三网融合所带来的信息安全挑战，除了目前网络和系统所面临的安全挑战外，更突出的是安全监控和知识产权问题。如何解决好这些问题关系到三网融合的健康发展。解决这些问题不能单一依赖技术手段、管理手段或政策措施，而应该将这些手段有机地结合，才能更有效地提供三网融合所期望的服务。因此，希望国家有关部门加强将三网融合作为一个整体系统来解决安全监管的研究方面的投入力度，以及电子财产安全和电子财产知识产权保护方面的投入力度。

在工作模式上，三网融合后的网络服务平台为人们提供的将不再是如早期广播电视网一样的信息发布与被动接收，而是用户可以在某种程度上与服务平台实现互动，如选择节目、在线投票、甚至将自己制作的多媒体内容在一定范围内共享和分发等。目前在互联网上虽然可以实现类似的数据共享业务，但共享群体规模比三网融合所提供的平台将小得多。而规模的大小直接影响到某些信息安全指标的重要程度。比如一个共享的多媒体数据，如果涉及到非法宣传的内容，当共享用户规模较小时，可以通过网络监管的方式进行过滤监督，但当共享人群很大（如相当于一个广播电视频道的收视群体时），通过网络监管的方式是不合适的，即便发现后立即进行制止，很可能已经为时已晚。特别是当所提供共享数据的来源不可控制时，更可能带来一些社会问题。因此针对三网融合平台，对网络传输的数据，特别是某些广播或组播的大规模共享数据，需要寻求特定有效的管控手段，这是相比传统网络安全而言比较特殊的安全需求，即三网融合下的内容安全问题。三网融合下的信息安全关键技术主要包括如下几个方面：认证机制、网络安全、系统安全和内容安全。

1、 三网融合下的认证机制、网络安全、系统安全问题

虽然在现有网络环境下，互联网和移动网各自在认证机制、网络安全和系统安全方面都有多种解决方案，但是在三网融合环境下，需要有统一的认证机制，因此需要对现有认证机制进行改造融合，充分发挥已有认证机制的特点为三网融合下的认证机制服务。比如在互联网上的认证一般需要有公钥证书的支持，而移动网上的认证只需要基于预置密钥的对称密码挑战应答方式。如果将两者结合，即三网融合下一些与移动网平台紧密相关业务的认证可以使用两者结合的认证方式，比如让移动网络部分继续使用预置密钥的认证方式，而在互联网阶段，只需要对移动网运营商进行认证即可，这样可以只需要移动运营商（或某些运营商节点）的公钥证书，而不需要每个用户都有自己的公钥证书，这样会在实际操作中减少公钥证书的管理代价（包括计算代价、通信代价、管理成本等）。因此三网融合环境下的认证机制应该跟具体应用类别相关，单一的认证模式是不现实的。

三网融合环境下的网络安全问题将更突出。因为在现有网络中，从互联网接入无线移动网受到很大限制，而在三网融合环境下，由于业务的需求，将有更多的从互联网到无线移动网的接入访问，这样就给无线移动网络的安全带来更大的挑战。传统的移动互联网的信息安全防护措施很可能并不能很好地应对新形势下的安全威胁，需要结合一些针对互联网的安全防护技术，而且需要专门设计一些兼容两种安全防护于一体的网络安全防护技术。

三网融合对系统的安全将带来更大的挑战，其中终端安全就是一个重要且现实的问题。三网融合后许多终端设备，包括移动终端设备，将直接连接到互联网，而互联网对终端系统的攻击方式层出不穷，防不胜防。这些由于体积有限导致功能受限的终端设备可能需要加强和优化信息安全方面的保护，才能有效应对种类繁多的网络攻击。因此三网融合下的系统安全将是一个重要的技术挑战。

1）内容安全问题的重要性

三网融合环境下除了认证机制、网络安全和系统安全将遇到的新挑战，还有一些问题值得我们的重视，这类问题多与上述安全问题有密切联系。如密钥管理问题与安全认证就有着直接的联系，密钥管理一般与认证是分不开的，而认证的目的通常会伴随着密钥管理（如密钥协商等）过程。

三网融合下的另一个特殊问题是内容安全，这在传统网络中未得到足够重视，原因是其安全威胁尚不够可怕。但在三网融合环境下，内容安全问题将会更严重地关系到社会的安全。由一个典型的案例假设即可看出端倪：假如某非法组织在三网融合环境借助某个电视频道向外发布消息，由于该消息的接收群体将远大于传统互联网环境，即使能及时发现，一个短消息的发布可能也已经完成。因此三网融合环境下所传输数据的内容安全是一个特别值得重视的问题。

实际上，在互联网环境下，内容安全已经得到有关部门的重视，一些提供互联网业务的服务平台就根据国家需求对互联网上传输的内容进行一定程度的监管。内容安全已经越来越受到重视，在三网融合环境下，内容安全无疑是一项重要的安全防护目标。

内容安全的防护从直观上应该是对内容进行监督分析，使其在发布的同时甚至发布之前就能识别并对非法内容进行阻止。但是经验告诉我们，对网络数据内容的分析监督是何等的困难。垃圾邮件是一种被众人厌恶的网络骚扰，但多年积累的技术对垃圾邮件的治理效果仍然十分有限，一些精心设计的垃圾邮件还是能顺利通过许多垃圾过滤软件的监管。目前对垃圾邮件的过滤多是通过学习过程，即用户收到垃圾邮件，可向网络端进行汇报，网络端经过特征分析，可望在后来截获类似特征的邮件时将其过滤掉。但这是事后行为，只适合垃圾邮件的过滤，因为用户不是同时收到相同的垃圾邮件。这种技术不适合三网融合环境下的数据过滤，因为如果许多用户几乎在同一时间收到垃圾邮件或其他类型的数据，再让系统进行学习并记录特征则为时已晚。

但是，对内容的分析也不是没有效果，许多特殊类别的内容过滤还是能取得很好的效果。比如对黄色内容的过滤就可以根据黄色内容的颜色特征进行分析和匹配的方法进行，但如果发布者将黄色内容变成黑白两色，则上述方法的效果会明显降低，当然变色后的内容在宣传效果上也会降低。针对这一特殊类型的内容防护，可以设计不同等级的内容防护。当遇到内容特征不是很容易提取甚至容易隐藏的数据类型时，如音频，甚至普通多媒体的水印图像，则很难通过内容特征匹配方面的技术进行过滤。更具挑战的是，对内容保护的技术在攻击者看来是公开的，而攻击者的手段是秘密的，至少在攻击之前是这样。因此让公开的技术防护未知的攻击是很困难的，特别当一些攻击手段专门针对已有防护技术进行攻击时更是如此，因此要做到提前防护的确是很大的技术挑战。

2） 内容安全的监管

上述讨论似乎给出这样的论断，即内容防护很困难。根据我们的经验和现有网络环境下的一些实例，内容防护仅从内容特征分析的确很困难，这与三网融合环境没有太大的关系。但这并不意味着内容防护没有好的办法。这里我们试图探讨另一种途径，即通过技术手段和行政管理相结合的方式，使其在实际中达到内容监管的效果。

首先在行政管理方面，对连接到网络的用户进行分类，如（a）广播通信类，目标用户主要是授权的广播电视发布机构；（b）组播通信类，目标用户主要是授权的网络服务平台的管理者；（c）普通用户类，包括所有不属于上述两种类型的用户。另外，对广播通信平台进行授权管理，即哪些网络平台是合法的广播电视多媒体的服务平台。在这种行政管理准备前提下，网络内容的安全监控可以通过如下步骤进行：

（1） 广播通信和组播通信业务都需要对用户进行安全认证，确认数据来源是授权的合法用户，并且用户要对广播或组播的内容进行承诺；该认证由授权的广播通信平台负责。如果通过某种途径（事前或事后）证明某个广播或组播内容是应该被禁止的，则来源用户将对其所造成的后果负有不可推卸的责任，除非该用户可以将责任追溯到他人。在实际应用中，广播通信用户还需要对广播通信平台进行认证，否则可能会造成经济损失，但这不是内容监管所考虑的问题。

（2） 监管部门对除授权的广播通信平台之外的平台进行定期检查，看这些平台是否发布广播通信类业务。一旦发现，无论这些通信类业务本身的内容是否有问题，都将根据有关法律法规对运营者进行惩罚。检查业务类型比检查业务数据内容要容易得多，因此具有操作的可行性。

容易看出，上述规定并没有影响三网融合对服务便利性的影响。三网融合的影响是广播通信类业务发布信息的途径发生了根本性变化，但普通用户发布信息的途径与当前通过互联网的情况基本一致，当然普通用户可能会有更多的终端设备使用，如多媒体数字电视。

需要说明的是，上述对数据内容安全监管的方法简单地说就是谁发布谁负责。是否会存在勇敢者敢冒天下之大不韪，明知内容非法却仍进行广播或组播呢？这种可能性与目前情况下某个广播电视台从当前的广播电视网发布这些信息的可能性是一样的，而且成功的可能性还要低，因为通过多媒体网络服务平台进行发布时，该平台要使用技术和人工相结合的手段对内容进行检测过滤，即使检测手段有许多漏报情况，也比现在完全依赖广播电视台的情况要好。

但是，对内容安全的监管还没有可靠的具体方案实施，因为这不仅仅是管理方面的问题，更重要的是为管理所提供的技术支持，这些相关技术包括如下几方面的问题：

（1）如何为用户进行授权？如何为网络平台进行授权？虽在技术上已有许多成熟的手段，但对三网融合这一具体产业架构，需要在管理层面解决这一问题。

（2）对不同类别的用户应分别使用什么认证方案？使用哪种数字签名方法和哪种协议来提供认证服务？这些则是需要根据（3）存在哪些可能的攻击（假冒、重放、拒绝服务等）和使用什么预防、灾难恢复等方案？这些问题不仅需要严谨的科学分析，还需要持续的研究和更新。尽管目前有许多种密码算法可选，有许多种认证协议可用，有许多种网络安全方法可采纳，但是，一个安全可靠的系统的建立不是将这些方法的简单组合。因此科学的分析和论证，特别是对整体安全解决方案的有机整合是解决三网融合信息安全问题的必要途径。

除了技术上有许多问题需要解决和不断发展外，在管理方面也有一些问题尚待解决，比如，如何为用户进行分类？如何对授权网络平台进行审核审批？谁来负责授权？这些问题都将对规范三网融合后的网络管理和使用，特别是保障三网融合安全健康地发展具有重要意义。

总之，内容安全很难通过某种尖端设备来过滤，但可以通过一个安全系统来实现。