在近日的“云災備與云存儲安全論壇”上,長江學者、北京郵電大學信息安全中心主任、災備技術國家工程實驗室主任楊義先教授做了題目為“全球信息安全的六大戰略錯誤”的主題演講,以獨特的視角剖析了信息安全領域存在的六個重要誤區,并提出了自己的解決思路。楊義先教授從業信息安全近三十年。
錯誤1(最基礎的錯誤):忽略了“返祖”現象。構成賽搏空間的所有要素(計算系統、存儲系統、傳輸系統、采集系統等)都是人類文明精華的最先進成果,因此,按慣性思維,自然認為賽搏空間本身也最文明!然而,我們錯了,并且大錯特錯,實事上,賽搏空間是最“返祖”的野蠻社會,在這里,甚至連文明社會的最基本準則(道德準則、關系準則、秩序準則)都是空白,“弱肉強食”司空見慣,“損人利己”天經地義,“損人不利己”甚至“損人損己”也比比皆是。
因此,要想保衛禽獸不如的賽搏空間的安全,當然不能只用“文明手段”,必須勇敢地向遠古前進,由“叢林法則”開始,向原始人學習,踏踏實實地推進賽搏社會的生態文明建設。
錯誤2(最致命的錯誤):以君子之心,度小人之腹。當今,所有信息安全技術都以“用戶是好人,一定會遵紀守法”為前提,比如,只有當確認某款軟件干了壞事后,才把它定為“惡意代碼”,才開始對其進行封殺或補漏;只有當某個用戶已被證明危害了安全后,才將其定為黑客,才開始對他進行應急處置等。如果這種后發制人的“馬后炮”思路得不到根本改變,那么,全球信息安全專家們將永遠處于被動、挨打的局面!
當然,由于歷史欠賬太多,我們也不可能一夜之間就把思路調整為“人之初,性本惡”的有罪推論,畢竟現在的絕大部分信息安全技術和手段都主要在“亡羊補牢”。
錯誤3(最受累的錯誤):全民被“魔道怪圈”綁架。當前信息安全界的邏輯是:當個別黑客的“魔”高一尺時,全體網民的“道”就必須再高一丈,如此循環往復“冤冤相報”,永無止境!好像全體網民都被逼進了露天電影場,而且,因為有人“站立”,便導致大家都不得不“踮著”受罪。為什么網民們不能舒服地坐著享受電影呢?我們也許會羅列許多理由來辯解這種無奈現象,比如,信息系統越來越復雜、黑客技術越來越先進等,因此,網民必須為信息安全付出應有的代價。猛聽起來,這種“叫屈”好像有道理,但是,請注意,在現實社會中,敵我雙方的導彈等核武器系統也是在不斷“水漲船高”吧,請問你作為普通市民,有沒有越來越被戰爭威脅的感覺?基本沒有吧!
因此,全體網民應該有希望,不再夜夜為自己的信息安全“做惡夢”,假如我們真能打破“魔道怪圈”的話,當然,必須承認,我們至今還無計可施,但是,世上無難事,只怕有心人。提示:杜絕“露天電影效應”的辦法有兩個,其一,放映效果足夠好,使每個人都能清晰地享受,這樣就不會有“站立”者了;其二,對“站立”者嚴厲懲罰!
錯誤4(最仁慈的錯誤):未建信息安全別動隊。如果把賽搏空間比喻為金銀滿地、佳麗如云的后宮,那么,最合適的管理人選應該是“太監”。但是,如今,管理該“后宮”的卻是眾帥哥,受某些規矩約束的眾帥哥。或者,換句話說,現在,信息安全界選用了一個股民來擔任“美聯儲”主席,想不出金融危機都難啰!事實上,當前,國內外,信息安全界攻守兼備的幾乎都是同一批人!這當然在無形中加劇了各利益方的相互對抗,并且殃及全體網民!如果有一支類似于“聯合國維和部隊”,他們完全中立地、盡心盡力地、一視同仁地為全世界信息系統保駕護航,那么,網民們的安全感將大幅度增強。
當然,要想糾正該錯誤,顯然不能僅僅依靠技術手段,而且這絕對是一個非常困難的問題。所幸,現在這樣的“別動隊”已經開始活躍于賽搏空間的某些局部,比如,出現了SAAS概念,即,信息安全即服務。
錯誤5(最具體的錯誤):黑名單管理。當前,賽搏空間的行事規則是:非禁止,即允許。該規則在信息安全的攻防雙方也是通行的,其好處是極大擴展了各自的創新空間,但是,卻耗費了對抗雙方難以計數的人力、物力和財力等資源。如果把安全規則修改為“白名單管理”方式,即,未被允許的指令均為禁令,那么,理論上,只需要由權威機構,在給定環境下,預先測試某些操作的安全性,然后,將安全操作寫入“白名單”中就行了。
當然,要想馬上、全面推廣“白名單”,幾乎是不可能的,但是,從局部開始,針對某些關鍵系統的核心操作,采用“白名單”也是值得嘗試的。
錯誤6(最機械的錯誤):動態性不足。與現實社會類似,賽搏空間的“人”(實體)和“事”(進程)也應該是瞬息萬變的,而且,網絡社會的移動性、隱蔽性、不定性等更加嚴重,因此,既不能簡單地用身份認證方法,把用戶分為“好人”或“壞人”;也不能把各種操作,機械地定為“合法”或“非法”;更不能“以不變,應萬變”,必須綜合考慮時間、空間、事件等因素。當然,要想提高動態性,一定得付出相應的代價。
因此,針對一些特定的信息系統,在特殊情況下,完全可以借用現實社會中的眾多直觀思路,用時間的動態性、空間的動態性、事件的動態性等來換取賽搏空間的安全性。
補充說明:
1、客觀地說,以上六大錯誤不能完全歸咎于信息安全界,因為,IT界的過度創新和失誤留下了太多急需彌補的漏洞,使得我們倉促上陣,頭痛醫頭,根本沒時間和精力來統籌戰略。
2、我們沒有能力和機會介入賽搏基礎設施的起步階段,致使建設與安全始終是“兩張皮”。
3、糾正上述六大錯誤,也絕不僅僅是我們的責任,更重要的是“全體IT專家必須行動起來”。
4、“糾錯”將是非常困難的長期難題,不能另起爐灶,最多在特定情況下,從局部改起。