曾小麗

摘要：三網(wǎng)融合環(huán)境下信息安全面臨著諸多風險與威脅，要立足于信息安全目標做好管理與改造，全面提升三網(wǎng)融合后信息安全保障水平，服務三網(wǎng)融合業(yè)務發(fā)展。文章介紹了三網(wǎng)融合下環(huán)境下的信息安全目標，探討了代表性的信息安全問題與應對經(jīng)驗，希望能為信息安全技術水平的提升服務。

關鍵詞：三網(wǎng)融合；信息安全技術；網(wǎng)絡信任體系

三網(wǎng)融合作為國家近年來大力支持的并網(wǎng)業(yè)務與信息技術戰(zhàn)略，是推動現(xiàn)有電視數(shù)字網(wǎng)絡向新一代互聯(lián)網(wǎng)演進的重要國策，三網(wǎng)融合有助于打造性能更為優(yōu)越、服務質量與水平不斷提升的新型互聯(lián)服務網(wǎng)絡，提供諸多新型業(yè)務服務。三網(wǎng)融合雖然帶來了不少好處，但同時也增加了信息技術安全風險，這意味著安全風險管理壓力極大，如何做好新時期三網(wǎng)融合環(huán)境下的信息安全技術管理至關重要。

1 三網(wǎng)融合下環(huán)境下的信息安全目標

三網(wǎng)融合是將廣電、電信業(yè)務拓展到全國范圍內，配合網(wǎng)絡承載改造、創(chuàng)新信息技術等進一步提升全網(wǎng)服務能力，促進融合業(yè)務與網(wǎng)絡產業(yè)的快速發(fā)展，更好的提升網(wǎng)絡業(yè)務服務能力，做好國內網(wǎng)絡的運營監(jiān)管。三網(wǎng)融合意味著現(xiàn)有網(wǎng)絡的安全保障能力必須切實提升才能夠滿足進一步發(fā)展要求，在應對信息消費快速增長的背景下要致力于加強信息安全管理。

三網(wǎng)融合背景下我國出臺的《三網(wǎng)融合推廣方案》明確提出了要加強網(wǎng)絡信息安全與文化安全監(jiān)管，要在加強三網(wǎng)融合業(yè)務推廣、帶寬網(wǎng)絡改造建設的同時，積極完善信息安全與文化安全管理體系，做好技術儲備、應用與動態(tài)安全管理，營造健康有序的市場環(huán)境，為籌建適應三網(wǎng)融合的新標準體系服務，從而提升全網(wǎng)信息網(wǎng)絡建設與保障水平，構建強勁的安全保障體系，做好三網(wǎng)融合監(jiān)管。

2 三網(wǎng)融合下環(huán)境下的信息安全問題分析

三網(wǎng)融合中的電視網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)從信息安全角度考慮，所面臨的信息安全需求都是一樣的，主要包括運行安全、內容安全、數(shù)據(jù)安全與物理安全，結合我國加強網(wǎng)絡信息監(jiān)管的規(guī)定來看，目前主要困擾三網(wǎng)融合的代表性安全問題主要以數(shù)據(jù)安全、內容安全為主，前者以用戶信息泄露、丟失、篡改、損毀等為主要表現(xiàn)，后者以不良信息的非法發(fā)布與傳播為主要表現(xiàn)。

2.1 數(shù)據(jù)安全問題

數(shù)據(jù)安全主要是指網(wǎng)絡信息系統(tǒng)在處理、存儲、應用、檢查、交換、擴散等數(shù)據(jù)過程中面臨的非法竊取、篡改、泄露等諸多問題，三網(wǎng)融合背景下數(shù)據(jù)處理業(yè)務需求與壓力都急劇增大，在應用數(shù)據(jù)業(yè)務的過程中如何保障數(shù)據(jù)安全成為了重要課題。三網(wǎng)并網(wǎng)業(yè)務背景下數(shù)據(jù)主要在業(yè)務終端、網(wǎng)絡、業(yè)務應用系統(tǒng)中傳播，所以要重點做好這三大環(huán)節(jié)的數(shù)據(jù)安全管理，以避免被竊取、篡改、偽造和抵賴等，考慮到三網(wǎng)融合后智能終端的接入、互聯(lián)網(wǎng)業(yè)務的互相開放性，數(shù)據(jù)安全將會面臨更加復雜的形式與龐雜的需求。

有報道顯示，三網(wǎng)融合背景下數(shù)據(jù)安全的風險隱患超過80%來自各類移動終端，尤其是當前智能移動終端的普及應用與便捷化操作水平的提升，越來越多的用戶選擇各類移動智能設備作為網(wǎng)絡接入設備，以手機為例，多數(shù)智能機應用開放性較強的安卓系統(tǒng)，一旦系統(tǒng)被惡意程度攻占將會導致系統(tǒng)固件感染，在系統(tǒng)運行時在后臺竊取手機IMEI號、手機型號、版本信息以及手機內其它個人信息發(fā)送到指定控制服務器，導致用戶個人終端隱私信息泄露，嚴重威脅用戶個人數(shù)據(jù)信息安全，并由此帶來了隱私保護、防范病毒及非法訪問控制等一系列后續(xù)問題。在數(shù)據(jù)信息傳送過程中，非法竊取、竊聽截獲、中斷篡改等問題也較為普遍，比如VolP竊聽威脅，應用互聯(lián)網(wǎng)協(xié)議的語音傳輸安全保護機制與電話服務截然不同，由于IP協(xié)議本身缺乏防范攻擊能力，因此語音數(shù)據(jù)流量傳輸時缺乏加密保護舉措，很容易被竊聽，尤其是隨著目前VolP成為語音服務的主流選擇之后，竊聽將逐漸成為數(shù)據(jù)安全的一大威脅。

三網(wǎng)融合不僅僅意味著三個網(wǎng)絡業(yè)務系統(tǒng)的整合，意味著三者之間互相業(yè)務系統(tǒng)的開放與兼容，以互聯(lián)網(wǎng)作為網(wǎng)絡載體的新型服務網(wǎng)絡將會提供更對優(yōu)質且便捷的業(yè)務服務，但同時也意味著互聯(lián)網(wǎng)安全弊端將實現(xiàn)跨網(wǎng)傳播，比如木馬、病毒、黑客攻擊等也會進入到電視網(wǎng)與電信網(wǎng)，造成巨大安全隱患。我國傳統(tǒng)電視網(wǎng)與電信網(wǎng)本身有較強的封閉性，原有系統(tǒng)的業(yè)務漏洞可能因為封閉網(wǎng)絡的關系長期潛伏，但一旦接入高度開放的互聯(lián)網(wǎng)，漏洞不僅可能暴露甚至還會危害加大，形成全新的安全威脅，像是修改商業(yè)數(shù)據(jù)、入侵應用、竊取敏感數(shù)據(jù)等都是典型的安全問題，在這種嚴峻的形勢下，做好數(shù)據(jù)安全防范與管理將會是日后信息安全技術管理的重點。

2.2 內容安全問題

信息內容安全主要是信息利用方面的安全問題，即三網(wǎng)融合背景下如何從海量的信息中自動識別、獲取良性信息，做好信息發(fā)布與傳播的安全管理，構建綠色信息網(wǎng)絡，凈化網(wǎng)絡空間，保障信息網(wǎng)絡穩(wěn)定。目前互聯(lián)網(wǎng)上不良信息的發(fā)布與傳播已經(jīng)成為嚴重困擾信息安全的典型問題，隨著互聯(lián)網(wǎng)與電視網(wǎng)、電信網(wǎng)的融合，這種信息安全問題的危害將會進一步擴大，以虛假信息、垃圾信息、不道德信息的擴散為例，互聯(lián)網(wǎng)近些年積極整治假新聞、網(wǎng)絡謠言傳播及涉恐怖襲擊等網(wǎng)絡謠言，對互聯(lián)網(wǎng)理財高息陷阱等進行告警，電信網(wǎng)對詐騙短信等做預警、舉報管理，這些舉措雖然發(fā)揮了一定作用，但是不良信息的泛濫與傳播仍然是困擾互聯(lián)網(wǎng)安全治理的關鍵難題。

三網(wǎng)融合帶來的高度開放性將會進一步擴大這類問題的危害與影響范圍，尤其是隨著廣電網(wǎng)絡的IP化，網(wǎng)絡信息流量將急劇增加，非法與不良信息的傳播途徑將會更加多樣化，傳播手段更加隱匿，這對于國家安全、個人信息安全、網(wǎng)絡安全都將會是巨大危害，嚴重者還會造成社會群體性事件與恐怖襲擊事件等，危害國家穩(wěn)定與社會安全，因此做好內容安全的管理與治理至關重要。

3 三網(wǎng)融合下環(huán)境下的信息安全應對經(jīng)驗探討

三網(wǎng)融合環(huán)境中的信息安全技術管理本身是一項涉及事項多、要求復雜、管理壓力大的專項事務，要積極融合以往信息安全技術管理經(jīng)驗構建一體化安全保障體系，積極整合現(xiàn)有技術與力量，堅持統(tǒng)籌規(guī)劃，從而全面提升信息技術安全保障水平。

3.1 加強安全技術研發(fā)與應用

三網(wǎng)融合環(huán)境下信息技術安全管理離不開高精尖的專業(yè)安全技術，以技術為基礎打造有力的安全屏障是確保信心安全產業(yè)發(fā)展實現(xiàn)可控的關鍵，也是保障虛擬社會安全與穩(wěn)定的根本大計。國家要以工信部牽頭、信息技術產業(yè)積極投入的發(fā)展態(tài)勢大力推擠安全技術的研發(fā)與應用，從安全芯片、操作系統(tǒng)、應用軟件到移動安全終端產品給予發(fā)展支持，形成具有自身核心知識產權與專利權的關鍵產品，并制定、出臺相應的安全管理規(guī)范，確保國內信息安全產業(yè)鏈形成協(xié)同發(fā)展效應，發(fā)揮產業(yè)鏈優(yōu)勢，徹底解決制約信息技術安全的瓶頸，突破國外安全技術封鎖，降低國內信息設備與信息環(huán)境安全風險與隱患。

尤其是對涉及三網(wǎng)融合環(huán)境中的各類安全技術要做重點攻關，從研發(fā)、產業(yè)化發(fā)展到應用多方面支持，實現(xiàn)從基層安全產品到核心安全技術的升級與更新?lián)Q代，提升我國網(wǎng)絡環(huán)境下的信息安全管理能力，打造三網(wǎng)融合應用、業(yè)務發(fā)展的安全、優(yōu)良環(huán)境。另外，還要積極開展網(wǎng)絡信息安全風險評估，對現(xiàn)行信息系統(tǒng)的安全做專項檢查，配合網(wǎng)絡信息安全工作目標以降低安全風險、提高安全等級為指導目標開展安全評估，了解網(wǎng)絡與信息系統(tǒng)安全現(xiàn)狀，制定安全策略、安全解決方案與未來發(fā)展規(guī)劃，建立全新網(wǎng)絡信息安全框架，服務三網(wǎng)融合環(huán)境中的業(yè)務開展。

3.2 加強網(wǎng)絡信任體系建設

當前我國積極推進國家信息化戰(zhàn)略，網(wǎng)絡信任體系作為重要組成部分，同誠信社會、誠信網(wǎng)絡建設一同為網(wǎng)絡管理提供強有力支持。網(wǎng)絡信任體系以個人誠信記錄、密碼技術等為核心，以法律法規(guī)、技術基礎、網(wǎng)絡設備就基礎設施等為基礎，配合授權管理、身份認證、責任認定等共同構成信任體系，為做好網(wǎng)絡信息與安全管理提供幫助。

網(wǎng)絡信任體系的建設核心是解決每個人網(wǎng)絡上“你是誰”的問題，尤其是在互聯(lián)網(wǎng)、電視網(wǎng)、電信網(wǎng)融合背景下，如何做到準確、客觀的主客體身份認證至關重要，這對于實現(xiàn)個人網(wǎng)絡行為的監(jiān)管與跟蹤有重要意義，目前可通過公鑰基礎設施（PKI/CA技術）實現(xiàn)。授權管理與身份認證協(xié)調解決權限管理、訪問控制等問題，尤其是在大規(guī)模網(wǎng)絡用戶管理背景下，嚴格的權限操作與管理至關重要，可實現(xiàn)網(wǎng)絡信息資源的合理利用與高效保護，減少信息濫用、丟失、竊取、篡改等問題，可解決網(wǎng)絡中每個人“你能做什么”這一問題，目前主要通過授權管理基礎設施（PMI技術）實現(xiàn)。責任認定作為信息安全技術管理的必要配備舉措，可對每個人在網(wǎng)絡中的行為進行審計、調查、取證、保留，為判定、追究個人網(wǎng)絡主體責任提供操作規(guī)程與方法，實現(xiàn)個人網(wǎng)絡違法的究責，以法律法規(guī)的力量約束個人主體的網(wǎng)絡行為，凈化網(wǎng)絡環(huán)境。

4 結語

綜上所述，三網(wǎng)融合環(huán)境中信息安全將會面臨更多挑戰(zhàn)，要圍繞三網(wǎng)融合下信息安全管理目標做好數(shù)據(jù)安全、內容安全等管理，通過加強信息安全技術研發(fā)、構建網(wǎng)絡信任體系等舉措全面提升業(yè)務網(wǎng)絡安全水平，實現(xiàn)三網(wǎng)融合背景下的安全保障體系建設。