搜索
国际电信联盟发展中国家网络安全指南2007年版©国际电联2007年版权所有。未经国际电联书面许可,不得以任何形式或任何手段复制本出版物或本出版物的任何部分。本出版物中使用的名称和分类并不代表国际电信联盟关于任何领土的法律地位或其它地位的任何意见,也不意味着对任何边界的赞同或认可。本出版物中出现的“国家”一词,涵盖国家和领土。免责声明本出版物提及的具体国家、公司、产品、措施或指导原则,绝不意味着国际电联认可或推崇这些国家、公司、产品、措施或指导原则,而不认可或推崇未被提及的国家、公司、产品、措施或指导原则。本出版物表达的是作者的意见,与国际电联无关。序言iii序言出席信息社会世界高峰会议(WSIS)日内瓦和突尼斯阶段会议的各国际组织、政府、公司和民间团体,一致通过了对信息社会的共同展望。然而,只有在线交易具有安全保障、重要信息基础设施受到防护以及公司、公民和政府所依赖的信息系统和数据得到保护的情况下,我们才能将这一共同展望化为现实,奉献于各国人民。网络安全解决方案的不完善、以及未就全面解决这一问题所涉及的诸多方面及其必要性达成共识,只是我们必须共同面对的挑战之中的一部分。肩负WSISC.5行动方面(树立使用ICT的信心并提高安全性)协调方/推进方责任的国际电信联盟(ITU),致力于与所有利益攸关方开展合作,就上述挑战达成共识,汇集我们的共同资源,构建一个全球性的安全与信任框架。我请诸位与我们同心协力,为实现建立全球性安全信息社会的理想而奋斗。国际电信联盟秘书长哈玛德·图尔iv前言前言随着技术在社会经济发展中的作用与日俱增逐渐形成的全球性跨国界的信息社会,为全球所有国家带来了新的机遇。卫生、教育、商业、金融和公共行政部门均能利用信息通信技术(ICT)应用提供服务。然而ICT也带来了新的挑战。要想安全地开展电子卫生工作、让国民享受电子政务服务、使人们对网上商务以及公司对网上交易树立必要信心并使我们的信息技术系统和资源保持完好无损,我们就必须应对这些挑战。因此,实施适当的安全和信任解决方案,是致力于帮助各国推广电信和ICT使用的国际电联电信发展局必须解决的重大挑战之一。信息社会的无国界性还意味着,解决方案的制定必须以各国间达成共识为基础,即认识到安全的ICT应用所具有的潜力以及在树立安全信心过程中面临的挑战。因此,除了致力于缩小数字鸿沟外,我们还必须通过提高人们的基本认识并加强人员和机构的能力建设,弥合知识鸿沟。这份指南旨在向发展中国家提供一种工具,使他们能够更好了解与信息技术安全相关的问题,并向他们介绍其它国家针对这一问题采用的解决方案的实例。本指南还参考引用了其它已发行刊物中有关网络安全问题的更多信息。它的目的不是提供一份有关这一议题的包罗万象的文件或报告,而是作为一份总结,说明希望享受信息社会实惠的国家目前面临的主要问题。本指南选取的内容旨在满足发展中国家,尤其是最不发达国家利用信息通信技术在不同部门提供基本服务的需要,同时亦继续致力于发掘当地潜力并提高所有利益攸关方的认识。为彻底避免对这些议题的重复论述,我们在这份出版物的内容编制过程中,考虑到了在国际电联电信标准化部门(ITU-T)第17研究组框架内完成的工作以及这一领域现有的其它研究成果和出版物。电信发展局主任萨米·阿勒巴舍里·阿勒穆什德内容提要v内容提要是社会、经济和公共政策问题还是人的问题?无论从哪个角度去观察它,也无论冠以它什么名称(信息技术安全、电信安全),网络安全都事关民众、机构和国家的数字和文化财富的安全,牵涉诸多复杂的棘手问题,而应对这些挑战需要靠政治意志制定和实施一项发展数字基础设施和服务的战略,其中包括一项协调有效并方便验证和管理的网络安全战略。达到足以应对技术和信息风险的信息安全水准,与政府和机构的正常运行息息相关。随着数字技术广泛应用而来的,是对这些技术越来越大的依赖性,以及关键基础设施之间日益增长的相互依赖性。这会给机构的运行造成薄弱环节,给机构带来潜在威胁,甚至侵害到国家主权。网络安全工作的目的在于帮助机构保护其组织、人力、财务、技术和信息资源,使机构能够履行其使命。其最终目标是确保机构不会受到持久的伤害,其中包括降低形成威胁的可能性,限制威胁导致的破坏或故障的范围,并确保在发生安全事故后,能够在可接受的时间和成本范围内恢复正常运行。网络安全工作涉及整个社会,它的实施关系到社会的每一分子。为正确使用ICT制定网络行为准则,并颁布一项名副其实的安全策略,规定网络安全用户(实体、合作伙伴和提供商)应当遵守的标准,将会提高网络安全工作的效率。确定网络安全工作流程,必须准确地确定需要保护的资产和资源,以便精确地划定需要有效安全保护的范围。这需要采取综合的安全措施,即一种涉及多个学科的全面措施。网络安全难以容忍那种崇尚宽容放纵、为所欲为的世界。它所需要的是适用的法律框架和实用的规则与规定体现出的一套有关道德行为、责任和透明度的核心原则。这些原则无疑必须在当地得到实施,但它们也必须得到整个国际社会的采用,并符合现行的国际规则。为避免给犯罪以滋生的机会,在用的电信基础设施必须具备技术和法律性的适用安全措施。通过网络发起的攻击可表现为多种形式:秘密劫持系统、拒绝服务、破坏和盗窃敏感数据、黑客入侵网络、破解软件保护和飞客(phreaking)(包括蓄意破坏和劫持电话交换机等),而作为这些攻击受害者的机构和个人,无一例外地要承担因此而增加的成本。作为一种系统,电信(包括基础设施和服务)面临的安全挑战与信息技术资源面临的挑战大致相同。要应对这一挑战,也必须在技术、机构和人员方面施加同样限制。对传送中的信息提供保护是必要的,但这本身还远远不够,因为一旦进入处理和存储阶段,信息反而更加不堪一击。因此必须全面地看待网络安全问题。缺少对安全需求、措施、程序和工具的统一和严格的管理,不是纯粹的技术安全解决方案所能补救的。无序地哄抢安全工具不仅会妨碍使用,vi内容提要使运行不堪重负,还会降低信息技术系统的性能。严格意义上的信息技术安全是一个管理问题,有关工具和业务是与运行系统管理相联系的。例如,如果后来的数据存储方式不安全,那么为保护传输中的数据而进行数据加密就是徒劳的。同样,如果允许连接绕过系统,在该系统中安装的防火墙便起不到作用。要想扩展基于信息处理的活动并缩小数字鸿沟,就需要:–可靠和安全的信息基础设施(提供有保障的可接入性、可用性、可靠性和业务连续性)–建立信任的政策–适用的法律框架–精通新技术并能够同其它国家同行开展合作的司法和警察机构–信息风险和安全管理工具–安全实施工具,并利用这些工具培养对提供的应用和服务(商业和金融交易、电子卫生、电子政务、电子选举等)和重点在个人数据隐私的人权保护程序的信任。数字信息资产的良好管理、无形商品的分配、内容的使用以及弥合数字鸿沟,都说明这些是仅靠信息技术安全手段无法解决的经济和社会问题。参考数字基础设施和用户在人员、法律、经济和技术方面的安全需求而提出的对策,有助于建立信心,并实现造福于全社会的经济增长。对阅读本指南的几点说明vii对阅读本指南的几点说明网络安全指南介绍网络安全这一重要议题,重点说明数字数据的出现带来的变化,信息的虚拟化和电信网络的普遍使用,还提出了社会发展中的要点问题,以便在信息技术和电信领域推出安全要素的概念。第一部分以网络安全的需求为重点,简要介绍解决方案的某些内容,并根据观察到的信息通信技术安全方面的弱点和整体性的缺失,对通信基础设施安全的概念进行分析。参照研究最佳做法得出的经验教训、日常的互联网安全现状以及国际社会获得的经验,指南随即提出了发展中国家的具体网络安全需求。指南对网络安全的管理、政策、经济、社会、法律和技术内容做出分析,就电信基础设施的接入提出了具有普遍性的建议,旨在控制风险(无论是否源于犯罪)并培养人们对于电子服务这一经济发展重要推动因素的信心。第二部分关注控制网络犯罪的问题,研究那些为说明现有的安全措施和反网络犯罪的斗争能力有限而不惜鼓励犯罪的人物,还研究了我们面临的问题的复杂性和广泛性。指南重点从经济犯罪角度介绍网上从事的各种违法和犯罪活动,对发现的犯罪行为以及犯罪黑客的特征进行了分析,并对网络攻击和恶意软件做出总体描述,还为准备应对网络犯罪的威胁提出了一些指导原则。第三部分阐述电信的一些基本要素,提出了一种可行的解决方式,并对各种基础设施安全工具予以概要介绍。第四部分介绍现代技术各个法律方面的网络安全综合手段,并为实施电信基础设施安全解决方案勾画出可行的目标。在本指南的最后,附有一份安全术语表以及一系列相关的索引和文件。viii致谢致谢国际电联电信发展局感谢SolangeGhernaouti-Hélie及其同事的支持,特别是MohamedAliSfaxi、IgliTashi、SarraBenLagha、HendMadhour和ArnaudDufour(互联网战略顾问)。本指南是根据不同机构提供的信息和研究成果编写而成的,我们尤其要对“Clusif”(法国信息技术安全俱乐部)和“Cert”(计算机网络安全应急小组)这两家计算机安全机构表示衷心感谢。本指南的编写离不开国际电联信息通信战略处成员,特别是AlexanderNtoko的出色合作。我们还要对RenéeZbindenMocellin(国际电联出版物排版室)和她的团队制作网络安全指南的工作致以谢意。发展中国家网络安全指南目录ix目录页码序言...................................................................................................................................................iii前言...................................................................................................................................................iv内容提要.............................................................................................................................................v对阅读本指南的几点说明.................................................................................................................vii致谢...................................................................................................................................................viii第一部分–网络安全-背景,挑战,解决方案.............................................................................1第I.1节–网络世界与信息社会......................................................................................................3I.1.1数字化...........................................................................................................................3I.1.1.1数字信息..........................