"热"度的背后
曾几何时,"应急体系"这个词在中国还不为人所了解,而如今,尤其是在信息安全领域,它已经成为最"热"的话题之一。"热",代表关注,但不代表发达、先进。我想,对于中国信息安全应急体系现状与发展,以及相关产业的进步与差距,简单完全肯定,或者武断地全盘否定,都是不够理智的。总体上看,应该是在激昂的乐曲中也有一些不和谐的声音。
如今的国内,很多人对信息安全应急体系的关注并既不是出于对其紧迫性和必要性的关心、出于自己的责任感,也不是为企业寻找新的赢利增长点--仅仅是出于立项、申请经费、制造炒做热点的需要。如果应急体系不再炙手可热,而基因技术如火如荼的时候,我想恐怕就有一些网络股、安全股变成生物股,而又会多出一些著名基因工程专家来。
安全是一个体系
有些专家认为,网络安全防范经历了两个阶段:20世纪90年代中期以前处于被动防守阶段;进入宽带高速网阶段后,由于网络应用模式是多媒体的,是互动和双向交流的,网络安全防范也相应地迈入了主动防守阶段,须采用纵深配置、多样性的技术手段进行动态防守,入侵检测、脆弱性评估(又称风险评估)、虚拟专用网等新技术被广泛采用。
除了推出新的防范技术外,管理的跟进也必不可少。"安全是一个体系"理念的精髓就是把管理纳入其中。这个系统包括技术保障、安全应用和安全运营管理三个部分。
强调管理主要基于两点考虑:第一,网络攻击90%来自内部。人们发现,多数时候,安全的漏洞是因为某个方面小小的疏忽,让黑客进入了要害部门。最近,微软的网站被"黑"就是管理不善引起的-微软只想给用户发送Windows的补丁程序,却忘记了给自己网站的服务器打一个补丁,致使黑客乘虚而入。第二,宽带高速网络也使黑客的攻击有了更多的手段。现在,我们时常听到这样一种说法:"你的防火墙技术的确很棒,你的漏洞信息(脆弱性评估和入侵检测等技术)也十分先进,我无法窃取你的信息,但我拥有了高速网,我可以淹没你。"这里所说的"淹没"是指利用一种黑客程序控制几台服务器,使这些服务器发出的访问信息都带有这种黑客程序,如果这些服务器的用户再去访问某个网站,该网站就会被大量带有黑客病毒的程序阻塞而陷入瘫痪。
这种状况使网络安全运营管理变得复杂起来,不仅要包括组织内部行政意义上的安全管理,还要包括运用技术手段制订安全管理策略,实施对海量入侵进行负载均衡及动态流量的评估与分析,发现问题及时修改防火墙等,形成了一个包括策略、评估、设计、管理、教育以及紧急响应的安全服务体系。一些网络安全厂商也在向这个方向转型。南京有家公司就定位于此,该公司虽然也提供硬件防火墙和入侵检测系统等网络安全产品,但其业务主攻方向是安全管理服务和安全策略分析,类似于安全产品系统集成商的角色。
这家公司的主管在接受记者采访时表示,国内的网络安全技术这几年发展很快,问题是安全管理没有同步跟上。分析这些年出现的网络安全问题,"技术是个原因,但总的来看还是管理问题。"他认为,网络安全最终拼的不是技术,而是管理,安全运营管理的服务空间非常大。为此,他希望用户走出三个误区:一是认为肯花钱(购买安全产品)就能解决问题;二是以为只要有专业管理人员就能安全无恙;三是忽视了网络安全总体方案的规划与实施。
谁是信息安全应急体系的主角
这个问题不同的人肯定会有不同的回答,各大高校、科研院所会保持一如既往的主角姿态,安全公司则将展示他们完善的产品与服务,民间的安全工作者和黑客同样会当仁不让的表现应有的水平和责任感。
但关键在于,谁是主角取决于其所处的发展阶段。举个例子:大家也许记得,在计算机病毒刚流传到中国不久,关于反病毒技术的一些研究论文可以发表在国内很高级别的学术刊物上,甚至可以在全国科学大会上获奖。其实当时国外也是如此,但现在注定不行了。因为反病毒技术已经完全由科学研究阶段过度到工程实施阶段了,而且进一步的研究完全是以企业界为先导了。
这就是计算机技术发展的一个基本的定律:当关键的理论性突破并转化为应用可能后,主要的进步和发展就是依靠企业的产业化实现和工程化实施,而由于企业发展的进一步需要,进一步研究发展的实施者也必然由高校或者纯科研机构,转化到企业研发人员或企业自身的研发机构上。
应当说,目前信息安全的几大相关技术,都是基本成熟并可以工程实施的。此时,如果依然更多的把注意力集中到高校和科研机构上,试图通过大投入立项来解决信息安全问题,恐怕很难取得良好效果了。特别是中国传统的科研成果难以向生产力转化的问题,依然严重存在。这种投入就会更多转化为论文汇报、理论进展和实验室中的样品。而同时,如果简单的给高校和科研企业背负上产业化的压力,像当年高校和科研院所冒出了数十个版本的防毒卡一样,再搞出一堆高校院所版的防火墙,又能有多大价值。国家经费理应大力保证高校和院所的基础研究。而应用性技术和工程实现的东西更多的交给企业去解决,这才能是一种良性循环。
对于民间力量的看法是,目前国内舆论和媒体对民间往往希望和追捧过高,类似伊拉克如果培养几个超级黑客就能逆转海湾战争的说法到处都是。对此,我们着实不敢苟同。我们非常尊重民间网络安全工作者的奉献和探索,但依然觉得,民间的安全爱好者如果最终不和企业或者研究机构结合是很难发挥更大价值的。
中国信息安全应急体系紧缺的东西
要有健康公平的产业秩序
提高产业准入的技术门槛,形成严格的测评机制,鼓励建立第三方测评机构。据说在早先国内制定反病毒产品测试标准时有这样的争论,如果按照国际标准测试,国内的产品都无法通过,那么是按照严格的国际标准来规范反病毒产品市场,还是降低标准以适应国内产品,大家争论不休。但应当说,出于对民族产业的保护,实际行动比较靠近后者。如果日前的测试不是采用本土化列表,而是用国际公认的WILDLIST和BASE列表作为参照,可能名次就完全不同,客观比较目前国内安全产品和国际的差距,就可以看到这种保护的结果没有达到初衷。同时由于安全产品的特殊性,为了保护局部的产业利益,降低产品要求,实际上等于以降低信息化的安全性和可靠性为代价。另外,国家官方的测评机构把握的是产品的市场准入问题,这一体系应当有一些有益的补充。国家应当允许第三方对安全产品进行测试,中国也应当有自己的ICSA类似的组织。当然,对产品测试结构和行为本身也要加强管理。
减少国家干预,鼓励公平竞争。再次建议,国家应当把商用安全和关键部门、关键网络的安全分开来看,商用应用的安全问题交给安全企业自由竞争去解决,而在关键部门和关键网络再考虑通过国家行为实施一个比较系统的独立体系。这样,国内安全企业才有更少的限制和更大的运做空间。
扶植中小安全企业,特别是知识先导型的企业。举个例子来说,对创业型的安全企业来说,公安部和商密委的相关审批费用还是一个压力,但交纳审批费用应当还是必要的,是否可以考虑允许滞后交费的,比如可以在年检时补交审批费用。可以减小中小安全企业的创业压力。
抑制过分炒做。目前,对中国信息安全产业的浮夸现象,应当有法律的约束,比如广告法,应当对计算机和网络软硬件产品,也应当有适用性,必要时要增补一些新内容。对于科技新闻报道的真实性,也有必要考虑有法律规范。另外一些特殊行为,比如所谓安全产品公开测试问题,也应当考虑制定一些规范,避免刻意误导。
不断提高全民意识和应用水平
信息化决不是用钱买来的,信息安全也决不是用钱买来的。日前,应有关部门之邀检查某政府网站和内网的安全性时很有感触,他们配置了高档的CISCO PIX硬件防火墙,但WEB服务器的administrator和数据库的SA却没有口令,这个例子很直观的说明了一个道理,那就是人的因素是信息安全的关键环节。信息安全没有资金投入好比赤膊上阵,但再先进的安全软件和硬件离开了一定的使用水平和安全意识也是毫无意义的垃圾和废铁。
必须提高意识和应用水平还在于必须提高鉴别评定能力。国内信息安全领域之所以良莠不齐,鱼龙混杂,除了有一些不健康的灰色因素存在外,立项审批等环节的人员自身的水平也是一个重要因素。
建立宽松的舆论政策环境和科学准确的立法基础
几天前收到一篇文章,里面讨论了这个问题,中国黑客为何"归正"这样的早?大意是,美国黑客一般接近三十岁才告别纯民间安全爱好者身份,而流向安全企业和政府部门。而中国的民间安全工作者一般25岁左右就已经向商品经济(安全公司)靠拢了。笔者认为这其中也是一种压力。
1999年的拉斯维加斯的黑客大会上,全美黑客聚会一堂,当时给人们印象最深的是,一个名为死牛祭祀的小组发布BO2K,一个朋友看了报道说:"这不是散布病毒么?为何不抓他们?"这里无意讨论远程控制工具和病毒的区别,只希望大家考虑一下所谓"为何不抓他们?"。2000年的黑客大会更有美国政府要员到场,号召黑客为国家服务。
民间力量对维护社会信息安全的体系来说,应该说是一个分支关节,不可能系统、全面、有保障的解决问题,只能起到补丁的工作。但从另一个角度来说,民间队伍是整个信息安全事业的人才源泉,是一个基础。由于民间力量的不确定性,如何规范和管理确实是一个问题。不要管得太死,压得太紧,争取在民间形成一种宽松的技术氛围和环境,为渊驱鱼,为丛驱雀式的严抓狠管是会影响产业发展的。但不管死又不等同于不管,否则就会很混乱。第一就是要有科学的立法,国家这方面有些还不够全面,不够准确,比如前阶段关于计算机病毒的条例,"不准提供含计算机病毒的介质",说的很死,那么用户发现或者怀疑计算机有病毒而需要向反病毒公司提供样本呢?第二就
