方濱興院士談黑客攻擊

0、方濱興簡介方濱興，1981年畢業(yè)于哈爾濱工業(yè)大學(xué)計算機系，1982年考入清華大學(xué)計算機系攻讀碩士學(xué)位，1989年獲哈爾濱工業(yè)大學(xué)博士學(xué)位。中國工程院院士，現(xiàn)任北京郵電大學(xué)校長，中國通信標(biāo)準(zhǔn)化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會（TC8）主席，中國計算機學(xué)會計算機安全專委會主任，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與安全工作委員會主任，中國通信學(xué)會通信安全專委會主任等職。TOC\o"1-5"\h\z\o"CurrentDocument"0、方濱興簡介 1\o"CurrentDocument"1、方濱興院士“拖堂”演示黑客有多“黑” 1\o"CurrentDocument"2、 方濱興院士：八大信息安全技術(shù)的創(chuàng)新點 3\o"CurrentDocument"3、 方濱興：五個層面解讀國家信息安全保障體系 7\o"CurrentDocument"4、方濱興：提高網(wǎng)絡(luò)和信息安全保障水平 111、方濱興院士“拖堂”演示黑客有多“黑”/News/201003/45474.html新聞錄入：浣花溪責(zé)任編輯：snow611【字體：小大】“那天在國家大劇院看了韓再芬的表演，我覺得我也應(yīng)該給大家做點貢獻……”昨天上午的安徽代表團全體會議“拖了一會兒堂”，各位代表都發(fā)言結(jié)束后，北京郵電大學(xué)校長、中國工程院院士方濱興表示，將利用自己研究網(wǎng)絡(luò)安全的特長，為來自各行各業(yè)、身兼重要職務(wù)的代表們添加一個“特別節(jié)目”，介紹木馬病毒。這堂課，時間不長，但是精彩非常。聽完方濱興的講課，有代表預(yù)測，大家將興起一片“殺毒熱潮”。公安局網(wǎng)站“住”著黑客說到網(wǎng)站被黑客攻擊，方濱興又開始了一場精彩的演示。“為了演示網(wǎng)站被‘黑’，昨天晚上我特地找了一堆安徽的例子……”由于害怕大家認(rèn)為網(wǎng)站被黑是一件像點名批評一樣沒面子的事，方濱興特別安慰：“國務(wù)院的網(wǎng)站都會被黑，這不是一件壓力很大的事?！庇谑?，方濱興找了一堆“正在被黑”的政府各部門網(wǎng)站?！斑@是一個‘超級免殺大馬’，殺都殺不掉。我們看看它住在哪個網(wǎng)站里……”點開這個網(wǎng)站，只見屏幕上出現(xiàn)了“宿州市政府信息公開網(wǎng)”的首頁，全場哄堂大笑。接著，方濱興又找到了幾家正在被木馬“安家”的網(wǎng)站，屏幕上“銅陵市科技局網(wǎng)絡(luò)辦公平臺”、“黟縣財政局”、“巢湖市公安局”……依次亮相。木馬演示嚇壞韓再芬木馬病毒的危害是什么？方濱興介紹，“它們能啟動攝像頭，看你在干什么；能啟動你的音頻設(shè)備，聽到你的聲音；能進入你的電腦，看你電腦里的東西……總之就像在你家里一樣?！彪m然說得這么可怕，但是代表們也沒有顯出特別的恐懼。這時，方濱興打開電腦中的資料，決定向代表們“演示一個真實的木馬”。只見方濱興當(dāng)場選中一個自己截獲的黑客在網(wǎng)絡(luò)上放置的木馬病毒，隨機點擊了一臺這個木馬可以監(jiān)控的電腦。這時候，觸目驚心的一幕出現(xiàn)了?！拔覀兛梢源蜷_他的攝像頭……”很快屏幕上出現(xiàn)一個視頻窗口，可以看到一個人的腦袋尖，似乎是正坐在電腦前操作電腦。接著，方濱興依次完成了查看這人的資料、拷貝他電腦內(nèi)的文件等一系列“黑客”行為。在演示過程中，韓再芬代表一臉嚴(yán)肅，并與一旁同樣面色凝重的女代表交流了一下眼神，說了一句：“好恐怖!”方濱興提醒：“有攝像頭的電腦千萬別往臥室里放，不然會很被動的……”一句話引得與會代表會意地哄堂大笑。網(wǎng)銀要怎么用才安全對于大家正在普遍使用的網(wǎng)上銀行，方濱興的介紹讓大家看到了一場人與電腦的拉鋸戰(zhàn)。密碼、U盾、電子口令卡……什么樣的保護最為安全？方濱興介紹，即便是普遍認(rèn)為安全的U盾，也可能給黑客可乘之機?，F(xiàn)在看來，什么樣的口令是安全的？方濱興介紹，必須有“人”參與控制。方濱興舉例，如果U盾上有一個按鈕，發(fā)送口令時需要使用者去按一下，那么它就是安全的。如果沒有這樣的人控按鈕，而是U盾自己發(fā)送口令，那么即便U盾只插在電腦上幾秒鐘，也是不安全的，黑客可以控制獲取口令?！皩τ陔娔X來說，幾秒鐘的時間，什么事都做完了?！睂τ诳稍阢y行購買的動態(tài)口令“刮刮卡”，方濱興介紹，這也是安全的。但是，如果被黑客盯上，只要用上20多次，就能基本掌握所有對應(yīng)的口令。所以，用上20多次，就應(yīng)更換了。萬無一失要三臺電腦會議結(jié)束后，方濱興成了忙人，立刻被代表圍住。不少代表帶著自己的筆記本電腦進行現(xiàn)場請教。也有代表希望方濱興再上一堂課：“您再給我們上堂課，教教我們怎么殺這些木馬吧！”程恩富代表拉住方濱興探討怎么解決這一問題，“是不是要趕快搞‘實名制’？”“趕快要進行立法，進行嚴(yán)懲……”“光靠我們防，會累死的!”雖然會議已經(jīng)散場，孫兆奇代表還在與另一位代表各自捧著電腦互相討論了十來分鐘。當(dāng)兩人沉重地合上電腦屏幕走出會場時，嘆道：“像我們這樣工作離不開電腦的人，就是沒有秘密了?！弊鳛榫W(wǎng)絡(luò)安全專家，方濱興院士怎么用電腦呢？方濱興介紹，他出差是要帶三臺筆記本電腦的。一個專門平時使用的電腦，里面沒有秘密內(nèi)容；一個用來放重要資料，悉心保護確保絕對安全；一個就是手里這臺，專門放病毒進行研究的電腦。您對本文章有什么意見或著疑問嗎？請到論壇討論您的關(guān)注和建議是我們前行的參考和動力摘自紅色黑客聯(lián)盟()原文：/News/201003/45474.html2、方濱興院士：八大信息安全技術(shù)的創(chuàng)新點http://news.xinhuanet.eom/newmedia/2007-05/10/content_6082070.htm隨著互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，信息安全已深入到諸多領(lǐng)域，越來越多的企業(yè)用戶和個人用戶開始沉下心來，認(rèn)真思考著一個問題：當(dāng)各種各樣針對應(yīng)用的安全威脅來臨之時，如何在日益增長并更為復(fù)雜的各種應(yīng)用中有效地進行自我保護，如何將思路創(chuàng)新、技術(shù)創(chuàng)新的破冰之計與信息安全更好地融合在一起，守好自己的那一方陣地？其實，從較為完整的經(jīng)典網(wǎng)絡(luò)安全防護模型--APPDRR中，可以看到網(wǎng)絡(luò)安全需要的基本要素是：分析、安全策略、保護、檢測、響應(yīng)和恢復(fù)，針對這六個基本要素，需要重點關(guān)注安全測試評估、安全存儲、主動實施防護模型與技術(shù)、網(wǎng)絡(luò)安全事件監(jiān)控、惡意代碼防范與應(yīng)急響應(yīng)、數(shù)據(jù)備份與可生存性六項技術(shù)，及衍生而來的可信計算平臺技術(shù)和網(wǎng)絡(luò)安全管理與UTM技術(shù)的創(chuàng)新點。4月12日，在2007中國電子信息創(chuàng)新技術(shù)年會上，中國工程院院士、信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室主任方濱興，暢談了自己對這八項重點技術(shù)創(chuàng)新點的看法。（一）安全測試評估技術(shù)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從多角度進行立體防護。要知道如何防護，就要清楚安全風(fēng)險來源于何處，這就需要對網(wǎng)絡(luò)安全進行風(fēng)險分析。方濱興認(rèn)為網(wǎng)絡(luò)安全的風(fēng)險分析，重點應(yīng)該放在安全測試評估技術(shù)方面。它的戰(zhàn)略目標(biāo)是：掌握網(wǎng)絡(luò)與信息系統(tǒng)安全測試及風(fēng)險評估技術(shù)，建立完整的面向等級保護的測評流程及風(fēng)險評估體系。他談到，這一點和過去不一樣，過去進行測評沒有強調(diào)等級保護，就是按照以往測評的模式進行。而現(xiàn)在《國家信息化中長期科學(xué)與技術(shù)發(fā)展戰(zhàn)略規(guī)劃綱要》已經(jīng)明確提出，網(wǎng)絡(luò)安全測試要按照等級保護的原則進行，所以測評也需要服務(wù)于這一點。那么〃安全測評〃的主要創(chuàng)新點又是什么？方院士認(rèn)為：首先，要建立適應(yīng)等級保護和分級測評機制的通用信息系統(tǒng)與信息技術(shù)產(chǎn)品測評模型、方法和流程，要適應(yīng)不同的級別就要有不同的測評方法，這里的分級要符合等級保護機制，重點放在通用產(chǎn)品方面，所謂通用產(chǎn)品就是要建成一個標(biāo)準(zhǔn)的流程，不能完全是一事一議，如此一來互相之間也才會有所比較；要建立統(tǒng)一的測評信息庫和知識庫，即測評要有統(tǒng)一的背景；制定相關(guān)的國家技術(shù)標(biāo)準(zhǔn)。其次，要建立面向大規(guī)模網(wǎng)絡(luò)與復(fù)雜信息系統(tǒng)安全風(fēng)險分析的模型和方法；建立基于管理和技術(shù)的風(fēng)險評估流程；制定定性和定量的測度指標(biāo)體系。如果沒有這個指標(biāo)體系，只能抽象地表述，對指導(dǎo)意見來講并沒有太多的實際意義。（二）安全存儲系統(tǒng)技術(shù)在安全策略方面，方院士認(rèn)為重點需要放在安全存儲系統(tǒng)技術(shù)上。其戰(zhàn)略目標(biāo)有兩點：一是要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù)，保障存儲數(shù)據(jù)的機密性和安全訪問能力。二是要掌握高可靠海量存儲技術(shù)，保障海量存儲系統(tǒng)中數(shù)據(jù)的可靠性。關(guān)于〃安全存儲"，方院士強調(diào)：首先，采用海量（TB級）分布式數(shù)據(jù)存儲設(shè)備的高性能加密與存儲訪問方法，并建立數(shù)據(jù)自毀機理。他談到為海量信息進行高性能加密，雖然有加密解密的過程，但對訪問影響并不明顯。這其中不能忽視的是此舉對算法的效率提出了很高的要求，應(yīng)該加以注意。而且一旦數(shù)據(jù)出現(xiàn)被非授權(quán)訪問，應(yīng)該產(chǎn)生數(shù)據(jù)自毀。其次，采用海量（TB級）存儲器的高性能密文數(shù)據(jù)檢索手段。需要指出的是，加密的基本思路就是要把它無規(guī)則化，讓它根本看不到規(guī)則，這才是加密。而檢索就是要有規(guī)律，所以這里就要提出一個折中的方法，如何加密對檢索能夠盡可能的支持，同時又具備一定的安全強度。這就對密碼算法和檢索都提出來了挑戰(zhàn)。再次，構(gòu)建基于冗余的高可靠存儲系統(tǒng)的故障監(jiān)測、透明切換與處理、數(shù)據(jù)一致性保護等方面的模型與實現(xiàn)手段。這里高可靠的關(guān)鍵的還是要依賴冗余，一旦系統(tǒng)崩潰，還有冗余信息。最后，制定安全的數(shù)據(jù)組織方法；采用基于主動防御的存儲安全技術(shù)。（三）主動實時防護模型與技術(shù)在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下，安全大戰(zhàn)愈演愈烈，防火墻、殺毒、入侵檢測〃老三樣〃等片面的安全防護應(yīng)對方式已經(jīng)越來越顯得力不從心，方院士認(rèn)為這需要的不僅僅是片面的被動防護，而更要在防護的過程中強調(diào)主動實時防護模型與技術(shù)。他認(rèn)為主動防護的戰(zhàn)略目標(biāo)應(yīng)該是：掌握通過態(tài)勢感知，風(fēng)險評估、安全檢測等手段對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢進行判斷，并依據(jù)判斷結(jié)果實施網(wǎng)絡(luò)主動防御的主動安全防護體系的實現(xiàn)方法與技術(shù)。傳統(tǒng)的防護一般都是入侵檢測，發(fā)現(xiàn)問題后有所響應(yīng)，但是現(xiàn)在越來越多的人更加關(guān)注主動防護，通過態(tài)勢判斷，進行系統(tǒng)的及時調(diào)整，提高自身的安全強度。通過感知，主動地做出決策，而不是事后亡羊補牢，事后做決策。方院士在談到主動防護時說：一是建立網(wǎng)絡(luò)與信息系統(tǒng)安全主動防護的新模型、新技術(shù)和新方法；建立基于態(tài)勢感知模型、風(fēng)險模型的主動實時協(xié)同防護機制和方法。二是建立網(wǎng)絡(luò)與信息系統(tǒng)的安全運行特征和惡意行為特征的自動分析與提取方法；采用可組合與可變安全等級的安全防護技術(shù)。方院士進一步強調(diào)，不同的系統(tǒng)會有不同的需求，應(yīng)該具備一定的提取能力，進而監(jiān)控其特征，通過監(jiān)控判斷所出現(xiàn)的各種情況。另外，如果通過檢測發(fā)現(xiàn)惡意行為，應(yīng)該對其特征進行提取，提取的目的就是為了進一步監(jiān)測，或在其他區(qū)域進行監(jiān)測，檢查同樣的情況是否存在，如果存在，就要對這個態(tài)勢進行明確的分析，而這些都需要有自動的特征提取。（四）網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)監(jiān)測是實現(xiàn)網(wǎng)絡(luò)安全中不可或缺的重要一環(huán)，這其中要重點強調(diào)的是實施，即網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)。方院士認(rèn)為實時監(jiān)控的戰(zhàn)略目標(biāo)是：掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運行的能力，支持多網(wǎng)融合下的大規(guī)模安全事件的監(jiān)控與分析技術(shù)，提高網(wǎng)絡(luò)安全危機處置的能力。需要強調(diào)的是三網(wǎng)融合勢在必行，不同網(wǎng)的狀態(tài)下，要實現(xiàn)融合，這就對進行監(jiān)測就提出了一定的要求，監(jiān)測水平需要有所提升。（中國傳媒科技第4期/介白）3、方濱興：五個層面解讀國家信息安全保障體系作者：琰珺2009-06-01/a2009/0531/580/000000580000.shtml“國家信息安全保障體系是在2006年被提出來的，包括積極防御、綜合防范等多個方面的多個原則，但如今面對業(yè)已取得的成果，仍有必要深刻理解該體系?！北本┼]電大學(xué)校長/中國工程院院士方濱興指出，當(dāng)前國家信息安全的保障體系可以圍繞“五個層面，一、二、三、四、五”來解讀。具體如下：一，即一個機制，就是要建立、維護國家信息安全的長效機制。二，是指兩個原則：第一個原則是積極預(yù)防、綜合防范;第二個原則是立足國情，適度安全。三，是指三個要素：人才、管理、技術(shù)。四，是指四種核心能力：法律保障能力、基礎(chǔ)支撐能力、輿情駕馭能力和國際影響力。五，是指五項主要的技術(shù)工作：風(fēng)險評估與等級保護、監(jiān)控系統(tǒng)、密碼技術(shù)與網(wǎng)絡(luò)信任體系、應(yīng)急機制、災(zāi)備。一、 一個機制所謂的一個機制，是說機制一定是一個完善長效的機制，一方面是在組織協(xié)調(diào)性上，另一方面是在支撐力度上。這需要宏觀層面，包括主管部門予以支持。二、 兩個原則第一個原則是積極防御、綜合防范。這一點比較清楚地論述了信息安全和信息化的關(guān)系。在這個里面，積極當(dāng)然有多種含義，雖然我們并不提倡主動攻擊，但是掌握攻擊技術(shù)是防御所需要的。但是值得注意的是，真正意義上的積極防御，是指一旦出現(xiàn)一個新的技術(shù)，我們就立即要想到研究這個新技術(shù)會帶來什么安全性問題，以及這樣的安全性問題該怎么辦？比如說Web2.0概念出現(xiàn)后，甚至包括病毒等等這些問題就比較容易擴散，再比如說Ipv6出來之后，入侵檢測就沒有意義了，因為協(xié)議都看不懂還檢測什么……所以說這些信息化新技術(shù)的出現(xiàn)同時也都呼喚新的安全技術(shù)。另外，技術(shù)解決不了的還得靠管理，比如說等級保護，當(dāng)然等級保護主要是面向政府部門的。那么反過來，管理做不了的也得靠技術(shù)，你說有病毒，光嘴上說不行，還得有技術(shù)防范。再有就是強調(diào)了核心保障。第二個原則是立足國情、適度安全。這里面主要是強調(diào)綜合平衡安全成本與風(fēng)險，如果系統(tǒng)風(fēng)險不大就沒有必要花太大的安全成本來做。在這里面需要強調(diào)一點就是確保重點的，如等級保護就是根據(jù)信息系統(tǒng)的重要性來定級，從而施加適當(dāng)強度的保護。此外，當(dāng)你在發(fā)展的時候必須要考慮到適度的安全問題，做安全也是為了促進發(fā)展，而不是限制發(fā)展，所以盡管我們現(xiàn)在覺得需要為了節(jié)約只需要物理解決的就用物理解決，但同時也在研究一系列的技術(shù)來替代，這個是國情的需要。三、三個要素三個要素包括人才、管理、技術(shù)。從人才角度來說，國家信息安全保障體系強調(diào)了兩個方面，一個方面是培養(yǎng)人才，包括學(xué)歷教育、研究、以及學(xué)科層面，不僅要培養(yǎng)本科生、研究生，還要加強培訓(xùn)和網(wǎng)絡(luò)教育、加強信息安全宣傳工作和網(wǎng)絡(luò)文明建設(shè)，也都需要相關(guān)的支持，基本上跟信息相關(guān)的底下都有這個。此外，就是論壇、媒體的努力。當(dāng)然，吸引和用好高素質(zhì)的信息安全管理和技術(shù)人才的機制也很有有用。就管理這一點而言，其實互聯(lián)網(wǎng)上的管理主要是靠四句話：法律保障、行政監(jiān)管、行業(yè)自律、技術(shù)支撐。我們還可以把管理分為三級措施，最高一級是領(lǐng)導(dǎo)層，制定方針，國家說積極預(yù)防、綜合防范，這是一種方針，其次是執(zhí)行層，再有就是具體的法規(guī)，要嚴(yán)格規(guī)章制度。此外還有標(biāo)準(zhǔn)，標(biāo)準(zhǔn)是從技術(shù)角度、管理角度引導(dǎo)你，你不會做按照這個做就行了。也就是說標(biāo)準(zhǔn)解決怎么做，法規(guī)解決做什么的問題。到微觀方面就是說各個管理機構(gòu)，要做好規(guī)章、制度、策略、措施。需要說明的是，機制就是怎么管，我們現(xiàn)在是通過一些認(rèn)證測評、市場準(zhǔn)入來對安全做管理，這里面對產(chǎn)品服務(wù)做認(rèn)真測評，包括政府采購也是受一定的限制。而措施則是，你到底管哪些事情，如等級保護這個是要管的，這個是沒有問題的;再比如系統(tǒng)安全、產(chǎn)品的采購包括測評、密碼技術(shù)等都在管理范疇。第三個層面是信息安全技術(shù)，信息安全技術(shù)在這里面特別強調(diào)的是對引進的產(chǎn)品的安全問題，如它的安全可控必須要有人管。同時我們還要研究新技術(shù)、新業(yè)務(wù)，包括網(wǎng)絡(luò)安全、內(nèi)容安全、密碼、安全隔離手續(xù)等。當(dāng)然這其中也少不了需要政策導(dǎo)向和市場機制，當(dāng)然最終的目標(biāo)就是信息安全還應(yīng)該以自主知識產(chǎn)權(quán)為主。四、四個核心能力四個核心能力，主要是信息安全的法律保障能力，信息安全的基礎(chǔ)支撐能力，網(wǎng)絡(luò)輿情駕馭能力。再有一個就是信息安全的國際影響力。就法律保障能力而言，業(yè)內(nèi)一致認(rèn)為要有一個信息安全法，有了這個核心法，才能做一系列的下位法和相應(yīng)的制度，目前來看這個信息安全法的出臺還需要些時間。第二個能力叫做基礎(chǔ)支撐能力，就是說國家要有一系列的相應(yīng)的基礎(chǔ)支撐，比如說數(shù)字證書、計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)體系、災(zāi)難恢復(fù)體系等等，再比如說密鑰管理、授權(quán)管理等等，這些都是做得很成功的，而網(wǎng)絡(luò)輿情掌控的體系，一些部門也都有，但它的運行效果還有很多需要改進的余地。第三個能力是輿情駕馭能力，我們要關(guān)注三個如何，如何引導(dǎo)網(wǎng)絡(luò)輿論，如何對網(wǎng)上的熱點話題做訪問，如何提高處置網(wǎng)絡(luò)的能力。這些實際上都是我們輿情駕馭能力的標(biāo)志。輿情駕馭的具體目標(biāo)是首先要有發(fā)現(xiàn)和獲取能力，其次要有分析和引導(dǎo)的能力，再后要有預(yù)警和處理的能力。第四個是國際影響力。只有在信息安全較量中才能體現(xiàn)出一個國家的信息安全影響力。所以，這就需要發(fā)揮信息安全整體資源的優(yōu)勢，這其中包括對有害信息的應(yīng)對能力、技術(shù)手段。用逆向思維的話，就是說假如出現(xiàn)最壞的情況網(wǎng)絡(luò)被惡意中斷，那么至少能保持一個封閉體系還能繼續(xù)運轉(zhuǎn)，這可能必須要有域名的解析，當(dāng)然這個國內(nèi)現(xiàn)在已經(jīng)做到了。五、五項工作五項工作包括：加強風(fēng)險評估工作，建立和完善等級保護制度;加強密碼技術(shù)的開發(fā)利用，建設(shè)網(wǎng)絡(luò)信任體系;建設(shè)和完善信息安全監(jiān)控體系;高度重視信息安全應(yīng)急處置工作;災(zāi)難備份等。第一，風(fēng)險評估和等級保護，兩者相輔相成需要一體化考慮。因為風(fēng)險評估是出發(fā)點，等級劃分是判斷點，安全控制是落腳點，所以風(fēng)險評估和等級保護這兩件事兒是不可分的，只有知道了系統(tǒng)的脆弱性有多大，等級保護才能跟上去。第二，網(wǎng)絡(luò)信任體系主要是靠密碼技術(shù)，還要強調(diào)密鑰體系。第三，網(wǎng)絡(luò)監(jiān)控系統(tǒng)，強調(diào)國家對各個運營單位都要求有相應(yīng)的信息監(jiān)控系統(tǒng)，要有處理信息的能力，這樣起碼對一些網(wǎng)絡(luò)攻擊，防范失泄密可以提供支持。第四，應(yīng)急響應(yīng)體系，國家在2003年SARS之后就開始建立應(yīng)急響應(yīng)體系，2008年的1月份出現(xiàn)了凝凍災(zāi)害天氣，充分考驗了這個體系。所以信息安全也有國家級的預(yù)案，或許將來會做更多的宣貫。第四，災(zāi)難備份，這個里面最重要的目標(biāo)是力?；謴?fù)，其次是及時發(fā)現(xiàn)，接下來才是快速響應(yīng)。4、方濱興：提高網(wǎng)絡(luò)和信息安全保障水平發(fā)布日期：2009-01-01/alumni/infoSingleArticle.do?articleId=10030027&columnId=100126072008年僵尸網(wǎng)絡(luò)、木馬、拒絕服務(wù)攻擊的泛濫，給我們的通信網(wǎng)絡(luò)敲響了警鐘。移動、固網(wǎng)、互聯(lián)網(wǎng)的融合，更使網(wǎng)絡(luò)世界無一處安全之地。魔高一尺，道高一丈，2009年安全之戰(zhàn)如何持續(xù)上演？在部委調(diào)整、電信重組后，中國的網(wǎng)絡(luò)和信息安全又面臨哪些新問題？在網(wǎng)絡(luò)安全斗爭中的運營商又應(yīng)何去何從？針對這些問題，《電信技術(shù)》記者專訪了北京郵電大學(xué)校長、中國工程院院士方濱興。記者：從世界范圍來看，網(wǎng)絡(luò)與信息安全面臨的整體形勢是怎樣的？這兩年主要的變化是什么？方濱興：從世界范圍來看，黑色產(chǎn)業(yè)鏈越來越成為焦點，黑客的技術(shù)炫耀開始與經(jīng)濟利益越綁越緊；與此相對應(yīng)，僵尸網(wǎng)絡(luò)、木馬等變得越來越活躍，而一般性質(zhì)的蠕蟲，尤其是大規(guī)模蠕蟲則相比過去黯淡了許多；由于幾乎沒有遇到太多法律上的對抗，導(dǎo)致黑客對網(wǎng)頁的攻擊越來越泛化，例如釣魚網(wǎng)站因域名劫持等手段的越來越高超而變得防不勝防。記者：我國在網(wǎng)絡(luò)與信息安全方面面臨的形勢如何？對于解決網(wǎng)絡(luò)與信息安全問題，我國的基本策略和指導(dǎo)思路是什么？與國際上有何區(qū)別？方濱興：在互聯(lián)網(wǎng)應(yīng)用與普及方面我國已經(jīng)進入了世界大國的行列，因此我國的信息安全問題與國際上的問題基本接軌。比如，我國每年被黑網(wǎng)頁在10萬個數(shù)量級左右，釣魚網(wǎng)站數(shù)量占世界總量比例偏高，位于我國的僵尸網(wǎng)絡(luò)的肉雞數(shù)量位于世界的前列，DDoS的受害者數(shù)量非常龐大。我國在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動，企業(yè)重在引導(dǎo)，公眾重在宣傳。就是說，凡是政府信息系統(tǒng)，必須接受信息系統(tǒng)安全等級保護條例的約束，以行政的手段來強化信息系統(tǒng)的安全；凡是企業(yè)的系統(tǒng)，通過對信息安全產(chǎn)品的市場準(zhǔn)入制度，以保證企業(yè)所采用的信息安全防護手段符合國家的引導(dǎo)思路；公眾方面則通過對網(wǎng)絡(luò)安全方面的廣泛宣傳，讓公眾對網(wǎng)絡(luò)安全具有正確的認(rèn)識，從而提高相應(yīng)的防范能力。就信息安全而言，根據(jù)要求政府在網(wǎng)吧管理方面設(shè)立相應(yīng)的管理措施，以保證網(wǎng)吧處于信息安全管理框架之下；就終端而言，政府集中投資讓進入市場的計算機預(yù)裝上家庭信息安全管理軟件，從而保證家庭用戶的合法權(quán)益，保證青少年的身心健康。記者：在信息與網(wǎng)絡(luò)安全研究方面我國目前重點主要集中在哪些方面？在技術(shù)、實施、組織思路方面與國際上相比有什么優(yōu)劣勢？最近兩年有什么重大突破？方濱興：目前，政府在信息系統(tǒng)等級保護方面加大了推進力度，已經(jīng)完成了等級保護的定級工作，接下來的工作就是采取有效措施來實施信息系統(tǒng)的安全等級保護技術(shù)。等級保護的大力推動，一方面在國際上展示了我國政府對信息安全和網(wǎng)絡(luò)安全的管理決心，另一方面，等級管理制度的建立，突破了我國慣性思維的管理理念。隨著工業(yè)和信息化部的成立，公安部與工業(yè)和信息化部在信息系統(tǒng)等級保護管理方面出現(xiàn)了職能交叉，因此，等級保護工作的進一步的開展將取決于兩個部委的有效協(xié)調(diào)和合作。記者：如何看待我國開展的高可信網(wǎng)絡(luò)研究的目的和意義？方濱興：高可信網(wǎng)絡(luò)的研究與應(yīng)用是社會發(fā)展的必然需求?，F(xiàn)代互聯(lián)網(wǎng)技術(shù)起源于冷戰(zhàn)時期，其發(fā)展動力是軍事技術(shù)的需求，由于當(dāng)時沒有假設(shè)面向公眾提供服務(wù)，因此缺少必要的互聯(lián)網(wǎng)安全管理的配套手段與可信技術(shù)的配套措施。目前互聯(lián)網(wǎng)已經(jīng)成為政府、軍事、企業(yè)、公眾等不可或缺的基礎(chǔ)設(shè)施，提供高可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施便成為互聯(lián)網(wǎng)技術(shù)的必然發(fā)展方向。尤其是在我國，讓政府從物理隔絕直接走向當(dāng)前如此開放而又缺乏足夠的安全可信保障手段的公共互聯(lián)網(wǎng)，顯然難度極大，但電子政務(wù)又呼喚著政府采取相應(yīng)的形式與公眾在互聯(lián)網(wǎng)上交流與溝通，因此高可信網(wǎng)絡(luò)技術(shù)便成為支撐電子政務(wù)發(fā)展的迫切而又必要的基礎(chǔ)設(shè)施與技術(shù)手段，影響著面向公眾的電子政務(wù)的普遍推廣。記者：網(wǎng)絡(luò)與信息安全涉及方方面面，工業(yè)和信息化部的成立以及相關(guān)網(wǎng)絡(luò)與信息安全保障部門的設(shè)立對網(wǎng)絡(luò)與信息安全問題的解決有什么促進？方濱興：過去國家設(shè)立的國務(wù)院信息化工作辦公室，同時又是國家網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組的辦事機構(gòu)，從而明確地樹立了被普遍認(rèn)可的協(xié)調(diào)全國網(wǎng)絡(luò)與信息安全工作的組織地位。目前，隨著國務(wù)院信息化工作辦公室的撤銷，工業(yè)和信息化部下屬的網(wǎng)絡(luò)信息安全協(xié)調(diào)司取代了國家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組辦公室的地位。因此，在國家級網(wǎng)絡(luò)與信息安全工作協(xié)調(diào)過程中，如何擺正工業(yè)和信息化部自身所轄的部門利益問題，建立公信力成為一個挑戰(zhàn)。記者：電信運營商在提高網(wǎng)絡(luò)與信息安全方面應(yīng)扮演什么角色？負(fù)有什么責(zé)任？方濱