又是一年“5·17”,今年世界电信日的主题被确定为“让全球网络更安全”。在信息网络发展中,开放与安全之间关系微妙,甚至是一对矛盾,那么是安全还是开放?《中国电信业》特意采访了国际电联电信标准化局局长赵厚麟与国家计算机网络应急技术处理协调中心副总工程师、亚太地区计算机应急组织副主席杜跃进,希望能在开放与安全之间找到一个最优的平衡点。
《中国电信业》记者 杜燕鹏
开放性是信息网络的根本特性之一,而且信息网络在现实发展中始终贯穿着开放与共享的精神。然而信息网络的开放性与信息网络安全之间存在着矛盾,而且随着开放范围不断扩大,信息网络的安全性受到了越来越大的挑战。信息网络的价值之一就在于信息共享,而要实现信息共享就需要网络保持一定的开放性,但是越开放的网络,其自身的安全性受到的挑战就越大。面对开放与安全这对矛盾,业界一直在探讨如何实现两者之间的最优均衡,而且关注有愈演愈烈之势。今年世界电信日的主题被确定为“让全球网络更安全”,这在某种意义上也可以说是业界对信息网络开放与安全给予重大关注的体现之一。
开放是干 安全是枝
在信息通信产业的发展中,开放与安全两者之间的关系可以说很微妙。而且从一定意义上来看,两者的关系与其说是微妙,不如说从根本上就是某种矛盾。这个矛盾应该怎么解决,需要我们首先跳出这对矛盾来审视,看看两者之中哪一个更加重要。从目前来看,开放是和发展联系在一起的,这首先是由现在和将来的社会发展模式(广泛的参与、细致的分工、广泛的合作等)所决定的,只有开放的体系才可以适应这种发展模式。
国家计算机网络应急技术处理协调中心副总工程师、亚太地区计算机应急组织副主席杜跃进在接受记者采访时指出,“关于开放与安全之间的关系,从宏观角度来看,如果放弃开放就意味着放弃发展,因而从这个意义上看,开放与安全这对矛盾就成了发展与安全的矛盾,显然我们必须在发展的前提下谈安全,安全属于辅助性的因素,不能因为安全而放弃发展。另外即便是从微观的角度来看,虽然其中将会涉及到很多具体的技术问题,在具体的操作上需要具体问题具体分析,但是整个基本原则应是一致的。”
通过分析我们不难看出,开放性可谓产业发展的必然趋势,因此是要坚持的。然而在这个前提下,必须通过技术或者非技术的手段设法解决或者改善由此带来的安全隐患。虽然这样必将增加一些额外的成本,但是只要这个额外的成本还不至于最终扼杀业务的发展所带来的利益,就是值得做的。因此在具体实践中,如何准确恰当地估算出来安全的成本(包括安全问题可能带来的损失)就成为摆在业界眼前的一大挑战。而且由于安全风险本身始终处于一种变化的过程,这种估算还需要具备持续的动态调整的能力,以便决策者根据形势变化及时做出调整,这将是更大的挑战。
有一种观点认为,封闭的网络是最安全的,但是这对于信息网络发展而言是不可取的。安全必然是以推进开放为根本目标的安全,同时开放也必须是基于安全的开放。尤其随着信息网络越来越开始成为现代社会的基础设施,并且开始承载越来越多、越来越重要的业务,信息网络已经开始逐渐和人们生活的各个方面都密不可分,其安全问题自然也就涉及了人们生活的每个角落。杜跃平副总工程师向记者介绍,如果从信息网络自身的角度来看信息网络安全的重要性,可以从下面几个方面进行考虑。
信息网络作为承载系统自身的安全
作为承载系统,信息网络可能由于故障或者被攻击而导致运行不畅、中断或者瘫痪。目前这些问题已足以引起一些生产企业停工、商务交易受阻、电子政务受到影响,甚至会造成金融、教育、交通、信息提供等服务的不正常运行。而且这些还只是目前信息网络发生问题时带来的损失,同样是这些问题,将来会导致什么结果呢?毋庸置疑,未来信息网络应用会更加深入。信息网络将更多地承载我们日常的通信业务,甚至可能取代传统的通信网络。因此信息网络如果不能正常运行,就意味着我们的日常通信会受到影响。与此同时,国家其他的关键基础设施,包括电力、交通、金融等,也将由于越来越依赖信息网络来运行,所以信息网络能否稳定、持续地运转将会涉及到这些关键基础设施的安全。而且未来对大型自然灾害的应对也越来越离不开信息网络提供的支持,在这种状态下,如果信息网络的安全运行不能得到保障,将会直接威胁到人的生命财产安全。
信息网络所承载的业务的安全
如果信息网络能够保持持续稳定地运行,是不是就没有问题了呢?答案是否定的。如果把整个信息社会体系看作人体,信息网络就好像血液循环系统,血液流通通畅并不意味着人体就一定健康。信息网络中的数据可能包含国家秘密、商业秘密、个人敏感信息等,而信息网络目前正在大肆地被用于窃取这些数据,进而对国家、企业和个人带来极大危害。另外信息网络中各种业务系统中的数据关系到这些业务系统能否正常运行,这些数据若遭到篡改、伪造、或者破坏,将会直接导致金融损失、业务中断等。
信息网络应用对整个社会带来的深层影响
信息网络的深入应用,正在极大地改变人们的生活甚至思维方式,并对社会、文化、道德等方面产生深层次的影响。从长远来看,信息网络被滥用或者被恶意利用,可能对整个社会带来极其严重的负面影响。这个影响究竟有多严重,可能在十几年、二十几年之后才能充分表现出来,可是如果到那时候才想到关上潘多拉的盒子将为时已晚。例如,网络中充斥的色情、暴力信息,赌博和其他非法交易或者活动,假新闻、假信息的泛滥,网络造成部分人的性格改变或者沟通能力下降等,这些都是受到广泛关注的问题。信息网络还成为恐怖分子进行联络甚至实施破坏的工具,成为怀有各种不良动机的人煽动群众引发各种社会事件的工具。与前两个方面的问题不同的是,这个问题远远超出了技术和具体业务管理的范畴,因此在寻找解决方案、寻求国际合作的时候经常面临很大困难。
如果将信息网络发展比喻为树的话,开放可谓树的干,而安全则是树的枝。信息网络发展的未来能否勾勒得精彩,首先需要把握主干,在把握主干的同时画好分枝,这样信息网络发展之树才能根深叶茂,忽视任意一点或是处理不好两者之间的关系都会影响信息网络的健康发展,导致“营养不良”或是“本末倒置”。
开放尚可 安全不足
从上世纪末开始迅速发展的互联网,目前已经连接了世界上的绝大部分国家,进入了千家万户。互联网已经成为推动当代社会各项事业发展的强有力的工具,也是与百姓生活息息相关,不少人甚至感到须臾也离不开的公众媒体。与此同时,互联网带来的便利也使得人们兴趣大增,从而又进一步推动了互联网的发展。用户喜闻乐见的电子邮件、新闻浏览、消息发布、信息查询、电影下载、网络聊天等网络服务早已遍及城乡。电子教育、电子医疗、电子交通、电子政务、电子商务等由互联网催生的新服务也一个接一个地走进社会。电子农业、电子邮政、电子卫生等也将很快成为网上的新业务。
“有人把人类社会的21世纪定义为‘信息世纪’,这表明人们所能预见到的新的电子服务还将不断涌现。” 国际电联电信标准化局局长赵厚麟在接受记者采访时如是说。在现代电子和信息传输技术发展的历史上,还没有一种信息传输媒介像“全球网络”这样与人类的生活和社会的发展如此紧密相关。不容置疑,全球经济一体化的发展潮流是奠定“全球网络”与我们的生活密切相关的重要前提。如果我们坚持朝着全球经济一体化的前景迈进,“全球网络”的重要性将会与日俱增。从这个意义上看,“全球网络”已经成为一种趋势、一种现实、一种切实的存在,信息网络发展的开放性会不断增强。
“全球网络”已经存在的现实和人们对网络日益加深的依赖及更多的期望,本来应该给我们的生活带来更多乐趣,并促使“全球网络”更好地发展。但情况远非如此,全球网络带来的烦恼和网络本身建设所固有的问题一直在困扰着我们。一方面,令人头疼的网络垃圾和病毒久久找不到治愈的良方;网络上泛滥的色情宣传似有愈演愈烈之势;有组织的网络攻击和无法预防的网络恶作剧使得各类防范措施耗资巨大且疲于应付;各种各样的网络犯罪还缺乏有效的治理办法;漫天遍地的网络广告使人们无所适从。另一方面,全球网络本身的建立和演变从一开始就只强调了连接的便利而对网络安全没有足够重视,这就给网络本身的安全带来了隐患。从一开始,信息网络发展就在处理开放与安全之间的关系上存在“重开放轻安全”的误区,从而导致目前信息网络安全成为困扰其发展的主要问题。
尤其随着网络的日渐扩充,网络本身遭受攻击的概率也越来越大。由于网络与社会经济建设各个领域的关系越来越紧密,网络瘫痪或网络漏洞所造成的直接或间接经济损失也越来越严重。比如说,2000年出现的“爱情”病毒至少使全球近6000万台计算机感染,造成约130亿美元的经济损失。比经济损失更为严重的是,人们对全球网络的安全失去了信心。网络问题不断,人们还怎么敢使用它?一旦不用网络,再好的网络服务也维持不下去。比如说,人们担心自己的银行账号被盗用而不敢在网络上购物或进行其他商务活动,这就会使电子商务流产,同样那些需要付费或保护个人隐私的电子服务也将因受到严重打击而萎缩。如果安全问题解决不好,将直接影响开放性的加强,使信息网络发展受阻。
维护安全 服务开放
正是由于认识到了加强全球网络安全的紧迫性和长期性,国际电联将今年世界电信日主题确定为“让全球网络更安全”,同时希望通过今年的庆祝活动,进一步提高人们的全球网络安全意识,推进国际合作,改善全球网络安全状况,让网络更好地为人类服务。
信息网络安全问题受到关注由来已久,众多业内外人士强烈呼吁要加强网络安全,以提高人们使用网络的信心。尤其是在最近几年,国际上呼吁加强网络安全的呼声和活动已经深入到各个层面,各种地区性和多边谈判的场合都已经把加强网络安全列入了议事日程。联合国多次通过决议,其中包括2002年的第57/239号决议“创造全球网络安全文化”和2004年的第58/199号决议“创造全球网络安全文化及保护重要的信息基础设施”,要求各国加强全球网络安全意识,利用各种方式宣传全球网络安全的重要性,采取切实可行的措施推进全球网络安全。它还要求成员国互相帮助,特别要求发达国家帮助发展中国家和最不发达国家改善网络安全条件,以缩小数字鸿沟。
在经国际电信联盟倡议和支持召开的联合国“信息社会世界峰会”上,信息网络安全也一直是各国关注的焦点之一。“应与会代表的一致要求,联合国秘书长在第一阶段的日内瓦会议以后成立了两个工作组,一个负责讨论建立消除数字鸿沟基金会的事宜,另一个则负责讨论互联网的管理,其中一个重要内容就是全球网络安全。在突尼斯会议后,联合国秘书长又将成立一个互联网管理论坛(IGF),继续讨论互联网的管理问题,包括全球互联网的安全问题。”赵厚麟局长对记者介绍说。
在一个日益网络化的社会,保证网络以及信息通信技术系统和基础设施的安全,已成为当务之急。基础设施的安全是信息社会健康发展的前提。信息通信业界早就开始致力于提供各种网络安全技术和措施,努力改善网络的使用环境。平心而论,当今的网络安全与往日相比,已经有了很大程度的提高,但是“道高一尺,魔高一丈”,网络犯罪的技能也水涨船高,日趋复杂。“信息网络安全问题已经不仅仅是技术问题,还包括网络的管理问题,包括对网络犯罪的治理和执法。”对此赵厚麟局长与杜跃进副总工程师观点一致。
技术保障
从用户终端或者用户网络的角度,目前已经有很多的信息网络安全产品与技术方案。但是现在的很多网络安全威胁的技术特点,仅仅依赖和使用这些产品与技术方案,只能达到比较被动的和有限的安全防范效果。要想更好地解决网络安全问题,就必须从整体的角度考虑和解决问题,特别是如果把信息网络看成国家公共基础设施的时候,全世界都将面临一个巨大的技术挑战:如何保障国家关键信息基础设施的安全?与此同时,面对互联网加用户所构成的复杂巨系统,其控制问题实际上还没有完全成熟的解决办法,虽然有一些其它领域的经验可供借鉴,但是在总体上还需要积极探索和实践。
法律支撑
网络上“消除”了国界,但由于各国的国情不一、政治理念不一,网络执法的国际合作几乎无从谈起。在一般情况下,法律往往滞后于现实的需要,在信息网络安全领域尤其突出。目前各国的网络管理立法工作几乎都处于起始阶段,不少问题的网上执法还无法可依,这给具体的安全保障工作带来很多困难。
国际协作
全球网络安全的问题不能依靠一个国家、一个企业或一种技术来解决,这是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各方面的共同努力。如今的信息网络使得全世界被连接到一起,构成了一个浑然一体的虚拟世界,但是现实世界并没能和虚拟世界一样浑然一体。不同的国家和地区,有不同的法律,并且仅适用于特定的区域,这就使得破坏信息网络安全变得相对容易。因此需要达成一些国际共识,形成大家共同反对的行为集合的定义,达成一致的原则以规避虚拟社会对现实社会自主管理模式所带来的挑战,并且针对这些共识能够展开有效的合作。其中,各国政府负有对网络使用环境加以保护和管理的不可推卸的责任,提供网络服务的各企业有健全和强化网络安全措施的责任,个人使用者有自觉接受规范约束和保护网络的责任,而相关国际组织有组织国际协商和建立全球网络规则并加以实施的责任。只有各方都能尽责,全球网络安全的改善才有可能。
动态适应
由于信息网络的开放性和复杂性,安全保障的各个状态总是处于一种不稳定的变化过程中。随着信息网络越来越成为要求很好的运行系统,在这种状态下保障其安全,并且想要满足传统的“电信级”安全指标的话,难度非常大。安全保障的各个环节都需要具备足够的动态适应能力,以能够适应各种变化的状况。需要特别指出的是,依据复杂巨系统的理论,这种动态适应的能力,是不可能完全依赖设备和产品自动完成的。
面向未来,信息网络的运行需要达到“电信级”水平。尤其随着信息网络在人们生活中的地位与作用变得越来越重要,就越需要这种高标准的安全要求。未来越来越多的用户将充分意识到安全服务的必要性,并积极寻求规范的安全服务提供商的支持。在大型企业中,信息网络安全的整体性要求越来越受到重视,用户需要综合集成的系统,使得众多的安全产品和设备在大型网络中能够进行统一分析和指挥,互相配合并更好地发挥作用,使集中的安全管理与分析真正可行。从国家的角度来看,国家层面所需要关注问题的角度、面对信息网络的属性(不可控的开放系统)等和企业网络不同,而且要解决协调与合作的问题,但同样需要提升综合的分析、监测、预警、协调、处置等能力,并且形成有机的整体。目前国内对于安全网络以及文明网络的重视程度越来越高,而这一目标的实现必然需要各方的共同努力。在信息网络整个产业链中各环节应如何治理与提升网络安全及网络文明,尤其在法制化之称以及政府监管方面需要进一步提升。