在世界范围内,中国信息安全水平被排在等级最低的“第四类”,与某些非洲落后国家为伍,我们的邻居兼IT产业对手印度排在第三类。国外最新研制出的计算机“接收还原设备”,可以在数百米、甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。或许,下一轮计算机的换代将不是因为速度,而是因为安全。
去年10月底在常州召开的第17次全国计算机安全学术交流会暨电子政务安全讨论会上,国家计算机网络与信息安全管理中心副主任方滨兴演示的幻灯片让与会者心惊肉跳:去年1至3月,观察到的全球病毒扩散次数超过5.8亿次,我国超过3.13亿次;全球有33.6万台电脑被感染,我国超过8.89万台。
据人民大会堂表决系统的设计者之一,北京航空航天大学计算机系教授熊璋介绍,为了屏蔽计算机信息传输中的辐射,需要拿专门的仪器进行实测,做到在门口的马路上检测不到大会堂内传输的电子信号。
当人们静下心来思考信息安全的对策时可能会沮丧地发现,自己首先需要解决的问题似乎不是如何根除危险,而是如何“端正思想”,即如何“容忍”危险,学会“与危险共存”。因为从根本上说,危险是不可能一劳永逸地解除的。
今人面临的风险并不弱于古人。古人固然享受不到计算机网络等新技术带来的方便、效率和财富,可也绝对不会遭遇核武器、生化武器、克隆人、网络战等可能带来的灾难和恐慌,更不会想到,“9·11”后“打开一封信都可能是一种致命的危险”。
于是人们便不无兴趣但又并不轻松地看到,当网络专家们兴奋地论证着“网络效应与结点的增多成正比”时,站在一旁的安全专家却忙不迭地告诫“网络结点越多网络越脆弱”,因为多一个链接就多一分被黑客和病毒攻击的危险。
信息安全的话题在这儿似乎成了一个无解的悖论。一方面是人们忙忙碌碌地寻找着各种各样的网络解决方案,另一方面却是“联网本身就是最大的不安全”。
保障信息安全是以牺牲方便性、灵活性为代价的。如同你给家里装了一把很复杂的门锁,小偷是撬不开了,但你自己进门也麻烦了许多,忘记了密码还会把自己锁在门外。为信息安全的层层加密不仅会抬高成本,还会影响系统运行速度。通常情况下人在电脑屏幕前等待的耐心只有7秒钟,如果因为安全而降低了工作效率,不少人宁可放弃安全。著名社会学家、慕尼黑大学教授乌尔里希·贝克就曾批评布什政府所主张的对恐怖分子的全面控制方针“显然是不可能的,而且最终可能导致失望,产生相反的结果”。
在这里,“不安全文化”成了解决信息安全首先需要正视的事实。乌尔里希·贝克据此提出,当今社会应当“发展一种不安全文化”,在他看来,零风险如同零失业率一样,充其量不过是一种“集体的谎言”。如果承认此话有些道理,那么我们的信息安全策略就须把“不安全文化”纳入其中,作为思考和应对信息安全问题的重要参考系。
2002年几乎整个10月份,美国人都是在恐惧中度过的——马里兰州和弗吉尼亚州先后有10人死于“连环枪手”射出的子弹,另有3人受伤。如果不是最终捉住了凶手,不知还会有多少人丧生,而凶手一旦“成功”,其“示范效应”可能带来的后果更会让人不寒而栗。
这意味着“与危险同行”仅有防范远远不够,更重要的是找到入侵者或疏于防范的责任人,让他们付出应有的代价,并以此警示后人。毛泽东早就谈及“积极防御”或曰“攻势防御”的问题,从战略上看,进攻往往是最好的防御。
信息安全风险的防范尤其是这样。中国工程院院士何德全谈及信息安全问题时强调,当前各国都面临着同样一个挑战,那就是“信息防御的成本越来越高,而攻击的成本则越来越低”,一个不知名的中学生制造的病毒就可以让成千上万台电脑陷入瘫痪。为此,信息安全的武器库中光有盾是不行的,还得有矛。
而纵观国内信息安全市场:商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复等等,主流产品几乎都是防御型的,这种格局应尽早改变。一个对风险责任人缺乏震慑力的防御体系必定是低效的,防御成本也会越来越高,而当成本增长超出了“经济视角”的承受力时,信息安全就将陷入空谈。
国家计算机网络防范中心首席科学家许榕生在介绍国际信息安全技术最新进展时说,国际信息安全技术已经从被动防范走向主动出击,当前最热门的“攻击型”技术有两项,一项是取证技术,另外一项是网络入侵陷阱技术。
取证技术是针对计算机入侵、犯罪进行证据获取、保存、分析和出示的技术。如同美国“连环杀手”会在射出的子弹中留下可供破案的痕迹一样,计算机入侵者也会留下这样那样的痕迹,信息安全中的取证技术就是找出其中的蛛丝马迹。
中科院国家信息安全重点实验室研究员赵战生谈及取证技术的意义时认为,信息安全管理,说到底就是“摘责任”,出了问题,需要先把责任搞搞清楚,之后才能采取下一步的措施。
谈及中国信息安全的“根本问题”或“最大隐患”时,业内人士多首选“核心技术缺乏”这一条。中国计算机安全专委会副秘书长、公安部计算机局原总工程师缪道期研究员说,中国信息安全有“三大黑洞”,一是用外国制造的芯片;二是用外国的操作系统和数据库管理系统;三是用外国的网管软件。“你用了外国的东西,万一发生战争,你不知道里头有些什么‘后门’或‘陷阱’能把我们吸到黑洞里去。”他的结论是要搞自己的芯片,自己的操作系统,自己的网管软件。中国现代国际关系研究所信息与社会发展研究室主任俞晓秋也呼吁搞自己的东西:中国不仅有其他国家普遍存在的网络信息安全问题,还严重缺乏网络技术的自主性,“在核心技术上一直依赖国外企业,这才是最危险的。”