網絡安全的本質是攻防對抗。既然是對抗,就有對手,既然有對手,就有動機和謀略,至于對手為達到某一目的所采用的具體方法,則是非常多變的了。
很多人還沒有真正認識到網絡安全的這一特點。在網絡安全對抗中,完全局限于具體技術方法層面的兵來將擋,就會始終陷于被動;忽略對手主觀能動性的特點,認為存在某種可以一勞永逸解決問題的“銀子彈”,則早晚會吃大虧。網絡安全工作中更需要的不是自然科學規律,而是孫子兵法。我們不但需要了解對手的各種攻擊技術,更需要理解“白開心”、“淘黑金”、“純小偷”和“大玩家”們的不同。
技術和環境的變化會徹底改變攻防戰法與安全態勢。在今天全球高度互聯的信息社會下,任何一個小的產品或者系統,都開放在全球不同動機的攻擊者面前。這些產品或系統的任何一個設計漏洞、管理員或用戶的任何一個不當使用或者疏忽,都可能被某個角落里的攻擊者所利用,用于竊取隱私、盜竊金錢、甚至殺人越貨。唯一的問題就是,你會不會成為目標,以及什么時候成為目標。如果心存僥幸覺得自己永遠不會是目標,那就大錯特錯了:每個人都有很高的可能成為達成最終目標所利用的對象(你可能要為此而承擔一些責任),每個人都有更高的可能“城門失火、殃及池魚”—因為關鍵基礎設施受到攻擊而損害自己的利益或安全。
因此,鴕鳥思想是非常要不得的。禁止研究某個系統或者產品的漏洞缺陷,不能讓安全防護方盡量多盡量早地發現問題和消除隱患,得益的是不受本國法律管轄的世界其他地方的攻擊者(本國境內的違法者當然也是受益者,總之就是便宜了壞人);通過封閉研發的方式,寄希望于攻擊者不知道系統是怎么實現的從而無法攻擊,同樣是十分脆弱和危險的,因為對這種保密的效果自己是無從知曉的,從而可能導致自己覺得安全實際早已被人掌握的安全假象。而且只要系統投入使用,攻擊者就可以開始研究找到攻擊方法,而封閉研發欠缺真正的攻防考驗,往往更加脆弱;以為找過“權威”隊伍進行過安全檢查、符合強制的安全標準就可以高枕無憂了,這是忘記了攻擊者的方法可能不是從“權威”那里學的,長期實戰的攻擊者的能力也不見得比所謂的“權威”隊伍低;等等。
“是騾子是馬,拉出來遛遛”,這是網絡安全能力檢驗的一條基本思路。追求實效的安全競賽,就是這一思想的重要踐行。“XP挑戰賽”中,主流XP安全防護產品直接面對全社會的研究人員的挑戰,很多廠商從中找到了改進產品的新方法,持續下去的話,這些產品就會在不斷的錘煉中成為真正的強者;“GeekPwn”、“XCTF”等比賽,則是通過社會研究人員尋找更多產品的安全問題、通過實戰對抗培養和發現實戰人才的重要活動。這些做法,也是國際上通行的最佳實踐。我們需要的是改變觀念、完善規則和機制,讓我們的網絡安全能力不斷得到實實在在的提升。
作者簡介:
杜躍進,博士,北京郵電大學、哈爾濱工業大學(威海)、中科院信息工程研究所兼職教授、博導。曾任網絡安全應急技術國家工程實驗室主任、國家網絡信息安全技術研究所所長。擁有十幾年的互聯網安全經驗,是我國最早從事互聯網和互聯網安全方面工作的專業人員之一,在我國網絡安全關鍵技術研發、技術手段建設、應急響應、國際合作等領域做出大量貢獻。
主要學術兼職有:中國計算機學會計算機安全專業委員會常務委員,中國互聯網協會網絡與信息安全工作委員會副主任委員、北京市信息化專家咨詢委員會委員、中國通信學會國防通信技術委員會委員、工業和信息化部通信科技委通信網絡信息安全專家咨詢組專家、中美網絡軍控專家組專家、香港應急響應組織顧問等。在國內外網絡信息安全領域擁有較大知名度和認可度,曾擔任亞太計算機應急響應組織(APCERT)副主席,在將CNCERT/CC推向國際以及國家計算機應急響應組織推廣方面作出重要貢獻;曾擔任國際電信聯盟“網絡安全日程”高級專家組中方代表的第一專家;第29屆奧運會安全保衛工作協調小組信息網絡安全指揮部技術保障專家和奧組委技術部信息網絡安全專家;上海世博安保工作協調小組網絡安全指揮部專家;廣州亞運會亞殘運會安保工作協調小組網絡安全工作部專家。曾獲得國家科技進步一等獎兩項(分別排名第三、第二)、新世紀百千萬人才工程國家級人選、全國青年崗位能手、信息產業十大杰出青年、中央國家機關優秀青年(兩次)、信息產業部重點工程突出貢獻獎一等獎、信息產業科技創新先進工作者、2008年度中國信息安全保障突出貢獻獎、中國計算機學會2013和2014年杰出會員和演講者、2014年亞太信息安全領導成就獎等榮譽稱號,獲得獲得國務院特殊津貼。
京公網安備 11010502049343號