国际电联将今年世界电信日主题确定为“让全球网络更安全”，这一主题有何现实意义？如何推进网络安全？电信日前夕，中国信息产业网和中国信息通信图书网的两位记者就相关问题联合采访了北京邮电大学信息安全中心主任

记者：今年世界电信日以网络安全为主题，您认为有何意义？

杨义先：近十年以来，随着互联网和计算机使用的进一步普及，WEB、电子邮件和即时通信等基本网络服务更趋成熟，用户数量规模庞大。在这个过程当中，电信业务、电子商务和电子政务等重大基础IT应用已得到了长足的发展。

问题的另外一面，网络安全威胁也从领导和专家的视线中延伸到普通的网络用户、IT用户，而逐渐和人们的日常生活有间接甚至直接的关系。IT广泛应用的初期，网络安全威胁的影响基本局限于局部终端、影响范围相对较小、破坏力相对较弱，影响延伸的周期则也相对较长。

现在，类似蠕虫、网络钓鱼、分布式拒绝攻击等新的网络攻击手段已具备完全不同的威胁特性。其破坏力之强、传播速度之快和影响范围之广都是前所未有的，传统网络安全技术已显诸多不足。如何应对网络安全新威胁、如何应对网络安全威胁更下一步的可能发展，已成为业界和专家关注的焦点，网络安全技术发展面临新机遇和挑战。

今年5月17日是第38个世界电信日，1991年国际电联曾将当年电信日主题确定为"电信与人类的安全"。15年过去了，现在的电信网络发生了巨大的变化，互联网与传统电信网日益走向融合，信息通信服务已经深入人们工作生活的各个层面，保障网络以及信息通信技术系统和基础设施的安全对于构建信息社会至关重要。

记者：与以前相比，网络安全问题发生了哪些变化？网络安全发展的新趋势是什么？

杨义先：网络安全包括网络安全威胁和相对应的网络安全技术两个方面内容，经典表现形式包括：通过网络窃取信息，破坏网络上信息，非授权网络访问和网络服务破坏等，网络安全攻防相互对抗、相互借鉴，交替发展。由于信息在网络上传输是网络存在价值的基本体现，所以作为信息安全的主要方面，网络安全包含信息安全的所有基本含义。传统上的网络安全威胁包括自然威胁、过失威胁、恶意威胁，具有破坏力和影响范围较小、传播速度较慢的特点；其安全防范措施一般会有针对性的解决特定的网络安全威胁，传统网络安全技术种类也较多，例如访问控制技术、数据加密技术、认证技术、防火墙技术、VPN技术、入侵检测技术等。

随着网络应用的增加，网络安全威胁出现了许多新的表现形式：首先是安全技术带来的安全威胁，包括某些安全算法本身存在安全问题、安全设备配置和策略的不合理以及系统自身设计缺陷等带来的安全威胁、混合式攻击手段越来越难抵御；其次是基础设施存在的安全隐患，对网络和系统基础设施进行攻击是当前攻击的新特点，网络中的核心服务器以及路由器、交换机等设备都存在不同程度的安全问题，服务器设备和网络设备设置的不足是这类威胁的具体形式。第三是网络应用造成的安全威胁，例如对对网络服务的使用不当、不安全的用户账号和口令以及管理上的安全问题等。

特别是，互联网和电信网融合的趋势带来的安全问题不容忽视。不同基础网络系统的服务方式和安全特性完全不同，融合的结果必然导致一个网络系统中的安全威胁向另一个网络系统中延伸的新问题。例如，由于语音依然占据电信业务的主要地位，当媒体服务器遭受拒绝服务攻击而失去响应时，其影响会远远大于当前互联网遭受的拒绝服务攻击；随着VoIP业务的开展，电信运营商必须关注来自IP网络的来源追查和内容分析；用户对于语音保密方面的担忧和体验，成为是否最终选择使用业务的重要考虑；随着语音邮件业务的迅速发展，运营商必须投入大量精力和资源用以管理控制骚扰、恶意、反动、诈骗等网络活动；由于基础设施层面的PKI/KMI建设不足，可能会造成运营商的网元设备被渗透入侵，导致用户的通话被跟踪、劫持、记录等；此外，互联网的安全威胁可以通过VoIP延伸到电信网，威胁电信传统语音和数据业务，这样的威胁已得到国内相关科研机构的证实。

记者：那么，我们应如何应对网络安全问题带来的新挑战呢？

杨义先：面对层出不穷的网络安全问题，我们有必要采取新的对策。孤立的解决特定安全问题的防范措施已不能作为基本出发点，应用作为导向、管理为基本手段应该是新网络安全防范措施的基本考虑。

首先，要立足于保证网络应用和业务连续性，保证网络应用正常运行、组织的业务有效运转是引导网络安全对策的最好的基准。在这种基准的指导下，安全解决方案更多时候表现为一整套安全技术和措施，业务持续性计划和IT灾难恢复计划是其中的常见形式。

其次，必须注重网络安全管理。在安全领域，管理和技术同等重要。以往片面地重视安全技术的更新，对管理的重视远远不够，引起许多的安全问题。应该建立健全网络安全组织管理制度，明确各级安全管理人员的责任。同时，需要建立网络信息保密审查制度，坚持"谁上网谁负责"；涉密信息网络必须与公共信息网实行物理隔离；规定在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。

第三，要高度重视相关标准、政策和法规的制定和执行。现有的政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。调查发现，国内缺乏统一的网络安全技术标准，而国际上相关的安全标准基本没有一个是能直接拿来使用的，为此，建立适合当前我国国情的网络安全相关标准刻不容缓。