分享
 
 
 

丁磊谈互联网安全与公共利益的关系

王朝数码·作者佚名  2008-11-10
窄屏简体版  字體: |||超大  

女士们、先生们:

今天我演讲的题目是“互联网安全:模型与案例”,我首先想展示一个模型,尝试将一些看起来独立的网络安全问题联系起来。我的基本判断是:这些问题的根源是同一个问题,所以这个问题非常重要;然后我想讨论一下这些网络安全问题和公共利益的关系;最后,我希望讨论一个我工作中碰到的具体案例。

一、关于网络安全的一个模型

我们的模型里有六个网络安全方面的问题,在具体解释这些之前,先列举一下,他们是:恶意软件、软件漏洞、账号窃取、僵尸网络、垃圾邮件,以及分布式拒绝服务攻击。那么这个模型的中心,就是“恶意软件”,这个问题是很多互联网问题存在的前提,因此至关重要。

所谓恶意软件(Malware),指的是病毒(Virus)、蠕虫(Worm)和木马(Trojan Horse)这样一些设计用来破坏计算机系统的软件,注意这几种恶意软件定义上是有明确区别的,比如病毒和蠕虫,前者需要依附在一个现有程序上,而后者则不需要这样,可以通过网络或其它手段自行复制。很多用户不清楚这些区别,统一把所有的恶意软件叫做“计算机病毒”,这是不确切的。恶意软件影响非常广泛,仅就中国的计算机病毒而言,2007年中国公安部调查显示91.47%的计算机感染了病毒。

第二个问题是软件漏洞(Software Vulnerabilities),特别是指操作系统和浏览器这样的基础软件的漏洞,恶意软件主要通过利用还未被修补的软件漏洞传播,因此网上计算机中带有软件漏洞的比例和数量,就对恶意软件传播的难易有很大的影响。

第三个问题是账号和个人信息的安全,这是一个相对较新的问题,在互联网上的商业行为获得发展之后,才变成了对于犯罪分子有吸引的一件事情。窃取账号信息对于电子商务、在线银行、在线娱乐等新兴的互联网应用都有很大的威胁。恶意软件,特别是其中的“木马”,是账号窃取的主要工具。

第四个问题是僵尸网络(BotNet),指的是被病毒、蠕虫、木马等恶意软件入侵的计算机,互相连成的接受攻击者集中控制的网络。僵尸网络和恶意软件相比,它这是恶意软件破坏的一种比较新,也是比较高级的形式,不仅对被攻击的计算机造成破坏,还可以由攻击者控制进行其它破坏活动。

第五个问题是垃圾邮件(Spam Email),也就是未得到接收者允许的商业电子邮件。这是历史最久的网络安全问题之一,带来的问题是带宽的浪费和电子邮件用途的下降等。中国互联网协会的调查结果显示,2006年中国互联网上邮件,有62%都是垃圾邮件。垃圾邮件和僵尸网络有密切的联系,越来越多的垃圾邮件被通过僵尸网络发送。

第六个问题是分布式拒绝服务攻击(DDoS),通过利用漏洞或者耗尽网站或服务资源的方式,阻止用户得到服务。这种攻击和僵尸网络有紧密的联系,大部分攻击都由僵尸网络中大量的被攻陷的计算机发起。分布式拒绝服务攻击往往是使用蛮力和难以防御的,目标经常是重要网站、甚至整个互联网的基础设施,时间上又常常很突然,因此是一类重要的安全问题。例如,2002年2007年发生了两次针对根域名服务器(DNS Root Server)的DDoS攻击,使得全球互联网工作罕见地受到影响。

综上所述,我们看到的多个重要的网络安全问题,都是和“恶意软件”这一问题紧密联系的,如果这个问题能够得到较好解决,其它问题就可以得到解决或缓解。在这里我提供一点建议和观察,希望能引起这方面的讨论。

一方面,减少恶意软件流行的一个根本方法是减少软件漏洞的存在。目前来看,软件的自动更新是解决这个问题的一个主要手段。在这方面,我们注意到中美两国互联网使用者习惯上的区别,中国网民通过自动更新使用最新版本软件的比例较低。以浏览器为例,从网易服务器端的统计来看,微软的IE浏览器的所有用户中,只有不足25%的用户在使用最新版(7.0),而多个美国网站统计都显示,超过50%的用户已经在使用最新版。不仅是浏览器,操作系统的情况也是如此。是什么原因使用户没有使用最新版的更安全的软件,怎样改善这种情况,是一个需要解决的问题。

另一方面,打击恶意软件、僵尸网络等关键问题,可能需要更多厂商、地域或国际的合作,比如一个僵尸网络的开发者、控制者和受害方,经常在不同的地域、不同的国家,如果没有有效的合作,解决这些问题将相当困难。

二、网络安全与公共利益的关系

网络安全问题是个体问题,但规模较大的事件,则可能影响到社会公共利益。

病毒爆发或大批量盗号的出现,往往造成公众的不便,甚至会造成大量民间财产损失,危害公共利益。据美国标准与技术院(NIST)估算,仅2002年,软件故障造成美国595亿美元的经济损失,其中安全问题占相当大的比例。

此外,随着社会关键基础设施越来越依赖商品系统(例如Windows和互联网),使得这些系统在发生网络安全事件时,基础设施存在受到严重破坏的可能。例如,2003年夏天美国发生历史上最严重的大停电,影响了超过5000万人,虽然正式报告否认是计算机系统安全问题,但仍然有安全专家认为电网的故障与当时正在爆发的网络蠕虫有关。因此,我认为在各种关键基础设施的信息系统建设中,必须仔细分析联网和采用商业系统带来的安全方面的利弊,及与公共利益的关系。

三、关于账号认证安全的案例

这里我介绍一个账号安全方面的案例。从过去几年来看,在线银行和网络游戏是这方面安全挑战较多的领域,在线银行成为目标比较容易理解,但网络游戏成为重点目标可能多少有点意外。而实际上,虽然我没有见到整个网络游戏业界的统计,但从04年以来,有组织的、系统化的针对网络游戏的账号盗窃,对于网络游戏的用户产生了相当大的影响,因为这些游戏是一个跨越数月或更长时间的娱乐服务,账号和虚拟财产的盗窃首先对用户感情上的影响很大,同时在经济上也会造成不小的损失。网络的可编程性使得这样的作案可以大量复制,同一个组织盗窃上万个账号并不罕见。

2005年以来,各个网络游戏提供商以及政府相关部门都采取了各种办法,为用户提供良好的安全服务。我们的经验显示,有一种办法是比较成功的,也就是所谓双因素论证(Two Factor Authentication)的方法。比如盛大和网易在2005年都分别推出了一次性密码(One-Time Password)的令牌硬件,通过生成每分钟变化的一次性密码,有效降低了账号安全对静态密码的依赖,使得登录系统的人不仅需要证明自己“知道静态密码”,也需要证明自己物理上“拥用令牌这个物体”。在过去三年,网易已经部署了超过700万个安全令牌。我认为,这个经验可以推广到电子商务等其它领域。

最后,简单小结一下,我们讨论了多个网络安全问题,都是由恶意软件串接起来,成为一个整体,因此能否减少恶意软件至关重要;在越来越电子化、网络化的社会中,网络安全通过影响个人或基础设施,而与公共利益产生越来越密切的关系;最后,通过双因素认证这个手段,是可以较成功地解决账号认证安全的问题的。

谢谢大家。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有