邮电大学信息安全中心主任杨义先

　　邮电大学信息安全中心主任杨义先谈网络安全与青少年保护

　　各位朋友大家好，今天非常高兴有这么多各行各业的专家和企业家参加这个论坛，我今天报道的题目是技术东西，我介绍一下网络安全概论，那么今天我是刚刚成立中国青少年网络协会会长做这个介绍

　　今天我主要讲四个问题，网络安全的概述我想介绍两方面的内容，一个是介绍互联网的安全事件，第二个对黑客做一些介绍，那么互联网安全的事件是要多少有多少，这个清单是永远也拉不完的，无论是著名的网上商店，军方系统、政府系统以及各大公司几乎都受到黑客的攻击，这种事件是每天都会发生的。

　　那么今天我们讲青少年的事情，那么统计我们国家的上网人数已经达到7800多万，其中有30％是30岁以下的人数，其中有毒品、黄色、淫秽、色情的东西，据统计每天都有2万多个新的色情网站出现在网上，大量的网上游戏，导致青少年长时间沉迷于网络，网上交友、聊天等存在很多限制，网上的不良信息已经严重影响了青少年的健康成长和文明建设，另外是网络病毒影响绿色网络空间。网络病毒也是影响我们绿色空间的一个重要因素，还有一个就是垃圾邮件，那么据2003年1月公布的报道，中国网民平均每周收到16封电子邮件，其中垃圾邮件就占到差不多一半，其实很多经常用电子邮件的人数说垃圾邮件占到90％以上，我想大家都有同感，不光带有病毒，而且占用大量的时间和资源。那么我下面再就我们国家在网上的安全事件，进行简单地说明

　　那么国内受次盗窃银行巨款事件是在88年，首次针对银行提款机黑客事件是在99年，首次对党报的网站攻击是在2000年。还有很多各种各样的系统无论是国内的、国外的甚至一些专门做安全的一些公司的网站也都受到黑客的攻击，03年我们告诉发生的网络事件是非常非常多的，那么这里可以分为这么几大类，第一个是大规模的病毒事件，还有一个是严重的拒绝服务攻击事件，这个影响是非常大的，还有就是各种各样的篡改网络的主页，以及各种各样的后门以及一些黑客攻击，比如说是截止到2003年6月这半年通过互联网对我们国家发布的黑客攻击次数差不多有70万次，那么网络的问题已经成为了全球化的问题，那么这个很多案例我们就不一一介绍了。

　　那么网络安全对我们国家在各个方面都构成了威胁，那么包括电力系统、通讯系统、控制系统、广播系统、交通系统、医疗系统、工业系统等等基本上任何一个IT系统都逃不掉安全的攻击和威胁。那么发出这些攻击和威胁的人，日期就把它叫做黑客，那么这个我讲在不同人的心目中是不一样的。在文学家眼中比如在很多外行的心目中黑客就是躲在阴暗处，就像一些坏蛋的模样，那么这是文学家心目中和社会媒体心目中对黑客的印象，那么真正的黑客是非常正常的，图片上这个人就是非常著名的黑客，那么他和正常人是没有区别的，我们来看看他的建立，这个人名字叫Kevin Mitnck，那么他的简历上看，他是非常电脑方面的天才，但是同时在性格方面又具有严重的缺陷，是一个非常内向，非常封闭的一个人，所以他把他能力，电脑方面的潜在能力导致他不断地一进攻，二进攻、三进攻再进攻，他15岁的时候就闯入了美国军方的系统，第一次被捕，1988年就第二次入狱。那么95年的2月又被送上法庭，2001年才出狱，那么出狱的条件是三年之内禁止用电脑、手机和互联网，那么现在三年过去了，那么他现在还会不会再把自己送进监狱就很难说了。

　　那么另外一个黑客也是非常有名的黑客罗伯特泰潘莫里斯，这个人也是非常聪明，同时性格上也是具有严重的缺陷，比如说1988年，他为美国的康耐尔而被评为孤独的才华横溢的程序专家，但是也是才华横溢，就是性格方面有严重的缺陷。

　　那么正是因为他这种缺陷，导致了他很多对自己造成很多麻烦，也是把自己送进监狱。那么什么是黑客？黑空从文学家角度来说，黑客就是那张图片所描述的，那么从技术上描述的话，黑客实际上就是一个中性词，它并不带有包括贬义，因为一个系统是不是安全，它没法用数学的方法进行严格的证明，而经过各种各样的实验，而这种实验在某种程度上，如果在网络上做是少不了的，如果把这些事件拿到公众网，特别是针对军方敏感部门的网络上做，就是一种破坏行为。所以在技术上把前面一种黑客叫Hacker，实际上是一种测试计算机的而后面一种破坏者叫Craker，就是破坏的。

　　所以我们社会中是后一种，但是因为大家的习惯，所以都统称，无论你做检测的好事也好，做坏事也好，都叫做黑客。没有黑客就没有安全系统，因为系统无论是好的坏的，都要经过严格的考察。但攻方占优势的时候，守方就会努力改进自己的系统。我下面所说的就是专门破坏的黑客，那么他也造成的影响是非常大的。

　　美国每年的黑客已经尽亿美元，那么黑客除了有那种很多种黑客有损人利己的，有损人不利己的，又有损人又利己的，著名的网站进行篡改，我们看看美国的联邦调查局，司法部的网站被篡改，那么这个图片上面三个网站系统就是篡改以后的效果。

　　那么全世界有很多黑客站点，那么我刚才说了关键这个技术是双刃剑关键看你怎么用，如果用的对那么就可能对你技术，对你的安全水平有所提高，如果用的不对，就有可能把你自己送进监狱去。那么我们今天的主题是怎么样启动一个绿色的空间来供青少年使用网络，那么我们从这个解决方案上可以考虑三个方面。

　　第一个层面就是国家级考虑，那么比如说建立有害的网络，网址的举报平台，建立垃圾邮件举报平台以及国家的信息管法，这是绝对不可少的。那么我们国家已经有专门的部门在从事这方面平台建设和管理以及技术开发工作。那么除此之外一些企业、小区也是不可少的，包括企业、网吧和政府部门，他都要在系统里采取技术手段、管理手段，当然法律手段是国家来完成的。那么除了国家级和社会而外，家庭也是必不可少的，如果我们每一个家庭终端，每一个计算机终端都采取了很好的措施，确保了不良信息不能够通过这些终端获得的话，那么我们整个网上的绿色空间就会非常好了。

　　那么我们绿色环境的解决方案的话可以这样考虑，就是提供三位一体的解决方案，就是将主动式的网络防御技术，为终端技术上网主要解决不良内容、病毒、网页的代码等等问题。那么这种主动防御的特点就是提供用户端阻断技术，为恶意行为的传播推波助澜，那么在管理方面要做很多工作，如果我们怎么样来提供一个绿色的网络，那么我们首先就是要对上网内容进行过滤，那么要禁止敏感的搜索，设置一些保护，自动更新一些新的站点等等。

　　那么这些工具据我所知，目前我们国内已经有相关的终端产品、软件工具来解决这些问题，那么如果大家有兴趣的话，我可以给大家提供一些更具体的信息，在这里我就不介绍了。

　　第二个就是要主动防护病毒，通过网络防护网络病毒，有很多细节，我们就不一一介绍了。

　　第三个就是要对垃圾邮件进行过滤，那么要提供一个绿色网络的关键环境的话，可以看作这么几个方面，就是要恩有高速黑白名单，要有对网络进行还原，还有特征行为分析，所有这些技术构成一个统一的平台，然后对不良内容进行过滤，然后对通过病毒库对病毒进行过滤，然后对垃圾邮件进行处理。

　　那么我们来看看网络对安全方面的概述，

　　第二个看网络安全到底有什么样的问题？ 应该说主要是这几个方面，操作系统、网络服务、网络协议和其他方面的问题，这张表就罗列了到目前为止国内外的主流操作系统，那么从这里可以看出，目前几乎所有的主流操作系统都是有安全问题存在，这是不可少的，这是为什么呢？那么我们来看看，因为操作系统是变得越来越大，任何系统只要大到一定程度，就一定有安全问题，这个无论是它有意设置的，还是无意，都会有漏洞。

　　我们来看看各种各样软件的错误，根据统计，无论你花多么大的精力，大概平均每一千行代码中就有错误，这是没法避免的，因此如果代码指数越多，他的安全问题一定就会越来越多。那么网络服务除了操作系统而外还有很多网络服务，网络服务有没有什么安全问题呢？太多了，几乎每一种网络服务都有他所对应的问题，电子邮件安全的问题大家体会得非常深了。几乎所有的网络服务都存在多种多样的安全问题，那么细节我们就不去一一介绍了。那么网络协议的安全问题就更多了，就导致了我们今天互联网上安全问题的存在，应该说这是一个根本原因，细节我们就不去讲了。

　　当然还有很多其他的问题，比如说计算机犯罪，物理行为，电子站、信息站立等等，还有各种各样的物理安全包括自然灾害，电池泄露、操作失误等等一些人为的管理缺陷。这是第二个方面就是安全问题，我们网络信息的安全问题主要出在哪几个方面，下面我们重点再介绍一下，如果有漏洞有问题，那么常用的攻击手段和防护手段是什么？那么常用的攻击手段第一是缓冲区溢出，窃取口令，特洛伊木马、漏洞扫描、反扫描、嗅探器。还有一种是分布式拒绝服务攻击，这种工具的防止是很难的，所以我们要花很大的精力来研究这种东西。还有一种欺骗攻击，欺骗攻击也是因特网上经常所用的东西。

　　关于安全方面我最后再讲四个观点，安全是相对的，不安全是绝对的。那么安全是一个状态，不是一个状态而是一个过程。攻守既新户矛盾，又相互补充。那么信息安全是如何变的，信息安全越变越重要，安全系统成了物价之宝，安全标准在不断的变化，安全目标需无限追求。信息安全最大特征就是一个字：快，新的理论分支诞生快，理论水平提高快，理论向应用的转化速度快，守方技术进步快，攻方手段改进快。最后一个观点就是信息安全需要什么？信息安全需要辩证法，这是真的，因为做安全是高智商的对抗，信息还需要它山石，也需要生力军，也需要服务观，所以信息安全永远是为别人服务的。限于时间，我今天的报告就到此。谢谢大家。