您所在的位置:e-works首页 > 基础信息化 >

信息安全:出路在于“中国芯”?

发表时间:2002/11/24  特约撰稿人: 高丽华 来源:计算机世界网
关键字:安全
    据社会学家考察,早在远古时代,人类的祖先就已表现出对风险的深深困惑和对其奥秘的孜孜探究,其最发人深思而又最饶有趣味的例子,莫过于“轮子”和“骰子”的相伴而行。科技史专家公认,“轮子”是自“钻木取火”后人类最伟大的发明,考古发掘已经从墓葬中发现了距今5500年以前的用于运输重物的轮子,以后的纺轮、齿轮、涡轮无不是这一伟大发明的模仿和延伸,可以说人类的早期文明就是借助于火与轮生长起来的。然而,几乎与“轮子”的发明同步,另一种“滚动物”——“骰子”也应运而生,而按《大英百科全书》的解释,骰子最初的功能就是占卜,原始人以之预测凶吉,以后才用于赌博。
    这是不是可以说明,人类对自己的行为的风险意识是与生俱来的?在人的潜意识里,未知与风险的刺激并不弱于发明和劳作?并且,越是重大的发明,越是有重大价值的行为,也越是风险莫测?
    信息技术的发明和发展,正在以最现代的形态演绎着这一最古老的定则。
    10月底在常州召开的第17次全国计算机安全学术交流会暨电子政务安全讨论会上,国家计算机网络与信息安全管理中心副主任兼总工程师方滨兴演示的幻灯片让在场的140位与会者心惊肉跳:今年10月上半月,全球仅黑客攻击事件就发生了7228次之多,这还不算肆意泛滥的病毒,莫明其妙的系统崩溃,以及防不胜防的来自地面和空中的窃密者;今年1至3月,观察到的全球病毒扩散次数超过5.8亿次,中国大陆一则发出的扩散次数超过3.13亿次,全球有33.6万个IP被感染,中国大陆超过8.89万个。而据介绍,国外最新研制出的计算机“接收还原设备”,可以在数百米、甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。
    信息安全产业的“繁荣”则提供了另一个佐证。1997年以来,我国GDP的年增长率约为8%,信息产业的增长约为30%,信息安全市场的增长率却超过了50%。其中,1999年安全产品约为9亿元人民币,2000年超过19亿元,2001年超过40亿,今年预计将达到100亿元!另据IDC公司提供的数据,2001年全球信息安全产品市场已高达660亿美元,到2006年,这个数字将增至1550亿美元。该公司对1000名IT经理人进行的调查表明,40%的经理人把IT安全列为最优先考虑的问题,多数人认为“安全是IT开支唯一要增加的领域”。
    难怪信息安全企业近年来如雨后春笋(国内信息安全企业已由2000年的300家增长到现在的1300余家),也难怪信息安全市场会成为包括联想、瑞星、紫光、金山、东大阿尔派等在内的厂商们“鏖战”的新热土。
    易思克网络安全技术公司总工程师邵通接受笔者采访时甚至断言:“下一轮计算机的换代将不是因为速度,而是因为安全!”

    正视“不安全文化”

    然而,当人们静下心来思考信息安全的对策时可能会沮丧地发现,自己首先需要解决的问题似乎不是如何根除危险,而是如何“端正思想”,即如何“容忍”危险,学会“与危险共存”。因为从根上说,危险是不可能一劳永逸地解除的。
    科学家早已告诫,人类智力的进步并不意味着风险的化解,因为这种进步会鼓励人们不断把触角伸向新的、风险莫测的领域。人们甚至发现,如果把已知的事物看作一个圆,圆周之外为未知之物的话,则“所知越多,圆周越长,与未知之物的接触面也就越大,从而遇到的风险也越多越频繁”。
    在这个意义上,今人面临的风险并不弱于古人。古人固然享受不到计算机网络等新技术带来的方便、效率和财富,可也绝对不会遭遇核武器、生化武器、克隆人、网络战等可能带来的灾难和荒恐,更不会想到,“9.11”后“打开一封信都可能是一种致命的危险”。
    于是人们便不无兴趣但又并不轻松地看到,当网络专家们兴奋地论证着“网络效应与结点的增多成正比”时,站在一旁的安全专家却忙不迭地告诫“网络结点越多网络越脆弱”——多一个链接就多一分被黑客和病毒攻击的危险。
    信息安全的话题在这儿似乎成了一个无解的悖论。一方面是人们忙忙碌碌地寻找着各种各样的网络解决方案,另一方面却是“连网本身就是最大的不安全”。有位反病毒专家在一个研讨会上发问“谁的电脑没有感染过病毒”?台下一百多号听众中竟没有举起一只手来。由此得出的结论只能有两个:其一,信息技术的发展与危险的发展如影随形,此长彼亦长;其二,如果有谁想追求“百分之百的安全”,办法只有一个,就是把自己关进信息孤岛。这显然是人们不愿意的。
    信息安全专家、中国现代国际关系研究所信息与社会发展研究室主任俞晓秋曾忧心仲仲地谈到信息革命给现代社会带来的“脆弱性”问题。的确,当一个社会从经济到文化,从工作到生活,从军事到政务都已离不开信息技术,而信息技术又隐藏着巨大且不可能根除的风险时,这个社会的“脆弱性”也就无可怀疑了。现在面临的问题已不在于这种脆弱性的有无,而在于如何控制这种脆弱性,减少风险“发作”的次数和强度,把对信息安全的威胁降到社会可以接受的限度以内。
    而信息系统的脆弱性涉及技术、应用、管理等多种因素,包括让你防不胜防的天灾人祸。即使你采用了世界上最好的安全产品,内部管理慎之又慎,也难保万一。遭遇“9.11”的一家美国公司为保证信息安全而斥巨资建立了数据备份中心,却毁于百密一疏之中——它把备份系统放到了世贸中心另一栋大楼里,想不到两栋大楼都在恐怖袭击中化为灰烬。
    我们还知道,保障信息安全是以牺牲方便性、灵活性为代价的。如同你给家里装了一把很复杂的门锁,小偷是撬不开了,但你自己进门也麻烦了许多,忘记了密码还会把自己锁在门外。为信息安全的层层加密不仅会抬高成本,还会影响系统运行速度。通常情况下人在电脑屏幕前等待的耐心只有7秒钟,如果因为安全而降低了工作效率,不少人宁可放弃安全。著名社会学家、慕尼黑大学教授乌尔里希·贝克就曾批评布什政府所主张的对恐怖分子的全面控制方针“显然是不可能的,而且最终可能导致失望,产生相反的结果”。
    在这里,“不安全文化”成了解决信息安全首先需要正视的事实。乌尔里希·贝克据此提出,当今社会应当“发展一种不安全文化”,在他看来,零风险如同零失业率一样,充其量不过是一种“集体的谎言”。如果承认此话有些道理,那么我们的信息安全策略就须把“不安全文化”纳入其中,作为思考和应对信息安全问题的重要参考系。这其实也就是管理学所说的风险管理的思路。安全厂商常常会信誓旦旦地给用户作出“全面控制”、“万无一失”的保证。但这是不可能的,你也千万别信。
    再深一步看,“不安全文化”还涉及人们承担风险的意识,而这也是发展和应用信息技术所必不可少的。期望一切都在理性的控制之内,期望绝对安全了再去投资或应用,所付出的代价会更大。著名经济学家凯恩思就曾说过,假如一个人生性不喜欢碰运气,而仅靠冷静盘算,恐怕不会有所作为。美国学者乔治·吉尔德甚至认为,一个社会获得成功的主要秘密,也许在于它把追求安全转变为愿意冒险的能力。在这里,对危险的承认和控制,而不是对危险的一劳永逸地根除的意愿,构成了“不安全文化”的基础性内容。

    信息安全的两个视角

    由操作层面看,既然“不安全文化”视不安全为一种常态,对信息风险的防范理所当然地就应当纳入企业和社会日常管理的轨道。在第17次全国计算机安全学术交流会暨电子政务安全讨论会上,来自公安部、总参谋部、信息产业部、中科院等数十家单位的140多位专家、企业家和政府官员,就信息风险的防范深入交换了意见,归纳起来有两个大的视角:战略视角、经济视角。
    在战略视角方面,中科院院士沈昌祥强调信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但还缺少国家级的统领全局的信息安全框架,这不能不说是一个巨大的缺憾。他介绍,“911”后美国信息基础设施保护委员会(PCIPB)列出了53个信息安全重点问题,把信息安全列入国家战略。在这个战略中,信息安全保护被分成5个等级:第一级是家庭用户与小型商业机构,第二级是大型企业,第三级是高等教育、联邦政府、州与地方政府等关键部门,第四级是国家优先任务,第五级是全球性合作网络。五个等级五种保护模式,如第一级保护只要求采用密码、过滤、防病毒软件等技术,使用高速连接设备的还应考虑防火墙;第五级保护则包括建立广泛的“安全文化”,推动国际化合作网络的发展,在安全事件初露端倪时便能通过该网络进行确认并提供防护。
    北方计算中心副主任贾颖禾认为,信息安全的战略规划不只是国家的事情,也是企业要做的事情,“首先要从安全评估和规划入手,不要一开始就进入技术细节”。任何信息安全保障体系的建立都大致经历评估、制订策略、系统设计、实施和调整的过程,并且这一过程还应当随信息安全的阶段性发展而反复,不能一劳永逸。与国家信息安全的战略规划一样,企业的信息安全规划也应当把信息的分级管理作为基础性内容,“第一件要做的事是把你的信息分分类,有的需要重点保护,有的只是一般的保护,必要时还应该分出等级,以便采取不同的保护措施”。制定规划要技术与管理并重,构筑由保护、检测、响应、恢复等环节组成的保障体系。
    与战略视角相比,经济视角更为企业所关心。中国工程院院士、国家信息化专家咨询委员会副主任何德全就曾谈及解决信息安全的“经济学角度”,主张以此为基础解决好技术与管理两个问题。河北信息产业厅的石起伟说他们“只关心产业的事,就是信息化安全的产业化”,譬如PKI(密钥认证平台)从商业上怎么能保证交易的安全,商业上的应用需要多大的成本,“投资不能超过15%,如果投资大了,经济性没有了,这个技术肯定是不行的,企业不会要”。贾颖禾也谈到了企业信息安全投入的比例问题:一般来说,没有特别的需要,为信息安全的投入不应超过总投资额的15%,逐步增加为好,否则你只能卖给军队。军事学上已经提出了“五维空间(陆海空天电)”的概念,信息战不可避免地会成为未来军事斗争的主要样式之一,军队在信息保密方面可以不计成本。
    经济视角还应导入信息风险的评估之中:评估要从自身情况出发,并非报章和书本上提到的所有威胁你都会遇到,威胁的程度也有很大的差别。通常情况下,越小的组织,越要多着眼于内部的问题;组织越大,分布越散,来自外部的威胁就越大,可能造成的损失也越大。网络脆弱性评估的专业性强,涉及网络连接方式、信息的产生、分布和使用状况,同时还涉及安全管理水平和人员素质,需借助专家和技术服务的力量。从“不安全文化”的眼光看,脆弱性客观地存在于任何系统中,经过努力可以减少却不可能完全消除。
    专家们认为,这儿涉及的实际是个“适度防范”的问题,而“适度”的标准很大程度上又是由经济投入定盘子的(另一条标准是因加强信息安全而牺牲方便性和灵活性的限度)。在这一点上,经济视角与战略视角,特别是对信息分级保护的规划衔接起来了。这就如同,居家过日子只需买一把好门锁或者加一个防盗门,企业的财会部门则必需有保险箱,如果是银行的金库,那就需要派卫兵把守了。上海宝信软件公司技术总监王柏青的结论是“我们需要的是适度的安全,对信息安全的授权要最小化”。贾颖禾说人们爱讲“木桶原理”,但在信息安全保护上,这个桶就有点过大了,而且“桶”还是用金子做的,很贵,所以必须划分边界,区别保护对象,把有限的资金放在最需要保护的地方。信息安全国家重点实验室主任冯登国更明确提出:以经费为杠杆,突出重点,“80%的信息安全经费要用在那20%最需要保护的领域”。  

责任编辑:木军