基础安全对对碰―从十六大政府信息发布到构建国家电子政务安全框架
举世瞩目的中共十六大吸引了全球的目光。除了传统的电视、报纸、广播等新闻传播方式外,互联网在这一事件的新闻传播中扮演了极为重要的角色。然而,与其他传播方式不同的是,互 联网的开放性为其带来了较其他方式更多的安全性难题。值得欣慰的是,在国务院新闻办领导的高度重视下,在新闻网站领导、信息安全主管(CSO)以及厂商的密切配合下,五大授权新闻发布网站依然经受住了艰巨的考验,保证了十六大信息的顺利发布。
从某种意义上讲,负责十六大新闻传播的网站是政府的喉舌,代表了政府信息的权威发布,因此,将它们视为电子政务的具体应用也许更为合适。虽然十六大已经结束,但政府信息网站还将长期存在。从个案延伸到整体,这为信息安全界的同仁提出了新课题:如何保证电子政务中信息发布的安全?再往下延伸,如何保证国家的基本安全?
为此,记者分别采访了有关信息安全专家及五大新闻网站的信息安全主管,就以上的焦点话题进行了深入探讨。
十六大网上新闻的顺利发布,让我们看到,经过几年的发展,我国的信息安全技术已经达到了相当高的水平,市场上的各类信息安全产品丰富多彩,我国已经培养出了一支训练有素的网上紧急响应专业队伍,有这些强有力的后备储备,至少在面临重大事件时,我们有了应对的经验。
但是,电子政务的安全不仅仅是保护某些局域网的信息发布,而是牵涉到国家基础设施的整体安全。正如专家们所指出的,2003年,电子政务安全将由互联网安全向国家基础安全过渡。值得关注的是,专家们向国家提出了20个关于建立国家基础安全的重点选题,这不仅为建立国家安全体系提出了宝贵的参考意见,也为立志从事信息安全的企业指明了产业未来发展的新方向。
主持人:《计算机世界》报社编辑、记者――胡英
被采访人:中国信息产业商会信息安全产业分会常务副理事长――屈延文教授
国家计算机网络入侵防范中心首席科学家――许榕生教授
中国国际广播电台国际在线网络宣传处副处长――辛威
中国青少年计算机信息服务网负责人――李秋玲
人民日报社网络中心技术部负责人――张致
中国互联网新闻中心(中国网)高级网络工程师――林洋
中国日报网站工程师――许国徽
中科网威公司首席运营官――肖勇
一场没有硝烟的攻防战
记者:十六大胜利闭幕,网络新闻得以顺利传播,没有出现大的攻击事件,足以证明我们的网站安全做得相当出色。请总结一下,这次有哪些值得推荐的成功经验?
李秋玲:十六大的网络新闻发布,对我们这五大政府信息网站的安全性提出了严峻挑战。我们既要保证党和国家的信息通过网络线路顺利地传达到全世界普通百姓手中,又要防止敌对势力的破坏;而相对其他新闻传播形式,互联网更脆弱,更容易受到攻击,受众却越来越多。
张致:以去年全国九运会为例,短短的15天内,信息发布网站就经历了140万次攻击。而十六大是世界关注的焦点话题,信息发布网站将经历什么攻击非常难以预料,一旦出现问题,有可能使党和国家形象蒙受巨大损失,我们决不能掉以轻心。
辛威:好在国务院新闻办给予了高度重视,从会议召开几个月前,就组织人力、物力、财力给予了大力支持。在人力、物力配备上,新闻办设计出了详细的工作流程和紧急事件上报流程,并调动电信、电力、公安、交通等八大部委,联合签署分工协作文件,全力做好新闻发布的安全保护和紧急应对措施。尤其值得一提的是,新闻办在资金上给予了足够的支持,增加并引进了许多先进的技术设备,将带宽扩展为平时的10倍,以保证正常的访问。同时,明确提出,为了弥补自身技术水平的不足,将聘请有经验的、可靠的网络安全公司为信息网站做专业顾问。经过公开招标,中科网威公司被选中。
我们很高兴,自己的选择没有错,中科网威公司经受了考验。在此,我代表五大新闻网站对该公司的辛勤工作和高深的技术水平表示感谢。
屈延文:这是政府打的一场漂亮的攻防战,说明国家已经建立了基本的应急保障体系。除了中科网威以外,还有许多公司,如天融信等,也在十六大期间承担了大量的安全服务工作。它们表现得相当出色,这说明,由业内一批专业厂商所组成的具有实战经验的安全防护队伍,已承担起了国家现役和预备役力量,能对付目前和将来的网上攻击事件。我非常高兴。
记者:能否具体谈一下,技术专家是如何保证信息发布安全的?采取了哪些具体措施?
许榕生: 去年,五大网站的整个安全保护投入只占总体建设的1%,为此,许多专家提出了批评意见,安全投入至少要占总体投入的10%以上。十六大期间,政府采纳了专家的意见,拨了专项资金加固媒体网站的安全,同时,聘请信得过的专业安全服务公司增加技术力量。新闻办对服务公司的要求有三点:一是技术到位;二是服务态度好;三是政治可靠。中科网威接到了这个光荣的任务。
张致:我们所关注的是安全流程。首先要封网检查,清除故障。其次,在网络上一旦发生攻击,我们的目的是将损失减小到最少,而并不追究攻击源,如对容易引起流量堵塞的DDoS攻击,目前没有根本的解决办法,我们以应急方式为主,强制掐断非法攻击地址,而不管它是否是伪装的,以保证网络流量的及时畅通。第三,定期做系统清理,而不能影响系统的运行。第四,也是最重要的,是数据的备份恢复机制,一旦出现攻击事件,能在短时期内恢复系统。
肖勇:在十六大之前,中科网威已经提前做好了准备,经常与新闻网站的负责人进行交流,对应用系统了如指掌,因此,在招标时,我们做出了操作性非常强的实施方案。在十六大期间,公司派安全技术工程师入驻在五大新闻网站,24小时三班倒值班进行贴身服务。在这期间,我们多次发现有人试图扫描系统想发现漏洞,我们及时采取措施不让他进来。采取的主要技术措施有漏洞评估、购买设备、网络升级、网段调整等。何德全院士讲过:技术要与管理相结合。正是由于这五大新闻网站丰富的准备工作,尤其是在资金、应急措施、上报流程等方面的详细规划,才使我们得以全力以赴解决技术问题,而减少了来自非技术层面的压力。
流量和内容攻击是主要形式
记者:目前的攻击方式有很多种,但就各位的经验而言,针对政府信息发布网站的攻击形式主要有哪些?
屈延文:就我的经验来看,互联网安全包括网络安全与内容安全两大部分。对于前者,目前具有丰富的网络安全技术和设备储备,各类信息安全企业的强项也集中在此,所以,这方面的进展很顺利,不是难点。对网站来讲,真正的难点在于后者,即内容安全,尤其是对BBS、QQ等上发表的内容上的监督,防止出现反党、反社会主义言论,这是网站目前面临的主要难题,但并没有很好的技术手段去解决。比如,对一切反动言论,网站必须随时注意并即刻清除,但对一些有建设性的批判文章,又必须保留,所以,仅以某些关键词进行简单检索的方式,并不能真正解决内容安全问题。对内容进行监督是一项复杂的工程,目前,并没有好的方法进行处理。
许榕生:对于互联网安全,其中主要的是要防止网络被堵塞,也就是防止DDoS攻击。因为,网络媒体的特点是用户点击成功率要高。有专家曾进行过统计,人们对网页传输速度的忍耐度是7秒种,即在7秒中之内,如果还不能打开一个网页,人们就会因为失去耐心而选择离开。因此,必须要保护网络线路的畅通。但目前的现状是,很多人愿意花几百块钱去买杀病毒软件,但却不愿意花钱去买防DDoS的软件。这是认识上的误区,但目前正在扭转。
记者:政府新闻网未来对信息安全的需求与其他行业相比还有哪些不同之处?
肖勇:我认为,政府信息网站对安全服务的需求并不是一次应急服务,而是长期的需求。因为,十六大成功抵御网络入侵只是第一步的胜利,是“基础设施+安全服务”模式的成功。但是,十六大结束后,网站还要持续面临各类威胁,怎么应对?新闻网站的核心价值在于内容编辑及内容管理上,而对专业的安全服务,应该交给专业的、信得过的安全公司来做。这是新闻网站未来的安全策略问题,希望这一建议能得到重视。
但无论如何,我们已经做好了准备。中科网威早就开始实现将“服务产品化”和“产品服务化”作为自己的理念,即将网站需要的服务设计成标准化的产品推向政府网站,将产品为专门客户的二次开发作为专项服务推出。
林洋: 另外,必须加强政府信息网的内部人员管理,注意网站内工作人员的行为,如随意上网、在工作区里接收带有木马程序的网页等,都会造成网络隐患。所以,随着网络媒体技术迅速发展,服务器的安全保护及防止网站工作人员的不正确的工作方式,都是未来必须关注的问题。
电子政务安全向基础安全过渡
记者:十六大的网络信息发布已经成功结束,但未来整个政府信息网的安全保护将往何处发展?
辛威:十六大后,整个新闻网站的基础设施得到了加固,使网站的整体性能和安全性都上了一个台阶,我们非常高兴,也觉得非常有价值。从这一事件中,我们积累了很多应对紧急事件的经验,整个安全体系架构也已经搭建起来。国家每年都有几件重要的事情发生,至
