“互联网是人类智慧的结晶,20世纪的重大科技发明,当代先进生产力的重要标志。互联网深刻影响着世界经济、政治、文化和社会的发展,促进了社会生产生活和信息传播的变革。”
——中国国务院新闻办公室2010年6月8日《中国互联网状况》白皮书
徐国爱副教授
《中国互联网状况》白皮书充分肯定了互联网在加快国民经济发展、推动科技进步、加速社会服务信息化进程中的作用,表达了中国政府积极推进互联网健康发展和高效运用的决心。白皮书同时表示,中国政府会积极运用互联网在信息、经济、科技、生活等方面的影响力,营造良好的政策和市场环境,逐步完善国家信息网络基础设施,促进互联网持续快速健康发展,以满足人们日益增长的信息消费需求。
随着新技术的推动,互联网也出现了很多新特点,比如移动互联网的推广与普及、物联网和云计算技术的出现等,它们的出现带给用户更多的便利。但我们发现,新的挑战同步出现,网络安全问题日益突出,垃圾邮件、低俗网页、密码盗用、病毒侵害,甚至黑客攻击时有发生。这些问题不只带给用户困扰,有的甚至扰乱社会公共安全、威胁国家利益。
互联网确实拓宽了人与人之间的沟通渠道,促进了先进文化的广泛传播,带给人们更多新鲜的应用……基于这些有益于社会的功能,怎样才能让网络更好地服务于人?安全问题应该怎样更好地解决?如何充分保证个人信息与社会公共信息的安全?
三网融合试点公布,实名制推进也逐步进入实质阶段,国家这些举措对于网络信息安全有怎样的意义?这些制度的推进又有怎样的困难?
带着这些问题,我们走访了北京邮电大学信息安全中心博士、副教授、博士生导师徐国爱。
2008年联想集团副总裁韦卫博士(左一)一行访问北京邮电大学信息安全中心
信息网络安全 管理为重
1994年,我国正式接入国际互联网,成为互联网大家族的成员。随着技术的不断进步,互联网蓬勃发展,网络使用范围不断扩大、应用水平不断提高、网络文化异彩纷呈,互联网已经逐步成为社会生产的新工具、商务经贸的新载体、科技创新的新手段、文化传播的新途径、娱乐休闲的新方式,成为推动经济发展和社会进步的巨大力量。
但网络这把双刃剑,在不断带给我们便利的同时,也因发展太快相关管理不到位出现了很多问题,如上文提到垃圾邮件、病毒黑客、网络欺诈等。徐国爱认为,这些问题的存在,从某种意义上说是信息化建设过程中欠下的债。
早期互联网刚刚接入的时候,大家对于高科技的引进都很兴奋,一窝蜂地上了很多硬件设备,网络、系统的相关建设速度也很快。兴奋过后真正应用了才发现:安全问题如影随形。没有一个合理规范的网络管理制度,只引进设备和系统根本行不通。尤其近几年,随着互联网的快速发展,网络基本普及,信息化程度逐步提高,网络安全问题也以各种新的姿态和形式不断出现,且呈现越来越严重的态势。
国家已经意识到这个问题的严重性,近几年一直在推进互联网法律制度、网络基础管理制度和网络信息安全保障体系的建立和完善,从国家层面对互联网实行宏观管理。
从制定互联网法律制度并及时修订以适应互联网快速发展,到加强对网站域名、IP地址、登记备案和接入服务管理等互联网基础管理工作,到倡议电信、网络、接入服务、域名注册、互联网信息服务等相关企业行业自律和建立信息安全责任制,再到严厉打击不良信息和网络违法犯罪活动,规范网络秩序,近几年,我国政府和相关部门从我国国情出发,借鉴国外的有益经验,已经做了大量工作。
今天,我国已经初步形成了安全与发展并重、管理与技术相结合的网络信息安全保障体系。信息安全等级保护制度的逐步落实,国家基础信息网络和重要信息系统风险评估管理的不断规范,处处彰显着国家宏观调控的力度。
徐国爱认为,网络安全管理不仅在于国家层面,作为网络使用者的企事业单位也应该有相应的管理措施。随着电子商务的普遍应用,网络欺诈、商业信息泄露等情况时有发生,企事业单位的相关安全意识也在逐步提高,已经认识到信息安全问题是日常工作必不可少的环节。
“只要涉及到信息化、自动化,企业就应该在信息安全领域投入一定的力量,包括人力、财力、物力。有人会说,我不做电子商务,只是利用网络进行信息化管理。可以啊,但内网并不一定就是安全的,也要做足安全保障措施,防止信息泄露。”“设备买回来了还应该学会应用,锁头挂在门上不上锁起不到任何防范作用,防火墙买回来不会正确使用就没有任何意义。”因此,企业应该逐步摸索建立合理规范的规章制度来保障技术的正确使用。
个人用户—网络使用最庞大的群体,也应该了解更多的网络信息安全知识,提高自身的防范意识,以免造成不必要的损失。
如何处理好网络信息安全的问题,一方面靠技术,一方面是管理。人们常说“三分技术七分管理”。技术是一种工具、装备,是不断更新发展的;管理才是实质上的手段,是战略层面上的,是解决问题的核心。技术治标,管理治本,而管理策略的推进和实施也离不开技术的辅助。
建立安全的主机系统、网络系统是信息安全技术的主要方法,架构信息安全体系是信息安全管理的基本方法,两者必须密切配合起来,才能达到更好的效果。
2009年863信息安全等级保护技术联盟成立
实名制:理想与现实并存
实名制和三网融合是国家进一步推进网络安全管理制度,完善网络信息安全保障体系,促进网络更好发展的手段之一。
在徐国爱看来,网络实名是网络技术应用的基本需求,是解决涉及身份等特定问题的必不可少的手段。
“为什么这么说?从我们最熟悉的手机说起,最初手机作为高端的象征,是特别强调实名使用的。后来有段时间为了加快发展才改为部分实名,从现在的情况来看,走到最后,肯定是要全部实名。”在提到实名制的发展时,徐国爱以9月1日正式开始实施的手机实名制为例。他认为这些都是偏向基础设施建设的手段,有了它才可以做进一步的工作。就像身份证,它的出现并不是为了阻止犯罪,它也没有办法阻止犯罪,但身份证确实为我们抓捕罪犯提供了方便。在现实生活中,我们可以通过身份证方便快捷地解决很多基础性问题,这是一个以管理为主的手段,不可或缺。
现在国际上也在逐步推进实名制。“这一点韩国做得比较好,韩国几年前就已经开始实行实名制。美国也出台了相关政策,日本、欧洲也都在推进相关工作。从这个层面来看,实名制的实行是国际认可的发展方向,网络实名制这项基础制度的推进有很重要的意义。”
网络是一个身份完全缺失的虚拟环境,几乎没有身份的概念,治理起来有一定的困难,很多问题比现实生活中突出,甚至出现了现实生活中没有的新问题。当一些同身份相关的问题出现时,实名制就可以很好地解决,比如可以减少网络欺诈的出现,而且效果立竿见影。“但它毕竟只是作为解决身份问题的基本手段出现,与身份没有直接相关的问题,就很难达到这个效果了。例如黑客攻击,它作为一个团体行为,很难通过实名制一项措施来解决,就算有身份,黑客也可以用自己的技术进行攻防,它可以利用身份,就像有人可以冒用身份证一样。”因此实名制也有不能触摸到的极限,并不能解决所有的网络问题。
徐国爱特别强调,实名制的实行也不能完全等同于身份证的使用,毕竟网络和现实社会还是有差别的。网络作为一个虚拟的存在,除了延伸现实世界,方便我们的工作和生活以外,也有自己独特的存在价值。比如作为一个传播媒介和平台,网络的超低接入门槛给了普通大众畅所欲言、展现自己的可能,这在很大范围内是有积极意义的。
所以在实名制推进的过程中,应该区别对待,政务、商务等相对严格,与现实高度契合的应用必须严谨的实施,但在有些方面就可以放开。就像很多时候匿名留言听到的声音更真实,有些服务也可以保持它的神秘感。这样既能保留网络世界不可替代的神秘魅力,又可以作为现实世界的延展得到更好的应用。
2009年在芬兰赫尔辛基参加Slush会议
三网融合:机遇大于挑战
近年来,我国开始大力推动电信网、广播电视网和互联网三网融合。今年1月,国务院常务会议决定加快推进三网融合,明确提出时间表。7月,国务院公布第一批试点城市名单,由此,三网融合进入实质性阶段。
三网融合的发展将极大提高网络资源利用率,使人们更加方便快捷使用文字、话音、数据、图像、视频等多媒体综合业务,推动移动多媒体广播电视、手机电视、数字电视宽带上网等业务的应用,为大众提供更多丰富多彩的产品和服务,推动产业形态创新,推进我国从信息大国向信息强国转变。
但三网融合是一个长期而艰巨的过程,除了制度和管理层面的问题,很多技术上的问题也需要逐步摸索去解决。“在应用没有完全搞清楚的时候就上网,在应用的效率不知道如何体现的时候就大力推进,安全问题也是在逐步应用的过程中遇到了才开始考虑解决的办法。”这些在网络信息安全方面走过的弯路可以为三网融合的推进提供不少可供借鉴的经验,在建设早期甚至规划期就应该关注安全领域的问题。
电信网较之互联网更为安全,基本原因就是其封闭性和可控性更好。电信网的业务系统、基础支撑系统并非没有缺陷,只是封闭性和可控性从根本上抑制了这些缺陷进一步发展成为威胁、甚至安全事件。三网融合会很大程度打破电信网原有封闭特性,降低原有可控特性,如此,三网融合首先就会一定程度上引入互联网不安全的特性。不仅如此,三网融合还会推出不同于互联网和电信网原有业务的全新业务,这势必要求我们详尽地考虑可能出现的新问题。
尽管如此,但我们都看到了国家在三网融合前期筹备、逐步推进过程中相关工作的部署,国家现在有相对清楚的认识,会主动回避一些问题,也会针对某些问题做出提前规划。总的来说,三网融合机遇大于挑战。
三网融合工作的推进,北邮也参与了其中的课题,比如融合过程中安全问题的解决,相关的工作已经推进到很细的程度,在三网融合身份认证技术、三网融合环境下新业务开发和管理等问题上已经做了很多工作。
自主创新 我们一直在努力
除了三网融合工作的推进,徐国爱和他的团队还专注于信息网络安全检查技术的研究工作,比如等级保护安全符合性检验、移动互联网业务安全性评测等课题的研究。团队隶属于北京邮电大学信息安全中心,除徐国爱外还有五六个老师、六七十个学生。
科技的发展离不开创新,网络信息安全管理也在不断创新的过程中进步。科研创新一般可以分为原始性创新、集成性创新、引进消化吸收再创新三种方式。在我国,一般高校和企事业单位更多在做集成创新,创新完成后再拿去企业做技术消化。相对而言,原始创新是最薄弱的,也是我们最应该努力突破的环节。
“比如我们常用的电脑,绝大部分都不是自己制造的,这是我们的现状。”徐国爱说这些情况提起来会比较惭愧,但作为学校的老师,最主要的工作是培养学生,其次才是科研、管理,精力确实有限。“在这种情况下,我们确实希望能够尽量多做原始创新,我们也一直在努力。这十年来,国家的大环境逐步转变,我们也一直在改正自己的问题,不断改变结构,让分工更合理。通过不断的学习、积累,既保证生存,又努力做到创新。”
现在看来,在某些技术领域,徐国爱和他的团队已经做到了自主创新,比如源代码的安全检测与分析已经在国际上处于领先地位。尽管我们同欧美先进国家仍然存在差距,各种先进技术的台阶很高,需要的时间很长,但我们相信,徐国爱们会不断吸取前人的经验,在自主创新的道路上稳步向前。
除去创新,徐国爱提到最多的就是合作。信息安全是攻防对抗发展的特殊行业,攻与防在博弈中此消彼长。而检测从管理角度来说是相通的,可以服务很多行业,情况不同,问题不同,但总体解决方法类似。因此徐国爱和他的团队需要与不同领域、不同行业的人打交道,他们一直在为别人的信息安全管理服务,甘做绿叶。团队在承担国家项目以外,也会有选择地同企业合作一些项目,一方面可以了解企业正在做什么,另一方面也能够在一定程度上弥补项目组经费不足的情况,实现资金循环,提高年轻教师的积极性。
在社会高速发展的今天,很多事情已经不是一个人可以完成的,科研工作也在团队协作下稳步推进,尤其交叉学科的研究,更需要多人多部门合作完成。也因为安全课题本身的特殊性决定了合作是一种基本而必须的工作方式,比如团队承担的信息安全等级保护、三网融合等项目,实际上是很多单位在做,他们只负责“其中一部分”。
老实做人 踏实做事
为了这“其中一部分”的工作,徐国爱和他的团队投入了大量心血,反复检查、测试,不断试验,技术实现突破那一刻,所有的付出都有了回应。他们心怀自主创新的精神,秉持着“老实做人,踏实做事”的原则,一步一个脚印,在信息安全领域不断向前。
“老实做人,踏实做事”,徐国爱将自己多年的经验教给学生。在严格的制度下,徐国爱会根据每个学生自身的情况,给他们各种尝试的机会,给学生创造产业化的条件。他希望学生尽快成长,能够顺畅地表达自己、与人沟通,能够承受一定的打击,然后才是工作能力、技术能力的培养。
徐国爱出生在江西鄱阳县,自幼长在农村,祖祖辈辈都是农民。多年在外求学,看似坎坷,但回头看时,反而觉得幸运。本科时期的上饶师范培养了他的自信,硕士阶段的华中理工给了他严谨的学术精神和学习方法,而博士阶段的北邮则让他在自己的领域有更广阔的天地。徐国爱说,不同的环境给人不同的成长经验。吃过很多苦,经受过挫折,也身处过艰难复杂的环境,对于曾经的过往,徐国爱心怀感激。