据社会学家考察,早在远古时代,人类的祖先就已表现出对风险的深深困惑和对其奥秘的孜孜探究,其最发人深思而又最饶有趣味的例子,莫过于“轮子”和“骰子”的相伴而行。科技史专家公认,“轮子”是自“钻木取火”后人类最伟大的发明,考古发掘已经从墓葬中发现了距今5500年以前的用于运输重物的轮子,以后的纺轮、齿轮、涡轮无不是这一伟大发明的模仿和延伸,可以说人类的早期文明就是借助于火与轮生长起来的。然而,几乎与“轮子”的发明同步,另一种“滚动物”——“骰子”也应运而生,而按《大英百科全书》的解释,骰子最初的功能就是占卜,原始人以之预测凶吉,以后才用于赌博。
这是不是可以说明,人类对自己的行为的风险意识是与生俱来的?在人的潜意识里,未知与风险的刺激并不弱于发明和劳作?并且,越是重大的发明,越是有重大价值的行为,也越是风险莫测?
信息技术的发明和发展,正在以最现代的形态演绎着这一最古老的定则。10月末在常州召开的第17次全国计算机安全学术交流会暨电子政务安全讨论会上,国家计算机网络与信息安全管理中心副主任兼总工程师方滨兴演示的幻灯片让在场的140位与会者心惊肉跳:今年10月上半月,全球仅黑客攻击事件就发生了7228次之多,这还不算肆意泛滥的病毒,莫明其妙的系统崩溃,以及防不胜防的来自地面和空中的窃密者;今年1至3月,观察到的全球病毒扩散次数超过5.8亿次,中国大陆一则发出的扩散次数超过3.13亿次,全球有33.6万个IP被感染,中国大陆超过8.89万个。而据介绍,国外最新研制出的计算机“接收还原设备”,可以在数百米、甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。
信息安全产业的“繁荣”则提供了另一个佐证。1997年以来,我国GDP的年增长率约为8%,信息产业的增长约为30%,信息安全市场的增长率却超过了50%。其中,1999年安全产品约为9亿元人民币,2000年超过19亿元,2001年超过40亿,今年预计将达到100亿元!另据IDC公司提供的数据,2001年全球信息安全产品市场已高达660亿美元,到2006年,这个数字将增至1550亿美元。该公司对1000名IT经理人进行的调查表明,40%的经理人把IT安全列为最优先考虑的问题,多数人认为“安全是IT开支唯一要增加的领域”。
难怪信息安全企业近年来如雨后春笋(国内信息安全企业已由2000年的300家增长到现在的1300余家),也难怪信息安全市场会成为包括联想、瑞星、紫光、金山、东大阿尔派等在内的厂商们“鏖战”的新热土。
易思克网络安全技术公司总工程师邵通接受笔者采访时甚至断言:“下一轮计算机的换代将不是因为速度,而是因为安全!”
正视“不安全文化”
然而,当人们静下心来思考信息安全的对策时可能会沮丧地发现,自己首先需要解决的问题似乎不是如何根除危险,而是如何“端正思想”,即如何“容忍”危险,学会“与危险共存”。因为从根上说,危险是不可能一劳永逸地解除的。
科学家早已告诫,人类智力的进步并不意味着风险的化解,因为这种进步会鼓励人们不断把触角伸向新的、风险莫测的领域。人们甚至发现,如果把已知的事物看作一个圆,圆周之外为未知之物的话,则“所知越多,圆周越长,与未知之物的接触面也就越大,从而遇到的风险也越多越频繁”。
在这个意义上,今人面临的风险并不弱于古人。古人固然享受不到计算机网络等新技术带来的方便、效率和财富,可也绝对不会遭遇核武器、生化武器、克隆人、网络战等可能带来的灾难和荒恐,更不会想到,“9.11”后“打开一封信都可能是一种致命的危险”。
于是人们便不无兴趣但又并不轻松地看到,当网络专家们兴奋地论证着“网络效应与结点的增多成正比”时,站在一旁的安全专家却忙不迭地告诫“网络结点越多网络越脆弱”——多一个链接就多一分被黑客和病毒攻击的危险。
信息安全的话题在这儿似乎成了一个无解的悖论。一方面是人们忙忙碌碌地寻找着各种各样的网络解决方案,另一方面却是“连网本身就是最大的不安全”。 有位反病毒专家在一个研讨会上发问“谁的电脑没有感染过病毒”?台下一百多号听众中竟没有举起一只手来。由此得出的结论只能有两个:其一,信息技术的发展与危险的发展如影随形,此长彼亦长;其二,如果有谁想追求“百分之百的安全”,办法只有一个,就是把自己关进信息孤岛。这显然是人们不愿意的。
信息安全专家、中国现代国际关系研究所信息与社会发展研究室主任俞晓秋曾忧心仲仲地谈到信息革命给现代社会带来的“脆弱性”问题。的确,当一个社会从经济到文化,从工作到生活,从军事到政务都已离不开信息技术,而信息技术又隐藏着巨大且不可能根除的风险时,这个社会的“脆弱性”也就无可怀疑了。现在面临的问题已不在于这种脆弱性的有无,而在于如何控制这种脆弱性,减少风险“发作”的次数和强度,把对信息安全的威胁降到社会可以接受的限度以内。而信息系统的脆弱性涉及技术、应用、管理等多种因素,包括让你防不胜防的天灾人祸。即使你采用了世界上最好的安全产品,内部管理慎之又慎,也难保万一。遭遇“9.11”的一家美国公司为保证信息安全而斥巨资建立了数据备份中心,却毁于百密一疏之中——它把备份系统放到了世贸中心另一栋大楼里,想不到两栋大楼都在恐怖袭击中化为灰烬。
我们还知道,保障信息安全是以牺牲方便性、灵活性为代价的。如同你给家里装了一把很复杂的门锁,小偷是撬不开了,但你自己进门也麻烦了许多,忘记了密码还会把自己锁在门外。为信息安全的层层加密不仅会抬高成本,还会影响系统运行速度。通常情况下人在电脑屏幕前等待的耐心只有7秒钟,如果因为安全而降低了工作效率,不少人宁可放弃安全。著名社会学家、慕尼黑大学教授乌尔里希·贝克就曾批评布什政府所主张的对恐怖分子的全面控制方针“显然是不可能的,而且最终可能导致失望,产生相反的结果”。
在这里,“不安全文化”成了解决信息安全首先需要正视的事实。乌尔里希·贝克据此提出,当今社会应当“发展一种不安全文化”,在他看来,零风险如同零失业率一样,充其量不过是一种“集体的谎言”。如果承认此话有些道理,那么我们的信息安全策略就须把“不安全文化”纳入其中,作为思考和应对信息安全问题的重要参考系。这其实也就是管理学所说的风险管理的思路。安全厂商常常会信誓旦旦地给用户作出 “全面控制”、“万无一失”的保证。但这是不可能的,你也千万别信。再深一步看,“不安全文化”还涉及人们承担风险的意识,而这也是发展和应用信息技术所必不可少的。期望一切都在理性的控制之内,期望绝对安全了再去投资或应用,所付出的代价会更大。著名经济学家凯恩思就曾说过,假如一个人生性不喜欢碰运气,而仅靠冷静盘算,恐怕不会有所作为。美国学者乔治·吉尔德甚至认为,一个社会获得成功的主要秘密,也许在于它把追求安全转变为愿意冒险的能力。在这里,对危险的承认和控制,而不是对危险的一劳永逸地根除的意愿,构成了“不安全文化”的基础性内容。
信息安全的两个视角
由操作层面看,既然“不安全文化”视不安全为一种常态,对信息风险的防范理所当然地就应当纳入企业和社会日常管理的轨道。在第17次全国计算机安全学术交流会暨电子政务安全讨论会上,来自公安部、总参谋部、信息产业部、中科院等数十家单位的140多位专家、企业家和政府官员,就信息风险的防范深入交换了意见,归纳起来有两个大的视角:战略视角、经济视角。
在战略视角方面,中科院院士沈昌祥强调信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但还缺少国家级的统领全局的信息安全框架,这不能不说是一个巨大的缺憾。他介绍,“911”后美国信息基础设施保护委员会(PCIPB)列出了53个信息安全重点问题,把信息安全列入国家战略。在这个战略中,信息安全保护被分成5个等级:第一级是家庭用户与小型商业机构,第二级是大型企业,第三级是高等教育、联邦政府、州与地方政府等关键部门,第四级是国家优先任务,第五级是全球性合作网络。五个等级五种保护模式,如第一级保护只要求采用密码、过滤、防病毒软件等技术,使用高速连接设备的还应考虑防火墙;第五级保护则包括建立广泛的“安全文化”,推动国际化合作网络的发展,在安全事件初露端倪时便能通过该网络进行确认并提供防护。
北方计算中心副主任贾颖禾认为,信息安全的战略规划不只是国家的事情,也是企业要做的事情,“首先要从安全评估和规划入手,不要一开始就进入技术细节”。任何信息安全保障体系的建立都大致经历评估、制订策略、系统设计、实施和调整的过程,并且这一过程还应当随信息安全的阶段性发展而反复,不能一劳永逸。与国家信息安全的战略规划一样,企业的信息安全规划也应当把信息的分级管理作为基础性内容,“第一件要做的事是把你的信息分分类,有的需要重点保护,有的只是一般的保护,必要时还应该分出等级,以便采取不同的保护措施”。 制定规划要技术与管理并重,构筑由保护、检测、响应、恢复等环节组成的保障体系。
与战略视角相比,经济视角更为企业所关心。中国工程院院士、国家信息化专家咨询委员会副主任何德全就曾谈及解决信息安全的“经济学角度”,主张以此为基础解决好技术与管理两个问题。河北信息产业厅的石起伟说他们“只关心产业的事,就是信息化安全的产业化”,譬如PKI(密钥认证平台)从商业上怎么能保证交易的安全,商业上的应用需要多大的成本,“投资不能超过15%,如果投资大了,经济性没有了,这个技术肯定是不行的,企业不会要”。贾颖禾也谈到了企业信息安全投入的比例问题:一般来说,没有特别的需要,为信息安全的投入不应超过总投资额的15%,逐步增加为好,否则你只能卖给军队。军事学上已经提出了“五维空间(陆海空天电)”的概念,信息战不可避免地会成为未来军事斗争的主要样式之一,军队在信息保密方面可以不计成本。
经济视角还应导入信息风险的评估之中:评估要从自身情况出发,并非报章和书本上提到的所有威胁你都会遇到,威胁的程度也有很大的差别。通常情况下,越小的组织,越要多着眼于内部的问题;组织越大,分布越散,来自外部的威胁就越大,可能造成的损失也越大。网络脆弱性评估的专业性强,涉及网络连接方式、信息的产生、分布和使用状况,同时还涉及安全管理水平和人员素质,需借助专家和技术服务的力量。从“不安全文化”的眼光看,脆弱性客观地存在于任何系统中,经过努力可以减少却不可能完全消除。
专家们认为,这儿涉及的实际是个“适度防范”的问题,而“适度”的标准很大程度上又是由经济投入定盘子的(另一条标准是因加强信息安全而牺牲方便性和灵活性的限度)。在这一点上,经济视角与战略视角,特别是对信息分级保护的规划衔接起来了。这就如同,居家过日子只需买一把好门锁或者加一个防盗门,企业的财会部门则必需有保险箱,如果是银行的金库,那就需要派卫兵把守了。上海宝信软件公司技术总监王柏青的结论是“我们需要的是适度的安全,对信息安全的授权要最小化”。贾颖禾说人们爱讲“木桶原理”,但在信息安全保护上,这个桶就有点过大了,而且“桶”还是用金子做的,很贵,所以必须划分边界,区别保护对象,把有限的资金放在最需要保护的地方。信息安全国家重点实验室主任冯登国更明确提出:以经费为杠杆,突出重点,“80%的信息安全经费要用在那20%最需要保护的领域”。
光有盾是不行的
几乎整个10月份,美国人都是在恐惧中度过的——马里兰州和弗吉尼亚州先后有10人死于“连环枪手”射出的子弹,另有3人受伤。如果不是最终捉住了凶手,不知还会有多少人丧生,而凶手一旦“成功”,其“示范效应”可能带来的后果更会让人不寒而栗。这意味着“与危险同行”仅有防范远远不够,更重要的是找到入侵者或疏于防范的责任人,让他们付出应有的代价,并以此警示后人。毛泽东早就谈及“积极防御”或曰“攻势防御”的问题,从战略上看,进攻往往是最好的防御。
信息安全风险的防范尤其是这样。何德全院士谈及信息安全问题时强调,当前各国都面临着同样一个挑战,那就是“信息防御的成本越来越高,而攻击的成本则越来越低”,一个不知名的中学生制造的病毒就可以让成千上万台电脑陷入瘫痪。为此,信息安全的武器库中光有盾是不行的,还得有矛。而纵观国内信息安全市场:商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复等等,主流产品几乎都是防御型的,这种格局应尽早改变。一个对风险责任人缺乏震慑力的防御体系必定是低效的,防御的成本也会越来越高,而当成本的增长超出了“经济视角”的承受力时,信息安全就将陷入空谈。
国家计算机网络防范中心首席科学家许榕生在介绍国际信息安全技术最新进展时说,国际信息安全技术已经从被动防范走向主动出击,当前最热门的“攻击型”技术有两项,一项是取证技术,另外一项是网络入侵陷阱技术。取证技术是针对计算机入侵、犯罪进行证据获取、保存、分析和出示的技术。如同美国“连环杀手”会在射出的子弹中留下可供破案的痕迹一样,计算机入侵者也会留下这样那样的痕迹,信息安全中的取证技术就是找出其中的蛛丝马迹进行分析取证。计算机在受到攻击后往往被安装了后门,删除了文件,取证机则可以利用文件系统的特征,结合相关工具,尽可能真实地恢复这些文件信息,从中发现鲜为人知的东西。
中科院国家信息安全重点实验室研究员赵战生谈及取证技术的意义时认为,信息安全管理,说到底就是“摘责任”,出了问题,需要先把责任搞搞清楚,之后才能采取下一步的措施。这样既可以找准薄弱环节,理顺管理,又能对罪犯起到震慑作用。而且,取证和捉住罪犯的目的不仅仅是为了找到证据,更是为了获知攻击行为的特征,研究反击技术,以便先发制人。
网络入侵陷阱技术类似于战场上的伪装技术,它采用网络重定向技术创建一个欺骗主机,该主机可以建立多个操作系统伪装环境(即陷阱),保护对应的服务器。通过对陷阱机的监视,还可以看到攻击者在做些什么。
在今年6月夏威夷召开的第14届事件响应与安全组织论坛上,这种主动出击的安全技术成为研讨热点,其中取证技术的论文多达6篇。
许榕生说中国人素以“龙”的传人自誉,其实龙是可以变色的,尤其是在信息安全手段方面应当道高一尺魔高一丈,随着犯罪手段的变化而变化。遗憾的是,目前在国内,大家谈来谈去仍然是防火墙、入侵检测这些传统技术。其实,用于网络隔离与过滤的防火墙仅仅类似于一个门岗,大多数入侵检测系统则类似于一种盗贼警报,都是被动式的防范,这还是国外五年前的水平。
出路在于“中国芯”?
据披露,在世界范围内,中国网络安全水平被排在等级最低的“第四类”,与某些非洲国家为伍,我们的邻居兼IT产业对手印度排在第三类。
谈及中国信息安全的“根本问题”或“最大隐患”时,业内人士多首选“核心技术缺乏”这一条。中国计算机安全专委会副秘书长、公安部计算机局原总工程师缪道期研究员说,中国信息安全有“三大黑洞”,一是用外国制造的芯片;二是用外国的操作系统和数据库管理系统;三是用外国的网管软件。“你用了外国的东西,万一发生战争,你不知道里头有些什么‘后门’或‘陷阱’能把我们吸到黑洞里去”。他的结论是要搞自己的芯片,自己的操作系统,自己的网管软件。中国现代国际关系研究所信息与社会发展研究室主任俞晓秋也呼吁搞自己的东西:中国不仅有其他国家普遍存在的网络信息安全问题,还严重缺乏网络技术的自主性,“在核心技术上一直依赖国外企业,这才是最危险的”。
但也有不同的意见。来自信息安全国家重点实验室的荆继武教授说,关于“三大黑洞”我想反问一句:假设让我们国家自己开发一套操作系统,你认为我们的BUG会比微软的多还是少?“我认为会更多”。当然了,我们不用担心自己开发的操作系统里被人设后门做手脚,但如果里头BUG很多,其后果与“后门”或“陷阱”又有多大差别?一个BUG就是一枚炸弹。这就好比一只木桶,“这边烂那边烂都是烂”,你这个桶里只要有一块烂板子,其它的板子再长也没有用。如果是这样,你即使全部自己做“依旧会留下无限漏洞”,这是基本的工程原则。自己开发还有个能否产业化的问题,技术上过了但产业上不去还是受制于人,从经济视角看也无法承受。当然,荆并不否认“做自己的东西也是必要的”,如果你有这个能力的话。但这需要实力和时间。
出路何在呢?长远看包括“中国芯”在内的核心技术肯定不能放弃。我们是个大国,在事关国家安全和国民经济命脉的核心技术上长期受制于人,显然不是明智的选择。但另一方面,全面拥有自己的核心技术也是不现实的,在可以预见的时间里能部分接近或达到世界水平,开发出几样“刹手锏”来已是难能可贵了。这就又涉及到“不安全文化”和“与危险同行”的话题了。但事情也许如同荆继武所说,“并不是不开发自己的东西就一定完蛋”,应对的办法是体制和管理。荆认为没有可以100%相信的人,也没有100%的安全可言,假如微软能留后门,你雇来开发系统的人就不能?即使自己的亲戚也未必靠得住,出路只能是用体制和管理来解决。“不能说国外的就不能用了,但需要用一个与他能力一样强的人监督他。”由此得出的结论之一将是:对于信息安全来说,“中国芯”也不是万能的,尽管我们万万不能放弃。
龙光国际
收集整理 
10月10日 09:59 
访问次数
