信息与网络安全问题到底有多严重?
你手机里的私密谈话,可能被随时窃听并把谈话内容公之于众;一个黑客通过若干个服务器,可以控制全世界所有的计算机,让其中的任何一台陷入瘫痪;甚至于,一个国家的金融、交通等命脉产业因此将不能自主……
这绝不是危言耸听。12月6日,在欧美同学商会2005委员会举办的"信息与网络安全的挑战"午餐会上,国家计算机网络应急技术处理协调中心副总工杜跃进一针见血地指出:"我们日渐依赖、貌似繁荣的信息社会,其实一直危如累卵。"
并非危言耸听
说起信息与网络安全,每个人都不会陌生,我们每天要处理的事情就包括从自己的邮箱里删掉大量的垃圾邮件。国家信息化专家咨询委员会赵战生教授的调查结果显示,我国发生的信息安全事件比较突出的是计算机病毒,占到了整个安全事件总数的84%,其感染率达到74%,造成的损失达到62%;其次是针对端口、扫描、网络的攻击,占到36%。
从攻击产生的影响看,小至个人隐私,大到国家安全和组织机密,信息与网络安全问题几乎无处不在。
赵战生介绍,信息网络安全这样一个严峻的话题,同时也是一个全球化的话题。目前国际上旨在解决类似问题的文件也层出不穷,"但对我国信息网络安全的保护没有任何进展。"
目前在信息网络安全领域,美国掌握着绝对的控制权,互联网所有名字翻译体系全部在美国人的控制之下。"毫不夸张地说,一些关键的资源,如果美国人现在想要中国互联网瘫痪,只需要
删掉一条记录就可以了。"赵战生表示,由此导致我们对交通、金融以及公共政策的制定,关键资源的所有权和运行权完全不能自主,这就是现状。
国家利益的存在,让我国建立自主信息网络安全的进展十分艰难。我国推出的W API(中国无线局域网安全强制性标准)长期得不到在国际上的应用就是明证。
2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(以下简称"27号文")中提出,要在2008年前建成我国自主的信息安全保障体系,目前已经第三年了,已经到了攻关阶段。对此赵战生表示,在信息安全的技术使用方面,我国虽然有了自己的一些产品,但是和发达国家的差距还是显见的。"不是用我们的血肉,而是要用我们的智慧来铸成我们信息安全的长城。"
"谁主管谁负责"危及安全
"27号文"提出,我国信息网络安全的工作方针是"积极防御,综合防范"。赵战生尤其提醒大家注重"积极"、"综合"两个词。他表示,如果我们现在仅仅停留在被动防御的状态,总是跟着别人的节奏走,已经不能适应形势的要求了,仅仅采用某一项技术手段也已经落伍,因此要综合防范。"要达到的目的无非是要全面提高我们的防护能力,创造一个健康的网络环境,促进我们国家信息化的发展,保证公共利益和国家安全。"
那么,具体政策的制定是否能够及时和到位?对于记者的问题,赵战生表示,在国家信息化领导小组的关注下,国内专门成立了全国信息安全标准技术委员会,分别管测评、密码、保护、管理、认证和鉴别等方方面面,他还透露现在正在制定"十一五"规划的情况。
他特别指出,我们要制定的规划是一个标准化的工作规划,是广泛公示的产物,而不是一个两个学者写标准的工作规划,倾听大多数
人的意见尤其重要。
其次,标准还需要业界技术后盾的支持。没有技术,即使制定出好看的标准,也只能是写在那里而没有实际作用。
更令人担忧的是中国的一个痼疾"政出多门"。"人们总是觉得缺法律,其实网络安全方面的法律法规如果汇编起来,可以有厚厚的一摞。"杜跃进表示,目前很多部委都在做相关法律法规的制定,如信息产业部负责互联互通测试、入网测试;公安部负责产品销售许可;保密局负责保密方面的测评等等。杜跃进表示,信息网络安全领域是相通性很强的行业,我国实行的一直是"谁主管谁负责"的方针,是与客观现实违背的。
"现在国家也在搞跨部门的协调预案,只有这样才能将技术发挥的效果达到最高。"杜跃进表示。
当务之急:产品还是服务?
会上,嘉宾对此问题持有相类似的观点:当下信息网络安全之所以如此令人担忧,在于我们的对手发生了变化。如果说以前的对手就是病毒本身,那么现在互联网很多安全事件背后都有人和动机。
"这样的情况下,仅靠更好的设备和技术往往是无法解决问题的。杜跃进说,目前市场上常用的是依赖杀毒软件这样的终端产品,而且后续服务做得还很差,但有些问题是这些终端产品本身解决不了的。他做了下面的比喻:就像是敌军不断向你射箭,你只是研究新的盾牌把这个箭挡住,而不去分析敌军到底是谁,动机究竟何在。
如此说来,信息与网络是否安全就不仅仅取决于产品的质量,更与服务息息相关。杜跃进就表示:"我们需要的不光是产品,而
是一种综合、协调的能力,不光需要技术,还需要体系,还需要资源。"
比如对于"僵尸网络"这种病毒,除了检测和清除终端的代码之外,还要检测它的传播行为和控制行为,这个黑客的目的是什么。应该定位和切断它的指挥系统,即使先不把它清除掉,但是让黑客控制系统瘫痪掉,它的危害自然暂时就没有了。
但在杜跃进看来,我们目前的"防御"却陷入了误区。
误区之一是"只见树木,不见森林"。现在有各种各样的安全设备,但是这些设备之间每个管理员都分开看的。比如僵尸网络的例子,你只看到了敌人射出的箭,却看不见射箭的人,根本抓不到最关键的问题。
误区之二是"舍本逐末,事倍功半。很多事情我们只关注清除终端上的问题,但是首先这不是最优先的,其次这不是最高效的。
误区之三是"生搬硬套,东施效颦"。我们现在用于虚拟世界的很多经验,尤其对危机事情处理和突发事件设置的很多制度和流程,很多都来自于现实中的自然危机,但是这两者差别很大。海啸这样的自然危机都是无动机的,只要拥有更好的设备和技术就可以应对,而虚拟世界中的危机都有很深的主观动机。生搬硬套的结果只能是迷信技术,搞错对手。
"产品和平台当然是离不开的,它是网络安全对抗的工具和武器。但是产品和平台需要从单一化向综合化、集成化发展,"杜跃进表示,"你必须不断地调整,这需要人的参与,也就体现在服务的层面。"