为信息安全把脉(一)
人类进入信息时代,互联网络得到广泛应用。发达国家的通信、能源、金融、交通、航空、司法和国防等关键部门对信息关键基础设施的依赖性高度增强,在可预见的将来,我们国家的这种依赖程度也会越来越强。这样一方面,提高了工作效率,增强了经济利益,巩固了国防;另一方面,高度互联也给犯罪分子提供了前所未有的破坏和犯罪能力,他们只需要一台电脑和掌握一定的计算机软硬件漏洞知识,就能攻击并控制互联网络中的某个节点,在几分钟内操纵全球数百万的计算机来攻击国家的关键信息基础设施,渗透到敏感的系统,偷窃有价值的数据,甚至能调动军队,启动导弹,毁灭国家乃至全球。国家必须能有效地整合安全人才和物力,制定短期和长期的信息安全研究开发计划。面对信息安全这一复杂系统的问题,记者采访了上海交通大学信息安全工程学院常务副院长李建华和陈恭亮教授。一、信息安全威胁综合化、复杂化
记者:对安全问题,现在叫法很多。有信息安全、网络安全、数据安全等。现在有专家提出“信息域安全”,将信息安全问题扩大了。这些提法有什么不同?对技术与应用会不会产生影响?
李建华教授等: 我认为,信息安全(information security)的范围要全面,它研究的对象涉及到一个国家或者团体的政治、经济、文化、科技、宗教、军事等方面的信息。对应于战争而言,就是指信息战(information warfare)。如心理战属于信息战,但一般不属于网络战。网络安全(network security)仅包括计算机安全和通信安全,它研究的对象包括网络物理环境的安全、通信访问控制策略安全、信息存储和备份安全、系统纠错与容灾安全、身份鉴别和社会工程等,对于战争而言,侧重于网络战、电磁战和网络中心战等概念。
数据安全一般仅指计算机化的数据(0-1数据)的保密、完整、可靠和可用。数据安全是实现网络安全和信息安全的基础,网络安全与信息安全追求的就是在更大互连互通领域的数据安全。
我第一次听说信息域安全,也许是相对于物理域、电磁域、人的感知域而言的吧,也许是相对于海、陆、空、天维而言的吧。这些提法没有严格的界限,范围越广,概念越抽象,系统越复杂,所涵盖的学科就越多。
记者:许多专家认为,现在企业IT系统越来越不安全 。尽管市场上有大量的IT安全产品和服务,但企业比以往任何时候都更容易遭受新的威胁。您是如何看待这个问题的?
李建华教授等: 我个人认为IT系统面临的威胁非常严重,但大多数人还没有也不敢想像将严重到什么程度。之所以这么认为,是基于以下几点考虑:
·国家的关键信息基础设施网络化、IT系统集成化、指挥决策自动化程度越来越高,对理想的安全产品和服务的依赖也越来越强。
·企业追求利益最大化,决定了在基础的安全产品和服务研究、部署领域投入的人力和物力、财力等相对较少。
·IT系统依赖的操作系统和软件工程、通信协议等都存在着难以预料的漏洞或者恶意程序,如果把所有的安全实现都寄希望于安全产品和服务,那肯定是在冒险。如很多商业软件推出的都是测试版,根本没有正式版,商业利益最大化是其草草推出的原因。
·企业培养的安全人员缺乏系统工程的概念,高级安全人员绝对数量相当少,普通民众和员工的IT安全意识较弱。
记者:有一种观点认为,未来5~10年中,网络安全问题将逐步转化成为一种综合、复杂的威胁。您认为,未来网络安全主要面临哪些威胁?
李建华教授等: 我个人认为,未来网络安全主要面临的威胁有:
·计算机病毒和恶意程序段(包括无孔不入的网络广告)将严重恶化网络环境。
·非法获取个人隐私和ID、网络欺骗、银行欺诈将严重打击人们对网络的信任。
·对网络通信设备的攻击,将严重影响通信质量,甚至危及社会安全。
·网络边界安全威胁、网络是无国界的,但政治、经济、军事、文化等又是有国界的,内容、媒体等安全将是国家和社会面临的主要网络威胁之一。
记者:以前听说过一个说法:信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障。您认同这种观点吗?
李建华教授等: 我认为基本上是这样的。当然对于不同企业、组织和个人,其追求的信息安全目标是不一致的,所以其对信息安全有不同的侧重点。如一个小型企业,如果信息化程度不高,那么它可能不会投入大量资金来培养优秀的执行团队,而只需要购买相对先进的信息安全产品和服务了,但防患意识、严格的制度就应该特别加以强调。而对于整个社会而言,除了先进技术、防患意识、完美流程、严格的制度外,优秀的执行团队和法律保障就显得非常必要。
二、安全防范技术与服务并重
记者:VPN和防火墙工具是网络安全的中坚力量。您如何看待VPN和防火墙工具的发展方向?
李建华教授等: 我个人认为,VPN和防火墙在目前的确是实现网络安全的首选工具,但绝不是全部。防火墙是专用网络和众多公用网络的边界,它将入侵者阻挡在外,只允许授权用户进入,以期保护公司、企业的内部网免受潜伏在互联网上的恶意攻击,防止犯罪。我们在部署VPN和防火墙时要综合考虑到以下几点:
现在网络互通互联程度越来越高,接口也越来越多,因为信息化、全球化趋势需要网络向更多的客户、合作伙伴,甚至公众开放,所以防火墙就越容易被绕过,而失去应有的作用。VPN技术为我们实现了方便、透明、经济地异地访问内部网。另外防火墙还必须有合法用户进入的“门”,这些我们都并不能确定100%的有效。
通过网络技术强攻、社会工程欺骗,一些非法用户都有可能扮演合法用户侵入到内部网络。
现在的防火墙越来越智能化,那么也就越来越复杂,防火墙本身的安全保护也必须纳入系统工程当中考虑。另外,防火墙在部署之前,要检测是否有bug。
操作性友好的防火墙往往存在着许多用户应该自己配置的策略,但如果用户配置不得当,那防火墙的性能也就得不到充分体现。防火墙的配置策略是交给客户还是安全产品和服务提供商,是一个应该重视的问题。
记者:随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来的新技术和应用。您如何看待密码学的发展?
李建华教授等: 我认为在计算技术、网络技术和通信技术的发展,如果没有密码学的支持,那就没有信息安全可言,基于数字签名、身份鉴别等技术的电子商务、电子政务、电子金融和电子军务等的运用也就不会出现。
密码学发展许多专家更有发言权,我只提几个在密码学发展过程中需要考虑问题:
·密码强度与个人隐私、政府监管的问题;
·密码系统认证的问题;
·密码算法硬件实现的问题;
·密码学在智能卡、航空航天、无线通信等特殊领域的运用问题。
记者:我们知道,由您负责的团队推出了具有自主知识产权的“网络媒体监管”产品,目前也已经形成了一项我国信息安全方面的标准规范。能否介绍网络媒体监管的想法?
李建华教授等: 上海交通大学信息安全工程学院推出的“网络媒体内容监管系统”是在国家信息安全应用示范工程——S219基础上的针对网络媒体内容进行管理与监督的系列产品,主要包括了针对网络新闻媒体发布的内容审查系统、分级内容发布与浏览系统、网络浏览内容过滤系统、BBS内容监管系统以及反垃圾邮件服务器等。核心技术来源于获得国家科技进步二等奖的S219项目。在国务院新闻办的支持下,也形成了“新闻网站信息安全管理规范”。
近年来,随着网络媒体的普及和影响力的逐步扩大,针对网络媒体发布、传输、浏览中的内容安全问题已经引起了全社会的高度关注。网络媒体内容安全关注的问题已经不仅仅局限于针对网络中反动、色情、暴力、垃圾等信息的监管,同时还包括了对于透过互联网平台体现出的网络民意与网络舆情的掌握。因此,针对网络媒体的监督与管理,不仅仅要提供绿色、健康的网络环境,更重要的是充分发挥互联网高效信息交互的作用,充分了解互联网体现出的社会民意,构建和谐、稳定的虚拟社会。
上海交通大学信息安全工程学院在网络媒体内容安全监管领域积累了大量的技术与人才,逐步形成了体系化的“网络媒体内容监管系统”,并且在国家网络媒体管理部门、国家重要媒体新闻网站、大型电子邮件运营商等获得应用,已经取得了显著效果。这一工作得到了国家与上海市地方各级领导的高度评价。
记者:信息安全服务已经由一个概念发展成为一个产业。信息安全服务对用户的帮助是无可非议的,关键的问题是什么样的安全服务能最大程度地帮助企业提升信息安全水平。这对服务商和用户都是一个考验。您能谈谈对信息安全服务发展的看法吗?
李建华教授等: 我认为信息安全服务的发展前景是比较大的。但也有几点需要注意:
·信息安全服务的概念及内容,必须有统一的操作规范。
·信息安全服务的法律保障和责任区分。如没有严格的相关法律规范,信息安全服务产业就很难得到健康发展。
·信息安全服务的实时性、长期性。与有形产品一样,信息安全服务也应有售后服务。
·信息安全服务是高附价值的产业,当然也应承担高风险。
三、从国家信息安全应用示范工程透出的信息
记者:“863”计划信息安全主题“国家信息安全应用示范工程”已经取得阶段性成果,获得了业界的高度评价。为什么我们要做国家信息安全应用示范工程?能介绍这一项目取得了哪些成果吗?
李建华教授等: 我个人认为示范工程的目的就在于从感性上提升广大信息工作者的安全意识,并为信息安全人员理清工作思路。当然在一定程度上为培训信息安全人员提供了比较系统的平台,从而让大家知道什么是信息安全?为什么要开发信息安全应用?信息安全应用具体有哪些?我们应该如何实现信息安全?
记者:通过示范工程,您如何看待我国网络安全现状与发展?
李建华教授: 我个人认为,我国目前的网络安全现状是与网络应用不相称的,网络安全形势比较严峻,主要因素是:
第一,虽然网络安全产品有相当一部分是国产化的,但网络设备中自主知识产权的核心技术还相当缺乏;美国在网络运用、标准制定等方面占有绝对的优势和发言权。
第二,我国广大人民的网络安全或者信息安全意识淡薄,接受的信息安全教育非常被动,有些企业、政府的关键部门的决策者根本不重视信息网络安全。
第三,我国的网络安全保障体系还很不完善。相关的安全法规、技术标准等还处于探索中,各自为政的现象还比较普遍。如CA的运用提了好几年了,每次研讨会都会分析,但因利益分配等原因,至今也没有形成全国认同的规范。
记者:从示范工程看,如何才能保证网络系统的安全?
李建华教授等: 我个人认为,网络系统的安全要从系统的高度全方位地把握。安全是一根链条,一张鱼网、一只木桶,网络安全也是这样。任何微小的疏忽,都将导致前功尽弃。从示范工程来看,密码学是基础,安全技术是前提,人的因素是关键,法律法规是保障。上面几个问题都是从这几个方面来回答的。 学习了 谢谢分享!顶起!
页:
[1]