|
三網融合所帶來的信息安全挑戰,除了目前網絡和系統所面臨的安全挑戰外,更突出的是安全監控和知識產權問題。如何解決好這些問題關系到三網融合的健康發展。解決這些問題不能單一依賴技術手段、管理手段或政策措施,而應該將這些手段有機地結合,才能更有效地提供三網融合所期望的服務。因此,希望國家有關部門加強將三網融合作為一個整體系統來解決安全監管的研究方面的投入力度,以及電子財產安全和電子財產知識產權保護方面的投入力度。
在工作模式上,三網融合后的網絡服務平臺為人們提供的將不再是如早期廣播電視網一樣的信息發布與被動接收,而是用戶可以在某種程度上與服務平臺實現互動,如選擇節目、在線投票、甚至將自己制作的多媒體內容在一定范圍內共享和分發等。目前在互聯網上雖然可以實現類似的數據共享業務,但共享群體規模比三網融合所提供的平臺將小得多。而規模的大小直接影響到某些信息安全指標的重要程度。比如一個共享的多媒體數據,如果涉及到非法宣傳的內容,當共享用戶規模較小時,可以通過網絡監管的方式進行過濾監督,但當共享人群很大(如相當于一個廣播電視頻道的收視群體時),通過網絡監管的方式是不合適的,即便發現后立即進行制止,很可能已經為時已晚。特別是當所提供共享數據的來源不可控制時,更可能帶來一些社會問題。因此針對三網融合平臺,對網絡傳輸的數據,特別是某些廣播或組播的大規模共享數據,需要尋求特定有效的管控手段,這是相比傳統網絡安全而言比較特殊的安全需求,即三網融合下的內容安全問題。三網融合下的信息安全關鍵技術主要包括如下幾個方面:認證機制、網絡安全、系統安全和內容安全。
1、 三網融合下的認證機制、網絡安全、系統安全問題
雖然在現有網絡環境下,互聯網和移動網各自在認證機制、網絡安全和系統安全方面都有多種解決方案,但是在三網融合環境下,需要有統一的認證機制,因此需要對現有認證機制進行改造融合,充分發揮已有認證機制的特點為三網融合下的認證機制服務。比如在互聯網上的認證一般需要有公鑰證書的支持,而移動網上的認證只需要基于預置密鑰的對稱密碼挑戰應答方式。如果將兩者結合,即三網融合下一些與移動網平臺緊密相關業務的認證可以使用兩者結合的認證方式,比如讓移動網絡部分繼續使用預置密鑰的認證方式,而在互聯網階段,只需要對移動網運營商進行認證即可,這樣可以只需要移動運營商(或某些運營商節點)的公鑰證書,而不需要每個用戶都有自己的公鑰證書,這樣會在實際操作中減少公鑰證書的管理代價(包括計算代價、通信代價、管理成本等)。因此三網融合環境下的認證機制應該跟具體應用類別相關,單一的認證模式是不現實的。
三網融合環境下的網絡安全問題將更突出。因為在現有網絡中,從互聯網接入無線移動網受到很大限制,而在三網融合環境下,由于業務的需求,將有更多的從互聯網到無線移動網的接入訪問,這樣就給無線移動網絡的安全帶來更大的挑戰。傳統的移動互聯網的信息安全防護措施很可能并不能很好地應對新形勢下的安全威脅,需要結合一些針對互聯網的安全防護技術,而且需要專門設計一些兼容兩種安全防護于一體的網絡安全防護技術。
三網融合對系統的安全將帶來更大的挑戰,其中終端安全就是一個重要且現實的問題。三網融合后許多終端設備,包括移動終端設備,將直接連接到互聯網,而互聯網對終端系統的攻擊方式層出不窮,防不勝防。這些由于體積有限導致功能受限的終端設備可能需要加強和優化信息安全方面的保護,才能有效應對種類繁多的網絡攻擊。因此三網融合下的系統安全將是一個重要的技術挑戰。
2、三網融合下的內容安全問題
1)內容安全問題的重要性
三網融合環境下除了認證機制、網絡安全和系統安全將遇到的新挑戰,還有一些問題值得我們的重視,這類問題多與上述安全問題有密切聯系。如密鑰管理問題與安全認證就有著直接的聯系,密鑰管理一般與認證是分不開的,而認證的目的通常會伴隨著密鑰管理(如密鑰協商等)過程。
三網融合下的另一個特殊問題是內容安全,這在傳統網絡中未得到足夠重視,原因是其安全威脅尚不夠可怕。但在三網融合環境下,內容安全問題將會更嚴重地關系到社會的安全。由一個典型的案例假設即可看出端倪:假如某非法組織在三網融合環境借助某個電視頻道向外發布消息,由于該消息的接收群體將遠大于傳統互聯網環境,即使能及時發現,一個短消息的發布可能也已經完成。因此三網融合環境下所傳輸數據的內容安全是一個特別值得重視的問題。
實際上,在互聯網環境下,內容安全已經得到有關部門的重視,一些提供互聯網業務的服務平臺就根據國家需求對互聯網上傳輸的內容進行一定程度的監管。內容安全已經越來越受到重視,在三網融合環境下,內容安全無疑是一項重要的安全防護目標。
內容安全的防護從直觀上應該是對內容進行監督分析,使其在發布的同時甚至發布之前就能識別并對非法內容進行阻止。但是經驗告訴我們,對網絡數據內容的分析監督是何等的困難。垃圾郵件是一種被眾人厭惡的網絡騷擾,但多年積累的技術對垃圾郵件的治理效果仍然十分有限,一些精心設計的垃圾郵件還是能順利通過許多垃圾過濾軟件的監管。目前對垃圾郵件的過濾多是通過學習過程,即用戶收到垃圾郵件,可向網絡端進行匯報,網絡端經過特征分析,可望在后來截獲類似特征的郵件時將其過濾掉。但這是事后行為,只適合垃圾郵件的過濾,因為用戶不是同時收到相同的垃圾郵件。這種技術不適合三網融合環境下的數據過濾,因為如果許多用戶幾乎在同一時間收到垃圾郵件或其他類型的數據,再讓系統進行學習并記錄特征則為時已晚。
但是,對內容的分析也不是沒有效果,許多特殊類別的內容過濾還是能取得很好的效果。比如對黃色內容的過濾就可以根據黃色內容的顏色特征進行分析和匹配的方法進行,但如果發布者將黃色內容變成黑白兩色,則上述方法的效果會明顯降低,當然變色后的內容在宣傳效果上也會降低。針對這一特殊類型的內容防護,可以設計不同等級的內容防護。當遇到內容特征不是很容易提取甚至容易隱藏的數據類型時,如音頻,甚至普通多媒體的水印圖像,則很難通過內容特征匹配方面的技術進行過濾。更具挑戰的是,對內容保護的技術在攻擊者看來是公開的,而攻擊者的手段是秘密的,至少在攻擊之前是這樣。因此讓公開的技術防護未知的攻擊是很困難的,特別當一些攻擊手段專門針對已有防護技術進行攻擊時更是如此,因此要做到提前防護的確是很大的技術挑戰。
2) 內容安全的監管
上述討論似乎給出這樣的論斷,即內容防護很困難。根據我們的經驗和現有網絡環境下的一些實例,內容防護僅從內容特征分析的確很困難,這與三網融合環境沒有太大的關系。但這并不意味著內容防護沒有好的辦法。這里我們試圖探討另一種途徑,即通過技術手段和行政管理相結合的方式,使其在實際中達到內容監管的效果。
首先在行政管理方面,對連接到網絡的用戶進行分類,如(a)廣播通信類,目標用戶主要是授權的廣播電視發布機構;(b)組播通信類,目標用戶主要是授權的網絡服務平臺的管理者;(c)普通用戶類,包括所有不屬于上述兩種類型的用戶。另外,對廣播通信平臺進行授權管理,即哪些網絡平臺是合法的廣播電視多媒體的服務平臺。在這種行政管理準備前提下,網絡內容的安全監控可以通過如下步驟進行:
(1) 廣播通信和組播通信業務都需要對用戶進行安全認證,確認數據來源是授權的合法用戶,并且用戶要對廣播或組播的內容進行承諾;該認證由授權的廣播通信平臺負責。如果通過某種途徑(事前或事后)證明某個廣播或組播內容是應該被禁止的,則來源用戶將對其所造成的后果負有不可推卸的責任,除非該用戶可以將責任追溯到他人。在實際應用中,廣播通信用戶還需要對廣播通信平臺進行認證,否則可能會造成經濟損失,但這不是內容監管所考慮的問題。
(2) 監管部門對除授權的廣播通信平臺之外的平臺進行定期檢查,看這些平臺是否發布廣播通信類業務。一旦發現,無論這些通信類業務本身的內容是否有問題,都將根據有關法律法規對運營者進行懲罰。檢查業務類型比檢查業務數據內容要容易得多,因此具有操作的可行性。
容易看出,上述規定并沒有影響三網融合對服務便利性的影響。三網融合的影響是廣播通信類業務發布信息的途徑發生了根本性變化,但普通用戶發布信息的途徑與當前通過互聯網的情況基本一致,當然普通用戶可能會有更多的終端設備使用,如多媒體數字電視。
需要說明的是,上述對數據內容安全監管的方法簡單地說就是誰發布誰負責。是否會存在勇敢者敢冒天下之大不韙,明知內容非法卻仍進行廣播或組播呢?這種可能性與目前情況下某個廣播電視臺從當前的廣播電視網發布這些信息的可能性是一樣的,而且成功的可能性還要低,因為通過多媒體網絡服務平臺進行發布時,該平臺要使用技術和人工相結合的手段對內容進行檢測過濾,即使檢測手段有許多漏報情況,也比現在完全依賴廣播電視臺的情況要好。
但是,對內容安全的監管還沒有可靠的具體方案實施,因為這不僅僅是管理方面的問題,更重要的是為管理所提供的技術支持,這些相關技術包括如下幾方面的問題:
(1)如何為用戶進行授權?如何為網絡平臺進行授權?雖在技術上已有許多成熟的手段,但對三網融合這一具體產業架構,需要在管理層面解決這一問題。
(2)對不同類別的用戶應分別使用什么認證方案?使用哪種數字簽名方法和哪種協議來提供認證服務?這些則是需要根據(3)存在哪些可能的攻擊(假冒、重放、拒絕服務等)和使用什么預防、災難恢復等方案?這些問題不僅需要嚴謹的科學分析,還需要持續的研究和更新。盡管目前有許多種密碼算法可選,有許多種認證協議可用,有許多種網絡安全方法可采納,但是,一個安全可靠的系統的建立不是將這些方法的簡單組合。因此科學的分析和論證,特別是對整體安全解決方案的有機整合是解決三網融合信息安全問題的必要途徑。
除了技術上有許多問題需要解決和不斷發展外,在管理方面也有一些問題尚待解決,比如,如何為用戶進行分類?如何對授權網絡平臺進行審核審批?誰來負責授權?這些問題都將對規范三網融合后的網絡管理和使用,特別是保障三網融合安全健康地發展具有重要意義。
總之,內容安全很難通過某種尖端設備來過濾,但可以通過一個安全系統來實現。
3、三網融合下對電子財產和電子財產知識產權的保護
我們都知道要保護國家財產、企業財產、個人財產等,通常我們對這些財產的理解都是有形的,即看得見摸得著的。近年來,國家也逐漸重視對無形財產的保護,如對民俗文化遺產的保護。但是,對電子財產的保護還很不夠。所謂電子財產,即所有以電子形式存在(如可存儲于計算機或其他介質)且有價值的數據,如圖片和多媒體就是典型的電子財產。我們除了要對電子財產本身進行保護外,在一定條件下還需要對其知識產權進行保護,即電子財產的內容雖然可以被使用(或消費),但使用者必須遵守一定的規則,而不能非法盈利或非法使用(如非法篡改)。如何保護電子財產和電子財產的知識產權一直是一個重要研究課題,而三網融合更強化了這些問題的重要現實意義。
目前對圖片、多媒體等類型的電子財產已有一些保護方法,通常的認證和機密性就可以用來提供對這類財產的保護,因為它們可以壓縮后被當作普通數據來處理。對這類電子財產知識產權的保護也有一些技術方法,如水印技術、指紋技術等。但計算機軟件作為一類特殊而且重要的電子財產,在本身的保護和其知識產權保護方面的研究都不夠,一些企業解決方案缺乏理論支持,不具有規模化和可發展性。三網融合環境下給人們提供了更多合法和非法獲取這些電子財產的機會,因此加強電子財產的保護和知識產權保護是三網融合時代面臨的另一項重要的挑戰。
|
魯公網安備 37010102000429號