Cnii网讯 5月17日至18日,信息产业部在北京隆重举行纪念第38届世界电信日暨首届世界信息社会日纪念大会,中国通信学会通信安全技术委员会主任方滨兴院士在18日的大会上发表演讲,主要内容如下:
国家信息安全战略研究我们从四个层面来考虑,首先是信息安全的四个技术层面,加上信息安全的三个社会层面和网络信息化的四个技术规律,我们提出了国际信息安全的54321的战略意图。
从信息安全的四个技术层面来说,我们认为信息安全分为四个层面,首先是互联这层,涉及到的是环境技术,实际上是对信息系统基础设施保护的层面。第二层把他称之为网络安全PDRR,首先是经过运行安全到它关系到的是信息。第三个信息安全技术,涉及到的是密码技术,第四个是信息内容安全,滚新的是信息内容方面的。
刚才很多人也介绍了反垃圾邮件等等,都是对有害信息的一种阻拦手段。就这四种安全来看,这是技术层面,我们再看一下社会层面。
首先就是舆论文化,二是社会行为,第三就是技术环境,分别涉及到四个内容,内容安全、数据安全、运行安全和物理安全。垃圾邮件会给运行环境带来压力,但是垃圾邮件又是人家制造垃圾者依靠垃圾邮件造一些于是,当然造成了一些数据内容安全,当然也要靠技术来管理。
再看一下信息网络化有那些基本规律,当然我说的技术规律是跟安全有关的的我主要介绍一下关于网络空间的结构规律,核心节点调控。很多贺信节点形成了互联网的“眼”,成为控制互联网的一个重要入手点。这就是一种结构规律,北京、上海广东非常密接,其他市场就很分散,从密集度、连接度,来看,有的十分集中,这就带来了核心网的调控。核心节点调控,互联网核心点一旦被攻击可能会导致整个网络受到影响。这就说明对安全带来了影响,我们把它称为核心节点调控。
信息网络化的基本技术规律,网络空间的结构规律为核心节点调控。网络空间开放的参与规律要实现开放与工作的辩证统一。互相的开放性,既方便了人们对互联网的参与,又带来了严重的安全隐患。
比如说我们的教育体系做正面教育,由于网络就是开放,某一种运行从你这种角度就是正面的,但从另一方面就是攻击的。现在网上很多学者研究匿名邮件体系,但这个从另一个角度就是攻击邮件。这里就是一个攻防的相对性,按照以积极防御为主,同时要兼顾具备对抗优势的原则。网络空间安全的弱优先规律——整体保障,我们也叫做“木桶原理”,如果单一的发展,比如说现在过多的强调技术发展,可是法律很的,出现黑客我们对他制裁不了,按照国内的法律来说现在还是三层法律对信息市场来说285条称为行为对比,只要攻击、入侵了国防建设和国家事务你算犯罪了,可是对运营商他不算犯罪。
前面是介绍了一些背景,从运行层面上考虑到运行安全,从内容安全上考虑过滤等等,社会刚才说了也是三个从舆论文化从社会行为从技术环境等等。我们提高了国家信息安全战略,“54321战略”。
五种基本能力,首先是信任能力:构建信任体系,立足可信平台。
防御能力:积极防御威胁,危机御于未然。我们尽可能不要让造成威胁的事情发生,我们说最好不出事,那么就要有一系列的手段。
发现能力:及时发现痕迹,迅速预测告警。预警已经变得很重要了,更重要的是预测,一个安全出现就会出现做什么样的对策,而不能等着他出现攻击了我们再做思考,那么一旦要出现痕迹的时候迅速告警。
应急能力:快速应急响应,确保资源恢复。
对抗能力:有效信息对抗,主动遏制攻击。我们不能总是处于“谁也不能攻击我”的状态,对一种长期恶心的攻击你要采取你遏制的办法。
这是我们五种基本能力,当然我们还要有四个基本属性。
机密性:信息与信息系统不可被非授权者所利用。
可鉴别性:信息与信息系统的行为不可被伪造、篡改、冒充、抵赖。
可控性:信息的流动与信息系统可被系统所有者所控制。表现什么能力呢?这个系统是我的,我需要超越其他人的能力,比如说自己是板主,那就要有控制能力。总之,他在内容安全里面反映了很强调了,我拥有超越于一般用户的控制能力。
可用性:信息与信息系统可随时被授权者所正常使用。可控性是者所使用的,可用性是授权者所使用的。
还要有三个基本要素,第一个管理,包括规则,第二是技术,包括设施、服务和手段,第三需要人,需要人掌握技能和观念。
管理体系涉及到五要素,首先要有管理主体,还要有管理手段,管理对象和管理目的及管理依据。
还有就是一个保障体系,实际上就是把管理和技术综合起来,刚才管理是五个要素。
看看54321和刚才提出来的,他们至今是什么关系呢?他们是四个基本规律、三个社会安全层面和技术层面,技术层面就是运行安全、内容安全、数据安全、物理安全。再加四个基本规律,弱优先,开放性,冲突率。
在这么一种前提下我们来讨论54321,五种保障能力,包括对抗能力,应急能力,发现能力、防御能力和信任能力。四是四种安全属性,可用性、可控性、可鉴别性和级别性。三,三种资源要素,包括管理、技术和人。二,两个建设领域,体系和技术体系。一就是一个保障体系。
国家信息安全保障特系,主要有法律法规,协调制度,由国家网络与信息安全协调小组组成。这些就形成安全的保障结构。
由于时间的关系我就不做过多阐述,谢谢大家!
