安全不是一种稳定的状态，永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性，但是无论多少代价也不能达到永远、绝对的安全。其次，安全是一个不稳定的状态，随着新技术的出现以及时间的推移，原本相对安全的措施和技术也会变得相对不安全。第三，安全技术和管理措施是有针对性、有范围的，通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。

2.安全应作为基础研究，需要长期努力。

NGN安全研究范围广泛，包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就，需要长期努力。安全投入本身不能产生直接效益，只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究，由国家、运营商和相关企业长期投入，共同努力。

3.安全需要付出代价，安全要求应当适度。

NGN安全是所有人都希望的，但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力，也可能是降低效率。因此安全要求应当适度，为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想，但是如需要增加几倍的通话费用来增加机密性（机密性通常只能增加，无法绝对确保），相信大多数用户都无法接受。

4.安全隐患有大有小，应分轻重缓急。

当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患，应当视可能造成的危害以及需要付出的成本，分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决，例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展，或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。

5.安全不仅是技术问题，更重要的是管理。

绝大多数安全隐患可以通过技术手段解决，但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾，以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。

6.安全问题有范围，不是包罗万象的。

NGN安全有自身的范围界定，并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围，将大量与安全无关的课题归结到NGN与信息安全研究中，可能会失去重点，不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关；同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关，用户丢失密码造成的损失也与网络安全无关。

7.网络安全不仅仅是定性的，还应当定量评估。

当前计算机系统有安全登机评估标准，可以定量评估。长期以来，通信网络主要提供话音服务，对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行，因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好，但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。

8.不同网络上关注的安全问题应当各有侧重。

传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计，服务可控性较差，并缺乏有效的商业模式，且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。

　　　　　　　　　　　　　　　　　　　　　　　　　［１］　［２］　［３］