展的有力工具的认识，提高人们的网络安全意识。“相信通过世界电信日和世界信息社会日的庆祝活动，人们对信息社会的理解和期待程度会有新的提高，在全球网络安全的改善方面会有一大批新的动作，对使用网络的信心会大大增强。”

　　电信日和信息社会日的主题纪念活动，引起了社会各界对网络安全的广泛关注，但是人们使用网络的信心却并没有因此而迅速上升。

　　你对网络有信心吗？

　　记者采访了四位网民（以下使用化名），他们平时工作或生活十分依赖互联网。

　　柳眉，记者，善于接受新鲜事物。

　　“我申请了网上银行，平时在网上查询、转账，感觉非常方便。

　　“说实话，我也有担心，因此平时特别注意防病毒。我希望政府出台完善的法律法规，界定企业和公众应该承担的责任和权利。”

　　许见，摄影师。

　　“我家里装的是长城宽带，断网的事情经常有，但是运营商一般会提前通知。

　　“我对网络安全不太担心，因为我上网也就是收发邮件，图片上传下载。我有备份的习惯，再说文件价值不大，即使被盗取，也不会带来什么后果。”

　　“我没有尝试过网上银行，一是感觉没有必要，另一方面木马程序那么多，也没有信心去尝试。”

　　黄城，国家公务员，研究下一代互联网。

　　“我如果在网上买东西，都是小额的，且货到付款。首先是我的习惯问题，另一个对网络安全确实比较担心。

　　“3年以前尝试过网上缴费，当时只是觉得新鲜，现在已经不敢了。网络安全政策、法律法规、技术保障上都有很多欠缺，需要完善。我的态度就是等待，等待网络更安全。

　　“我的孩子17岁了，也就玩玩游戏，也不怎么用网上银行。”

　　段以信，大学教授，配有台式机和笔记本。

　　“经常在网上查找科研资料，收发电子邮件。这些一般应用，并不担心网络安全。我的两台电脑互为备份，即使被攻击，顶多文件丢了，损失也不会太大。

　　“我曾经在亚马逊网上书店上买书，直接输入信用卡号，但只有几十美元。因为亚马逊是网上书店的老大，值得我相信，技术肯定可靠。但是，国内网上书店，我一般采取货到付款的形式。

　　“我不敢在网上转账，或者开设网上银行账户。病毒这么厉害，你不知道哪天电脑里被安装了间谍软件，账号、密码随时可能被盗取。”

　　他们的心理代表了大多数人。根据中国互联网信息中心(CNNIC)2006年1月17日发布第17次中国互联网络发展状况统计报告，在1.1亿网民中，仅有24.5%网上购物，14.1%使用网上金融服务。

　　尽管这有生活习惯的原因，但人们对网络安全的担忧也是重要因素。尤其是在应用电子商务方面，因为担心利益受损，大多数人不敢轻易尝试。

　　网络安全真的如人们如担心的那样，脆弱的不堪一击吗？

　　运营商：我们一直在努力

　　“对网络安全的担心是正常的，也是合理的，但是对它要有积极的态度。”海南电信总经理靳东滨接受采访时说。靳东滨之前曾担任中国电信集团公司运行维护事业部总经理，对网络安全运维非常了解。

　　四个层次 全面安全

　　公众担心的是个人隐私不被侵犯，这只是网络安全的一部分。靳东滨介绍说，网络安全包括4个层次：一是物理网络安全；二是信息系统安全；三是数据安全；四是信息内容安全。

　　物理网络安全，即基础的网络设施包括软硬件等网络设备运行正常。靳东滨认为，在这个层次上，我国无论是技术装备，还是运维经验，在国际上都是先进的。

　　信息系统安全，即各行业的应用系统是安全的，如金融行业的交易系统，必须保证每笔交易的记录都是准确无误的。这个层面的安全，企业也都充分考虑到了，例如通过灾难备份、主热备份等手段，尽可能保证系统运行安全。

　　但是另外两个层面的安全，即数据安全和信息内容安全，仍然有待加强。通过网络传递的数据有可能被改写或盗取，互联网内容有可能被利用，甚至危害个人利益和国家安全。

　　除了公众关心的信息内容安全外，政府和企业也都非常重视网络安全。反病毒、反攻击和安全测评是他们急需解决的三大问题。

　　系统如果被病毒、木马和黑客攻击，各种基于网络的政务、商业等系统可能瘫痪。被网络滥用或垃圾邮件等手段攻击的主机，虽然不会泄漏信息，但系统穷于应付来势凶猛的恶意访问而不能再提供正常的服务，使得电子政务、电子商务这类应用也无法正常工作。

　　行业不同，对网络安全担心程度不同，采取的措施也不同。政府要害部门、金融行业是最重视的，大企事业单位和中小企业的重视程度依次递减。

　　靳东滨建议，企业在统一规划和建设网络系统时，提出安全等级要求。企业内部要科学管理，建立安全管理制度。

　　安全是座大山

　　公众和企业对网络安全的重视，对运营商的网络安全提出了更高的要求。中国电信在由“传统电信运营商”向“现代综合信息服务提供商”转型的过程中，建立了面向客户的网络安全服务体系。为企业和个人客户提供不同层次的专业化网络安全服务。

　　“中国电信一直关注网络安全，也为之做了很多努力。”靳东滨说，“最典型的是快速、高效、跨区域合作的‘网络安全服务体系’”。

　　中国电信的网络安全服务体系，包括完善的网络安全管理制度，国际先进技术以及网络安全应急机制。如在关口局设立安全防范措施，一旦发现涉及网络安全问题，立刻采取相应措施。

　　中国电信网络安全中心从集团延伸到各本地网，并与国际网络安全中心合作，建立全球联动机制。通过组建客户网络维护中心，形成一支直接为客户网络安全提供专业化服务的队伍，帮助企业客户评估网络安全风险，并加固安全措施。

　　在为客户服务的基础上，中国电信制定了一套“网络安全服务制度”，对垃圾邮件和网络滥用、安全预警、风险识别和控制、应急响应和安全培训等有严格的规范。

　　“中国电信有两方面的专家，一是电信网络安全专家，一是客户网络安全专家，把客户网络安全与电信网络统一起来。”靳东滨自豪地说。

　　除此之外，在电信接入层面，采取源地址校验和安全过滤，从源头防止入侵。在电信核心转发层，采用在线IP流量分析技术，为用户提供预警。QoS、MPLS等技术的使用，即使发生重大安全事件，客户应用依然能够保障。

　　就海南电信而言，它提供多种网络安全服务，包括端到端、一体化的全方位的服务产品和解决方案，实时监管、高效处理的安全服务能力和日常化、制度化的基础安全服务。

　　仍需努力

　　在2005年中国互联网大会上，信息产业部电信管理局苏金生局长指出，网络安全和信息安全已经与政治安全、经济安全、文化安全共同构成国家安全的重要组成部分。

　　另一方面，信息化深入到社会、经济和文化的各个领域，并成为影响社会发展的重要力量。电子政务、电子商务的开展，都对网络安全提出了很高的要求。在全球化、信息化的大背景下，政府、企业和社会公众行动起来，尤显可贵。

　　“政府应该完善网络和信息安全的法律法规，制定基础设备的国家标准”靳东滨说。据了解，一些国外安全设备仍存在安全隐患。因此，靳东滨建议，国家确立各行业网络和安全设备采购标准，并对其强制信息安全规范。另外，政府应该加大投入，提高国内安全产品生产能力。

　　对于企业来说，严格内部安全管理制度，确保信息和网络安全。“对于我们运营商来说，首先要执行国家法规和标准，对网络建设和维护承担责任，为用户提供网络安全支撑和服务”。靳东滨很清楚他身上的责任。

　　在2006年博鳌亚洲论坛上，靳车滨（右二）到会场指导通信保障工作。

　　教育网安全 不必恐慌

　　“没有谁敢保证网络是安全的。”中国教育与科研计算机网应急响应组、清华大学信息网络工程研究中心段海新博士说，“但是没有必要过于担心。”

　　中国教育与科研网（CERNET）是国内最大的公益性互联网络。它由清华大学在内的10所高校于1995年建设并试运行，目前已连接全国大部分高校和科研单位，成为一个全国性的教育科研基础设施，在国际学术网络中也很有影响力。从2001年起，受教育部委托，赛尔网络全面负责中国教育和科研计算机网主干网的运行与维护。

　　先天优势

　　因为教育网的特殊性，很多新的技术首先在教育网上试验运行，网络安全技术也是如此。

　　从建立之日起，教育网就配备了网络流量监测系统。最开始，网络流量监测是为用户计费，但它同时可以反映网络异常情况。

　　现在，教育网为网络安全开发了新的监测系统。有一线值班人员，监测网络运行状态。如果发现大的安全问题，应急响应组和赛尔网络运行部共同商讨应急解决方案。

　　一些大规模的网络安全事件，往往是教育网最先发现。段海新博士对2003年口令蠕虫病毒爆发事件记忆犹新。3月7日，用户报告网络变慢。正常情况下TCP、UDP流量最大，监测发现其它流量占用了大量的网络资源。应急响应组迅速报告教育网管理层，并会同运维部讨论控制解决方案。

　　赛尔网络客服部把网络异常情况迅速通知用户，并通过校园网管理员在边界路由器上提供控制措施。第二天网络恢复正常。

　　尽管如此，安全隐患并没有消失。这次蠕虫利用空口令感染大量的计算机被安装远程控制软件。

　　“就像把Sars病毒感染者隔离开来，隔离、切断感染网络病毒的终端，并不能解决根本问题。”段海新说。口令蠕虫病毒爆发之后，各地网络中心通过教育、培训、上门服务等多种方式，逐渐清除安全隐患。

　　安全问题典型

　　先天的技术优势，并不能保障教育网的安全。相反，因为用户多为大学生，网络安全问题异常突出。

　　企业网可以对软件安装、视频下载做出严格规定，但是教育网不可能限制太严格。大学生的计算机都是个人的，学校可以推荐防病毒软件，但是不能强制。前不久，就因为学生下载游戏插件，附带了木马程序，对校园网造成很大影响。

　　另外，大学生思维活跃，甚至有些学生对黑客技术比较感兴趣。这需要校园网管理员寻找一些符合校园特征的管理办法。

　　清华大学等高校采取了准入控制的办法，每个学生都有账号，每台机器都有独立的、合法IP地址。通过主干网监测，一旦发现不安全事件，可以锁定事件来源，从而防范不法行为。

　　段海新说，曾经有很多入侵事件都是通过IP地址很快追踪到当事人。

　　段海新认为，相比较三、四年以前，现在的网络安全技术有很大进步，相反用户的安全意识有待提高，系统管理员要加强培训。

　　“如果你在互联网上进行商业应用，一定要了解其中的风险。比如防范网上欺诈、间谍软件，输入口令账号等敏感信息时一定要谨慎。”段海新忠告说。

　　中国教育与科研计算机网应急响应组、清华大学信息保心段海新博士

　　图 CCERT安全事件处理流程

　　网络安全链条，仍需加固

　　——专访中国互联网协会秘书长黄澄清

　　记者（以下简称记）：国际电联为什么在电信日之外，新设立“世界信息社会日”？

　　黄澄清（以下简称黄）：信息社会一直沿着两条路推进，一是技术路线，即互联网的基础设施建设；另一条路线就是数字内容产业。这个方向越来越明确了，过去仅仅讲电信，它只代表了基础设施。随着信息化的发展，在基础设施上承载的业务更多，比如现在的互联网内容，电子商务、电子政务也好，休闲娱乐也好，这些都是信息化推进过程中的重要内容。所以提出了“世界信息社会日”。

　　记：今年的主题是“让全球网络更安全”，主要背景是什么？

　　黄：我参加了两次世界信息社会峰会，一次是2003年在日内瓦，一次是2005年12月底在突尼斯。各个国家最关心的，也就是网络信息安全。在全世界，网络安全的问题不仅仅涉及到网民，还涉及到国家的安全。

　　信息社会世界峰会提出一个理念“人人受益”。信息社会中，不能一部分人受益，一部分人受损。人人受益的理念如果要推进的话，必须要有网络安全做保障。围绕网络安全，很多国家提出，全球合作共同推进网络安全，共同建立应急处理协同机制。

　　在国内，很多人不愿意上网，一提上网他就担心：如果在网上做交易的话，对方是谁我也不知道，有人利用网络漏洞盗取银行账户密码怎么办？

　　如果是这种情况，网络的应用不会有很大发展。“让全球网络更安全”这个主题，让我们更清醒地认识到，在推进信息化的过程中，网络信息安全与发展的关系。我认为是，安全为了发展，发展促进安全。保障信息安全是为了发展，发展中也要重视网络安全。这样才能形成良性循环。

　　网络安全隐患颇多

　　记：就您看来，我国的网络信息安全是一种什么样的状况呢？

　　黄：我就说网络安全吧。因为信息安全是广义的，比较复杂。各个国家的法律法规、宗教信仰、文化等不同，对信息安全有不同的理解。同一个事件，在这个国家合法，在另一个国家可能就不合法。

　　最典型的是，在西方国家，成人网站是合法的，我们国家则是不允许的。信息安全和网络安全是一样的重要。

　　当前，我们国家的网络安全问题还是比较多的。现在，我们网络应用还没有发展到深入应用的程度，基本停留在休闲娱乐的阶段，玩玩游戏，看看大片。真正实现电子商务、电子政务或者是获取知识，还有一个发展的过程。

　　在这个阶段，网络安全显得没那么突出，实际上背后的问题比较多。人们对网络安全的重视远远不够。网络安全出了问题，当事者都是家丑不外扬，大事化小，小事化了。

　　比如，银行网站被黑掉了，篡改了网页，它赶紧想办法处理掉，息事宁人。大家都这样。这造成我们在统计网络安全事件时，基础数据统计上只少不多。

　　这给公众造成一个印象：网络安全没那么严重，但实际上并不是这样，隐患还是非常多的。大的蠕虫病毒、僵尸网络实际上给网络造成很大的安全问题。这几年，网络没有因为安全问题造成特别大的损失，我觉得这完全是个侥幸。

　　但这个问题如果不引起重视，对网络的发展有很大影响。网民一上网，首先想到网络不安全，如果做些与个人切身利益相关的事情，不糟糕了吗？我呼吁大家还是重视起来，推进网络持续、深入的发展。

　　安全是一个链条

　　记：公众已经觉得不安全，他们不愿意尝试互联网的更多应用，该怎么办呢？

　　黄：我觉得政府和企业要高度重视，拿出实实在在的措施来。如果企业做出承诺，保证网络是安全的，出了问题给出赔偿，是不是能够给网民一些信心呢？

　　但是企业敢不敢承诺，取决于它对网络安全是不是有信心。一个企业也很难保证网络安全，有的时候不是它自己的问题。

　　我觉得这是一个链条，政府重视并落实到位，给企业信心，企业给网民信心，然后才形成良性循环，使网民充分信任网络。网民看到，我的损失有人承担，我用网络才放心。这个链条刚刚起步，非常脆弱，而且有的只是停留在认识上面，没有真正落实。

　　另外，就是法律法规建设的有待完善。一旦出现争议以后，怎么界定责任和权利？这些都导致网民对网络使用信心不足。

　　行动起来 重视安全

　　记：现在，对网络不信任也是一种普遍的心理，政府、企业、公众应该做哪些努力？

　　黄：对，大家对网络不信任，也就对网络安全不关心。你好不好我不管，反正我不做与切身利益相关的事情。你安全我就用，你不安全我就不用。

　　但是如果大家都行动起来，把网络安全重视起来，互联网会有更大的发展。比如，你就是因为网络安全问题，不敢在网上做切身利益的事情。这种呼声高了，企业一定会重视起来，投入资金更多一点。

　　整个社会也应该建设应急保障体系。从政府来讲，网络安全是面向未来的政府最重要的公共服务。政府要建立应急协调处理机制。现在信息产业部下有一个应急协调处中心，一旦出了网络安全事件，它负责总的协调沟通，切断感染源，查找发起攻击的地方。

　　都知道，互联网无国界。可能A网瘫痪，根源在B网。一家公司出的问题，可能是另一个公司的原因，因此需要协调联动机制。虽然现在已经有了，但还需要完善，还应该加大资金投入。

　　记：作为行业组织，中国互联网协会为网络安全做了哪些工作？

　　黄：中国互联网协会有一个网络安全工作委员会，它为网络安全做了大量的工作。一是每年都要召开“应急协调处理”年会，宣传应急处理理念；二是通过会员单位汇总信息，把网络安全事件及时向行业通报，使大家更全面了解网络安全事件。同时，积极呼吁立法。

　　网络安全工作委员会还有一个身份是应急处理协调中心，它与国际组织的合作比较多，包括韩国、日本、澳大利亚。互联网无国界，国际合作非常重要。

　　网络技术是“道高一尺，魔高一丈”的。它总有新的技术突破安全屏障，然后再有更新的安全技术，对抗性很强。技术手段是解决网络安全的必要条件，但不充分。技术是基础，应急处理是充分条件。你能够及时发现，然后建立应急协调机制，把损失减到最小。

　　我们确定的应急处理原则是“积极预防，即使发现，快速响应，力保恢复”16字方针。一旦有了问题，及时把信息通报，切断发现源头，尽快恢复网络运行。

　　国家计算机网络应急技术处理协调中心副主任（兼）、中国互联网协会秘书长 黄澄清

　　2005年12月突尼斯信息社会世界峰会上，国际电联确定今年5月17日为“世界信息社会日”

　　第38届“世界电信”暨首届“世界信息社会日”纪念大会致词摘要

　　国际电联确定今年“世界电信日”的主题是“让全球网络更安全”，我认为这一主题具有鲜明的时代特色和很强的现实意义。在信息通信业的发展过程中，我国政府一直对网络和信息安全问题给与了密切关注和高度重视。然而，我们也清醒地看到，当前我国网络与信息安全工作面临的形势依然相当严峻。

　　为此，我们将坚持以人为本，进一步树立和落实科学发展观，按照建设社会主义和谐社会的要求，坚决打击网络犯罪，切实维护网络与信息安全，为推进信息社会建设提供坚实保障。第一，坚持网络发展与网络安全两手抓，推动信息通信业的和谐、有序、健康发展。第二，树立和落实社会主义荣辱观，构建健康和谐的网络环境。第三，加强科学管理和技术创新，建立完善的网络安全保障体系。第四，积极开展国际交流与合作，共同维护信息网络安全。（信息产业部副部长奚国华）

　　第38届“世界电信日”暨首届“世界信息社会日”纪念大会致词摘要

　　在向信息社会迈进的过程中，信息网络逐步成为不可或缺的基础设施，网络空间日益成为经济社会不可或缺的活动空间，网络安全已经成为国家安全的一个重要组成部分。

　　尽管我们国家的信息化发展水平还比较低，互联网渗透率不足10%，但必须高度重视、切实抓好信息安全保障工作。党中央国务院高度重视信息安全工作。2002年成立了国家网络与信息安全协调小组，2004年召开了全国信息安全工作会议，全面部署了信息安全工作。

　　迈向信息社会，保障网络安全，要特别重视两项主要任务：一是保证基础信息网络和重要信息系统的可生存性，二是建立规范的网络秩序。

　　抓住信息化发展机遇，保障信息安全任重道远，我们要围绕贯彻落实《2006～2020年国家信息化发展战略》，努力工作，开创我国信息化的新局面。（国务院信息工作办公室副主任杨学山）

　　(e129)