方濱興院士談黑客攻擊

0、方濱興簡(jiǎn)介方濱興，1981年畢業(yè)于哈爾濱工業(yè)大學(xué)計(jì)算機(jī)系，1982年考入清華大學(xué)計(jì)算機(jī)系攻讀碩士學(xué)位，1989年獲哈爾濱工業(yè)大學(xué)博士學(xué)位。中國(guó)工程院院士，現(xiàn)任北京郵電大學(xué)校長(zhǎng)，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)（TC8）主席，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專委會(huì)主任，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與安全工作委員會(huì)主任，中國(guó)通信學(xué)會(huì)通信安全專委會(huì)主任等職。TOC\o"1-5"\h\z\o"CurrentDocument"0、方濱興簡(jiǎn)介 1\o"CurrentDocument"1、方濱興院士“拖堂”演示黑客有多“黑” 1\o"CurrentDocument"2、 方濱興院士：八大信息安全技術(shù)的創(chuàng)新點(diǎn) 3\o"CurrentDocument"3、 方濱興：五個(gè)層面解讀國(guó)家信息安全保障體系 7\o"CurrentDocument"4、方濱興：提高網(wǎng)絡(luò)和信息安全保障水平 111、方濱興院士“拖堂”演示黑客有多“黑”/News/201003/45474.html新聞錄入：浣花溪責(zé)任編輯：snow611【字體：小大】“那天在國(guó)家大劇院看了韓再芬的表演，我覺(jué)得我也應(yīng)該給大家做點(diǎn)貢獻(xiàn)……”昨天上午的安徽代表團(tuán)全體會(huì)議“拖了一會(huì)兒堂”，各位代表都發(fā)言結(jié)束后，北京郵電大學(xué)校長(zhǎng)、中國(guó)工程院院士方濱興表示，將利用自己研究網(wǎng)絡(luò)安全的特長(zhǎng)，為來(lái)自各行各業(yè)、身兼重要職務(wù)的代表們添加一個(gè)“特別節(jié)目”，介紹木馬病毒。這堂課，時(shí)間不長(zhǎng)，但是精彩非常。聽(tīng)完方濱興的講課，有代表預(yù)測(cè)，大家將興起一片“殺毒熱潮”。公安局網(wǎng)站“住”著黑客說(shuō)到網(wǎng)站被黑客攻擊，方濱興又開(kāi)始了一場(chǎng)精彩的演示。“為了演示網(wǎng)站被‘黑’，昨天晚上我特地找了一堆安徽的例子……”由于害怕大家認(rèn)為網(wǎng)站被黑是一件像點(diǎn)名批評(píng)一樣沒(méi)面子的事，方濱興特別安慰：“國(guó)務(wù)院的網(wǎng)站都會(huì)被黑，這不是一件壓力很大的事。”于是，方濱興找了一堆“正在被黑”的政府各部門網(wǎng)站?！斑@是一個(gè)‘超級(jí)免殺大馬’，殺都?xì)⒉坏?。我們看看它住在哪個(gè)網(wǎng)站里……”點(diǎn)開(kāi)這個(gè)網(wǎng)站，只見(jiàn)屏幕上出現(xiàn)了“宿州市政府信息公開(kāi)網(wǎng)”的首頁(yè)，全場(chǎng)哄堂大笑。接著，方濱興又找到了幾家正在被木馬“安家”的網(wǎng)站，屏幕上“銅陵市科技局網(wǎng)絡(luò)辦公平臺(tái)”、“黟縣財(cái)政局”、“巢湖市公安局”……依次亮相。木馬演示嚇壞韓再芬木馬病毒的危害是什么？方濱興介紹，“它們能啟動(dòng)攝像頭，看你在干什么；能啟動(dòng)你的音頻設(shè)備，聽(tīng)到你的聲音；能進(jìn)入你的電腦，看你電腦里的東西……總之就像在你家里一樣?！彪m然說(shuō)得這么可怕，但是代表們也沒(méi)有顯出特別的恐懼。這時(shí)，方濱興打開(kāi)電腦中的資料，決定向代表們“演示一個(gè)真實(shí)的木馬”。只見(jiàn)方濱興當(dāng)場(chǎng)選中一個(gè)自己截獲的黑客在網(wǎng)絡(luò)上放置的木馬病毒，隨機(jī)點(diǎn)擊了一臺(tái)這個(gè)木馬可以監(jiān)控的電腦。這時(shí)候，觸目驚心的一幕出現(xiàn)了?！拔覀兛梢源蜷_(kāi)他的攝像頭……”很快屏幕上出現(xiàn)一個(gè)視頻窗口，可以看到一個(gè)人的腦袋尖，似乎是正坐在電腦前操作電腦。接著，方濱興依次完成了查看這人的資料、拷貝他電腦內(nèi)的文件等一系列“黑客”行為。在演示過(guò)程中，韓再芬代表一臉嚴(yán)肅，并與一旁同樣面色凝重的女代表交流了一下眼神，說(shuō)了一句：“好恐怖!”方濱興提醒：“有攝像頭的電腦千萬(wàn)別往臥室里放，不然會(huì)很被動(dòng)的……”一句話引得與會(huì)代表會(huì)意地哄堂大笑。網(wǎng)銀要怎么用才安全對(duì)于大家正在普遍使用的網(wǎng)上銀行，方濱興的介紹讓大家看到了一場(chǎng)人與電腦的拉鋸戰(zhàn)。密碼、U盾、電子口令卡……什么樣的保護(hù)最為安全？方濱興介紹，即便是普遍認(rèn)為安全的U盾，也可能給黑客可乘之機(jī)?，F(xiàn)在看來(lái)，什么樣的口令是安全的？方濱興介紹，必須有“人”參與控制。方濱興舉例，如果U盾上有一個(gè)按鈕，發(fā)送口令時(shí)需要使用者去按一下，那么它就是安全的。如果沒(méi)有這樣的人控按鈕，而是U盾自己發(fā)送口令，那么即便U盾只插在電腦上幾秒鐘，也是不安全的，黑客可以控制獲取口令。“對(duì)于電腦來(lái)說(shuō)，幾秒鐘的時(shí)間，什么事都做完了。”對(duì)于可在銀行購(gòu)買的動(dòng)態(tài)口令“刮刮卡”，方濱興介紹，這也是安全的。但是，如果被黑客盯上，只要用上20多次，就能基本掌握所有對(duì)應(yīng)的口令。所以，用上20多次，就應(yīng)更換了。萬(wàn)無(wú)一失要三臺(tái)電腦會(huì)議結(jié)束后，方濱興成了忙人，立刻被代表圍住。不少代表帶著自己的筆記本電腦進(jìn)行現(xiàn)場(chǎng)請(qǐng)教。也有代表希望方濱興再上一堂課：“您再給我們上堂課，教教我們?cè)趺礆⑦@些木馬吧！”程恩富代表拉住方濱興探討怎么解決這一問(wèn)題，“是不是要趕快搞‘實(shí)名制’？”“趕快要進(jìn)行立法，進(jìn)行嚴(yán)懲……”“光靠我們防，會(huì)累死的!”雖然會(huì)議已經(jīng)散場(chǎng)，孫兆奇代表還在與另一位代表各自捧著電腦互相討論了十來(lái)分鐘。當(dāng)兩人沉重地合上電腦屏幕走出會(huì)場(chǎng)時(shí)，嘆道：“像我們這樣工作離不開(kāi)電腦的人，就是沒(méi)有秘密了?！弊鳛榫W(wǎng)絡(luò)安全專家，方濱興院士怎么用電腦呢？方濱興介紹，他出差是要帶三臺(tái)筆記本電腦的。一個(gè)專門平時(shí)使用的電腦，里面沒(méi)有秘密內(nèi)容；一個(gè)用來(lái)放重要資料，悉心保護(hù)確保絕對(duì)安全；一個(gè)就是手里這臺(tái)，專門放病毒進(jìn)行研究的電腦。您對(duì)本文章有什么意見(jiàn)或著疑問(wèn)嗎？請(qǐng)到論壇討論您的關(guān)注和建議是我們前行的參考和動(dòng)力摘自紅色黑客聯(lián)盟()原文：/News/201003/45474.html2、方濱興院士：八大信息安全技術(shù)的創(chuàng)新點(diǎn)http://news.xinhuanet.eom/newmedia/2007-05/10/content_6082070.htm隨著互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，信息安全已深入到諸多領(lǐng)域，越來(lái)越多的企業(yè)用戶和個(gè)人用戶開(kāi)始沉下心來(lái)，認(rèn)真思考著一個(gè)問(wèn)題：當(dāng)各種各樣針對(duì)應(yīng)用的安全威脅來(lái)臨之時(shí)，如何在日益增長(zhǎng)并更為復(fù)雜的各種應(yīng)用中有效地進(jìn)行自我保護(hù)，如何將思路創(chuàng)新、技術(shù)創(chuàng)新的破冰之計(jì)與信息安全更好地融合在一起，守好自己的那一方陣地？其實(shí)，從較為完整的經(jīng)典網(wǎng)絡(luò)安全防護(hù)模型--APPDRR中，可以看到網(wǎng)絡(luò)安全需要的基本要素是：分析、安全策略、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)，針對(duì)這六個(gè)基本要素，需要重點(diǎn)關(guān)注安全測(cè)試評(píng)估、安全存儲(chǔ)、主動(dòng)實(shí)施防護(hù)模型與技術(shù)、網(wǎng)絡(luò)安全事件監(jiān)控、惡意代碼防范與應(yīng)急響應(yīng)、數(shù)據(jù)備份與可生存性六項(xiàng)技術(shù)，及衍生而來(lái)的可信計(jì)算平臺(tái)技術(shù)和網(wǎng)絡(luò)安全管理與UTM技術(shù)的創(chuàng)新點(diǎn)。4月12日，在2007中國(guó)電子信息創(chuàng)新技術(shù)年會(huì)上，中國(guó)工程院院士、信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室主任方濱興，暢談了自己對(duì)這八項(xiàng)重點(diǎn)技術(shù)創(chuàng)新點(diǎn)的看法。（一）安全測(cè)試評(píng)估技術(shù)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從多角度進(jìn)行立體防護(hù)。要知道如何防護(hù)，就要清楚安全風(fēng)險(xiǎn)來(lái)源于何處，這就需要對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)分析。方濱興認(rèn)為網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析，重點(diǎn)應(yīng)該放在安全測(cè)試評(píng)估技術(shù)方面。它的戰(zhàn)略目標(biāo)是：掌握網(wǎng)絡(luò)與信息系統(tǒng)安全測(cè)試及風(fēng)險(xiǎn)評(píng)估技術(shù)，建立完整的面向等級(jí)保護(hù)的測(cè)評(píng)流程及風(fēng)險(xiǎn)評(píng)估體系。他談到，這一點(diǎn)和過(guò)去不一樣，過(guò)去進(jìn)行測(cè)評(píng)沒(méi)有強(qiáng)調(diào)等級(jí)保護(hù)，就是按照以往測(cè)評(píng)的模式進(jìn)行。而現(xiàn)在《國(guó)家信息化中長(zhǎng)期科學(xué)與技術(shù)發(fā)展戰(zhàn)略規(guī)劃綱要》已經(jīng)明確提出，網(wǎng)絡(luò)安全測(cè)試要按照等級(jí)保護(hù)的原則進(jìn)行，所以測(cè)評(píng)也需要服務(wù)于這一點(diǎn)。那么〃安全測(cè)評(píng)〃的主要?jiǎng)?chuàng)新點(diǎn)又是什么？方院士認(rèn)為：首先，要建立適應(yīng)等級(jí)保護(hù)和分級(jí)測(cè)評(píng)機(jī)制的通用信息系統(tǒng)與信息技術(shù)產(chǎn)品測(cè)評(píng)模型、方法和流程，要適應(yīng)不同的級(jí)別就要有不同的測(cè)評(píng)方法，這里的分級(jí)要符合等級(jí)保護(hù)機(jī)制，重點(diǎn)放在通用產(chǎn)品方面，所謂通用產(chǎn)品就是要建成一個(gè)標(biāo)準(zhǔn)的流程，不能完全是一事一議，如此一來(lái)互相之間也才會(huì)有所比較；要建立統(tǒng)一的測(cè)評(píng)信息庫(kù)和知識(shí)庫(kù)，即測(cè)評(píng)要有統(tǒng)一的背景；制定相關(guān)的國(guó)家技術(shù)標(biāo)準(zhǔn)。其次，要建立面向大規(guī)模網(wǎng)絡(luò)與復(fù)雜信息系統(tǒng)安全風(fēng)險(xiǎn)分析的模型和方法；建立基于管理和技術(shù)的風(fēng)險(xiǎn)評(píng)估流程；制定定性和定量的測(cè)度指標(biāo)體系。如果沒(méi)有這個(gè)指標(biāo)體系，只能抽象地表述，對(duì)指導(dǎo)意見(jiàn)來(lái)講并沒(méi)有太多的實(shí)際意義。（二）安全存儲(chǔ)系統(tǒng)技術(shù)在安全策略方面，方院士認(rèn)為重點(diǎn)需要放在安全存儲(chǔ)系統(tǒng)技術(shù)上。其戰(zhàn)略目標(biāo)有兩點(diǎn)：一是要掌握海量數(shù)據(jù)的加密存儲(chǔ)和檢索技術(shù)，保障存儲(chǔ)數(shù)據(jù)的機(jī)密性和安全訪問(wèn)能力。二是要掌握高可靠海量存儲(chǔ)技術(shù)，保障海量存儲(chǔ)系統(tǒng)中數(shù)據(jù)的可靠性。關(guān)于〃安全存儲(chǔ)"，方院士強(qiáng)調(diào)：首先，采用海量（TB級(jí)）分布式數(shù)據(jù)存儲(chǔ)設(shè)備的高性能加密與存儲(chǔ)訪問(wèn)方法，并建立數(shù)據(jù)自毀機(jī)理。他談到為海量信息進(jìn)行高性能加密，雖然有加密解密的過(guò)程，但對(duì)訪問(wèn)影響并不明顯。這其中不能忽視的是此舉對(duì)算法的效率提出了很高的要求，應(yīng)該加以注意。而且一旦數(shù)據(jù)出現(xiàn)被非授權(quán)訪問(wèn)，應(yīng)該產(chǎn)生數(shù)據(jù)自毀。其次，采用海量（TB級(jí)）存儲(chǔ)器的高性能密文數(shù)據(jù)檢索手段。需要指出的是，加密的基本思路就是要把它無(wú)規(guī)則化，讓它根本看不到規(guī)則，這才是加密。而檢索就是要有規(guī)律，所以這里就要提出一個(gè)折中的方法，如何加密對(duì)檢索能夠盡可能的支持，同時(shí)又具備一定的安全強(qiáng)度。這就對(duì)密碼算法和檢索都提出來(lái)了挑戰(zhàn)。再次，構(gòu)建基于冗余的高可靠存儲(chǔ)系統(tǒng)的故障監(jiān)測(cè)、透明切換與處理、數(shù)據(jù)一致性保護(hù)等方面的模型與實(shí)現(xiàn)手段。這里高可靠的關(guān)鍵的還是要依賴冗余，一旦系統(tǒng)崩潰，還有冗余信息。最后，制定安全的數(shù)據(jù)組織方法；采用基于主動(dòng)防御的存儲(chǔ)安全技術(shù)。（三）主動(dòng)實(shí)時(shí)防護(hù)模型與技術(shù)在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下，安全大戰(zhàn)愈演愈烈，防火墻、殺毒、入侵檢測(cè)〃老三樣〃等片面的安全防護(hù)應(yīng)對(duì)方式已經(jīng)越來(lái)越顯得力不從心，方院士認(rèn)為這需要的不僅僅是片面的被動(dòng)防護(hù)，而更要在防護(hù)的過(guò)程中強(qiáng)調(diào)主動(dòng)實(shí)時(shí)防護(hù)模型與技術(shù)。他認(rèn)為主動(dòng)防護(hù)的戰(zhàn)略目標(biāo)應(yīng)該是：掌握通過(guò)態(tài)勢(shì)感知，風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)等手段對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行判斷，并依據(jù)判斷結(jié)果實(shí)施網(wǎng)絡(luò)主動(dòng)防御的主動(dòng)安全防護(hù)體系的實(shí)現(xiàn)方法與技術(shù)。傳統(tǒng)的防護(hù)一般都是入侵檢測(cè)，發(fā)現(xiàn)問(wèn)題后有所響應(yīng)，但是現(xiàn)在越來(lái)越多的人更加關(guān)注主動(dòng)防護(hù)，通過(guò)態(tài)勢(shì)判斷，進(jìn)行系統(tǒng)的及時(shí)調(diào)整，提高自身的安全強(qiáng)度。通過(guò)感知，主動(dòng)地做出決策，而不是事后亡羊補(bǔ)牢，事后做決策。方院士在談到主動(dòng)防護(hù)時(shí)說(shuō)：一是建立網(wǎng)絡(luò)與信息系統(tǒng)安全主動(dòng)防護(hù)的新模型、新技術(shù)和新方法；建立基于態(tài)勢(shì)感知模型、風(fēng)險(xiǎn)模型的主動(dòng)實(shí)時(shí)協(xié)同防護(hù)機(jī)制和方法。二是建立網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行特征和惡意行為特征的自動(dòng)分析與提取方法；采用可組合與可變安全等級(jí)的安全防護(hù)技術(shù)。方院士進(jìn)一步強(qiáng)調(diào)，不同的系統(tǒng)會(huì)有不同的需求，應(yīng)該具備一定的提取能力，進(jìn)而監(jiān)控其特征，通過(guò)監(jiān)控判斷所出現(xiàn)的各種情況。另外，如果通過(guò)檢測(cè)發(fā)現(xiàn)惡意行為，應(yīng)該對(duì)其特征進(jìn)行提取，提取的目的就是為了進(jìn)一步監(jiān)測(cè)，或在其他區(qū)域進(jìn)行監(jiān)測(cè)，檢查同樣的情況是否存在，如果存在，就要對(duì)這個(gè)態(tài)勢(shì)進(jìn)行明確的分析，而這些都需要有自動(dòng)的特征提取。（四）網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)監(jiān)測(cè)是實(shí)現(xiàn)網(wǎng)絡(luò)安全中不可或缺的重要一環(huán)，這其中要重點(diǎn)強(qiáng)調(diào)的是實(shí)施，即網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)。方院士認(rèn)為實(shí)時(shí)監(jiān)控的戰(zhàn)略目標(biāo)是：掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運(yùn)行的能力，支持多網(wǎng)融合下的大規(guī)模安全事件的監(jiān)控與分析技術(shù)，提高網(wǎng)絡(luò)安全危機(jī)處置的能力。需要強(qiáng)調(diào)的是三網(wǎng)融合勢(shì)在必行，不同網(wǎng)的狀態(tài)下，要實(shí)現(xiàn)融合，這就對(duì)進(jìn)行監(jiān)測(cè)就提出了一定的要求，監(jiān)測(cè)水平需要有所提升。（中國(guó)傳媒科技第4期/介白）3、方濱興：五個(gè)層面解讀國(guó)家信息安全保障體系作者：琰珺2009-06-01/a2009/0531/580/000000580000.shtml“國(guó)家信息安全保障體系是在2006年被提出來(lái)的，包括積極防御、綜合防范等多個(gè)方面的多個(gè)原則，但如今面對(duì)業(yè)已取得的成果，仍有必要深刻理解該體系?！北本┼]電大學(xué)校長(zhǎng)/中國(guó)工程院院士方濱興指出，當(dāng)前國(guó)家信息安全的保障體系可以圍繞“五個(gè)層面，一、二、三、四、五”來(lái)解讀。具體如下：一，即一個(gè)機(jī)制，就是要建立、維護(hù)國(guó)家信息安全的長(zhǎng)效機(jī)制。二，是指兩個(gè)原則：第一個(gè)原則是積極預(yù)防、綜合防范;第二個(gè)原則是立足國(guó)情，適度安全。三，是指三個(gè)要素：人才、管理、技術(shù)。四，是指四種核心能力：法律保障能力、基礎(chǔ)支撐能力、輿情駕馭能力和國(guó)際影響力。五，是指五項(xiàng)主要的技術(shù)工作：風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、監(jiān)控系統(tǒng)、密碼技術(shù)與網(wǎng)絡(luò)信任體系、應(yīng)急機(jī)制、災(zāi)備。一、 一個(gè)機(jī)制所謂的一個(gè)機(jī)制，是說(shuō)機(jī)制一定是一個(gè)完善長(zhǎng)效的機(jī)制，一方面是在組織協(xié)調(diào)性上，另一方面是在支撐力度上。這需要宏觀層面，包括主管部門予以支持。二、 兩個(gè)原則第一個(gè)原則是積極防御、綜合防范。這一點(diǎn)比較清楚地論述了信息安全和信息化的關(guān)系。在這個(gè)里面，積極當(dāng)然有多種含義，雖然我們并不提倡主動(dòng)攻擊，但是掌握攻擊技術(shù)是防御所需要的。但是值得注意的是，真正意義上的積極防御，是指一旦出現(xiàn)一個(gè)新的技術(shù)，我們就立即要想到研究這個(gè)新技術(shù)會(huì)帶來(lái)什么安全性問(wèn)題，以及這樣的安全性問(wèn)題該怎么辦？比如說(shuō)Web2.0概念出現(xiàn)后，甚至包括病毒等等這些問(wèn)題就比較容易擴(kuò)散，再比如說(shuō)Ipv6出來(lái)之后，入侵檢測(cè)就沒(méi)有意義了，因?yàn)閰f(xié)議都看不懂還檢測(cè)什么……所以說(shuō)這些信息化新技術(shù)的出現(xiàn)同時(shí)也都呼喚新的安全技術(shù)。另外，技術(shù)解決不了的還得靠管理，比如說(shuō)等級(jí)保護(hù)，當(dāng)然等級(jí)保護(hù)主要是面向政府部門的。那么反過(guò)來(lái)，管理做不了的也得靠技術(shù)，你說(shuō)有病毒，光嘴上說(shuō)不行，還得有技術(shù)防范。再有就是強(qiáng)調(diào)了核心保障。第二個(gè)原則是立足國(guó)情、適度安全。這里面主要是強(qiáng)調(diào)綜合平衡安全成本與風(fēng)險(xiǎn)，如果系統(tǒng)風(fēng)險(xiǎn)不大就沒(méi)有必要花太大的安全成本來(lái)做。在這里面需要強(qiáng)調(diào)一點(diǎn)就是確保重點(diǎn)的，如等級(jí)保護(hù)就是根據(jù)信息系統(tǒng)的重要性來(lái)定級(jí)，從而施加適當(dāng)強(qiáng)度的保護(hù)。此外，當(dāng)你在發(fā)展的時(shí)候必須要考慮到適度的安全問(wèn)題，做安全也是為了促進(jìn)發(fā)展，而不是限制發(fā)展，所以盡管我們現(xiàn)在覺(jué)得需要為了節(jié)約只需要物理解決的就用物理解決，但同時(shí)也在研究一系列的技術(shù)來(lái)替代，這個(gè)是國(guó)情的需要。三、三個(gè)要素三個(gè)要素包括人才、管理、技術(shù)。從人才角度來(lái)說(shuō)，國(guó)家信息安全保障體系強(qiáng)調(diào)了兩個(gè)方面，一個(gè)方面是培養(yǎng)人才，包括學(xué)歷教育、研究、以及學(xué)科層面，不僅要培養(yǎng)本科生、研究生，還要加強(qiáng)培訓(xùn)和網(wǎng)絡(luò)教育、加強(qiáng)信息安全宣傳工作和網(wǎng)絡(luò)文明建設(shè)，也都需要相關(guān)的支持，基本上跟信息相關(guān)的底下都有這個(gè)。此外，就是論壇、媒體的努力。當(dāng)然，吸引和用好高素質(zhì)的信息安全管理和技術(shù)人才的機(jī)制也很有有用。就管理這一點(diǎn)而言，其實(shí)互聯(lián)網(wǎng)上的管理主要是靠四句話：法律保障、行政監(jiān)管、行業(yè)自律、技術(shù)支撐。我們還可以把管理分為三級(jí)措施，最高一級(jí)是領(lǐng)導(dǎo)層，制定方針，國(guó)家說(shuō)積極預(yù)防、綜合防范，這是一種方針，其次是執(zhí)行層，再有就是具體的法規(guī)，要嚴(yán)格規(guī)章制度。此外還有標(biāo)準(zhǔn)，標(biāo)準(zhǔn)是從技術(shù)角度、管理角度引導(dǎo)你，你不會(huì)做按照這個(gè)做就行了。也就是說(shuō)標(biāo)準(zhǔn)解決怎么做，法規(guī)解決做什么的問(wèn)題。到微觀方面就是說(shuō)各個(gè)管理機(jī)構(gòu)，要做好規(guī)章、制度、策略、措施。需要說(shuō)明的是，機(jī)制就是怎么管，我們現(xiàn)在是通過(guò)一些認(rèn)證測(cè)評(píng)、市場(chǎng)準(zhǔn)入來(lái)對(duì)安全做管理，這里面對(duì)產(chǎn)品服務(wù)做認(rèn)真測(cè)評(píng)，包括政府采購(gòu)也是受一定的限制。而措施則是，你到底管哪些事情，如等級(jí)保護(hù)這個(gè)是要管的，這個(gè)是沒(méi)有問(wèn)題的;再比如系統(tǒng)安全、產(chǎn)品的采購(gòu)包括測(cè)評(píng)、密碼技術(shù)等都在管理范疇。第三個(gè)層面是信息安全技術(shù)，信息安全技術(shù)在這里面特別強(qiáng)調(diào)的是對(duì)引進(jìn)的產(chǎn)品的安全問(wèn)題，如它的安全可控必須要有人管。同時(shí)我們還要研究新技術(shù)、新業(yè)務(wù)，包括網(wǎng)絡(luò)安全、內(nèi)容安全、密碼、安全隔離手續(xù)等。當(dāng)然這其中也少不了需要政策導(dǎo)向和市場(chǎng)機(jī)制，當(dāng)然最終的目標(biāo)就是信息安全還應(yīng)該以自主知識(shí)產(chǎn)權(quán)為主。四、四個(gè)核心能力四個(gè)核心能力，主要是信息安全的法律保障能力，信息安全的基礎(chǔ)支撐能力，網(wǎng)絡(luò)輿情駕馭能力。再有一個(gè)就是信息安全的國(guó)際影響力。就法律保障能力而言，業(yè)內(nèi)一致認(rèn)為要有一個(gè)信息安全法，有了這個(gè)核心法，才能做一系列的下位法和相應(yīng)的制度，目前來(lái)看這個(gè)信息安全法的出臺(tái)還需要些時(shí)間。第二個(gè)能力叫做基礎(chǔ)支撐能力，就是說(shuō)國(guó)家要有一系列的相應(yīng)的基礎(chǔ)支撐，比如說(shuō)數(shù)字證書(shū)、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)體系、災(zāi)難恢復(fù)體系等等，再比如說(shuō)密鑰管理、授權(quán)管理等等，這些都是做得很成功的，而網(wǎng)絡(luò)輿情掌控的體系，一些部門也都有，但它的運(yùn)行效果還有很多需要改進(jìn)的余地。第三個(gè)能力是輿情駕馭能力，我們要關(guān)注三個(gè)如何，如何引導(dǎo)網(wǎng)絡(luò)輿論，如何對(duì)網(wǎng)上的熱點(diǎn)話題做訪問(wèn)，如何提高處置網(wǎng)絡(luò)的能力。這些實(shí)際上都是我們輿情駕馭能力的標(biāo)志。輿情駕馭的具體目標(biāo)是首先要有發(fā)現(xiàn)和獲取能力，其次要有分析和引導(dǎo)的能力，再后要有預(yù)警和處理的能力。第四個(gè)是國(guó)際影響力。只有在信息安全較量中才能體現(xiàn)出一個(gè)國(guó)家的信息安全影響力。所以，這就需要發(fā)揮信息安全整體資源的優(yōu)勢(shì)，這其中包括對(duì)有害信息的應(yīng)對(duì)能力、技術(shù)手段。用逆向思維的話，就是說(shuō)假如出現(xiàn)最壞的情況網(wǎng)絡(luò)被惡意中斷，那么至少能保持一個(gè)封閉體系還能繼續(xù)運(yùn)轉(zhuǎn)，這可能必須要有域名的解析，當(dāng)然這個(gè)國(guó)內(nèi)現(xiàn)在已經(jīng)做到了。五、五項(xiàng)工作五項(xiàng)工作包括：加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，建立和完善等級(jí)保護(hù)制度;加強(qiáng)密碼技術(shù)的開(kāi)發(fā)利用，建設(shè)網(wǎng)絡(luò)信任體系;建設(shè)和完善信息安全監(jiān)控體系;高度重視信息安全應(yīng)急處置工作;災(zāi)難備份等。第一，風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)，兩者相輔相成需要一體化考慮。因?yàn)轱L(fēng)險(xiǎn)評(píng)估是出發(fā)點(diǎn)，等級(jí)劃分是判斷點(diǎn)，安全控制是落腳點(diǎn)，所以風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)這兩件事兒是不可分的，只有知道了系統(tǒng)的脆弱性有多大，等級(jí)保護(hù)才能跟上去。第二，網(wǎng)絡(luò)信任體系主要是靠密碼技術(shù)，還要強(qiáng)調(diào)密鑰體系。第三，網(wǎng)絡(luò)監(jiān)控系統(tǒng)，強(qiáng)調(diào)國(guó)家對(duì)各個(gè)運(yùn)營(yíng)單位都要求有相應(yīng)的信息監(jiān)控系統(tǒng)，要有處理信息的能力，這樣起碼對(duì)一些網(wǎng)絡(luò)攻擊，防范失泄密可以提供支持。第四，應(yīng)急響應(yīng)體系，國(guó)家在2003年SARS之后就開(kāi)始建立應(yīng)急響應(yīng)體系，2008年的1月份出現(xiàn)了凝凍災(zāi)害天氣，充分考驗(yàn)了這個(gè)體系。所以信息安全也有國(guó)家級(jí)的預(yù)案，或許將來(lái)會(huì)做更多的宣貫。第四，災(zāi)難備份，這個(gè)里面最重要的目標(biāo)是力?；謴?fù)，其次是及時(shí)發(fā)現(xiàn)，接下來(lái)才是快速響應(yīng)。4、方濱興：提高網(wǎng)絡(luò)和信息安全保障水平發(fā)布日期：2009-01-01/alumni/infoSingleArticle.do?articleId=10030027&columnId=100126072008年僵尸網(wǎng)絡(luò)、木馬、拒絕服務(wù)攻擊的泛濫，給我們的通信網(wǎng)絡(luò)敲響了警鐘。移動(dòng)、固網(wǎng)、互聯(lián)網(wǎng)的融合，更使網(wǎng)絡(luò)世界無(wú)一處安全之地。魔高一尺，道高一丈，2009年安全之戰(zhàn)如何持續(xù)上演？在部委調(diào)整、電信重組后，中國(guó)的網(wǎng)絡(luò)和信息安全又面臨哪些新問(wèn)題？在網(wǎng)絡(luò)安全斗爭(zhēng)中的運(yùn)營(yíng)商又應(yīng)何去何從？針對(duì)這些問(wèn)題，《電信技術(shù)》記者專訪了北京郵電大學(xué)校長(zhǎng)、中國(guó)工程院院士方濱興。記者：從世界范圍來(lái)看，網(wǎng)絡(luò)與信息安全面臨的整體形勢(shì)是怎樣的？這兩年主要的變化是什么？方濱興：從世界范圍來(lái)看，黑色產(chǎn)業(yè)鏈越來(lái)越成為焦點(diǎn)，黑客的技術(shù)炫耀開(kāi)始與經(jīng)濟(jì)利益越綁越緊；與此相對(duì)應(yīng)，僵尸網(wǎng)絡(luò)、木馬等變得越來(lái)越活躍，而一般性質(zhì)的蠕蟲(chóng)，尤其是大規(guī)模蠕蟲(chóng)則相比過(guò)去黯淡了許多；由于幾乎沒(méi)有遇到太多法律上的對(duì)抗，導(dǎo)致黑客對(duì)網(wǎng)頁(yè)的攻擊越來(lái)越泛化，例如釣魚(yú)網(wǎng)站因域名劫持等手段的越來(lái)越高超而變得防不勝防。記者：我國(guó)在網(wǎng)絡(luò)與信息安全方面面臨的形勢(shì)如何？對(duì)于解決網(wǎng)絡(luò)與信息安全問(wèn)題，我國(guó)的基本策略和指導(dǎo)思路是什么？與國(guó)際上有何區(qū)別？方濱興：在互聯(lián)網(wǎng)應(yīng)用與普及方面我國(guó)已經(jīng)進(jìn)入了世界大國(guó)的行列，因此我國(guó)的信息安全問(wèn)題與國(guó)際上的問(wèn)題基本接軌。比如，我國(guó)每年被黑網(wǎng)頁(yè)在10萬(wàn)個(gè)數(shù)量級(jí)左右，釣魚(yú)網(wǎng)站數(shù)量占世界總量比例偏高，位于我國(guó)的僵尸網(wǎng)絡(luò)的肉雞數(shù)量位于世界的前列，DDoS的受害者數(shù)量非常龐大。我國(guó)在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動(dòng)，企業(yè)重在引導(dǎo)，公眾重在宣傳。就是說(shuō)，凡是政府信息系統(tǒng)，必須接受信息系統(tǒng)安全等級(jí)保護(hù)條例的約束，以行政的手段來(lái)強(qiáng)化信息系統(tǒng)的安全；凡是企業(yè)的系統(tǒng)，通過(guò)對(duì)信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度，以保證企業(yè)所采用的信息安全防護(hù)手段符合國(guó)家的引導(dǎo)思路；公眾方面則通過(guò)對(duì)網(wǎng)絡(luò)安全方面的廣泛宣傳，讓公眾對(duì)網(wǎng)絡(luò)安全具有正確的認(rèn)識(shí)，從而提高相應(yīng)的防范能力。就信息安全而言，根據(jù)要求政府在網(wǎng)吧管理方面設(shè)立相應(yīng)的管理措施，以保證網(wǎng)吧處于信息安全管理框架之下；就終端而言，政府集中投資讓進(jìn)入市場(chǎng)的計(jì)算機(jī)預(yù)裝上家庭信息安全管理軟件，從而保證家庭用戶的合法權(quán)益，保證青少年的身心健康。記者：在信息與網(wǎng)絡(luò)安全研究方面我國(guó)目前重點(diǎn)主要集中在哪些方面？在技術(shù)、實(shí)施、組織思路方面與國(guó)際上相比有什么優(yōu)劣勢(shì)？最近兩年有什么重大突破？方濱興：目前，政府在信息系統(tǒng)等級(jí)保護(hù)方面加大了推進(jìn)力度，已經(jīng)完成了等級(jí)保護(hù)的定級(jí)工作，接下來(lái)的工作就是采取有效措施來(lái)實(shí)施信息系統(tǒng)的安全等級(jí)保護(hù)技術(shù)。等級(jí)保護(hù)的大力推動(dòng)，一方面在國(guó)際上展示了我國(guó)政府對(duì)信息安全和網(wǎng)絡(luò)安全的管理決心，另一方面，等級(jí)管理制度的建立，突破了我國(guó)慣性思維的管理理念。隨著工業(yè)和信息化部的成立，公安部與工業(yè)和信息化部在信息系統(tǒng)等級(jí)保護(hù)管理方面出現(xiàn)了職能交叉，因此，等級(jí)保護(hù)工作的進(jìn)一步的開(kāi)展將取決于兩個(gè)部委的有效協(xié)調(diào)和合作。記者：如何看待我國(guó)開(kāi)展的高可信網(wǎng)絡(luò)研究的目的和意義？方濱興：高可信網(wǎng)絡(luò)的研究與應(yīng)用是社會(huì)發(fā)展的必然需求?，F(xiàn)代互聯(lián)網(wǎng)技術(shù)起源于冷戰(zhàn)時(shí)期，其發(fā)展動(dòng)力是軍事技術(shù)的需求，由于當(dāng)時(shí)沒(méi)有假設(shè)面向公眾提供服務(wù)，因此缺少必要的互聯(lián)網(wǎng)安全管理的配套手段與可信技術(shù)的配套措施。目前互聯(lián)網(wǎng)已經(jīng)成為政府、軍事、企業(yè)、公眾等不可或缺的基礎(chǔ)設(shè)施，提供高可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施便成為互聯(lián)網(wǎng)技術(shù)的必然發(fā)展方向。尤其是在我國(guó)，讓政府從物理隔絕直接走向當(dāng)前如此開(kāi)放而又缺乏足夠的安全可信保障手段的公共互聯(lián)網(wǎng)，顯然難度極大，但電子政務(wù)又呼喚著政府采取相應(yīng)的形式與公眾在互聯(lián)網(wǎng)上交流與溝通，因此高可信網(wǎng)絡(luò)技術(shù)便成為支撐電子政務(wù)發(fā)展的迫切而又必要的基礎(chǔ)設(shè)施與技術(shù)手段，影響著面向公眾的電子政務(wù)的普遍推廣。記者：網(wǎng)絡(luò)與信息安全涉及方方面面，工業(yè)和信息化部的成立以及相關(guān)網(wǎng)絡(luò)與信息安全保障部門的設(shè)立對(duì)網(wǎng)絡(luò)與信息安全問(wèn)題的解決有什么促進(jìn)？方濱興：過(guò)去國(guó)家設(shè)立的國(guó)務(wù)院信息化工作辦公室，同時(shí)又是國(guó)家網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組的辦事機(jī)構(gòu)，從而明確地樹(shù)立了被普遍認(rèn)可的協(xié)調(diào)全國(guó)網(wǎng)絡(luò)與信息安全工作的組織地位。目前，隨著國(guó)務(wù)院信息化工作辦公室的撤銷，工業(yè)和信息化部下屬的網(wǎng)絡(luò)信息安全協(xié)調(diào)司取代了國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組辦公室的地位。因此，在國(guó)家級(jí)網(wǎng)絡(luò)與信息安全工作協(xié)調(diào)過(guò)程中，如何擺正工業(yè)和信息化部自身所轄的部門利益問(wèn)題，建立公信力成為一個(gè)挑戰(zhàn)。記者：電信運(yùn)營(yíng)商在提高網(wǎng)絡(luò)與信息安全方面應(yīng)扮演什么角色？負(fù)有什么責(zé)任？方濱