新闻是有分量的

全球信息安全的六大战略错误

2019-05-28 09:59栏目:案例
TAG:

  在近日的云灾备与云存储安全论坛上,长江学者、北京邮电大学信息安全中心主任、灾备技术国家工程实验室主任杨义先教授做了题目为全球信息安全的六大战略错误的主题演讲,以独特的视角剖析了信息安全领域存在的六个重要误区,并提出了自己的解决思路。杨义先教授从业信息安全近三十年。

  错误1(最基础的错误):忽略了返祖现象。

  构成赛搏空间的所有要素(计算系统、存储系统、传输系统、采集系统等)都是人类文明精华的最先进成果,因此,按惯性思维,自然认为赛搏空间本身也最文明!然而,我们错了,并且大错特错,实事上,赛搏空间是最返祖的野蛮社会,在这里,甚至连文明社会的最基本准则(道德准则、关系准则、秩序准则)都是空白,弱肉强食司空见惯,损人利己天经地义,损人不利己甚至损人损己也比比皆是。

  因此,要想保卫禽兽不如的赛搏空间的安全,当然不能只用文明手段,必须勇敢地向远古前进,由丛林法则开始,向原始人学习,踏踏实实地推进赛搏社会的生态文明建设。

  错误2(最致命的错误):以君子之心,度小人之腹。

  当今,所有信息安全技术都以用户是好人,一定会遵纪守法为前提,比如,只有当确认某款软件干了坏事后,才把它定为恶意代码,才开始对其进行封杀或补漏;只有当某个用户已被证明危害了安全后,才将其定为黑客,才开始对他进行应急处置等。如果这种后发制人的马后炮思路得不到根本改变,那么,全球信息安全专家们将永远处于被动、挨打的局面!

  当然,由于历史欠账太多,我们也不可能一夜之间就把思路调整为人之初,性本恶的有罪推论,毕竟现在的绝大部分信息安全技术和手段都主要在亡羊补牢。

  错误3(最受累的错误):全民被魔道怪圈绑架。

  当前信息安全界的逻辑是:当个别黑客的魔高一尺时,全体网民的道就必须再高一丈,如此循环往复冤冤相报,永无止境!好像全体网民都被逼进了露天电影场,而且,因为有人站立,便导致大家都不得不踮着受罪。为什么网民们不能舒服地坐着享受电影呢?我们也许会罗列许多理由来辩解这种无奈现象,比如,信息系统越来越复杂、黑客技术越来越先进等,因此,网民必须为信息安全付出应有的代价。猛听起来,这种叫屈好像有道理,但是,请注意,在现实社会中,敌我双方的导弹等核武器系统也是在不断水涨船高吧,请问你作为普通市民,有没有越来越被战争威胁的感觉?基本没有吧!

  因此,全体网民应该有希望,不再夜夜为自己的信息安全做恶梦,假如我们真能打破魔道怪圈的话,当然,必须承认,我们至今还无计可施,但是,世上无难事,只怕有心人。提示:杜绝露天电影效应的办法有两个,其一,放映效果足够好,使每个人都能清晰地享受,这样就不会有站立者了;其二,对站立者严厉惩罚!

  错误4(最仁慈的错误):未建信息安全别动队。

  如果把赛搏空间比喻为金银满地、佳丽如云的后宫,那么,最合适的管理人选应该是太监。但是,如今,管理该后宫的却是众帅哥,受某些规矩约束的众帅哥。或者,换句话说,现在,信息安全界选用了一个股民来担任美联储主席,想不出金融危机都难啰!事实上,当前,国内外,信息安全界攻守兼备的几乎都是同一批人!这当然在无形中加剧了各利益方的相互对抗,并且殃及全体网民!如果有一支类似于联合国维和部队,他们完全中立地、尽心尽力地、一视同仁地为全世界信息系统保驾护航,那么,网民们的安全感将大幅度增强。

  当然,要想纠正该错误,显然不能仅仅依靠技术手段,而且这绝对是一个非常困难的问题。所幸,现在这样的别动队已经开始活跃于赛搏空间的某些局部,比如,出现了SAAS概念,即,信息安全即服务。

  错误5(最具体的错误):黑名单管理。

  当前,赛搏空间的行事规则是:非禁止,即允许。该规则在信息安全的攻防双方也是通行的,其好处是极大扩展了各自的创新空间,但是,却耗费了对抗双方难以计数的人力、物力和财力等资源。如果把安全规则修改为白名单管理方式,即,未被允许的指令均为禁令,那么,理论上,只需要由权威机构,在给定环境下,预先测试某些操作的安全性,然后,将安全操作写入白名单中就行了。

  当然,要想马上、全面推广白名单,几乎是不可能的,但是,从局部开始,针对某些关键系统的核心操作,采用白名单也是值得尝试的。

  错误6(最机械的错误):动态性不足。

  与现实社会类似,赛搏空间的人(实体)和事(进程)也应该是瞬息万变的,而且,网络社会的移动性、隐蔽性、不定性等更加严重,因此,既不能简单地用身份认证方法,把用户分为好人或坏人;也不能把各种操作,机械地定为合法或非法;更不能以不变,应万变,必须综合考虑时间、空间、事件等因素。当然,要想提高动态性,一定得付出相应的代价。

  因此,针对一些特定的信息系统,在特殊情况下,完全可以借用现实社会中的众多直观思路,用时间的动态性、空间的动态性、事件的动态性等来换取赛搏空间的安全性。