2月27日,2003“中国国际信息技术展览会暨信息产业发展成就展”在中国国际展览中心举行,从整体看,展会上并没有出现很具“杀伤力”的新技术或新产品。但是,作为展会“辅助环节”的几个研讨会却颇让人振奋,其中尤以信息网络安全技术论坛的新观点突出,专家们对安全的整体思考,让人感到活跃与新鲜。
目前,中国信息安全产业发展虽如日中天,但困扰产业发展的问题依然不少,其中尤以产业发展模式,本土安全企业与外企在技术、市场、进入壁垒等方面的矛盾较为突出。政府、专家学者虽然一直在寻求解决之道,但总体成效不大。此次由信息产业部主办的会议,一个显著特征是,与会专家不再将安全思考归结为产品技术范畴,而是从更高层次出发,试图从“思路与模型”上找出路。
思路一:参考国外安全产业
中国科学院信息安全技术工程研究中心主任卿斯汉并没有按原计划对“加强网络安全的基础建设”议题进行讨论,而是提出了一个严峻的话题:“在一些关键性与基础性的领域,国内的研究机构、公司以及相关的技术人员是不是能够多做些扎实工作?这几年,在信息安全领域,我们与国外的差距究竟有多大?”
目前,电子商务协议使用得最多的还是SSL,但这一协议是否具有确切的安全保障,仍然没有得到证实。美国METRO公司近日提出的被业界称为“划时代成果”的“Train空间模型”,对于网络安全分析领域来说,是一个里程碑。一旦它取得成功,便可对网络安全协议是否具备有效性做出根本性的回答。这一技术,不仅是美国,也是中国急需的关键技术。
METRO公司的后面有着深刻的政府背景,它获得了美国NSA、国家检验局、国防部等政府部门的支持,其研究出的成果被认为具有深刻的国防意义。但是,在国内,由于短视行为,众多研究机构人心浮躁,追求短平快的产品,而对开发底层安全操作系统则认为是费力不讨好的事,很少有人愿意去做,即使这一工作对本国的信息安全保护具有重要的意义。从这些方面来看,美国无论是从政府层面还是从商业运作上,在信息安全领域投入的资金与人力,都要比中国多得多,因此,中外差距不言而喻。
公安部公共信息安全监察局局长杨智慧先生也认为,在信息安全领域,我们独有的、具有自主知识产权的信息安全技术基本上没有。尽管大家对单机系统“玩”得较熟,国内安全产品统治了大半市场,客户端的占有率也比较高,但是全球网络化之后,劣势就显现出来。为什么呢?因为我国信息安全技术在与网络基础内核结合方面不如国外厂商。许多国内厂商试图从低端系统进入产业,但这样究竟能不能根本解决问题还很难说。我们的最后出路在哪里?对这些问题,国内没有企业在很好地思考,而是一味跟在别人后面走。
思路二:开发安全系统模型
中国信息安全产业的出路在哪里?这是中国信息安全领域的技术专家们深入探讨并在这次论坛上提到次数最多的问题。
有人说,要从客户端开始做。专家们则认为这种说法不可取,他们认为,客户端已经是微软的天下,这一事实使得无论在终端做什么样的安全产品,都会在操作系统上有所空缺,受制于人。既然用户不会改变使用习惯,现在所能做的只能是在现有的用户习惯中找出路。
这方面中国一些著名软件公司曾经试图有所突破,国家也曾大力支持,但最后的推广效果并不好,原因是其操作系统所支持的应用软件明显不够,更深层次原因还在于实力不够。从软件厂商的规模来看,微软从事软件技术的人员超过3万,其中专门从事软件系统安全开发的人员超过了800人,“并且这800多人还是一个顶一个的技术人员,并不是拿刚毕业的学生来凑数,从这点看,国内并没有一家公司、学校或者研究所,能具备如此的规模。”
目前,很多防火墙软件都可以从网络上免费下载,或者通过网络注册的方式便宜地获得。但是这样的防火墙,根本不能起到防护作用。“从根本上来讲,这些软件就不能用,没有经过严格的认证,也没有很好的服务支持,是无法解决网络安全问题的。”信息产业部太极联合实验室屈延文教授如是说。
早在1999年,中国就颁布了标准号为GB17859的《计算机信息安全保护等级划分准则》,公安部以此为准则,牵头建立了套用“等级保护”的身份识别系统,以防止内部人员非授权误用或滥用系统资料的情况。有人质疑这一系统,认为其已过时,应该采用国际通行的CC标准(即TCSEC标准,也就是所谓的橘皮书)。作为这一系统的建立者之一,卿斯汉认为:“CC标准固然好,但我认为GB17859和CC标准不是用谁不用谁的问题,而是应该将两者有效结合起来的问题。更重要的是,我们要通过自己的努力,开发出具有自己知识产权的网络安全系统模型,这才是根本之道。”中国科学院计算研究所副所长樊建平也认为,“安全操作系统,必须在内核和硬件方面有自己的版权,才能确保安全,这也是计算所开发龙芯CPU的初衷。”
有专家提出,出路应该是从“研究安全操作系统平台”出发,即便在操作系统内核上不能突破,也应该去做一些增强操作系统安全方面的工作。
卿斯汉表示,“现在我们正在做第四级的安全操作系统,这其中存在两个方面的难点:一个是安全模型,另一个是隐蔽通道。从国外来看,美国在有重大发明和涉及安全实质方面的文章并不会公开发表,其中包括建立安全模型。国内能够获得的资料,只是一些边缘性的末枝表述。而更进一步,这样具有先进性的安全工作,在国内没有任何测评方法,即便做出来,如何得到肯定,也是一个问题。”但是他也表示,如果想要在安全方面获得实质性的进展,做安全模型不仅是必要的,而且是根本。
思路三:建立快速响应机制
根据统计资料,截止到2002年12月31日,中国的网民已经达到了5910万人,而全球范围内,这一数目已经高达6.1亿,黑客网站更是高达20多万个。
在这一情形下,专家们认为,尽管防火墙作为一个基本的屏障必不可少,并且应该经过国家公安部、国家测评中心、国家保密局等一系列权威机构的认证和测评,但同时,建立迅速响应的机制,更是预防病毒侵袭与黑客攻击的“杀手锏”。
国际国内的敏感事件,都是从网络最先传播,网络成为黑客频繁活动地,如中美军机海南撞击事件后的中美黑客大战、日本登陆钓鱼岛后的中日黑客大战等,网络信息化的结果是给更多的人搭建了平台,使他们能够去表达自己的观点与主张,同时也为每一个人提供了表演的舞台,“你可以正着用,也可以反着用”。再比如,为了公司或者集团利益,窃取政府机构或者其他商业组织的秘密,或者从国家的角度出发,为了达到某些战略目的而实施网络攻击,这都是影响和威胁信息安全的基本因素。
为此,2002年,信息产业部从产业的角度提出了两点要求:建立自己的信息安全产业,建立信息安全服务体系。目前这两项工作均已启动。
尽管国内的信息安全公司已经不少,从上世纪90年代初期的几十家发展到2002年的两千多家,产品涉及的范围也多达300多类,但是目前国内还没有真正建立起迅速有效的安全保障和防卫体系。从目前来看,即便每台计算机的使用率不到50%,每天有关安全的攻击次数也大得惊人。例如,美国国防部每秒所截取的外来非法入侵企图达到了25万次。杨智慧与合作伙伴曾在一个小企业中做过实验,每天这个企业在互联网上被扫描IP地址企图进入的次数就高达5000次。
有人做过预测,从中国到美国的信息传播是600毫秒,但现实中病毒的传播还是有延迟的,也就是说,危害不是同步而是辐射型的,因此,如果能建立有效的预警中心,同时针对病毒加以控制,那么其危害性与涉及范围将会大大降低。按照这一观点,中国公安系统提出了“网络110”服务的思想,通过保存完善的扫描记录与日志,从公安部到各省厅再到各地市,形成一条完整的保护线。一旦出现安全威胁,能从特定部门迅速发布信息,可避免由病毒造成的损失。
但是这种快速响应机制目前还存在许多问题。首先,从管理角度讲,有权管理的部门太多,存在如何协调的问题。其次,需要每一个管理部门内的人员提高效率,对于病毒发作,只有各个部门真正做到信息共享,才能真正有效控制其辐射范围。第三,快速响应机制急待完善,目前这一为了防范病毒而建立的应用系统,比现今的任何应用系统都复杂和庞大,因为各个部门的网络拓扑结构并不一样,为了能让不同网络系统统一传递和发布信息,需要做的工作很多。
与这些主流观点不同的是,其他专家也纷纷提出了另类观点,比如中国计算机学会计算机安全委员会副主任宋成久提出“要将安全作为一种投资而非开支”;中国科学院计算机技术研究所樊建平则认为“安全核心技术必须从硬件入手”,而来自南京理工大学计算机系的邵通副教授则提出“在节约开支的前提下,为确保用户习惯与效率,多系统的‘硬盘物理隔离’则是现实可行的解决之道。”
信息安全专家的新观点互相印证与补缺,相信对于未来几年中国的信息安全产业发展与建设不无裨益。