信息浏览
| 活动时间: | 2006年12月7日 | 活动地点: | 北京·长安俱乐部 |
| 主持人: | 严望佳 |
主持人:严望佳(北京星辰有限公司的CEO)
非常高兴在冬日的中午和新老朋友讨论一个比较严肃的话题。今天我还在路上想可能大家认为信息安全是比较窄的问题,其实我今天愿意不光从信息安全谈信息安全,而是从一个更广阔的视野看信息安全的问题。
前一段时间有一本书叫做《世界是平的》,我相信大家多多少少都看过,听过,或者讨论过。我们处在这么一个信息革命的年代里面,经历这场革命,我们看到周围很多的东西都在发生变化,包括会有很多的秩序被建立起来。这些秩序怎么样去保障呢?现在我们在互联网上,或者在我们身边发生着怎么样的网络安全事情呢?我们今天非常荣幸请到了两位我认为是业内非常资深,口碑非常好,非常儒雅,而且又具有国际视野的两位专家来介绍我们信息安全发展的各种各样的情况。
筑起我们新的信息长城
赵战生(国家信息化专家咨询委员会专家):信息安全的问题伴随着信息化,信息技术的应用,一开始就出现了。但是早期的一些所谓安全事件还是小儿科的,现在看起来的话已经发展的更复杂了。96年8月17号被人篡改了,这个网页变成法西斯的旗贴上去了,并且把联邦司法部变成联邦不公平部。司法部说不能滥用信息问题,但是有些人不满,在美国式民主下搞了这么一番恶作剧。据说美国空军经常搞神秘感的事情,某空军基地蒙着眼睛了,进去不知道是哪,出来也是这样的。曾经他们发现天外来客,后来又矢口否认有这样的事,纳税人对他们不满。96年9月29号,美国空军的网页被篡改成男男女女群交的图片,还写着这就是你们整天干的事情。
从80年代到现在工具的能力在不断的增强,工具从网上随便可以下载得到。由于有这些自动化的工具去实施攻击,因此作为一个个体来讲,它需要的知识和技巧就越来越少。以至于说发展到现在,90年代以天的时间去影响一些个别的网络,到了今天已经是以更少的时间影响更多的网络,在未来可能以秒的计量下影响全球性的经济。
去年的RSA会上,美国负责信息保障Danielg说,过去我们关注的是一张大网的信息保障,今后技术在发展,我们面临全球信息网络的问题,在全球信息网络的信息共享下,我们要追求一个什么呢?就是受保护的,或者有保障的共享,要追求这样的目标。因此他认为未来将面对一个新的阶段。为了解决这些安全问题,人们在技术方面不断发展,去考虑包括一些安全产品的测评怎么去要求它,达到什么保障级别。早在70年代美国人就在做这个事情,搞出来一个称之为橘皮书的信息系统的评估准则。95年之后大家制定信息技术相应通用的评价准则,这是一条路。经过若干年发展,今年9月份已经出到3.1的版本了。另外大家知道密码很早就在派用场了。美国人在密码方面应用的比较早,各种门类开发的比较齐全,在算法意义上有对称的,非对称的,还有函数的。这些算法要应用,要通过硬件和软件的模块要去把它组织起来,要加以应用。这是一个发展。
现在人们把眼光又提升了一层,不仅仅在技术层面,在产品层面来关注安全,还要在应用系统的层面,在一个现实的世界来关注安全问题。瑞士联邦的研究院,02年出了关于国际关键信息基础设施保护手册,今年出第三版了。美国人在关键信息基础设施意义上又走了一步,不单是CI,还加上KR,关键资源,有关键基础设施还有考虑重要资源。在这种意义上,他们把他们国家所谓关键基础设施的重要资源形成一个13+4的这么一个概念。在这样一个概念意义下来部署他们相应的信息安全保障的工作。去年美国总统信息技术咨询委员会提交了两份报告,一份报告叫做计算科学美国竞争力的保证。与此同时还抛出一个报告叫做网际安全迫于眉睫的危机。虽然有这个技术可以推广应用,但是不解决安全问题,你依然当不了全球的老大。
今年6月份美国又抛出了联邦网络安全和信息保障规划。这个规划是高层的。在过去信息技术研发中心没有把计划问题作为单列,这一次是第一次的计划单列。意图是要保持21世纪的领先地位,领导地位。要加速先进性的技术科学提高国土安全这么一个目的。同时要在整个的信息技术的科学、工程的研究中间来提升生产力和竞争力,目标是非常明确的。它声称作为业界是关心今天的需求,用产品来满足目前的需求,而作为政府应该从关键的突破方面关注未来的需求。在这个报告中间,每一项技术都用它的定义是什么,重要性何在,技术现状怎么样,能力差距是什么,这么四个基本点来阐述它,阐述完了以后又做了一番梳理。在8个大的技术领域中间规划出来49项技术主题,而且给了14项的技术重点和13项的投资重点。其中双重点有5项。
我们国家现在也非常重视信息安全的问题。在03年就制定出来了27号文件,也就是说关于加强信息安全保障工作的意见。我们的工作方针是积极防御,综合防范。从刚才提到的一些例子上也可以看得到,如果我们现在仅仅停留在消极的一个保护的状态已经不能适应现在的要求了,仅仅采用某一项技术手段也不行了。因此要综合防范。要达到的目的无非是要全面提高我们的防护能力,要保住我们自己现在提的所谓两个重点,基础信息网络和重要信息系统,创造一个健康的网络环境,保证公共利益和国家安全。
因此,信息安全的大视野它不仅仅是一个技术平台的问题,它是一个要保证信息化化出来国家利益的最大化和那些非传统的威胁所带来负面影响最小化的问题。其中关键是立足于国情,以我为主,坚持管理和技术并重的问题,从前面讲到这些也可以看到国际上也是这样认识的,同时要处理好安全和发展的关系,在发展中间来求安全。同时要统筹规划,突出重点,要加强技术性的工作,要把各行各业,各个部门的责任要划分清楚。现在27号文件已经到了攻关的阶段了,因为这里面提出五年要建成我们国家的信息安全保障体系,现在已经第三年了,因此到一个关键阶段了。有人说,信息技术安全窄了一点,我个人从事这么多年,我看不是那么窄,还有相当的宽度和深度。我们国歌有一句歌词叫做“用我们的血肉筑成我们新的长城”。现在信息化时代了,除了用我们的血肉之驱还要加上我们的智慧。最后我们要唱一句用我们的智慧筑成我们新的长城,取得我们信息化和谐的发展。
万两黄金该如何保护?
杜跃进(国家计算机网络应急技术处理协调中心副总工):首先我们假设一个案例,假设我们现在有一个万两黄金的保护计划,现在借用流行的一个词PK,假设两个公司到这里来参与我们这个计划的PK,第一种模式我把它叫做海盗模式。它怎么做呢?它的方案是,我设计一个十公分厚的特种钢柜,把万两黄金放在钢柜里面。我把它放在撒哈拉沙漠。第二个叫博物馆模式。我把它放在一个玻璃柜,而且万两黄金也不能运到偏僻的地方,越是人多的地方越好,让大家参观。
如果是在座的各位选择这两个方案哪一个会胜出呢?为了节省时间我不一一征求大家答案了,本来准备了万两黄金作为中奖者的礼物,因为时间有限,我直接说答案。我们没法判断哪个是好的,哪个是不好的。海盗模式你很难找到它,你很难拿出来。第二个是博物馆模式,我既然起这个模式,它是有它的办法的。你可以打碎玻璃柜,甚至你被抓住,但是黄金是不会丢的。
我讲这个例子是什么呢?我们的安全到底是决定于什么东西?是决定于你的设施足够完善吗?比如说我的柜子更结实,或者说我的科技更先进,我们现在有保险门,我们现在有监视器,我们古代的皇帝什么都没有,可是古代的皇宫比现在更安全。这个缺什么地方?这个是我最后传达的一个观点,我在这里先不说这个结论,但是大家可以明确看得出来的东西,就是设备或者是产品的先进并不足以保证你的安全,如果你的安全人员,钢柜花五天被人快撬开的时候你还在睡觉的时候,这个并不保险。
对于信息通讯技术来讲,我们现在保护信息通讯网络就算我们是万两黄金,威胁到我们的万两黄金滥用行为现在是五花八门,非常多。比如说像这些都是已经看得见的行为,还有一些没有看得见的我没有列在这里。
现在的互联网是一个非常好的可以窃密的东西,我们掌握大量的案例,因为我们这个部门是专门来做各种各样安全事件处理的。这些包括通过互联网可以非常方便进行军事、政治、科技情报的窃取。以前我们保密工作大家熟悉要求到三铁,铁门,铁窗,铁柜,现在铁门,铁窗,铁柜加上武警都没有用了。这不是理论假设,有大量的实例是这样。为此,有时我们不得不跟互联网断开好几个月之久来整顿个人的情况。商业秘密,个人隐私等等也有这样的案例。金融领域也是这样,黑客可以通过在银行内部的埋伏的程序可以把上亿的资金拿出来,完全符合银行内部的各种程序,不需要破坏银行,破解银行的密码。不需要去派钻墙的人去偷你的金柜,这个都有真实的案例。
我不想讲太多技术方面的东西。美国掌握绝对的控制权,互联网所有名字翻译体系全部在美国人的控制之下。一些关键的资源,如果说美国人现在想要中国互联网瘫痪只需要删掉一条记录就可以了。互联网很多公共秩序是什么人制定呢?美国商务部民间组织,民间组织是各个政府委员会,这就是世界秩序。这个事情连欧盟跟美国意见不合,可是美国坚决不退让。在大会上说你们要碰这些问题免谈。因为这也是他们的万两黄金,这涉及到他们的国家利益,或者关键利益。从这个角度来看,我们国家的互联网安全现状是什么,我们都知道现在的互联网,或者说IT通信技术正在成为我们国家的关键信息基础设施,而且赵老师也提到我们这些关键信息基础设施影响着我们的关键基础设施,跟我们的交通,金融等等都离不开了。可是这样的关键信息基础设施,我们对它公共政策的制定,关键资源的所有权和运行权完全不能自主。这就是现状。
刚才赵老师说蠕虫,蠕虫是大面积爆发的攻击程序,它会导致大面积的网络瘫痪。蠕虫的课题到现在都没有解决,现在随时有人用蠕虫导致网络瘫痪。僵尸网络是黑客可以控制大规模网络的攻击程序。05年的数据,我们中国大陆至少有250万个IP是被人控制的,这些人都不知道。这些人在做偷去信用卡信息的事情,可能用这些机器来攻击你的网站,来敲诈你,很多在线运营系统,可能敲诈是你自己的老板,或者你自己,在用你的计算机。超过五千个节点规模的僵尸网络也140多个。一个僵尸网络可以通过大概150万个计算机。大家想想在座都是精英,你能不能随便说买150万台计算机搭一个网络,人家黑客就花一点上网费控制全世界各个网络。
木马可以通过网络监听控制你秘密的软件。我们中国的IP被人控制向美国、韩国发送消息。我们至少每年有2万个信息被人控制。包括替你做银行转帐的事情。我们发现这连续几年,这几万控制者都来自相同的区域,前四名都是美国、中国台湾、中国香港、日本。在线身份窃取,通过网络的方式窃取信息,银行信用卡的信息,包括各种各样个人其他的身份信息。我们自己处理的04年300多起,05年400多起。攻击者会利用中国的计算机来攻击其他国家的用户,偷他们的东西,因此他们必须找我们合作才可以解决这个问题。我们现在没有看到我们在繁荣,但是我们看的清楚,黑客用网络构建的地下经济是一片繁荣。包括欧洲,十几岁小孩开特别好的车,天天不用工作,就在家里忙着繁荣呢。现在对我们来说,我们日渐依赖的信息社会却似乎总是危如累卵。曾经有人说互联网会垮掉,但是会不会垮掉,我们干这种事情始终提心吊胆。
刚才我们说到一些事件的对抗,我们到底有没有误区呢?从刚才介绍的事情里面,我们可以挑出两个挑战来,一个是好像我们需要的不光光是产品,我们需要的是一种综合的能力。刚才说到要协调,综合能力不光需要技术,还需要体系,还需要资源,这个资源包括很多的基础东西。另外一个挑战就是网络安全的问题叫什么?叫全球化的问题。方案在哪里?在全球化解决。
现在点出几个误区可以批判。一个误区是只见树木不见森林,现在有各种各样的安全设备,但是这些设备之间每个管理员都分开看的。像我刚才说大规模僵尸网络,你宁愿看一个角落,你看不见这些大树,你处理问题也只是天天是小的问题,根本抓不到最关键的问题。第二个误区是舍本逐末,事倍功半。很多事情我们只关注清除终端上的问题,但是首先这不是最优先的,其次这不是最高效的。第三个误区是生搬硬套,东施效颦,这句话本身也有点生搬硬套。我们现在用于虚拟世界的很多经验,尤其对危机事情处理,我们为此设置的很多制度和流程都来自于现实社会,但是这两者差别很大,最明显的差别是速度上的差别,印度洋海啸这样的事情跟它是不能比的。最大的一个误区迷信技术,搞错对手。我们太多人想着,我通过更好的产品往那一放就永远安全了。你也太小看黑客的智慧了。黑客是人,一招不行会有第二招的,并不是说我编一个程序,一进进不来再不干了,并不是这样的。所以永远不应该说有一种往那一放,今后就没有安全问题了,真的那样我就失业了。
网络安全它到底是产品的问题还是服务的问题。首先产品和平台当然是离不开的,它是网络安全对抗的工具和武器。但是产品和平台它应该再有一个发展的方向,就是从单一化的产品发展到综合化、集成化的平台。否则的话你只是看到离散的东西,效率永远不行的。另外正在从单一的事件发展到和信息资产相关。产品原来只是和单一的事件关联,入侵检测系统,防火墙,发生一个攻击事件挡住就行了。现在的问题是越来越多谁在攻击,攻击的目的是什么?面对这种有组织,有动机的威胁时需要的是有组织、有计划的响应。这不是靠产品就能实现的,尤其是动态的适应能力是保持安全状态的关键。装万两黄金的铁柜子现在所有的技术要花十天才能打开,那是现在,也许明天那只需要一分钟了,你必须不断的调整,这种调整不可能完全来自产品和技术,需要人的参与,也就体现在服务的层面。
信息安全的关键是综合治理
旗舰律师事务所律师:有一个问题问杜博士。有一个公司花了七年时间研制流媒体的软件,占领全国三分之一的职场。这个信息安全的保护很到位,基本上没有受到外界的盗窃和攻击。但是出了什么问题呢?它内部研发的主创人员,还有他的网络工程师,以及市场部的经理把这个信息窃取了。因为你用任何技术都没有办法防止制作技术的本人窃取,他们在外面成立一家新的公司。等于这个万两黄金被盗走了。总经理跟我说,如果你偷了我万两黄金,我想办法再创万两黄金。但是你偷走我这个技术等于把我掐死了,你很快就把我占领了。他们的成本是零,我们的成本是用七年来开发的。这个安全的漏洞不是出在技术和网络上,而是出在内部的人员上。对于这一点您有没有好的建议。
杜跃进:这个问题非常难,也是很好的问题。我补充一点,我的观点技术是和技术对抗的,比如说您举这个案例,如果有非常好的防范措施的话,确实别人没办法从外面直接窃取信息过来。但是您的案例正好说明我另外一个观点。这时候因为有利可图的时候我就不一定这样了。如果我是一个人我想要偷你这个东西,我进不去你的防火墙,甚至你跟网络是断开的。我去游说,我参加午餐会好不好,我把技术骨干人员说的天花乱坠,他被说服了我就拿到东西了。这就是我刚才说所谓综合治理的问题。我的观点是你要看到你保护的是什么。有一些事件干这个事件的人他能获得利益,但同时你的利益受到巨大损失。这个时候再好的防护都是没有用的,所以所谓的综合治理,其实包括法制的层面,包括您刚才说的东西,所以我说体系那部分其实就包括很多软的东西,资源那边也包括。
