对话方滨兴院士:网络空间安全不仅是自身平台安全
2016-03-30黄海峰
本刊记者│黄海峰
对话方滨兴院士:网络空间安全不仅是自身平台安全
本刊记者│黄海峰
从国家层面看,网络空间也如同国家领土一样重要,但“无形”的网络空间安全防护工作并不容易开展。
方滨兴
中国网络空间安全协会成立
3月25日上午,中国网络空间安全协会在京举行成立大会,这是我国首个网络安全领域的全国性社会团体。在第一届理事会第一次会议上,中国工程院院士、北京邮电大学教授方滨兴当选为协会首任理事长。
谈及为什么要成立中国网络空间安全协会,方滨兴院士表示,网络空间的治理包括法律规范、行动监管、行业自律、技术支撑、舆论监督以及社会教育,而中国网络空间安全协会的成立,就是为行业打造一个参与互联网治理的平台:组织行业保障“互联网+”行动的安全推进,保护各类信息化系统的稳定运行,促进各个信息技术产品与服务具备抗攻击的能力。
中国网络空间安全协会的成立,为行业打造了一个相互沟通的平台:促进会员单位把握国际网络安全技术发展规律,创新改进网络安全技术研发的理念与方法;带领信息安全企业走出国门,促进中国企业的信息安全技术产品进入国际市场;汇集成员单位的问题与建议,及时向政府部门反映,努力解决企业在发展中所存在的障碍。
新平台也为行业打造了一个国际化的参与平台:目前,西方社会更多地强调由“利益攸关方”主导互联网,中国网络空间安全协会就是一个最重要的“利益攸关方”,将会积极参与国际互联网的治理工作,反映我们在互联网方面的诉求,保障中国企业在国际化进程中的核心利益。
近期,就当前网络空间安全现状,《通信世界》记者独家专访了方滨兴院士。
《通信世界》:可否介绍一下“网络空间安全”的定义?对于通信安全和互联网安全问题,您如何看?
方滨兴院士:互联网安全和通信安全区别不大,因为这都属于网络空间安全的一部分。网络空间的基本要素包括4方面。
一是平台,没有平台就没有空间,空间是建立在平台上的,而构建在本国司法管辖范围内的平台所承载的空间就可以看作是这个国家的“领网”,因为国家主权可以延伸到这个“领网”之上。
二是数据,没有数据就产生不了活动,活动就是对数据的加工传输。
三是决策者或者说用户,没有用户就没有主体,数据只是颗粒。
四是行为,数据工具不动,不能建立行为,数据搬动过程、加工过程才会形成行为。
网络空间就相当于一个国家的物理空间,具有主权的物理空间涉及到4要素:领土、人口、政权、资产。而网络空间也具备这4个要素:领土是网络平台,人口是用户等虚拟角色,资产是数据,政权是管理活动。而网络空间这个平台包括互联网、电信网、广电网、物联网、工业控制网、传感网、数字物理系统(CPS)、计算系统、控制系统、通信系统等信息通信技术系统。其实所有由电子设备构成的都包含在这个空间,如云计算、大数据系统等。所以,就网络空间而言,电信网、互联网等的安全问题都属于同一类。
网络空间的安全应该从2个方面讨论,一是网络空间自身的安全问题,包括上述提到的平台、数据等的安全问题;二是在活动进行过程中的安全问题,这方面的安全讨论不仅是技术层面,还涉及到对信息通信技术系统的运用(包括不正当运用、滥用)所带来的政治、经济、文化、社会、国防安全问题。
不同行业的安全平台当然也存在一些区别。相比而言,电信网较为封闭,互联网较为开放,那么互联网肯定安全攻击更多一些。至于工控网、物联网等,是目前问题最大的部分,因为过去这些网络处于“真空”状态,并不连接互联网。如今这些网络也接入了互联网,就存在很大安全威胁。
《通信世界》:您怎么看当前安全管理方面的问题?自主创新可否应对?
方滨兴院士:很多人强调安全管理,采取了一系列的安全管理措施,包括制定安全规范、设置安全管理机构或管理岗位、建立安全机制、采取安全措施等,都取得了很好的效果。但是,人们还应该尽量从源头找问题。例如,所使用的系统是否可控?如果出现问题,对厂家的制约能力如何?要进行“后果研判”,避免将安全保证建立在“沙滩”之上,安全管理工作才算是到位。
安全界有一个“可信计算”模式,是说要建立一个可信根,通过可信根验证下一环节的可信性,由此逐层验证,包括操作系统、应用程序,以确保所运行的系统是可信的。这其中可信根与可信链是重要环节。我们之所以强调自主可控,本质上就是在寻找一个可信根。
当然,在现实中很容易陷入一种悖论的境地:到底是技术能力作为我们的“可信根”,还是企业形象作为我们的“可信根”?
如果追求技术能力,通常是国外的大型企业占据主导地位,如美国信息产业的“八大金刚”;但当我们关注企业形象时,国内企业显然是优选,原因是国内企业受国家法律的制约,不会有意做出出格的事情。
那么,一个是潜在“后门”带来风险,一个是大量安全漏洞带来风险,如何抉择,只有用户自行根据情况来判断。如果是涉及敏感部门,涉及国家利益,当然企业形象要放在第一位;但如果无关国家利益,显然技术能力就会排在前面。但是,采取有效措施推进国内企业提高技术能力、让国内信息技术产品经历反复攻防的锤炼,应该是更为重要的。
企业和用户的网络安全意识容易走极端,一方面有人遇到安全谈虎色变,认为网络安全太恐怖,不敢使用网络应用系统或服务,什么都不敢开展,这可能导致经济等发展容易变得相对落后;一方面又有人无视安全风险的存在,认识还是不太高,或者根本不了解存在着各类安全风险,导致电话诈骗、信息诈骗仍然有存在的市场。当然,这方面我国的许多银行已做得很好,用户去银行转款,会有营业员仔细询问收款人是否认识,反复提醒防止受骗,甚至签署相关告知书,以确认没有收到电话欺诈的影响。
编辑|赵艳薇 zhaoyanwei@bjxintong.com.cn
中国网络空间安全协会简介
中国网络空间安全协会发起会员共257个,其中单位会员190多个,囊括了国内主要互联网企业和网络安全企业、权威科研机构、高校等,协会理事有90%以上是具有高级职称的研究人员或网络安全企业的领军人物,具有广泛的代表性和影响力。
中国工程院院士方滨兴当选为协会理事长,吴曼青、贾焰、马民虎、孟丹、李建华、齐向东、马化腾、肖新光、郑志彬、王海峰、杜跃进等11人当选为副理事长,选举中国网络空间研究院李欲晓教授为协会秘书长。
中国网络空间安全协会是由中国国内从事网络空间安全相关产业、教育、科研、应用机构、企业及个人共同自愿结成的全国性、行业性、非营利性社会组织,旨在发挥桥梁纽带作用,组织和动员社会各方面力量参与中国网络空间安全建设,为会员服务、为行业服务、为国家战略服务,促进中国网络空间的安全和发展。
中国网络空间安全协会的成立,顺应了中国互联网行业和社会各界共同参与维护网络安全的愿望,也顺应了维护网络安全、建设网络强国的时代潮流,是社会的要求、国家的需要。