12月21日,“2005年中国电信业网络与信息安全研讨会”在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办。 以下为“2005年中国电信业网络与信息安全研讨会”实录全文第一部分。 主持人:苏金生 信息产业部电信管理局局长 主持人:尊敬的蒋耀平副部长,尊敬的杨学山副主任,尊敬的高新民常务理事长。各位领导各位专家同志们朋友们早晨好。2005中国电信业网络与信息安全研讨会今天隆重召开了, 首先请允许我介绍出席今天会议的领导和专家,他们是,信息产业部副部长蒋耀平同志、国务院信息化工作办公室副主任杨学山同志、国家计算机网络应急技术处理协调中心主任,中国工程院院士方滨兴同志,国新办政策规划组组长秦海同志,公安部公共信息网络安全检查局副局长赵世强同志,国务院新闻办网络局副局长,刘正荣同志,中国工程院院士沈昌祥同志,参加会议的还有中国电信集团公司的张继平副总经理,中国电信杨杰副总经理,中国网络通信集团公司裴爱华副总裁,中国 移动通信集团公司鲁向东副总裁,中国联合通信有限公司李正茂副总裁,中国卫通副总经理吴劲风,中国铁通林源副总经理,让我们大家以热烈的掌声对他们出席表示衷心感谢。 本次研讨会以构建安全网络 服务和谐社会为主题,会议召开得到政府主管部门运营企业,设备制造企业,安全服务机构,研究机构新闻媒体等社会各界的高度重视和积极响应,让我们对大家的到来表示热烈的欢迎和衷心的感谢。 各位来宾我们即将迎来十一五的开局之年,随着网络融合趋势的加深,以及电信业务的日益复杂,网络与信息安全问题日益突出,为了确保电信网络的安全畅通和信息健康,必须始终把用户的权益放在首位,不断提高网络服务质量,加强行业监管和法制建设。进一步提高电信网络与信息安全管理的管理和技术水平。为我国经济社会科学发展,创造一个更加科学安全的环境。各位来宾本次研讨会就是期待通过来自产业各方的专家和代表的讨论,交流网络信息安全管理的成功经验,提高全社会网络安全意识,群策群力,共同铸建安全的网络环境。 下面以热烈的掌声邀请信息产业部蒋耀平副部长为大会致词! 蒋耀平:尊敬的杨学山副主任、各位来宾女士们先生们朋友们、同志们大家早上好!非常高兴参加今天的研讨会,本次研讨会以构建安全网络 服务和谐社会为主题,进行深入研讨非常具有现实的意义,在此请允许我代表信息产业部对研讨会的召开表示热烈地祝贺。 大力推进信息化,以信息化带动工业化,是我国全面建设小康社会,加快社会主义现代化建设的必然选择,把握好信息化发展方向,保障网络与信息的安全,促进信息产业持续快速健康发展,服务建设社会主义和谐社会的宏伟目标,是我们共同的责任。 近年来在党中央国务院正确领导下,信息产业部坚持贯彻和落实科学发展观,充分发挥信息产业政府主管部门的职责,大力加强网络信息安全工作,积极应对我国信息化进程中遇到的各种新情况,新问题,不断提高促进经济社会和谐发展,构建社会主义和谐社会的能力,为经济社会发展和信息化建设做出了积极地努力。在即将进入2006年,我国经济社会发展迈入新的五年规划之际,今天我们在这里举办这次研讨会,就是要提供一个沟通和交流的平台,宣传网络信息安全监管政策,交流网络信息安全管理的成功经验,进一步提高全社会网络信息安全意识。参加今天研讨会的有有关政府部门、科研院校、企业、中介组织,门户网站等各个方面,希望大家在研讨会中积极深入探讨,多提宝贵建设性意见和建议。下面我谈几点意见供大家参考。 第一、坚持科学发展观发展与安全并重。当前网上各类垃圾和不良信息、黑客攻击、网络犯罪等问题日渐突出,造成的危害越来越大,网络与信息安全已成为事关社会安定,经济增长和文明进步的一个全局性问题,我们要进一步加大宣传力度,提高全社会对网络信息安全的重视和防范意识,进一步加快信息安全立法监督,依法行政、依法管理,大力推动自主创新提高基础网络和各重要信息系统的抗攻击能力,努力构筑一个技术先进、管理高效、安全可靠的网络信息安全体系。与此同时要进一步以市场为导向,建立和完善信息产业链,不断提高信息网络应用水平,大力开发各种应用系统,推进信息技术在工业、商业、金融、教育、农业、科技、文化、医疗以及公共管理等各个领域的广泛应用,以不断扩大的多样化应用需求推动信息化进程,服务和谐社会。 第二、切实履行行业主管部门的职责,大力推进监管工作的科学化、规范化和公开化。我们将采取积极措施,全面落实企业的网络信息安全管理责任,各基础运营商、信息服务、网络接入等增值服务商也要深入、深刻认识到自己肩负的社会责任,牢记人民群众的希望,自觉将企业自身整理与政府监管相结合,在净化网络环境,树立网络新风中发挥关键的作用。我们还将组织专门力量,贴近市场、贴近技术、贴近业务应用,加强对及时通信,搜索引擎,P2P,移动互联网等新应用新业务的管理制度和措施的跟踪研究。我们将积极依靠企业,科研院校社会中介组织等各方面力量,提高监管措施的可行性和有效性。 第三、充分发挥行业组织的作用,增强行业自律,要发挥互联网协会等民间组织的作用,进一步完善行业自律规范,不断扩大治理范围,要充分发挥社会监督作用,动员全社会力量,沟通治理互联网环境。近年来中国互联网协会等部门开展了很有成效的工作,取得了很好的效果,希望再接再励发挥更大的积极作用。同时全社会积极努力,为广大人民群众提供一个清洁、安全、可靠的信息网络系统。 第四、坚持以人为本加快网络信息安全管理的人才培养和队伍建设。积极支持网络安全学科专业和培训机构的建设,尽快培养一批政治素质高具有网络知识,信息安全技术法律知识和管理能力的复合型人才和专门型人才。创造条件创造环境,努力吸引和凝聚一批优秀人才,加入到网络信息安全管理工作,造就一支政策水平高,业务能力强,技术设施过硬的网络信息安全队伍。第五、本着求同存异谋求合作的态度,立足我国国情积极开展网络信息安全保障领域的国际交流和合作,提高我国在国际网络信息合作的影响力,通过国际交流与合作,充分利用国际资源共同应对国际社会面临的许多共性网络信息安全问题,比如垃圾邮件,跨国网络犯罪,不良信息治理等,坚持独立自主,同时在国际组织中积极发挥作用,有所作为。 女士们先生们,放眼未来随着信息化网络的加快,信息网络的基础性全局性作用,对经济发展的影响越来越深刻,网络信息安全工作任重道远,让我们紧紧把握发展机遇,积极应对安全挑战,为做好网络信息安全工作,促进我国信息产业全面协调可持续发展而共同努力。 最后预祝本次研讨会取得圆满成功,谢谢大家。 主持人:随着我国电信事业的发展,网络电信的安全不引进是电信企业和行业层面的问题,已经成为影响我国信息化社会建设步伐的战略性课题,因此必须从国家信息化的层面去看待我国电信网络面临的安全挑战和威胁,下面让我们以热烈的掌声有请国务院信息化工作办公室杨学山副主任致词。 杨学山:尊敬的蒋耀平副部长,各位领导各位来宾上午好,首先请允许我代表国务院信息化工作办公室对中国电信业网络与信息安全研讨会召开表示热烈祝贺。 在这一次会议上,基础电信运营商提供互联网接入和信息服务的企业以及信息设备的有关制造商一起签署构建安全网络 服务和谐社会的倡议书,这是通过行业自律的方式为保障国家网络和信息安全的一个重要进程,我相信这对提高我们国家网络信息安全保障的能力具有积极地作用。在这次会议上我们将就网络和信息安全的制度、法律、技术、运行模式和各个方面展开广泛的讨论,这也是网络和信息安全发展中一个十分重要的事件,也会对提高我国网络和信息安全的保障能力起到积极的作用,因此我衷心预祝这次会议能够取得圆满成功! 这几年来我们国家的信息化取得了十分显著的进展,取得了十分明显的成效,在信息技术领域我们不断取得新的突破和新的进展,在信息产业领域,我们在做大做强的路上,一步一步扎实前进,在信息技术应用领域,我们发现应用的深度广度不断扩展和延伸,效果和效率一年比一年提高。在信息化发展环境,无论是标准、人才、法规和其他方面,都取得了一个又一个进展,随着信息化的进展,网络和信息安全的重要性日益突出,在上个月刚刚开过的国家信息化领导小组第五次会议上,审议并原则通过了国家信息化发展战略2006到2020年的国家信息化发展战略,这个战略中把网络和信息安全作为国家信息化发展战略中一个重要的内容,重点任务来进行部署和推进,因此我想借这次会议谈四点意见。 第一我们要从国家安全的全局来认识和做好网络和信息安全的保障工作,我们大家都亲身体会到,随着信息化的深入发展,无论是电信网络和其他网络信息基础设施已经成为一个社会的关键信息技术,关紧的基础设施,不仅仅服务于信息传输,不仅仅服务于信息化,而且已经成为国家的重要基础设施,我们重要信息系统已经关系到国际民生、已经一时一刻都不能停摆,这些重要信息安全系统已经关系国计民生,我们这次会议的主题构建安全网络 服务和谐社会已经指出这样一个含义,信息安全不仅仅是网络界信息界的事情,已经关系到国家安全的全局,无论是经济安全、政治安全、社会稳定,国防安全都和信息安全息息相关,所以要从这样的全局高度来认识信息化,来自觉做好网络和信息安全的保障工作为国家安全构造更加牢固的长城。 第二要从信息化发展的全局认识和做好网络信息安全的保障工作。信息安全和信息化的发展是相辅相成的关系,国家信息安全的战略,国家信息安全相关的部署都明确指出要在发展中求安全,以安全保发展,这是信息安全和信息化发展之间两者关系的高度概括。这里面最起码有两层含义,信息安全的保障和信息化的发展是密切相关的,信息安全技术的发展和和信息技术的整体发展存在密不可分的关系,我们想想很多信息安全技术和一般性的信息技术是存在十分密切的关系,相互之间很难区分。信息安全的装备和一般信息技术装备,信息产业的装备同样存在密不可分的关系,从网络设备,通信设备,计算设备到软件,很多安全的功能和技术装备本身密切相关,更不用说信息安全和信息技术应用的深度和广度存在密不可分的关系,是随着应用和深入广度不断深入和延展,所以信息保障和信息安全之间存在密不可分的关系,这种关系说明做好信息安全工作另外一个侧面,信息安全要和信息化的发展阶段仅仅连接在一起,在一定的发展阶段需要一定信息安全保障的策略和实践方式。所以信息安全保障必须从信息化发展的全局来认识和实践。 第三要充分认识网络信息安全的长期性和复杂性。从长期性的角度看,信息化是一个发展的过程,目前信息化整体发展如果从历史来看还处于发展的早期,因此信息安全工作必然是一个长期的发展过程和长期的历史过程。我们必须看到网络信息安全的复杂性,当网络成为社会不能离开的基础设施,当重要信息系统成为关系到国计民生,国民经济和社会发展运行不能离开的系统,当信息网络和信息系统和某个人的生活,和某个企业的生产经营紧紧连在一起的时候,我们看到信息安全有多么大的覆盖面,实现的领域和广度将是十分复杂,所以信息安全不能看到一点要从全局和整体来看,不仅要看到网络基础设施的正常运行,不仅要看到出现问题要应急响应等等,要从全局和整体认识网络和信息安全保障,去认识和做好网络信息安全保障工作。 第四做好网络和信息安全的保障,需要各方参与各负其责,这是一个长期的任务,所以在这个过程里面,在这个任务中间,我们不仅是政府的主管部门政府职能部门要承担网络信息安全监管调控实施这样一些职能,不仅是我们的信息安全技术研发,专家要重视和做好网络信息安全工作,不仅今天发倡议书的电信基础运营商提供信息接入和内容服务的供应商和提供信息设备安全和其他信息设备制造商要努力,每一个企业每一个公民都要参与网络和信息安全保障的重大的工作中去,我们作为个人不仅是信息安全保障体系的受益者,做好信息安全保障你的生活工作学习,你个人的信息就得到了安全,但是你本人也应该为形成这样的环境,创造这样的条件做出你的贡献,网络是没有边界的,在家里在车里只要接入网络不仅可以连到单位,可以连到想要的互联网,也可以到中国和世界任何一个地方,因此个人在这个时候扮演一个重要的角色,就是你如何自觉做好信息安全保障工作。信息的海关就在你的面前,所以不仅有义务做好自己信息的保护,也有义务做好企业和国家的信息保护和相关工作。作为企业不仅仅是基础网络和相关安全服务提供的接受者对象,也有义务和责任在共同事业中承担你的责任,不仅要做好企业信息系统网络的安全,还要向刚才提到一样,同样要自己承担好信息海关的责任。所以信息安全保障体系的建立是一个长期复杂的工作,也是需要各方参与,各负其责共同把信息安全进一步做好的重要工作。 信息安全保障技术和概念在不断发展,从早期通过网络的隔离和信息的加密来实现安全,经过一个阶段发展以后,发现隔离和加密会对应用发展两者之间如何平衡需要协调,因此进入一个新的阶段,所谓信息安全保障的阶段,就是用保护检测响应恢复这样的保障生命周期来实现安全保障工作,但是随着信息化的发展,应用的普及发现这又不够,因为当我们基础网络设施和重要信息系统受到攻击,受到人为的,自然的或其他因素所造成的堵障和障碍的时候要继续运行,因此转向所谓可生存性的阶段,无论病毒、还是攻击还是自然灾害重要的系统还要继续运行,这是今天对信息安全的认识发展的进程,这是历史长期性的工作,随着信息化的推进,随着信息安全保障进一步深化,我们理论技术、概念、模式都在深化和发展。我们正是在这样的信息化和信息安全保障的实践中不断提高我们的能力,不断提高理论和实践的水平,这也是寄希望这一次会议,通过这一次会议的研讨我们能够结合中国信息化发展的实践,把中国信息安全保障工作,能够更上一层楼,谢谢大家! 主持人:谢谢杨主任的重要致词,网络与信息安全管理需要全社会共同参与,中国互联网协会作为民间组织在倡导行业自律发挥社会监督推进网络信息安全方面发挥了重要的作用,下面让我们以热烈地掌声有请中国互联网协会常务副理事长高新民先生致词。 高新民:谢谢苏局长,尊敬的蒋耀平副部长,尊敬的杨学山副主任大家早上好,首先请允许我代表中国互联网协会对中国电信业网络与安全研讨会的召开表示最衷心的祝贺! 正如大家知道,互联网是计算机技术和通信网技术紧密结合的产物,目前已经形成全球信息社会的一个基础设施,这一点在前些时候,信息社会全球峰会上得到再一次公认,互联网蓬勃兴起促进全社会信息和知识的共享,进一步推动了经济和社会发展进一步智能化的应用。互联网进入中国虽然只有短短11年,但是我国互联网的事业和产业发展非常迅速,无论是互联网用户的数量,网络的规模,技术的水平,应用业务的种类等等各方面都已经令世界瞩目。互联网在我国已经初步形成基础和规模,互联网网络应用正向多元化和深入化的方向发展,在我们看到互联网事业和产业在我们国家蓬勃发展的同时,必须清醒看到,互联网发展中还存在两个比较突出的问题,由于我们国家人口基数比较大,互联网用户的普及率在全世界比较起来相对比较低,目前根据统计资料看,现在互联网的普及率只有1/12或1/13,不到10%,但是全世界平均人口互联网用户的普及率大体上是1/6,现在全球互联网用户是10个亿,在全世界水平来讲,我们普及率是不高的。 另外一个问题,就是今天大会要讨论的问题,叫网络安全和信息安全问题,或者目前把网络安全和信息安全问题落实互联网治理的问题,从更广阔的视角看网络安全和信息安全的问题。特别网络安全的问题,网络攻击、计算机病毒,恶性、恶意代码,以及垃圾邮件都非常严重地在干扰互联网事业的发展,互联网上不负责任,不顾道德的不良信息和有害信息的传播,也对社会造成相当大的危害,最近有关机构在一项网民最反感的互联网问题调查当中,网络病毒和网络入侵和攻击以及不良信息成为最为反感的事件之一,这充分说明广大的网民,广大互联网用户对互联网上的安全问题已注入了极大的关注,这些问题在一定程度上制约着我们国家互联网事业的健康发展和广泛应用,特别是影响到广大网民和用户对互联网的信任度的下降。由于互联网问题在全球具有一定普遍性,加强对互联网发展中带来网络和信息安全问题的研究,及时分析问题的根源,并做出相应的反应,对我国电信业互联网业界,乃至全社会都有非常重要的意义。因此我国政府一向提倡要从法律规范,行政监管,行业自律技术保障等多方面角度进行综合治理。 中国互联网协会自2001年5月份成立以来在信息产业部及有关政府部门的领导和支持下,以促进互联网稳步发展为宗旨,积极致力于互联网的治理工作,2002年3月,协会制定并发布中国互联网行业治理公约,目前全国有2千多家互联网从业机构签署了该公约,并多次开展了全国或地区范围之内的互联网信息服务,自查互查活动,重点进行公约执行情况的检查。另外互联网协会还同有关部门联合组织成立了违法和不良信息举报中心。得到社会各界广泛支持,特别很多家长对举报中心表示热烈地支持,公布了互联网新闻信息服务治理公约,互联网网站禁止传播淫秽色情等不良信息的治理规范。除此之外我们协会多年以来还对反垃圾邮件进行大量工作,从治理规范黑名单制度,联合封锁国际协调等多个角度开展了反垃圾邮件的行动,在前些时候信息社会全球峰会上互联网协会组织了一次互联网治理促进互联网发展的论坛,在会上介绍了我国反垃圾邮件的活动,得到与会者的高度赞许和关注,协会今年以来还在无线信息服务,网络版权保护以及P2P技术普及应用当中的自律问题进行了广泛的活动,促进有关的从业者要以自律的措施来应用新技术,促使互联网能够在健康的环境下发展。 正如刚才蒋部长和杨主任提到,网络信息安全和互联网健康稳定发展的一个重要保证,而且是一个长期而艰巨的任务,需要我们共同努力,中国已经成为网民最多的互联网大国之一,今后中国互联网事业要保持持续健康的发展势头,更需要全社会、全行业共同努力,共同协调、共同促进网络的安全环境,互联网协会将在政府有关部门的指导下,与有关的行业从业者群策群力、鼓励自觉自律维护我们国家的网络安全和信息安全,推动我国互联网健康协调发展做出应有的努力,最后祝本次电信业网络和信息安全研讨会圆满成功,谢谢大家! 主持人:谢谢高理事长的精彩致词。中国电信、中国网通、中国 移动、中国联通、中国卫通、中国铁通作为我国基础电信的网络运营者,目前承担者为我国7亿多用户提供安全电信服务的重任,今天六大基础运营商的集团公司主要领导也参加本次大会,并将联合发布《构建安全网络 服务和谐社会倡议书》表明他们共同打造更加坚固主动式安全防御体系的决心和信心,下面请中国 移动 集团公司副总裁鲁向东先生作为代表宣读倡议书。 鲁向东:值此2005中国电信业网络与信息安全研讨会召开之际,我仅代表包括基础电信运营商,互联网接入和内容服务提供者以及有关网络设备商在内的电信企业郑重倡议。 电信网络是信息社会的基础设施,网络信息是信息社会的重要资源,我们深知,中国电信行业网络与信息安全的重要性;我们深知,作为电信从业者的社会责任,在这里我们庄严承诺,始终把用户权益放在首位,不断提高网络服务质量,自觉抵制不良信息,确保网络信息安全,为构建信息社会努力奋斗。 我们要进一步加强行业自律、自律遵守国家的网络信息安全法规和制度服从政府的监管。 我们要进一步完善网络信息安全责任制度,健全网络信息安全保障措施,不断提高管理水平。 我们要进一步加强安全产品的研发,推广和使用,提高网络信息安全保障能力。 我们要进一步强化网络信息应急响应体系,保障网络安全运行,提高突发事件的处置能力。 我们要进一步承担起应负的社会责任,不传输、不登载违法和不良信息,不接入不链接非法和违规网站,相互协作、互相监督、共同净网络环境。 我们要积极按照“同步规划、同步建设、同步发展”的原则,加强对下一代网络安全问题的研究,实现未来网络发展与安全的协调统一。 我们要继续加强电信从业者间沟通和合作,自觉接受社会各界对网络信息安全的监督和建议,共同维护电信行业健康发展。 我们坚信通过不懈地努力,我们电信网络将更加安全、畅通,我们信息内容将更加健康向上,我们努力必将为经济社会科学发展做出新的贡献,让我们携起手来构建安全网络,服务和谐社会。 参与单位,中国电信、中国网通、中国 移动、中国联通、中国卫通、中国铁通、新浪、网易、搜狐、263、腾讯、Tom、百度。 主持人:下面邀请六大基础电信运营商上台,中国电信杨杰先生、中国网通裴爱华先生、中国 移动鲁向东先生、中国联通李正茂先生、中国卫通吴劲风先生、以及中国铁通林源先生上台。 下面有请各电信增值运营服务商上台,新浪首席执行官汪延先生、网易总裁丁磊先生、搜狐副总裁兼总编辑李善友先生、263总裁兼首席运营官黄明生先生、腾讯首席执行官陈一丹先生、TOM在线有限公司执行董事副总裁伍耘先生、百度副总裁梁冬先生上台。 联合签署构建安全网络 服务和谐社会倡议书这一举措表明基础电信运营企业电信增值服务运营商将一道为共同构建电信行业网络信息安全保障体系而努力。感谢六大基础运营商和各电信增值运营服务商的联合倡议。相信通过我们共同努力,我国电信网络和信息安全将会更有保障,让我们携起手来加强网络与信息安全课题的思考与研究,共同打造安全的电信和信息网络为服务和谐社会共同努力,各位领导同志们到此大会的开幕式告一段落! 主持人:黄澄清中国互联网协会秘书长 主持人:网络与信息安全不仅关系电信运营企业的利益,而且与整个社会信息化的进程息息相关,作为近来我国信息化社会的基础网络,网络的安全保障机制已经上升到确保国家长治久安和国计民生的层面,在这样的状况下,尽快建立完善的网络信息安全监管体系,完善相关的法律和政策加强网络信息安全监管已经显得格外重要。信息产业部作为我国电信行业的主管部门,本着改革的精神,面对新技术、新业务的发展,始终对网络信息安全的工作给予高度的重视,下面有请信息产业部电信管理局赵志国副局长针对目前我国网络信息安全监管及政策有关问题做主题报告。 赵志国:各位领导,各位来宾女士们先生们上午好,伴随着全球信息化的蓬勃发展和深入推进,网络与信息安全问题显得越来越突出、越来越重要、越来越紧迫。这次研讨会以构建安全网络 服务和谐社会为主题,必将对我国网络信息安全基础性工作和基础设施的建设,我国网络文明建设和网络诚信体系的建立起到极大的促进作用,在此我仅代表信息产业部电信管理局对中国电信业网络与信息安全研讨会的召开表示热烈祝贺。 如何通过有效的政策指引和监督管理,在推进我国电信网络高速发展的同时保障网络与信息安全。是各级电信监管部门一直在研究探索实践的重要战略性课题,借此机会我向大家介绍一下电信监管部门依法对全国电信业的网络与信息安全实践监管工作的情况,以及下一步工作的考虑,希望通过此次交流研讨能够增进彼此间的了解,加强今后工作的协调配合,也恳请各位在后面专题研讨献计献策为电信监管有效开展多提宝贵建议。 一、我国网络安全信息安全面临的挑战。世界强国纷纷强占网络信息安全战略制高点,在全球信息化大趋势下,发达国家从国家安全的角度和国际安全关系的格局着眼,积极研究制定各自的信息安全战略。美国率先提出网络信息安全关系国家战略安全,把网络信息安全放在优 发展的位置予以考虑,美国认为信息空间是国家关键基础设施的神经系统,其正常运作对于国家经济和国家安全至关重要。9.11恐怖袭击发生后,美国接连颁布了信息时代保护关键基础设施的行政命令,计算机安全研究和发展法,保护计算机空间国家计划,网络空间国家安全战略等重要法规。俄罗斯把信息安全作为重建大国地位的关键,2000年9月发布的《俄罗斯信息安全学说》系统反映俄罗斯信息安全建设的总体构思,任务目标以及指导方针,俄罗斯认为,俄罗斯联邦国家安全从根本上取决于信息安全的保障,必须突出地全面加强国家、军队、团队和企业等各个方面的信息安全建设。欧洲国家和日本韩国等也都从国家发展战略、安全战略和军事战略的高度急起直追加强了安全战略的制定。 二、各国面临的网络信息安全共性问题在我国信息化发展进程中日益凸现。计算机病毒种类数量在增加,受病毒感染对象不仅包括广大个人用户,而且包括网络基础设施,重要的信息系统甚至是各种生产业务系统。垃圾邮件被称为网络上的牛皮癣,平均每人每年消耗10个8小时工作时间。网络违法犯罪活动增多,各种违法分子利用网络的逆命性,和管控困难特点,将网络作为联络和作案工具进行诈骗、赌博等违法犯罪活动。作案手段不断翻新,犯罪类型不断扩展。2004年CNCERT/CC处理200多起针对银行等机构的跨国互联网欺诈事件。 积极主动开展新时期网络信息安全监管工作,面对产业发展科学技术大变革,电信部门在党中央国务院领导下,准确把握时代脉搏,坚持科学发展观,及时调整政府监管战略,提出了创建安全健康的网络环境目标,明确积极发展,加强管理,趋利避害为所用的思想,并确定以安全保发展,在发展中求安全,没有安全保障的信息化是危险的信息化,始终把网络信息安全问题放在至关重要的位置,为人民群众努力构筑一个技术先进,管理高效,安全可靠,诚信和谐的信息网络环境。二是立法先行,依法行政,通过加强网络信息安全建设,威慑和打击各种网络犯罪活动,同时坚持以人为本,尊重个人隐私,切实保障人民群众的合法权益。 围绕这些指导思想和原则,近年来在法律规范,行政监管,行业自律,技术保障国家合作等五方面大力推进监管工作的制度化规范化。不断增强行业管理科学性有效性。 加强建立健全相关法律法规为保障网络信息安全提供良好的法制环境。十五期间我国按照依法治国的要求,注重法律手段处理监管中出现的问题,根据条件成熟,区分重点轻重缓急的原则,积极制定相关的办法和规范,相继出台中华人民共和国电信条例,互联网信息服务管理办法,中国网络域名管理办法等一系列法律法规和部门规章。针对人民群众反映强烈的通信短信息,垃圾邮件的管理信息,我国拟于近期与公安部国务院新闻办颁布实施通信短信息管理办法,同时在推动电信法,信息安全条例的制定工作,以制定更为合理完善的信息安全法律法规体系。 不断提高监管水平,逐步摸索形成一套以事前规范,事中监督,事后出发为主线的科学管理,综合管理的监管制度,事前规范就是要前移管理关口,把问题工作想在前面,在这环节中抓四方面的工作,一是网站和域名的实名制度。经过各级电信部门艰苦努力,在短短不到一年时间里,完成69万个互联网网站,5993万个IP地址和绝大多数域名的备案工作,初步建立全国互联网网站信息数据库,基本实现了全国网站的实名制和属地化管理。抓好电信业务许可管理中的特别规定事项制度和专项审查制度落实工作。抓住接入服务提供者,域名注册服务管理机构等关键环节,提高电信业务经营者的网络与信息安全保障责任和保障能力。四种监督要定期不定期对各种制度落实情况进行监督检查,及时发现问题及时采取措施,2005年针对电信网络市场中出现的新情况新问题,开展了三次声势浩大的信息内容专项治理活动,1至5月各电信监管部门配合当地公安机关开展了打击网络赌博的专项行动,网络赌博充分利用现代通信技术,不受地域场所限制,可以跨地区,跨国境赌博,赌博的内容种类不仅涵盖而且超出传统的赌博活动,9月至11月,针对网上淫秽色情活动更加隐蔽,利用是视频裸聊新特点,各地主管部门开展了为期三个月市场清理整顿和专项打击行动,重点对互联网接入,主机托管进行了专项市场整顿,11月初电信监管部门和公安部门一起在全国范围内启动手机违法短信息治理工作,重点治理广大人民群众接触多,影响大,反映强烈的五类诈骗、骚扰和色情类违法短信息。事后出发就是对个别企业和个人急功近利,甚至利益熏心,片面追求经济利益而忽视法律,政策等约束的行为进行惩戒。在打击网络赌博专项行动中,各地电信监管部门关闭查处了近千个网络赌博网络。打击裸聊行动,全国依法关闭淫秽色情网站5恩98家,并快速配合公安机关侦破一批淫秽色情聊天案件。目前开展的治理手机违法短信息工作,根据各级公安机关对射线违法犯罪线索的手机,违法段信息甄别研判的意见,电信监管部门通知并监督运营商对1万多部手机停机。 积极引导互联网行业自律,加强公共教育,倡导网络文明,我们十分注重发挥行业协会的桥梁和纽带作用,积极指导中国互联网协会加强行业自律,与国务院新闻发共同发起成立互联网违法和不良信息举报中心,充分发挥社会监督作用,与中央文明办一道推动绿色上网工程,为广大网民特别是青少年网民推介过滤不良信息的软件产品,提高网民保护能力,积极开展网络科普,等健康向上的网络文明活动,引导公众尤其未成年人健康上网,自觉抵制迷信、色情赌博暴力不健康网络内容,构建和谐的网络风气。 大力开展安全技术研究,着力提高网络安全防护水平和应急处理能力。近年来网络信息安全研究取得积极进展,信息安全基础设施建设不发达幅加快,建立了网络安全事件监测平台,实现对网络安全事件实时动态监测。组建了以信息产业部为重要技术支撑,以各互联网运营单位为基础组织力量重大网络安全事件应急处置体系。初步掌握信息网络空间中突发事件的发现、分析、处置和恢复能力。几年来我部协调跨网人为攻击重大事件几百起。 积极开展网络信息安全问题的国际交流与合作,全面参与互联网国际治理。2003年12月以来我部代表中国政府参加联合国互联网治理组的研究,充分发挥应有的影响,努力维护我国信息主权和信息安全,我们坚持政府主导多方参与,民主决策透明高效的原则。在联合国框架下建立合法权威的国际治理体系,反对个别国家垄断互联网域名和IP地址等战略资源分配权,反对个别国家独自掌控全球互联网域名解析定级服务器,提倡在互联网国际治理中建立政府间有效的协调合作机制,我部还通过广泛合作,充分利用国际资源积极探索和解决,垃圾邮件,跨国网络犯罪,网络知识产权保护,不良信息治理等问题。 三、总结经验不断深化网络安全监管工作的认识,充分认识网络信息安全监管工作的重要意义是保障网络信息安全促进电信网络健康发展的根本前提。在刚刚结束2005年互联网大会上,不少专家指出,中国互联网已经进入稳健发展的轨道,如何治理以互联网为代表的电信网络使它更清洁更健康,为广大网民带来更多的实惠已经成为我们刻不容缓,必须认真面对和研究的一个重要问题。通过这几年监管工作的实践摸索,对政府加强网络信息安全,监管必要性深有感触,做好网络信息安全监管工作,是推动信息化发展的需要,是贯彻全面协调可持续发展观的几种体现,也是政府主管部门履行社会管理职责重要切入点。这表现在网络信息安全已经成为国家安全的一个重要组成部分,和非传统安全因素里的重要方面,必须通过强有力的监管才能确保国家在网络空间中的根本利益,通过政府监管可以利用法律行政等强制力,解决技术手段和自律无法解决的问题。如垃圾邮件的治理和网上违法犯罪行为的打击。通过政府监管可以克服过渡市场竞争带来的负面影响,保护网络用户合法权益,防止淫秽色情、迷信暴力等趣味低下不良信息大行其道。有效机制和良好环境是保障信息安全的重要机制,网上病毒和各种攻击行为的传播,与自然界疫病传播有很多相似之处而且传播的速度可能更快,为有效应对网络安全面对的挑战,应该建立公共卫生突发事件应急反应事件那样,广泛动员社会各方面的力量,建立起一个运转灵活,反映灵敏网络应急处理协调机制,以确保发生网上突发事件,紧急事件可以在第一时间及时发现预警并准确判断快速反映,尽可能避免和减少网络突发事件给经济和社会运行带来的影响或损失。 加强技术能力建设培养和造就一支素质过硬的专业人才队伍是保障网络信息安全促进电信网络健康发展的关键所在。面对花样不断翻新的网络攻击,病毒传播,面对海量互联网信息,和数以万计互联网商,必须与时俱进,加大研发和创新的力度,特别加强关键领域的技术攻关,才能有效应对网络信息安全面对的挑战,加强技术能力建设最基本是要加强网络信息安全技术平台的建设,实现对网络安全运行情况的全方位监测,提高信息安全事件异常发现能力和数据分析能力,同时要不断提高应急处置能力确保在发生网络信息安全应急事件时能够及时高水准的解决方案,有效地推动处治工作的开展,人才是第一资源,人才是事业之本,在当前信息技术迅速发展的形式下,必须把队伍建设提到战略高度,在提高创新能力加强人才方面下更大工夫,为加强网络安全管理提供坚实的智力保障和支持。 政府主导多方参与发挥民间组织作用,强化企业责任,加强国际交流与合作是保障网络信息安全,促进电信网络健康发展的必要条件。下一步信息产业部将继续致力于构建一个政府企业,民间团体、广大人民群众群策群力齐抓共管的良好局面,借助社会力量充分发挥互联网协会行业组织的作用,接受公众对网络违法和不良信息的举报。同时按照谁经营谁负责的原则,多数企业快速发展的同时,切实承担应有社会责任,这几年监督落实信息服务提供商,信息服务接入者的安全制度和保障措施,实现责任制度法制化明晰化,收到良好效果,今后还将在强化各类信息服务主体的责任意识和危机意识下工夫,始终把网络信息安全工作和电信监管工作,各企业依法经营相结合,坚持不懈把工作做好做实。刚才各基础运营商,各重点信息服务提供商,联合签署并宣读构建安全网络 服务和谐社会的倡议书,既体现他们勇于承担社会责任,也是他们对社会网民的郑重承诺。 四、以科学发展观为指导,积极开创网络信息安全监管工作新局面。2006年是十一五计划开局之年,网络信息安全监管工作是按照党的十六届五中全会提出的健全信息安全保障体系的要求,坚持全面协调可持续的科学发展观,逐步构建一套与我国信息化发展进程相适应的网络信息安全保障体系,为实现和谐社会目标而服务。我们加强对新技术、新业务引发的网络信息安全问题及其对策的研究,大力推动网络内容产业的发展和繁荣。推动自主创新,提升网络安全产业的核心竞争力;大力深化国家网络安全保障的基础设施建设,完善网络安全应急处理平台。着力提升国家网络安全保障能力和对网络安全事件驾驭能力,着力提高监测发现预警网络安全事件的技术水平。 同志们网络信息安全的工作是充满活力和生机的事业,我们愿意与产业界学术界等社会各方面力量一道,携手共创安全网络,服务和谐社会,谢谢大家。 主持人:谢谢赵局长的报告,在网络融合的时代,单纯采用被动的安全预警的手段已经很难防范目前的安全威胁,因此我国政府提出对互联网管理要从四方面综合管理,法律规范,行政监管,行业自律技术保障,从技术保障角度来讲,建立完善的网络安全监控已经成为必然。 下面有请国家计算机网络应急技术处理中心主任,中国工程院院士方滨兴做主题为网络安全应急技术处理协调问题研究的主题报告。 方滨兴:大家好非常高兴有机会和得到交流一下关于网络安全事件的工作。 首先看一下网络威胁来自何方,我们可以从客观和主观原因分析,从客观原因看安全漏洞是客观事实,安全漏洞原因有各种各样,从计算来看,正确性不可证明的,经常说数千条语句就会带来一个BUG,若干BUG就会造成安全漏洞,很多系统都是几十万上百万的程序,所以安全漏洞存在是必然的,还有一些情况是由于增加功能附加结果,还有一些调试的原因和人为原因增加了一些后门都使得软件具有漏洞性。 另外安全漏洞暴露速度不断加快。去年上半年公布17个安全漏洞,而今年上半年公布了34个,随着发展安全问题变得多起来了,CNCERT/CC在今年上半年整理并发布安全漏洞公告43个。这是从1995年到今年漏洞出现的情况,从2002年起安全漏洞非常多,每年都有几千个,这是今年上半年有将近3千个。 再看一下主观原因,安全漏洞存在是客观的,要想对它攻击必须要利用这个安全漏洞,所以要挖掘对安全漏洞的利用是主观行为,尤其蠕虫类完全自动化的方法,通常来看一定利用安全漏洞,如果人工黑客攻击会采取技巧性的,这采取外延式的,只有利用安全漏洞才能做。另外安全漏洞被利用周期越来越短,以前可能长达1年多现在最快的从公布到利用出来在48小时就出现对这个安全漏洞的利用。 攻击的复杂度与对黑客的要求变得非常快,从攻击复杂度来看,随着时间的变迁复杂度越来越高,攻击的手段越来越强,这是大家比较熟悉的一些攻击方法,对黑客要求不一样了,对黑客技术要求反而越来越低,关键就是自动化的工具手段越来越高,出现几次大的黑客之间的较量,非常典型的五一黑客事件,大量黑客操作都是对安全问题并不熟悉的网民,从网上下载一些黑客工具添上地址就去运行,这形成整个网上攻击的蔓延,这种情况也给网络安全情况带来了很严峻的破坏。 另外采取的是靠消耗,可能没有利用你安全漏洞,我大量做资源的消耗,这更多依靠的工具,现在越来越多采取的不是攻击是正常访问,有效组织起大量网站同时对某一个网站进行合理的访问,这种大量访问资源到来,就会堵塞系统,这对系统的堵塞就形成一种攻击,这攻击用户很难判断,就是因为你看不出来是有害防护,对每个个体来说是合理的,但对整体来说就形成了攻击。 我们把网络攻击称为恶意代码,这恶意代码的攻击类型分为控制系统类,你的系统可以正常运行,我也可以使,尽管有访问控制和口令保护,我可以绕过你的防范手段。比如特洛伊木马,这是最典型的,最近非常流行的Phishing,这就是一种网络感冒,它首先攻向系统,然后又利用系统漏洞把木马安装进去然后做反馈,有一些报告可以对这做介绍,这是国际组织,国际专门的Phishing组织,收集到各种报告这是国际情况。在中国这是CNCERT/CC接受的报告,实际上在中国肯定不是那么少,可能要更多,但是可能别的部门接受报告,或者没有报告,我们接受报告主要从国外投诉的,因为Phishing欺诈的往往是第三国。比如美国黑客组织在中国攻占了一些逻辑网站,比如学生的机器不太在乎安全,比如做实验室的机器,培训的机器都容易攻击,攻击完了被害目标往往是第三国,不一定是中国的,可能是韩国、日本的,这样法律程序就变得很复杂,所以接到投诉往往都是国外的投诉,我们网站被Phishing了,这地点是在你们国家,请你们协助处理。木马有各种各样不光是这一种。这是我们接触上半年木马活动情况,整个上半年有5万多次成功的木马,木马先后控制国内1万多台机器。这是一个排序,广外使用量最大的达到近2万次。这是在各地的分布,从分布来看一般是现代化程度高的,平时相对容易被木马攻击,因为使用的量大。这里面还有一种纯粹的入侵,也就是暴力的手段攻击,可能没有安全漏洞,安全漏洞不是软件固有的,而是由于操作人员带来的,比如一种专门猜各种口令,这是采取基于攻击字典方法进行猜测,整个对指定口令长度有要求,如果指令比较长比较复杂就难猜出来。本身不是系统有弱点,而是口令起得太规律化,比如电话号码,比如就是帐号名再加上数字这样人家就可以攻击。在2003年出现的典型案例,当时出现口令蠕虫,攻击就是强行猜口令,一旦成功了就把帐号,口令IP地址回传到国外13个IC服务器上。后来采取手段遏制住了,因为采取的是特别的端口,协调运营商就失去了效果。 第二类是破坏系统类,这是强行的攻击,也有人工行为黑客行为,用黑客手段发现配置上的漏洞,发现你整个管理上的问题去攻克这个系统,攻克之后可能破坏你数据库,也可能黑你的网页,这是捡年上半年检测到的黑网页情况,紫红色是政府网站,这占15%左右,政府网站注册数3.8%左右,相对来说政府网站不是太坚固。还有各种各样手段,这是对常见50种手段进行了检测,仅仅在上半年先后有3万多台机器对国内机器进行攻击,这是攻击的分布。 第三类拒绝服务类,完全是靠资源消耗,它没有漏洞,但是靠反复消耗你的资源进行对系统的破坏。这种典型的案例就是僵尸网络,僵尸网络可以有机的把他所控制所有的设备组织起来,然后指挥所有的设备同时做一件事情,比如发垃圾邮件,可以指挥数万个,甚至数十万个,如果有谁控制3、40万个系统几乎就指哪打哪儿。现在僵尸网络发生变化,传统僵尸网络通过IRC协议控制,我们国家发现第一个僵尸网络是去年年底长沙有一个黑客,他组织大量的攻击,他自己认为控制6万多台,很多是自动蔓延,我们看到到了12万台左右,他组织这些攻击来攻击合法的网站,这种攻击采取完全是正常的访问,但这种正常访问让你瞬间往上冲,使正常网站没法提供服务,现在又有一些新的,具有P2P的蠕虫出现。另外出现次数增多,今天5-6月期间CNCERT/CC发现有29个较大的规模僵尸网络,甚至有人在网上拍卖僵尸网络,我这僵尸能控制500个机器付500块钱。而且这些僵尸网络不断扩张,更新版本。我们看到的控制器主要位于美国、韩国、当然中国大陆也有。 僵尸蠕虫是主动性攻击,知道攻也知道停,蠕虫是不行的,一旦释放出去以后难以控制,现在有人研究良性蠕虫,这种蠕虫由于扩散更大反而导致骨干网络被堵塞,所谓的良性蠕虫在骨干网角度来看带来威胁比原来蠕虫本身威胁还大,原来蠕虫威胁对终端威胁,但骨干网络威胁小一些,这种失控攻击方法是非常危险的。 其中典型蠕虫,蠕虫的种类非常繁多,之所以典型是起了一定的作用,比如88年Morris,最早在Linux攻击,还有远程的漏洞,这促使美国CERT/CC的诞生。在89年底Wank蠕虫出现使得很多国家胡同沟通共同处理Wank,促使FIRST组织诞生,CodeRed是2002年大量出现的蠕虫,这里面把蠕虫技术和病毒的技术,黑客技术木马技术融合在一起,从蠕虫角度来说是革命性的进展。我们国家回忆一下2003年口令蠕虫就是一个僵尸网络,因为回传是国内IRC上,当时对它没有清醒的认识,只知道这个蠕虫非常特异,这方法就是典型的僵尸蠕虫。还有MsBlaster基于蠕虫的DDoS,它出现所有感染者同时供给微软下载的网站,使得微软网站根本无法承受。随着对MsBlaster反攻击蠕虫出现是最早的良性蠕虫。 蠕虫攻击从技术角度来说有非常严重的威胁,一个带着一个DDoS攻击你知道是威胁,你只有躲避。再有就是僵尸网络,可以通过扩散自动形成用户可控的网络体系,可控危险就大了,刚才不可控程序已经编死了,但是一旦可控可以随时变换目标,这威胁比较大的,另外特征不唯一性,口令蠕虫等采取的端口非常特别,所以可以采取一些手段,但是有一些就是采取传统的通用端口这很难处理。 今年上半年没有大规模的蠕虫事件爆发,但是我们迅速增多的是即时消息的蠕虫,这也说明即时消息蠕虫被广泛应用,就群发邮件蠕虫看到逐渐减少,手机蠕虫开始并发,在反复不断挖掘手机新功能,必须清醒看到它会带来负作用,比如安全问题,所以对这方面研究要加大力度。 还有采取Rootkit技术把所有痕迹消失掉,这在蠕虫里面也开始使用,采用这个技术往往是人工手段,一个黑客攻击完抹掉所有痕迹,现在蠕虫也是,是的更难寻找。 最后一类就是传染类,到了网络化时代病毒没有太大生命,病毒就是具有符着力,如果没有载体文件自身不可能生存,蠕虫是自我生存,自我扩张。病毒没有网络,靠文件,靠软盘,大家互相拷贝传播,现在根本不需要拷贝,因为你在网上,所以简单散发就可以达到这个效果。所以蠕虫的出现,病毒渐渐变少,现在有一个新的问题,人们为了防特洛伊木马,因为它散发不太容易,因为没有太多共性的漏洞,需要用户被欺骗之后,用户自己主动运行,比如一些垃圾邮件带的非常危险,你要主动启动,就把系统控制权送给他,再有一些共享软件,还有很多网页有很多恶意代码,通过你点击也可以出现传染。 这是我们所看到的和处理的一些,总共处理不是太多,上半年500多个,但是我们接到报告非常多,把所有的去掉之后有几千个。这是我们接到报告次数6万多,大量都是扫描类,剩下3千多个是网络安全事件,扫描类很难判断的,不一定起到什么作用,但确实是攻击的前奏。 我们面临的挑战是什么?关于预警,从扩散发现到大规模蔓延留给我们时间越来越短,以前一个病毒出现是几个月到几年,有很多病毒注明一年后再发作,因为要留足够的扩散空间,不会一下爆发,后来红病毒可以通过邮件传染了,这时候在数周,数月,后来到纯邮件数天,后来到网络非常快,从发现到蔓延12小时。网络建设和网络管理是有边界的,一个企业有自己的局域网防火墙,但是攻击没有边界的,我们知道它攻击,对他无可奈何的,哪怕一个国家来说,从境外对我们发动攻击我们也没有办法,国际上没有建立很好的联动机制,黑客总能找到一个国家对这行为可以容忍的,比如中国到现在反垃圾邮件法没有出来,很多人愿意到中国来搞垃圾邮件。 很多事情本来有解决办法的,任何一个路由器是具有原路由功能的,到了骨干网反而被取消,一个是已经在骨干网上不是一个边缘,访问的意义不大。另外消耗资源非常厉害,要是起动一个源路由65%以上资源被消耗了,但是如果在边缘起动有什么好处,所有的广告地址出不去,这么做有什么好处,现在有多少愿意关心他人网上,配不配源路由对自身没什么害处,配了可能对他人有好处,所以现在有协调组织呼吁,全世界网络管理组织者,应该采取源路游。 我们作为国家的CNCERT/CC,也做相应的防范问题,我们从防范的角度是一个PDR,预防检测和响应。防范作为一个国家来讲在骨干网做防范很难,不像一个企业防范很明确,你只能访问我网站,别的不能用等等,但是国家层面不能随便设的,防护只是少数情况。这动作不能经常可以采用的,关键是在检测,现在在国家科技部的支持下,开发了863- 917网络安全处置平台,骨干网从网络层面做一个访问,在省级骨干网做检测可以发现攻击路径多点监测能力,再有建立相应分布式的密罐系统,比如受到僵尸蠕虫攻击,必须要获得分布代码,你必须有相应的系统才能捕获。还有自动验证,很多网站被黑,放了七天自己不知道,他网页发布一次信息也不一定维护,这样造成很多影响,我们采取自动发现可以发现谁被黑了,黑已经是事实,但是起码要发现它。另外做一些自动的验证,入侵进展最大问题就是从应答的角度看到,我们可以进一步做验证,一旦确定被攻击了,有攻击的层面,这样可以判断攻击的程度。从响应来说是靠自身,国家重要信息系统由重要信息系统负责,骨干网由骨干网负责,作为CNCERT/CC是一个协调部门,只是做一些支撑,包括对所有攻击的强度和受害程度做分析,对攻击IP做定位,在必要的时候指导做重定位躲避攻击,另外利用国家级资源库进行信息交换和资源共享,至于这个攻击不向另外网上蔓延。 在这里面需要正视一些问题,这些问题比如国家级平台重在发现,既然有国家的平台,所有应急处理都自动处理这不太可能的,我们还是重在发现。再有大原则是积极预防、及时发现、快速响应、力保恢复下有所侧重,我个人认为核心要素是发现与响应,你首先要知道,知道了之后要有一个响应,所以这两个应该是核心。对于不同的程度,做不同的事情,关注不同的事情,比如对基础网络要处理,基础网络影响太大了,是所有信息化系统运营的基础。而重要系统往往都是相对封闭的,各自重要系统都有各自的处理能力,我们对它的外界攻击有配合性的防范,对于终端用户不能指望设置一个报警电话,哪个终端出问题打个电话来帮我处理,这事不可想象的,旦出现了问题,可能几十万,上百万的问题都出问题,都靠打电话解决不客观也不现实的,我们要迅速发布解决方法,这应该让它垂手可得,应该有很好的方法获得它,这样大家在这个指导下各自解决问题,因为任何一个蠕虫我看最终要靠自己解决,整体才会有很好的解决,否则为什么以前蠕虫没了,因为不停打补丁或换操作系统,否则这个蠕虫会不断存在的。
我们更加要重视就是综合防范与事后遏制,我们不能完全依赖预警,预警不是万能的,我们看到更多的是一件事情已经发生很厉害了,再采取手段降下来,所以发生在先,从预警能力看,现在很多事件征兆,包括病毒征兆都是有病毒在先,拿到病毒分析找出特征,然后再查查,再监控,第二个就是时效问题,刚才说了病毒从到网上到大规模扩散10分钟,我们看到东西分析采取措施绝对不是拿分钟衡量的,这时候完全靠预警不是很现实,核心问题是建立有效的技术手段来分析判断,这问题出现多严重,怎么遏制它这是最严重的。再有建立层次化的应急响应队伍,专业问题专业化处理,作为任何一个网站的运行也好,系统的维护者也好,要想自己拥有一个专业的应急队伍不太现实的,而且长期得不到锻炼的机会,应该依赖专业的队伍,这专业队伍大量处理各种问题,就可以掌握很丰富的经验来有效进行处理,而且我们国家也号召大力提高服务业能力,网络业服务业比例非常小,国家也在想5年之后能不能提高20%,这里面安全服务如果不重视这工作也不可能做下去。 要大力呼吁建立跨部位的联动机制,比如通信行业与公安部门要很好联动,通信行业优势网络全程互连,任何一个攻击很容易从一点追击另一点,公安的优势有大量的基层队伍,可以对每一个终端采取措施进行制裁,所以这样如果有一个有效的联合,我相信网络安全应急与响应事业会大大向前跨一步。 我的报告到这,谢谢大家! 主持人:互联网的出现在给广大用户带来丰富和自由的信息同时,也出现大量不健康甚至有害的信息,给网络环境和网络文明造成了危害,为了抑制和打击网上有害信息,国务院新闻办作为我国政府对互联网新闻信息的主管部门做了大量工作,为保障互联网健康发展做了不懈努力,下面有请国务院新闻办网络局刘正荣副部长做互联网新闻信息服务管理的主题报告。 刘正荣:各位同行们大家好,这次研讨会以构建安全网络 服务和谐社会为主题含义深刻具有重要的现实意义,当今各种信息网络都在社会生活中发挥重要作用,快速发展和急剧演变的互联网尤其如此,如何把互联网建设得更加安全可靠,更加有用,更加可信是一个重大而严峻的课题, 互联网进入我国以来在新闻信息服务领域的运用一直十分突出互联网已经成为影响巨大,最具发展潜力的媒体,并对政治、经济、文化以及人民生活等方方面面产生着深刻的影响。总体上我国网上舆论环境是好的,互联网新闻信息服务是比较规范的,但同时由于互联网传播的特性,一些虚假新闻导向错误的新闻信息有时在网上流传损害了公众利益和国家利益,网络媒体在我国快速发展,给我们深刻启示是没有规范就没有健康发展,对网络媒体必须实行依法管理,互联网新闻信息的涉及面很广,影响巨大,事关国家和公众利益的安全,对其实行依法管理十分必要,国务院新闻办公室和信息产业部,曾经于2000年11月联合发布互联网站从事登载新闻信息暂行规定。经过五年发展,互联网技术,互联网新闻信息的形式和内容发生很大办法,原来暂行规定的内容不适应新的形势需要,根据党的十六届四中全会关于高度重视互联网等新兴媒体对社会舆论的影响,加快建立法律规范,行政监管,行业自律,技术保障相结合的管理体制,加强互联网新闻宣传队伍建设,形成网上正面舆论强势的要求,国务院新闻办和信息产业部在总结经验的基础上,针对互联网新兴媒体出现的新情况、新问题,新特点,对原来暂行规定进行了修订和完善,并于9月25日发布互联网新闻信息服务管理规定,新发布的规定遵循宪法、行政许可法,行政处罚法的有关规定,按照全国人大常委会新闻管理有关办法等法规要求,贯彻透明行政,公开行政,公平行政的精神,规范行政主体,行政对象的法定权限、范围、条件和程序,明确了相关的责任,权利、义务,体现合法、合理,效能与便民、监督与责任,服务于管理相统一的原则,发布这个规定的目的是为了更好地规范互联网新闻信息服务,满足公众对互联网新闻信息的需求,维护公共利益,维护互联网新闻信息单位的合法权益,促进互联网新闻信息服务健康有序发展。 互联网新闻信息服务管理规定,进一步明确管理范围,将互联网新闻信息服务界定为通过互联网登载新闻信息,提供实证类电子公告服务,或向公众发送实证类通讯信息同时明确界定,新闻信息是指实证类新闻信息,包括有关政治、军事、外交等等公共事务的报道评论,以及有关社会突发事件的报道评论。规定进一步明确互联网新闻信息服务业务的准入条件和程序,规定将互联网新闻信息服务单位分为三类,第一类是新闻单位设立的登载操作本单位已操作播放的新闻信息,提供实证类电子公告服务向公众发布实证类通告信息互联网新闻信息单位。第二类转载新闻信息的互联网新闻信息服务单位。第三类新闻单位设立登载本单位刊登播放新闻信息的互联网新闻信息服务单位。对设立各类互联网新闻信息服务单位的资质和规定均做详细的表述,规定特别强调维护公众的利益,要求从事互联网新闻信息服务应当遵守法律法规的规定,坚持为人民服务,为社会主义服务,坚持正确的舆论导向,维护国家利益和公众利益。国家鼓励互联网新闻信息服务单位传播有益于提高民族素质,推动经济发展,促进社会进步的健康、文明的新闻信息,要求互联网新闻信息单位应当接受公众的监督,因此公众在互联网上发现违法和不良信息都可以通过互联网违法和不良信息举报中心进行举报,也可以通过其他正常渠道举报。这些重要的规定和要求不仅符合我国国情,也完全符合国际通行做法。互联网新闻信息服务管理规定是我国互联网新闻信息服务领域的一个重要的管理规章必须得到很好的贯彻落实,这不仅是新形势下互联网管理法制化建设的客观需要,也是构建安全网络的迫切要求。 同志们,互联网的于是对国民经济有强大的带动性和渗透性,越来越多的人在互联网依赖互联网学习、生活和工作,越来越多人离不开互联网,互联网变得无时无处不在,构建安全可靠健康向上的网络环境是繁重紧迫的任务,互联网治理需要法律规范,政府监管,行业自律、公众监督和技术保障相结合。需要各方面的共同努力,尤其需要各类网络服务商承担起应尽的法律责任和社会义务,需要广大从业人员增强法律意识,道德意识和公益意识,让我们共同努力,全力推进中国网络媒体进一步快速健康发展,为树立和落实科学发展观,为构建社会主义和谐社会做出贡献,谢谢大家。 主持人:谢谢正荣局长,我国对网络安全立法工作十分重视,自1990年以来已经颁布一系列法律安全和条例,随着法律的应用,现有法规滞后性逐渐显现,如何通过法律手段进行网络信息安全管理受到很大的关注,下面有请国信办政策规划组组长秦海司长做网络信息安全管理立法思考的报告。 秦海:谢谢主办机构的邀请有机会可以参加这么一次交流,首先说两句题外话,我到这会上得到的收益肯定大于我的付出,所以我由衷感谢会议组织者,感谢到会所有的同志们。 就关于信息网络,或信息网络安全相应的立法问题,目前正在各个方面有了很多的进展,我们就这个问题谈一些基本的考虑,这些考虑不作为现有进入程序或立法工作中的基本思路,只是讲一些原则供大家参考,最近国际社会就网络和信息安全讨论很多,最近在英国有一个关于互联网治理的国际讨论,形成了牛津共识,这共识里面有两点非常重要,一点网络技术的应用和渗透已经使得网络和日常信息交流脱离不开每一个人的正常生活,正常生活里如果脱离了网络或脱离了信息交流这种事情是不可想像的。 第二点SBO空间是一个新的空间吗?不是,是一个我们原来就曾经关注的活动地点,为什么这么说,因为人类社会经济的发展和日常的生活都在特定的时空单元下接受时空的约束,只不过现在的这种约束已经不再是传统纬度上的约束。 第三点每一个人都是互联网利益相关者。我们在互联网上也好,在通信网上也好,在移动网上也好,我们在各种对等的网络上也好,每个人都有机会接触到他人所提供给你的信息,你也可以提供给别人信息,所以这样一个信息使得每一个参与网络的人成为网络的利益相关者。 所以就这个共识而言,看中国关于网络信息安全监管方面的立法,可以查一查看,目前来说基本上这几年立法走的是与时俱进依法行政,依法执政的路子,所以在相应的网络、技术、产品、应用、内容以及相应的方面都有了初步的建章立制的工作,据不完全统计在这六方面的立法差不多有100部,而且这跟现在的民商式相应法规的修改,构成了真正比较有效的法律制度,所以从这一个角度来讲,我们可以得出一个结论,立法对网络和信息安全的回应所做出的一些关于权利和义务的承诺是有效的。我们考虑在现有网络和信息技术应用和发展过程中,特别重要的一些环节和概念,以及由技术不确定性可能带来社会经济的影响,这方面实际上是加重的,比如就网络环境而言,现在大家更加强调的是网络生态气息,如果从正规的法律术语来讲,这个体系是不是可以被类比为,比如互生的丛林,弱肉强食?不是,所以得出来概念是可生存性。同时从其他角度也可以看到这样一些事情,所以是高度变化的追求可生存性的网络环境。从这个角度考虑我们在相应的工作当中,虽然国务院信息办在主持网络和信息安全相应的立法工作,但是这项工作得到了公安部,信息产业部等等很多重要部门的大力支持,虽然我们在这样一个前提下,锁定的立法基本设想是考虑到现在中国的经济社会发展所处的关键时期,因为中国的经济和社会发展进入两个特定重要的时期,一个时期是劳动人口比例远远超出未成年人加退休人口的考虑,这个时期需要一个比较好的法律环境。第二个我们处在更关键的时期,这个时期称为发展的红利期,由于技术的进步带来知识和信息的扩散,使得一些重要的行业和重要的区域在整个社会当中所产生的积极贡献值得我们高度注重,比如信息产业比如有一些城市,或重点的区域,这两个时期离不开比较良好的法律环境,这是第一个考虑。从发展的眼光,以开放的眼光来看待信息安全。 第二个考虑我们在考虑立法模式的时候,由于信息安全的事情很多事情既跟民商事情有关,也跟现在相应的行政法系的一些东西有关,所以从这样一个角度考虑,而且特别现有立法的层级考虑,必须考虑到法律之间的协同、配合,把信息安全的问题放在整个安全的体系上来看待,而不单纯地去追求某一项东西的特殊效果,所以这里面有一个横评的原则,所以这么一个角度考虑,把各个方面可能形成的互补,以及可能形成的互济体现在立法原则当中。 第三个考虑在立法的内容上,高度关注既有的行政手段,既有的监管措施,既有的技术支持体系,以及既有的参与机制,以便形成一个共同的,能够各得其所,各履其职,把相应各方面权利和义务放到一个综合的天平上衡量的制度设想。从这样一个角度来看,要考虑的是把现有的基础网络相应的手段,包括刚才几位报告人讲到的,一些应急体制,和内容管理,以及相应的其他方面都拉近了整个基础设施。因为事情还在进展过程中,我们在设定相应条款的时候,也离不开大家的支持,在今后的工作中,还是诚恳希望能够得到与会者提供的各方面帮助,我给大家带来的思考或汇报到这里结束,谢谢各位! 主持人:谢谢秦海司长的报告,随着互联网的发展,现实社会中大多数管理问题都影射虚拟空间,网上盗窃、诈骗赌博等违法活动频频出现,打击违法犯罪问题越来越重,如何保障公共信息安全,成为我国公共安全面临新课题,下面有请公安部公共信息网络安全检察局赵世强副局长做公共信息安全管理与打击网络犯罪的报告。 赵世强:谢谢大家,各位来宾上午好! 按照会议的安排让我向大家介绍一下现在我国打击网上犯罪的基本情况,大家知道互联网在我们国家发展非常迅速,现在已经有1亿网民,互联网的引进对我们经济建设起到了很好的促进作用,同时也方便了人们的生活。但是也应该看到随着网络的引进,也对国家安全和社会稳定带来一些负面的影响,网络和信息安全问题日益突出,一些不法分子利用互联网进行诈骗盗窃、敲诈勒索,赌博、色情违法犯罪活动不断增加,计算机病毒的传播和网络攻击频繁的发生严重危害上网用户合法权益和互联网运营单位的正常运行。 某种意义来讲互联网已经成为违法犯罪的主要工具,因为现在网民越来越多,网上利益越来越多,从近几年公安机关查处的涉网违法犯罪案件来看主要有这么几个特点。 第一个黑客和病毒程序被广泛应用侵财型的网络犯罪,大量技术犯罪和经济犯罪。可能黑客和计算机病毒都比较了解,在开始出来的时候,大部分是一些年轻人逞能,为了表现自己的能力,能够攻入别人系统。现在看来已经发生了根本的变化,现在很多值得我们高度重视的是,现在网上黑客行动和传播计算机病毒行为不再仅仅为了逞能,为了向别人证实自己才华,而是为获取政治和经济为目的。现在越来越多的病毒更主要在网上传播以后窃取上网用户的密码,银行帐号,证券帐号主要目的为了获利。 第二个特点,现在网上诈骗,淫秽色情赌博活动猖獗,这类犯罪具有极强反复性。现在网上赌博,淫秽色情等社会丑恶现象在网上不断出现,由于网络隐身的特点。网上诈骗现在比较突出,并且这几类问题已经成为世界性的问题,跟各个国家警察交流的时候,这些已经成为世界警察遇到的普遍问题。今后一段时间利用互联网进行赌博、诈骗、色情的犯罪类型仍是网上主要犯罪类型。 第三个特点,现在跨国和跨境的犯罪情况比较严重,这也是由于互联网跨地区,无国界的特点决定的,虽然网络是无国界的,但是警察管辖的范围是有边界的,所以这些矛盾使得犯罪分子利用这上面的漏洞。从去年针对网上色情活动比较突出的问题,公安部会同信息产业部等有关国家部门联合开展几次专项打击,现在国内网站的色情被遏制下去了,但是由于网络以国界节,现在一些把服务器放在国外,但是服务对象仍然是国内的。在这方面如何发挥我们国家应有的作用,是我们很重要的任务。应该说有效防范和打击网上犯罪,这里面有加强行政监管的问题,有法律法规问题,以及刑事执法的问题,也有加强技术保护措施的问题,从现在的情况来看,我们国家联网单位技术保护措施方面不到位也是网上犯罪一个很重要的社会原因,2004年整个僵尸网络犯罪嫌疑人就是利用国内联网单位的安全保护措施不落实的漏洞,入侵控制国内6万台机器,据他们掌握10万台,控制这么多的网络进行攻击给网络运营单位造成重大经济损失,为了加强互联网的安全技术保护措施的落实,今年11月23号归案部颁布了互联网安全技术保护措施规定,这规定从明年3月1号起开始正式实施,这规定是国务院批准计算机国际联网安全保护办法的配套部门规章,对互联网服务单位和联网单位落实安全保护技术措施明确具体措施可操作性要求。 同志们,健全网络的监管机制,创建健康文明的网络环境是我们共同职责,我们公安机关将继续履行法律赋予我们职责,对网上违法犯罪活动,始终保持严打的态势,坚持什么问题突出就解决什么问题,什么犯罪突出就坚持打击什么犯罪,坚决遏制网上丑恶现象和违法犯罪活动猖獗的势头,同时我们也希望跟有关部门密切合作共同构建一个预防和防止犯罪的合作机制,形成合力,共同创建一个和谐的网络环境,谢谢大家。 主持人:谢谢赵局长的报告,进听网络安全已经出现与以往不同的特征,目前对网络信息安全从过去单点和局部安全隐患升级为灾难性有组织有计划的攻击,在这样情况下,建立一个应急响应体系已经刻不容缓,下面有请中国工程院院士沈昌祥做网络安全与应急体系的报告,大家欢迎。 沈昌祥:各位来宾早上好!题目是网络安全与应急体系,前面几个专家领导已经报告了,信息安全的保障是一个全过程的,风险管理对于信息系统,以及运营商企业来讲,机构来讲更为重要,只有弄清楚怎么进行风险管理,把风险降到最低限度,而且用应急处理办法把损失降到最低,可以承受的程度,这是信息系统保障很重要的环节,尤其保障电信网络安全是至关重要的。 一、信息安全的风险管理,风险是指安全事件发生,即保密性、完整性、可用性损失可能造成的影响,这样情况下系统缺失性可能被利用,产生实际的负面影响。针对这个风险要进行全过程的管理,也就是首先要识别风险,评估风险,采取步骤减缓风险并将它降到可以接受的水平之内的过程。因此风险管理是保护组织机构的信息资产及业务,保护其完成使命的能力。不仅是其IT资产价值,而且是专业人员实施技术功能和组织机构管理功能的综合。即信息资产的保护和业务能力的保证。 我们在紧锣密鼓搞信息按照等级保护的标准,等级主要是资产保护与能力保护两个层面考虑,信息资产是实际存在的,是有价值的,这个价值分两个方面,一个是有经济价值的,比如银行系统、金融系统,还有一个是社会价值的,比如新闻媒体,这样我们在考虑一个系统重要性,价值的重要性可以有两类组成,也就是经济价值与社会价值称为综合价值,综合价值高的等级就高,低的就保护低。业务能力也表现在两方面,一个是服务范围大,越大影响越大,发生安全事故以后负面影响越大。还有信息系统通过连续工作,服务才能保证业务的完成。因此连续依赖性也体现了综合业务能力的要素,这样业务范围与连续依赖性组成一个系统或机构拥有的信息系统的综合能力保证。 我们将要出台等级保护划分就按照这个思想来界定。 风险管理怎么搞,归结三个过程,第一过程是风险评估,对风险机其影响的识别和评价,建议如何降低风险。我们国家要制定国家标准,这个标准正在审查。第二个根据评估情况风险减缓,对风险评估过程中所推荐的风险降低措施进行优先级排序,加以实施和维护。第三个环节评价确认,这个风险还有没有,对残余的风险能不能接受。 风险减缓方法流程分六个部分做,首先要增强和强化安全措施,根据不同级别采取不同的安全措施,主要目的降低脆弱性,降低威胁能力,一个系统之所以有风险就是因为有脆弱性,所以我们采取的措施是使他们降低,还有一个要采取措施,使我系统负面影响 减少,然后看残余风险是否可以接受,如果不能接受还要继续采取措施达到能够接受。 所以一个系统风险管理成功与否决定高层管理的决心,这是一个有组织的行为,第二个安全团队的支持与参与。第三个风险评估小组的评的准确不准确,能力怎么样?再一个系统的服务商需要得到用户的意识和配合合作。第五个对使命的风险进行持续的评价和评估。不是搞一次就完了。 第二个介绍一下信息安全应急体系框架,应急体系是完全的社会体系,框架是要求我们怎么去操作,首先要做应急规划工作,做好风险管理工作,使脆弱性核威胁最小化,但是仍然有危险,有风险,我们应该采用应急处理的办法,使它产业的风险所产生的后果最小化,因此安全应急是一种协调的战略过程,涉及到计划,流程和技术措施,以及IT系统、运行和数据在被破坏后能够得到恢复。这涉及到法律、组织管理和技术支持等环节,首先要做好应急的规划。 也就是说规划要包括计划流程与技术,所有的基础网络重要信息技术,有几个类型,一个业务连续性计划,一个业务恢复再继续计划、第三个运行连续性计划、第四个支持连续性计划,第五个危险沟通计划、第六个计算机实践响应计划、第七个灾难恢复计划、第八个拥有者应急计划。这些计划是反映了全生命周期的,是整个过程导向都要识别到有一个计划,比如正常运行过程怎么办?发生事情怎么办?发生灾难性事情怎么办?应急处理不是到发生了问题以后再处理,要预先有设准备,当发生事情的时候,事故的时候我们及时得到反应和恢复,在起动阶段就要考虑应急需求,在开发阶段就要确定应急的方案,在系统实现阶段要进行测试,在运行维护阶段要进行计划的培训和演习,在废弃阶段末随时准备实现原系统。所以应急工作是贯穿全生命周期的。 应急规划的过程有七个步骤,首先制定应该归九的政策说明这涉及法律政策层面的。第二个实施业务影响分析、第三个确定预防性控制措施、第四个制定恢复战略、第五个制定IT应急计划、第六个计划的测试、培训和演习、最后一个计划要不断维护与完善。 介绍应急处理有规划有流程有技术支持,技术支持包括什么问题,首先是数据、应用操作系统的备份与异地存储、第二个关键系统组建或能力的冗余,第三个系统配置的要求文档。在系统组建间以及主备点间互操作,以加快系统恢复,最后一个适当规模的电源管理系统和环境控制。比如广域网应急策略应该是把WAN的文档记录要齐全,要注意和厂商的协调,第三点与安全政策和控制保持协调,再一个确定单点故障在什么地方,要实现关键组建的冗余、最后制定服务级别的协定。应急方案是要确保广域网的可用性,一个冗余通信线路,第二个冗余网络服务提供商、冗余的网络连接设备一般采用双重网络连接的设备。第四个来自NSP或ISP的冗余,要评估其核心网络的健壮性、可靠性。 因为时间有限,把概要做的事情提一提,针对我国对信息系统的风险管理和应急处理研究还是有意义的,因为我多次参加会议大家提的比较少,应急处理都是在政府协调层面上做的,具体的一个系统怎么进行风险管理,怎么进行应急处理缺少具体内容,风险管理应急处理是保障中的重要环节,我们应该学习、吸收美国等国家先进技术,尽快建立适合我国国情的风险管理和应急体系。谢谢大家! 主持人:谢谢沈院士,今天上午的会议到这里结束了,让我们以热烈掌声对上午各位嘉宾演讲再一次表示衷心的感谢。