2005年4月20日,安络科技常务副总裁谢朝霞应邀出席了第五届“中国信息安全发展趋势与战略”高层研讨会,并作了主题发言。
谢朝霞代表安络科技,基于多年收获的网络安全实战经验,在广大业界前人探索的基础上对安全攻防活动中的原理性问题进行了深入研究,提出了辨证的网络安全攻防哲学观点,获得了业界人士的良好反响和强烈共鸣。为解决安全世界观、安全方法论和有关理论的产业应用提供了有益的思路。
作者所采用的powerpoint文档可到以下地址下载(选择“另存为”):
http://www.cnns.net/html/openvssec.ppt
以下内容为会议讲话稿。
///////////////////////////////////////////////////////////
安全哲学讲话稿
各位来宾大家好!
我今天想谈的是一些与安全有关的哲学观点。搞这行已经9年了,2000年成立安络公司是我安全生涯的分水岭,由从事攻击技术研究转变为从事防御方的角色。
安络在过去的四五年中是以专业的安全服务为主营业务,我们的客户几乎覆盖了各行各业,我本人经常和形形色色的客户打交道。为了节省资源,我经常培训销售人员讲解安全方案,推销安全服务。但我发现照一般的方式培训起来很难。要让销售人员理解各种安全理论模型和国内外安全标准是一件不太现实的事情。可国外流行这些,而国内市场上争相效仿这些。
这时候我就在想,是不是我们产业界对安全的理解还不够呢?我们中国人是不是犯了人云亦云的毛病,而缺乏自己的思想?我们是不是需要更多地站在用户的角度去为他们想一想,你让他们花二三十万买一台安全设备,能让他觉得象买一台奥迪轿车那样,这钱花得不冤吗?
所有用户的疑问,归根结底是有一个前提,就是为什么而买单。如果安全厂商在这个前提上引导错了,合同签了实施完毕后,用户会有上当的感觉,经常是做了第一单没有第二单。
这个前提是个什么前提呢?
有些用户是这样问的:
n 安全做到最好就是不出事?你能保证做了不出事吗?
还有的问题是这样的:
n 安全是花钱的,不能赚钱,所以领导不重视,经费批不下来啊。
还有很多类似的问题。要不就是没有答案,要不就是有很多种不同的答案。为什么会这样,这是一个值得我们深思的问题。
现在很多流行的信息安全理论,要不是大多数人都难以看懂的公式图表,就是一些土八路黑客专家总结出来的几句口头禅。我想我们需要的不仅仅是这些。
这里将提出一些安全哲学的观点,当然这些观点是建立在业界很多前辈对安全实践探索的基础上。今天,我和安络的同事就站在巨人的肩膀上,尝试来提出一些关于安全哲学的命题。
下面讲三个方面:网络安全世界观、安全方法论和理论的产业应用。
第一部分、安全世界观
安全是什么?
讲到安全,不得不提一个相对应的问题那就是风险。
首先,信息系统具有风险的本质。
一方面是先天的固有风险。
新生的信息系统总是不设防的。就象新生婴儿一样。刚生下来会比较容易生病,容易死亡。所以我们现在强调母乳喂养,就是这个道理。在装操作系统方面,现在很多美国人学乖了,他们不再用安装盘去装,而是用ghost程序克隆一个硬盘,什么补丁和安全策略都是齐全的,这叫先天免疫。
另一方面是后天变化的风险。
信息系统的运动本质决定了风险的客观存在。信息系统需要不断地运行和发展,每一个变化升级都带来风险。比如,你多装一个程序就多带来一分风险。你合法地增加一个用户,这也可以算一个广义的安全事件,风险也就加重了一分。当你打开百度网站的时候,你觉得没什么,但实际上这个动作使系统的完整性又被破坏了一次。在你的临时目录下会增加一个cookie文件,在rencent信息方面会增加一个新的快捷方式。
因此,风险是客观存在的,无时不在的,也是无处不在的,所谓安全需求,其实都是一种主观意志。
我们要注意不要被用户表面上的需求所误导。用户给你的安全需求文档,是他自己在网上找的,或者是根据现有知识整理出来的。这种主观意志经常是片面的,或者是不现实的。
接下来说说与网络安全有关的攻击。
一切网络攻击,从源头上讲都是人为的。
不管你安全怎么做,只要你是一个对人开放了功能的信息系统,攻击事件就一定迟早会来,是不以人们意志为转移的。
攻击事件的根源是社会矛盾。信息系统是社会的虚拟体现形式,社会发展一天不止,风险和冲突就一天不断,各种目的的攻击也会发生在信息系统上。
那么,安全是什么呢?
在信息系统中,开放构成了风险。约束构成了安全。
每一点安全性的增加,都是因为多了一种约束。安全性是所有约束规则的总集。
约束与开放这对矛盾,伴随着信息系统的运行和发展。
约束虽然与安全有关,但不总是带来性能的下降。
安全与信息系统的性能关系怎么样呢?我们来看一个曲线。
这个曲线的第一阶段,基本的安全措施不但不会降低信息系统的性能,反而能显著提高。这些措施一般是指简单防火墙、安全补丁和防病毒等功能。这一区域比较适合中小企业和个人用户。
第二阶段,再增加安全措施,性能不会有显著提升,到最后到达性能最高点;这一区域比较适合大型企业和运营商。
第三阶段,随着安全措施的增加,性能开始下降。这一区域比较适合涉密单位或军事网络。
在这里总结一点就是:绝对的安全是不存在的,我们要允许风险的存在,并且在网络攻防斗争中获得驾驭风险的能力。
第二部分、安全方法论
要研究安全方法,不得不先研究一下攻击方的规律。
网络攻击者的活动可以分为两个阶段。第一个阶段是突防的进攻阶段,第二个阶段是得手后的潜伏活动阶段。
在进攻阶段,任何攻击方都遵循避实击虚的原则。如果黑客能用888888这个弱口令进你的系统,绝对就进了,没什么丢脸的。
游击战争的十六字原则在这里非常适用:敌进我退,敌驻我扰;敌疲我打,敌退我追。
攻击方在得手后遵循地下工作斗争原则。
仅仅攻破防线,马上被网管发现,结果被扫地出门,这是彻底的失败。攻击的目标是否能达到,完全取决于攻击方在宿主内部生存时间的长短。否则只能叫攻击测试了。
要在宿主眼皮底下求生存,必须实现各种活动的隐蔽性:要讲究技术隐蔽、方法隐蔽,意图隐蔽、踪迹隐蔽。
反过来,防守方应遵循积极防御的战略宗旨。
做安全的,要以做强为目标,而不是盲目地追求天衣无缝的不现实防御。前面陈博士提到信息安全保障方面有很多能力,就是这个道理。我们要以提高信息系统的生存竞争能力为宗旨。
在战术方面,执行积极防御的安全政策,既要反对片面地追求不出事的那种单纯防御,也要反对不搞预防,没有纵深防线的单纯斗争。
平时在安全防范上应保持先机,而在安全事件处理中诱敌深入,使其充分现形,并加以歼灭,实现后发制人。
对于安全人员来说,学东西最好就是去处理安全事件,每次安全事件都是了解攻击手段的最好时机,并且借此能发现更多的薄弱环节,大大利于改进现有安全状况。
信息系统安全能力的提高从哪里来,就是安全预防与安全事件处理这两方面工作的相辅相成,缺一不可;
约束与开放的对立统一,和安全预防措施与安全事件处理两者的相辅相成,依靠这样的矛盾运动才能推进信息系统安全生存能力的发展。
三、产业应用
在面对用户时,要反对各种脱离实际的安全目标、安全需求和安全策略。由于攻击者总是“避实击虚”,所以要减少自己遭受恶意侵入的可能,企业主必须使自己的IT系统比同类更安全;
比如说有黑客想偷银行卡密码,两个银行网站,一个只有用户名和口令输入,而另一个除用户名和口令之外还要验证码。对前者,黑客可以锁定一个简单密码去遍历所有的卡号,总会找到几个用这个密码的用户,而后者,由于验证码的存在,每一个用户名最多可能要试一万次。黑客理所当然地会选择前者作为进攻目标。
攻击者的规律告诉我们,做安全的,要在平时防范中注意保持先机,而在发生安全事件时能实现后发制人。
“夺取先机”是保持安全优势的关键:
夺取先机的意思就是你要比敌人掌握得多。
要采取有预见性的安全措施,做足防范避免临阵磨枪;
采用更多的免疫技术,而不是杀毒技术;
在应急反应时,不要急于把网线拔掉,不要急于重新启动系统,要能实现诱敌深入,使其充分现形,搞清来龙去脉后再加以根除,实现后发制人。
下面举例说明不同类型用户应采取的不同策略。
对于涉密或军事网络,应该采用边界防御与内部纵深防御并重的原则。所有该做的工作都要做足做透做久。要将所有层次都考虑到。会刊上有一篇我关于安全七层划分的论文,可以参考一下。
对一般的大型企业,有成千上万台主机的规模,处处设防不现实,因此,可在前沿以边界防御为主,在纵深实现重点设防,重点守备。
对于中小企业网络,没有多少电脑,应考虑主机防御为主。也可以考虑廉价的防火墙实现边界防御。这样开支一年可能也就是几千上万的投入。
作为安全公司来说,要积极地介入用户安全服务,充分重视用户的每一个安全事件,不管有没有收费,都应该积极介入处理和技术支持工作。用户的每一次安全事件,都能触发安全公司服务和产品的改进。
产品或服务有缺陷不要紧,关键是产品要有价值,服务要有贡献,在此基础上与用户结成稳定的安全供应合作关系;
最后来算一算安全的效益帐。
安全是要花钱,但企业开门后哪样不要花钱?走了一个年薪20万的技术骨干,工资是省了,但损失有多大?老板心里清楚。因此安全的帐不能算直接的金钱帐。
安全效益帐分支出和收入两部分。
支出包括安全事件损失、安全软硬件投入、安全人力投入等。其实安全事件往往能触发投入,但企业主一般不能认识到安全事件损失本身也是一种投入。
收入怎么算呢?
关键要算安全防范能力(=IT系统生存能力)的提高。
其次剥夺了入侵者在内网的生存时间,能降低泄密损失。
还能降低未来安全的支出。用这样的方式去计算,安全工作无论如何是赚钱的。而且重要的是,我们允许风险的合理存在,也允许安全事件的适度发生。
最后,感谢会议主办单位的支持。在整理这些理论观点的过程中,我得到了何院士、吴世忠博士的指导。在此向这两位专家表示我崇高的敬意!