|
【开场白】
王红(中国欧美同学会商会2005委员会执行秘书长):各位专家,各位理事,各位朋友大家好!欢迎大家来参加中国欧美同学会商会2005委员会的午餐会,今年在长安俱乐部我们共举办了六次午餐会,包括民间外交、反垄断、房地产调控、新媒体的冲击和世界级的大学,以及今天的信息与网络安全的挑战。每一次的成功举办都得益于各位专家2005委员会的理事及各界朋友的关注和支持。
今天我们是本年度最后一次的午餐会,下面我为大家介绍一下今天的主持人,我念一段文字这个是我们2005委员会的会刊。她是女性,大眼睛,尖削俏丽的面孔,她完全颠覆了中国媒体20年来企业家的形象,在这些形象中大多企业者被塑造成刚毅勇猛的英雄,他没有英雄的气概,有的只是女性的若性。我们有请北京星辰有限公司的CEO严望佳女士。
严望佳(北京星辰有限公司的CEO):非常高兴在冬日的中午和新老朋友讨论一个比较严肃的话题。其实信息安全今天我还在路上想可能大家认为比较窄的问题,所以我在想会有多少人来参加我们的午餐会呢,所以今天看到大家也很高兴。
其实我今天来举行,我觉得从一个更广阔的视野,不光从信息安全谈信息安全,我觉得希望从更广阔的角度看信息安全的问题。 前一段时间有一本书《叫做世界是平的》我相信大家多多少少都看过,听过,或者讨论过。我们处在这么一个信息革命的年代里面,经历这场革命,我们看到周围很多的东西都在发生变化,包括会有很多的秩序被建立起来。
这些秩序怎么样去保障呢?在现在这个阶段我们在互联网上,或者在我们身边发生着怎么样的网络安全事情呢?所以我们今天非常荣幸请到了两位我认为是业内非常资深,口碑非常的好,而且非常儒雅,而且又具有国际视野的两位专家会花点时间介绍国内技术需求,以及我们信息安全发展的各种各样的情况。
严望佳(北京星辰有限公司的CEO):下面我们有请的是赵战生教授,他曾经是中国研究生院重点信息按照生的导师,也是国家信息化专家咨询委员会的专家,我印象最深的是每年赵老师亲自参与国际上最重要网络安全的展览和网络安全的研讨。赵老师也曾经组织翻译了几十万字,有可能上百万字美国国家安全保障计划,为我们国家制定策略,刚才我谈到说可能有更多更广阔的视野,其中一个视野就是其实互联网把世界变成平了以后再来谈国家主权的问题,但是这个问题离我们比较远一点,从企业来讲企业信息化过程当中,我们信息安全怎么样去做,怎么样投资,怎么样保证我们的敏感信息不被泄露,保证方方面面的问题。
这方面赵老师参与了很多国家的标准和产业界标准的制定,我下面请赵老师给我们讲他的演讲题目是“提高信息安全的意识促进信息和谐社会的发展”。主要内容涉及到国内外的安全形势,安全技术国内体制发生的状况,以及目前国际上的发展对我们的启示,谢谢!
提高信息安全的意识促进信息和谐社会的发展
赵战生(国家信息化专家咨询委员会专家):今天是咱们欧美同学会午餐会。因此应该说是各位业界的精英们大家好!利用今天这个时间,20分钟,让我来说一下有关信息安全的一个事情。所以时间不多,只能说拉拉洋篇,讲讲情况,说说故事。
讲的题目刚才已经说过了,这篇图片大家一看老猴子,从猴子变成人,经历了农业革命,工业革命和信息革命,我们中国5000多年的文化4000多年在农业革命渡过的,然后进入工业革命的时代,现在进入信息革命的时代了。28号刚刚开了今年度中国信息大会的高峰论坛,这次会议的主题就是信息化汇集全民推动和谐社会的发展。每年都有一个主题,今年是选择这样的主题,大家知道党中央对和谐社会的问题是很重要决策性的东西。
从这样一个会议的进程安排就可以看到了来自方方面面的领导,从总体的工作方案、到党建、到社区、到农村、到经济发展,到网民素质和相应方方面面的综合技术工作都在谈这样的问题,因为信息化,要化到各个领域中间去,如果说出现某种数字鸿沟,信息化这种应用和发展就处在不协调的状态。国家从这些意义来讲和谐问题。但是今天我也讲这个和谐问题是从另一个角度来讲。如果说信息化的发展不解决信息安全问题,那么它也是本来是一个生产力的革命,一个新的工具和手段,你也不可能取得高效益和高效率。
大家知道信息化是化出来是信息技术的发展,或者说信息通信技术的发展所带来的。早在97年就有人根据以前的发展趋势来做了一番总结,并且预测今后的发展趋势,说70年代是以IBM为主要的潮流开始了计算机的应用,以至于到80年代中成为一个高潮,但是像比尔·盖茨这样的年轻人认为应该解放计算机,不单单是白领可以玩得了,随便一个孩子们,一个家庭都可以用计算机。因此,就造个人计算机,因此就出现了80年代初的个人计算机的发展,以至于说到了90年代发展到一个高潮。90年代作为高潮,过去曾经有一个网,是60年代美国军方为了防止打击核导弹,因此搞一个网络。那个时候计算机只准军用,政府用,老百姓不能用,经不能商用,不准沾铜臭的,大家知道在90年代克林顿当总统的时候,副总统主持美国所谓国家信息高速公路的计划,因此就把这样一个网络解放出来了,允许广泛的社会应用,准予商用,因此90年代从文化的应用作为一个起点,以至于到现在网络化的应用成为一个高潮。随着信息化的进一步发展,划到各行各业,大家运用这些平台和手段,产生了许多数据、信息、知识,这里面都有它的特定内容了。
因此从现在开始进入一个新的起点,就是以内容为中心的起点,以至于今后将发展出以内容为中心的新的高潮。过去的总结是对的,今后的预测似乎也是正确的。这张图是美国的国土安全部去年一个所谓研发技术中间提出来的,它表达一个什么意思呢?过去我们重视信息安全,大体是在一个信息技术,信息通讯技术平台上注意这个安全。但是随着信息化的广泛应用,已经划到各行各业中间去了,其中包括这些工业控制部门所谓分布式的控制系统,数据的采集和监控系统等等这些系统,因此我们现在来看信息安全,不仅要从信息技术平台上看,还要进一步看我们信息化的应用走到哪一步,深入到哪一步,这样才能有一个全面信息安全的视野。
信息安全的问题伴随着信息化,信息技术的应用,一开始就出现了。但是早期的一些所谓安全事件还是小儿科的,现在看起来的话已经发展的更复杂了,这是一个其中网页被篡改的实例,这是美国联邦的网页,96年8月17号被人篡改了,这个网页变成法西斯的旗贴上去了,并且把联邦司法部变成联邦不公平部。法兰克说赶紧把我的坟墓迁走吧,我在这里得不到片刻安宁了。把希特勒为部长,把某个明星任命司法部部长。后来司法部说不能滥用信息问题,但是有些人不满,在美国式民主下搞了这么一番恶作剧。这是美国空军正常的网页。96年9月29号被篡改成上面两个圆的是一个静止图片,如果动的话是一个来回转的,下面是一个南南女女群交的图片,还写着这就是你们整天干的事情。据说美国空军曾经搞神秘感的事情,某空军基地蒙着眼睛了,进去不知道是哪,出来也是这样的。曾经他们发现天外来客,后来又矢口否认有这样的事,纳税人对他们不满,制止于在网上用这种行为发射他们的不满。
现在不是小儿科对网页做一点篡改就完了。从这两条线看起来,从80年代到现在工具的能力在不断的增强,工具手段从网上随便可以下载得到。由于有这些自动化的工具来去实施攻击,因此作为一个个体来讲,它需要的知识和技巧就越来越少,是这么一个新的形式。以至于说发展到现在,有一个公司给了一个图,90年代以天的时间去影响一些个别的网络,到了今天已经是更少的时间影响更多的网络,在未来秒的量计下影响全球性的经济措施,工具的手段是这样了。
正好今年度有关于信息安全的报告出笼。我们国家是五月份,美国有一个计算协会和联邦调查局发布相应的调查报告。我们的样板空间远大于他们了,我们是10000多个,他们是600多个。这一张看起来美国从90年代起,99年他们把历年相应网上发生攻击事件做了一些类型的归类。每年的报告在这个图上表达了一下。从总体趋势看,由于重视信息安全,所以各种攻击发生的百分比是略有下降的状况,但即便是这样,包括病毒,包括各种方面的一些攻击事件相应的百分比还是相对比较高的。从未经授权使用的情况来讲,到现在为止还占到52%左右的情况,以前还更高,曾经高到过70%。
作为我们国家来讲,在上一个年度里面,通过调查发生过一次,两次,三次以上的攻击事件加起来20,31,53。占到的百分比也是相当的高。我们国家发生的信息安全事件比较突出的是计算机病毒,从木马等等这些,占到了整个安全事件总数的84%。断口、扫描、网络攻击占到36%,垃圾邮件现在也是相当厉害的事情了,可能诸位每天要处理的事情很多就是垃圾邮件要删掉,这样占到35%,计算机病毒的感染率相当高,达到74%。造成的损失大概比例是62%这样的情况。
所谓安全技术的应用情况,从这两个对比我们可以看起来,在我们国家比较多的应用是防火墙,计算机病毒占80%,计算机检测21%,内网的隔离,这些数据都相应少下来了。比起这边你看美国应用的技术百分比比我们高,防火墙达到98%,计算机防病毒57%,等等这些,看起来在信息安全的技术使用方面,我们虽然有了自己的一些产品,派了一些用场,但是和发达国家比较起来,我们还显现出来差距还是落后于人家的。现在作为计算机和通信技术的这些专家们给我们造出来一些东西,有的称之为硬件,有的称之为软件,还有称之为固件。现在又出现了一个,以前说病毒、蠕虫、炸弹,你既然有那些玩意,你抛出一个新的玩意标出来行不行。最近有出的一个明确的定义是坏件。这样比起原来说不清好一些,给我们统一的视野看这些问题。人们关注信息安全,要解决信息安全问题,大概的分析下来是经历了这么几个大的时代,80年代那个时候人们认识到的安全问题该知道让他知道,不该知道让他不知道,就是保密问题,保密问题多出在通讯意义下怎么通过加密解决。
后来90年代计算机大量应用,数字化以后的信息不单有个保密性的问题,还有个信息是不是从一个真正的源传到一个真实的素中间没有被人改动过所谓完整性的问题,信息和信息系统我要用的时候是不是可以用我所用的可用性问题。这个时候就提高到一个保护意义来看问题了。以至于说到90年代以后,特别是美国军方认为这个问题还不够全面,首先我们仅仅提一个消极的保护还不能够应对整个安全形势,因为我们整个工作环节应该加上除了保护以外的检测,检测有什么问题还要相应,相应如果出什么问题还要恢复系统。以至于说我们中国的人们认为前面还应该加一个预警,后面还要加上一个依法的治理和打击。环境的安全属性除了CIA,三个英文字头以外。因为信息系统是人和设备共同构成的。人的责任不能忘了。
去年的RSA会上,美国负责信息保障的人,Danielg这个人,他曾经说过去有一个阶段,现在是新的阶段。三个东西过去我们关注的是一张大网的信息保障,今后技术在发展,所谓GIG,全球信息网格的问题,在全球信息网格的广泛信息共享下我们要追求一个什么呢?就是受保护的,或者有保障的共享,要追求这样的目标。因此他认为未来将面对一个新的阶段。为了解决这些安全问题,人们在技术方面不断发展,去考虑一些问题,包括一些安全产品的测评怎么去要求它,达到什么保障级别。早在70年代美国人做事情,以至于基金出来一个称之为橘皮书,信息系统的评估准则。后来有一段时间有了一些散交,后来95年之后大家制定信息技术相应通用的评价准则,这是一条路。经过若干年发展,今年9月份已经出到3.1的版本了。
另外大家知道密码很早就在派用场了。美国人在密码方面应用的比较早,各种门类开发的比较齐全,因此在算法意义上有对称的,非对称的,还有函数的,相应的这些算法、门类。这些算法要应用,要通过硬件和软件的模块要去把它组织起来,要加以应用。对于模块也是有安全要求的。这是一个发展。
讲到密码来讲,美国抛出来第一次的密码叫DES。这个能不能应用呢?社会广泛关注,来自于社会若干次的挑战。三次挑战答题在RAC的公司组织下大家相应的。第一次在96天的时间,大家在Internet网上一起协作,最后把这个搜出来了。第二次的挑战在56小时的时间里头,解惑了56位数据密标准。后来用一个芯片做板子,这个板子做了六个机柜,游行在一次RAC会议上,这个会议上给大家表演,24小时的成果在会议期间取得的。与此同时学者有一些预测,到底什么样的密钥花多少钱解决,如果你花40美元的话你可以造一个机器,通过40位的密钥可以解决。以至于说你花30万元用更多的几百个,七百多个近千个造一个攻击40位密钥,或者说从24秒到0.1秒的时间,也就是十几天到三小时。刚才讲的实例跟专家预测的拟合度还是很高的。假如你有钱,假如你花三亿元你做150万芯片专门的装置,大概是40个密钥量就是0.02毫秒就可以搜出来。为什么有一个40个密钥呢?这是美国曾经限制密瑶出口的长度。
由于这些问题,大家要探索什么样的算法能够解决今后的应用。从97年开始,美国商务部底下的国家技术标准研究所就发动了代替算法征集,现在形成了AES。密钥量加强远不是56位,从128到256这么长都可以变化。同时欧洲发起新欧洲的签名,加密的计划。几个字头加起来叫NESSIE,他们不仅是增加一个加密算法,里面包括等等一系列的算法。这张图是产品安全的图,过去虽然有一些安全标准,但是这些只能解决在实验室环境下,评价一个产品是不是安全的一些依据,但是我们面临广泛使用的是一个现实环境的一个信息系统,这里面除了技术问题,还有很多管理性的问题,人为的问题,因此风险管理、安全策略等等一系列问题都要考虑,因为现实的威胁和策略性摆在我们的面前。因此现在看来人们把眼光又提升了一层,不仅仅在技术层面,在产品层面来关注安全,还要在应用系统的层面,在一个现实的世界来关注这个安全的问题。
关注安全的问题,我们国家提出来需要管理和技术并重的问题。管理的问题在国际上这几年也发展成为一个重点,这个是现在国际标准化组织第27这样一个分委员会,在信息安全管理体系中间已经确立要制定一个所谓ISMS的系列标准,这里面除了管理体系要求,管理体系要求所要选出来的控制,这两个05版已经出来了,其他相应的标准都还在制定中间。包括了这样一个体系管的好不好的一些测度,包括风险管理安全管理中间的核心问题等等一个标准族。对于安全体系欧洲也是非常关注的,今年6月份他们有一个机构叫做欧洲的网络信息安全局的技术部,专门公布了一个风险管理执行原则和风险管理风险评估的方法和工具的详细清单。这样的文件是作为他们今年推动工作的重要依据。在这里面有一个思路,不仅仅是依靠标准提供一些方法,大家来做好相应的管理。还需要我们业界提供一些工具来制成这样相应的安全管理的问题,下面他们就开出来一些方法的清单。若干个来自于国际上各个国家行之有效,或者正在实验的一些方法,这是一个清单。还有有哪些个技术工具可以支持风险管理和风险评估。看起来大家都是非常重视在信息安全管理体系下运用一些先进的技术工具手段支撑好这样一个管理的工作。
对于现在信息安全的问题要关注它,已经形成了这样一些概念,其中瑞士联邦的研究院,02年出了关于国际关键信息基础设施保护手册,今年出第三版了。这里面比较很多国家,以及今年比较20多个国家。大家在所谓关键基础设施意义上取得了共识,同时也在关键信息基础设施是支持关键基础设施正常运作的一个核心,这一点也取得了共识。因此在这个意义上大家都在另选一个国家支持国民经济稳步开端的设施到底有哪些,同时运用风险评估的思想,来评价一些现在的安全状况到底是什么样的。美国人在关键基础设施意义上又走了一步,不单是CI,还加上KR,关键资源,有关键基础设施还有考虑重要资源。在这种意义上,他们把他们国家所谓关键基础设施的重要资源形成一个13+4的这么一个概念。在这样一个概念意义下来部署他们相应的信息安全保障的工作。去年美国总统信息技术咨询委员会提交了两份报告,一份报告是叫做计算科学美国竞争力的保证,这一点可以看得到,美国对于计算科学的重视程度。认为美国要继续领先于全球当领导,如果不发展好他们的计算科学的话,他们做不到这一条,所以抛出这么个报告。与此同时还抛出一个报告叫做网际安全迫于眉睫的危机。虽然有这个技术可以推广应用,但是不解决安全问题,你依然当不了全球的老大。
今年6月份就抛出了联邦网络安全和信息保障规划。这个规划是高层的。在过去信息技术研发中心没有把计划问题作为单列,这一次是第一次的计划单列。意图是要保持21世纪的领先地位,领导地位。要加速先进性的技术科学提高国土安全这么一个目的。同时要在整个的信息技术的科学、工程的研究中间来提升生产力和竞争力,目标是非常明确的。在这个规划中间提到了不仅仅是今天,而且是未来的技术,它声称作为业界是关心今天的需求,用产品来目前今天的需求,而作为政府应该从技术、概念,从关键的突破方面要关注未来的需求。因此未来的需求它从8个大的技术领域,包括网际安全的功能,安全基础设施,特别领域的安全,网际安全的描述和评估,网际安全的基础和一些支撑性的技术,和下一代的结构问题,以及包括一些社会问题,社会因素。
在这个报告中间他们很好的做了一番梳理,每一项技术都用它的定义是什么,重要性何在,技术现状怎么样,能力差距是什么,这么四个基本点来阐述它,阐述完了以后又做了一番梳理,在8个大的技术领域中间规划出来49项技术主题,而且给了14项的技术重点和13项的投资重点。之所以分两个重点因为他认为在跨部门意义下有些问题还不能一时取得跨部门的问题,但是确实有它的地位应该考虑到。因此分了两个。其中双重点有5项。作为我们国家现在非常重视信息安全的问题。在03年就制定出来了所谓27号文件,也就是说关于加强信息安全保障工作的意见。在这个相应的计划工作要求中间提出来我们的工作方针是积极防御,综合防范,从刚才提到的一些例子上也可以看得到,如果我们现在仅仅停留在消极的一个饱的状态已经不能适应现在的要求了,仅仅采用某一项技术手段也不行了。因此要综合防范。要达到的目的无非是要全面提高我们的防护能力,要保住我们自己现在提的所谓两个重点,一个基础信息网络和重要信息系统,创造一个健康的网络环境,促进我们国家的信息化的发展,保证公共利益和国家安全。
因此信息安全的大视野它不仅仅是一个技术平台的问题,它是一个要保证信息化化出来国家利益的最大化和那些非传统的威胁所带来负面影响最小化的问题。在这里面提出一系列的要求,提出一个其中一个立足于国情,以我为主,坚持管理和技术并重的问题,从前面讲到这些也可以看到国际上也是这样认识的,同时要处理好安全和发展的关系,在发展中间来求安全。同时要统筹规划,突出重点,要加强技术性的工作,要把各行各业,各个部门的责任要划分清楚。27号文件提出不少试点基础性的工作,为了设计这些基础性的工作,风险评估到信息安全保障体系搞了一系列的试点工作,我们也在参与和推动这些试点的工作。因此从国际的发展和我们自己的需求,看起来我们也需要在我们的信息系统这样内核就应该有安全的设计了,包括我们的芯片。我们的编程中间就应该有相应的安全功能了。现在我们叫做自有的,自主可控的技术,现在看来是非常缺乏的,现在严望佳在这方面有公司,有不少贡献,但是希望更多人在这方面有更多的贡献,这样可以提升自由技术的可用性和应用性。我们安全问题也要跟上去。
现在27号文件已经到了攻关的阶段了,因为这里面提出五年要建成我们国家的信息安全保障体系,现在已经第三年了,因此到一个关键阶段了。但是许多技术性的工作还需要很多同志继续努力,包括直接从事信息安全的,包括不见得是直接从事,但是你是信息化这场革命中间的一员,这一员中间你可能是成果的享受者,你也可能是信息化的推动者,咱们共同夯实这个基础。信息技术安全窄了一点,我个人从事这么多年,我看看不是那么窄,还有相当的宽度和深度。因此大家在开始学习阶段逐渐在提高,逐渐解决好我们自己的问题,所以我们还是在实践中学,在实践中提高,在提高中怎么落实。我们国歌有一句歌词叫做用我们的血肉铸成我们的长城。现在用信息化不够了,除了用我们的血肉之驱还加上我们的智慧。最后看起来我们要唱一句用我们的智慧铸成我们新的长城,取得我们信息化和谐的发展。谢谢大家!
严望佳:感谢赵老师。我先给大家介绍参加我们会议的嘉宾。首先是我们欧美同学会副会长,我们的商会会长王辉耀先生;我们钛极科技集团执行董事、中国区总裁李婧女士;原法国兴业银行上海分行高级副总裁魏国正先生;北京矽科华星科技股份有限公司总经理陆庆成先生。
下面我们有请杜跃进博士,杜博士是我们国家应急技术协调处理中心的副总工程师,他曾经参与国家大量的课题,荣获国家科技进步一等奖,荣获信息产业部重点工程突出技术重点奖,也是我们国家中央机关优秀工程,而且还享受国务院颁发的政府津贴。除了纸面上的文字,我最愿意介绍杜博士,早在早年之前杜博士指导我们的国际论坛,成为国际上组织的一个成员。到现在我们国家的应急处理协调中心已经是亚太应急相应合作组织的副主席。这些是杜博士给产业界做的贡献。下面我们把时间交给杜博士。
杜跃进(国家计算机网络应急技术处理协调中心副总工):谢谢,不敢说我主导,只是参与。用20分钟的时间我想讲的简单一点,和大家分享一些情况。推广一个观点。首先我们假设一个案例,假设我们现在有一个万两黄金的保护计划,现在借用流行的一个词PK,假设两个公司到这里来参与我们这个计划的PK,第一种模式我把它叫做海盗模式。它怎么做呢?它的方案是,我设计一个十公分厚的特种钢柜,把万两黄金放在钢柜里面。我把它放在撒哈拉沙漠。第二个叫博物馆模式。我把它放在一个玻璃柜,而且万两黄金也不能运到偏僻的地方,越是人多的地方越好,让大家参观。
如果是在座的各位选择这两个方案哪一个会胜出呢?为了节省时间我不一一征求大家答案了,本来准备了万两黄金作为中奖者的礼物,因为时间有限,我直接说答案。我们没法判断哪个是好的,哪个是不好的。海盗模式你很难找到它,你很难拿出来。第二个是博物馆模式,我既然起这个模式,它是有它的办法的。你可以打碎玻璃柜,甚至你被抓住,但是黄金是不会丢的。
我讲这个例子是什么呢?我们的安全到底是决定于什么东西?是决定于你的设施足够完善吗?比如说我的柜子更结实,或者说我的科技更先进,我们现在有保险门,我们现在有监视器,我们古代的皇帝什么都没有,可是古代的皇宫比现在更安全。这个缺什么地方?这个是我最后传达的一个观点,我在这里先不说这个结论,但是大家可以明确看得出来的东西,就是设备或者是产品的先进并不足以保证你的安全,如果你的安全人员,钢柜花五天被人快撬开的时候你还在睡觉的时候,这个并不保险。
对于信息通讯技术来讲,我们现在保护信息通讯网络就算我们是万两黄金,威胁到我们的万两黄金滥用行为现在是五花八门,非常多。比如说像这些都是已经看得见的行为,还有一些没有看得见的我没有列在这里。现在的互联网是一个非常好的可以窃密的东西,我们掌握大量的案例,因为我们这个部门是专门来做各种各样安全事件处理的。这些包括通过互联网可以非常方便进行军事、政治、科技情报的窃取。以前我们保密工作大家熟悉要求到两铁,三铁,铁门,铁窗,铁柜,现在铁门,铁窗,铁柜加上武警都没有用了。这不是理论说,有大量的实例是这样。
为此我们不得不跟互联网断开好几个月之久来整顿个人的情况。商业秘密,个人隐私等等也有这样的案例。金融领域也是这样,黑客可以通过在银行内部的埋伏的程序可以把上亿的资金拿出来,完全符合银行内部的各种程序,不需要破坏银行,破解银行的密码。不需要去派钻墙的人去偷你的金柜这个都是有真实的案例。还可以做敲诈勒索的行为,这个不光对银行,对很多企业敲诈勒索,这是热点之一了。
还也很多非法经营,让你正常的经营活动受到不公正的竞争环境,尤其在通信和电信领域。非法活动也很多,赌博、色情等违法活动。恐怖活动,很多的信息是可以在利用互联网来搜集,甚至一些恐怖活动的组织都可以在互联网上做。煽动、宣传,很都的假新闻都不用我讲了,很多的假新闻,大家都难以分辨是否,而且这些东西在平时可能会好一点。
但是在关键时刻,什么叫关键时刻?我们在座很多人可能经历了SARS,在北京的人很多人都收到这样的短信,据绝对可靠的信息,而且是来自朋友的,今天晚上北京要封城了,赶快走,再不走就来不及了。这些我们不知道是真的是假的,而且来自你的朋友,这是绝对可靠的信息。这已经混乱了,很多事情最重要是秩序,脱离了秩序是非常严重。煽动骚乱事件,我们所有的事情,信息通信网络都被充分的加以利用来搞社会性的骚乱活动。所以一句话,现在我们说的信息社会,我把它叫一个虚拟社会,已经影射到我们社会每一个角落,我们这个会议上算不算?算,我们现在还在网络直播。每一个角落都有。虚拟攻击已经被每一个网络产生影响。最近有一个人做一个软件就是用来控制手机的,直接通过互联网上把手机所有信息都发到互联网上,你的通信信息甚至在你不知道的情况下可以在互联网上监听。
我们说的万两黄金其实不光是我们的,大家说你怎么老说万两黄金,我这个不太有钱,所以我觉得万两黄金是最有值钱的东西了。这个万两黄金不光是我们看中,国际上都很重视。在国际领域从03年到现在有一个非常大的热点,就是互联网治理问题,花了两年多的时间,在05年的10月份,在托尼斯做了最后领导人的会议,这个会议其实是大家官方的文件写的是皆大欢喜,但是我是介入这个事情,其实是没有任何进展,尤其是对我们安全方面。
我不想讲太多技术方面的东西。美国掌握绝对的控制权,互联网所有名字翻译体系全部在美国人的控制之下。一些关键的资源,他如果说美国人现在想要中国互联网瘫痪只需要删掉一条记录就可以了。互联网很多公共制定是什么秩序呢?美国商务部民间组织,民间组织是各个政府委员会,这就是世界秩序。这个事情连欧盟跟美国意见不合,可是美国坚决不退让。在大会上说你们要碰这些问题免谈。因为这也是他们的万两黄金,这涉及到他们的国家利益,或者关键利益。
其实从这个角度来看,我们国家的互联网安全现状是什么,我们都知道现在的互联网,或者说IT通信技术正在成为我们国家的关键信息基础设施,而且赵老师也提到我们这些关键信息基础设施影响着我们的关键基础设施,跟我们的交通,金融等等都离不开了。可是这样的关键信息基础设施,我们对它公共政策的制定,关键资源的所有权和运行权完全不能自主。这就是现状。
我们别说那么大的事情,我们说小一点的事情,从事件来看网络安全状况,引用地球人都知道布什先生的一句话,他曾经在美国的电视上说:“世界现在更安全了”。伊拉克战胜之后隔了一段说的。我们经常说是不是这样,大家都在质疑,互联网也是这样,有时候风平浪静,但是是不是更安全呢。我随便说几个数字。
刚才赵老师说蠕虫,蠕虫是大面积爆发的攻击程序,它会大致大面积的网络瘫痪。蠕虫的课题到现在都没有解决,现在随时有人用蠕虫导致网络瘫痪。僵尸网络是很可可以控制大规模的网络攻击程序。我们05年的数据,我们中国大陆至少有250万个IP是被人控制的,这些人都不知道。这些人在做被头去信息信用卡的事情,可能用这些机器来攻击你的网站,来敲诈你,很多在线运营系统,可能敲诈是你自己的老板,或者你自己,在用你的计算机。超过五千个节点规模的僵尸网络也140多个。一个僵尸网络可以通过大概150万个计算机。大家想想在座都是精英,你能不能随便说买150万台计算机搭一个网络,人家黑客就花一点上网费控制全世界各个网络。
木马可以通过网络监听控制你密切的软件。我们中国的IP被人控制向美国、韩国发送消息。我们至少每年有2万个信息被人控制。包括替你做银行转帐的事情。我们发现这连续几年,这几万控制者都来自相同的区域,前四名都是美国、中国台湾、中国香港、日本。在线身份窃取,通过网络的方式窃取信息,银行信用卡的信息,包括各种各样个人其他的身份信息,我们自己处理的04年300多起,05年400多起。攻击者会利用中国的计算机来攻击其他国家的用户,偷他们的东西,因此他们必须找我们合作才可以解决这个问题。
有一个最近最流行的,从2000年2月份到现在一直没有消停的事情。就是分布式的拒绝式的攻击。举一个例子就好像我想让你家电话不好使,我用你的信息在互联网骂全国人一遍。我骂东北人,骂河南人,骂上海人,我最后留一句话,有本事你骂回来,所有人都会骂回去,这就是分布式攻击,我在互联网是有动机的,我是商业竞争对手我可以这么干,我就算不是对手,我给你发一个信息,必须在哪个银行发钱,否则让你的网络每个人都上不去。因此从这个事件上看我们的网络安不安全大家都知道了。
我们现在没有看到我们在繁荣,但是我们看的清楚,用网络构建,黑客构建地下经济是一片繁荣。包括欧洲讲例子,十几岁小孩开特别好的车,天天不用工作,就在家里忙着繁荣呢。现在对我们来说,我们日渐依赖的信息社会却似乎总是微如累卵。曾经有人说互联网会垮掉,但是会不会垮掉,我们干这种事情始终提心吊胆。
我们从事件对抗看网络安全保障。安全保障就是在事件层面的对抗。我们在现实社会中有自然灾害这样的东西,这种东西我们人类一直努力和他们对抗,但是这种对抗跟我们现在面临的问题似乎不太一样。对于自然灾害这种我把它叫无动机的,可能大多数是天灾,个别的人祸也不是针对你的,这种事情它的防范是需要更好的设备和技术。
我们的印度洋海啸之后我们干什么?我们建更好的检测体系,我更好的能够警报就可以了。我们分析过谁会发起印度洋海啸吗?谁会针对上海市发海啸吗?没有,根本不会有这样的事情。但是有动机的事情就不是这样了,战争、这种军事,或者情报部门有动机的事件,他是全面的对抗,对抗不光是说检测某一种情况,他是你要应对是36计,我密码可能没有用,我可能派一个美女,或者是间谍计之内的,或者我不需要硬对硬。你是机关枪,我是小手枪,我不可以跟你直接对射,我有各种各样的办法对付你。这种对抗涉及到的相关属性比我们现实做的多很多。主要是一个事件它包含主体的,谁在攻击我,它的目的是什么?包括受体的,我攻击的对象是什么,我想达到的目标是什么,还包括攻击的方法,我工具是什么,我攻击的途径是什么。我们把安全信息都忽略掉了,只是忙着和工具对抗。敌军不断向你射箭,你只是研究新的盾牌把这个箭挡住。
这个蠕虫短时间让网络瘫痪。我们很多次蠕虫使很多旅客在机场滞留。现在ERP很先进的时候,轧钢机都开不开。我们现在的网上招生都必须通过互联网了,没有第二手段。那时候你就只能等着,什么都不好使了。大面积的信息泄露,所有这些红点原来历史上已经发生的事件是真实的事件。蠕虫都会让所有的计算机对全世界开放。你可以在这里面搜集到大量的情报,重要信息应用系统终端,我刚才说的是网上教育可能不重要,还有很多更重要的,将来会有越来越重要的应用系统。
刚才我说到的航空,将来还会有更多的都会终端。主要特点快速蔓延,涉及到的计算机数量非常多。我们对这种事情对抗的焦点,就不光是下面这个,绿色主要是指的人人都知道的事情,或者大家很多人都重视的事情,解决终端的问题。每一次蠕虫我们都杀病毒,杀终端上的蠕虫。可是我们看到24小时好几十万,不算快的。全世界你杀得过来吗?那不是最优先的任务。SARS我们是治病人呢?还是发现嫌疑人隔离让社会正常运转呢?所以这个是对抗焦点。分析发现隐患,我们发现很多的问题里面藏着别的东西,最后才是清除。
我们再看最后一种僵尸网络。一个黑客通过若干个服务器控制全世界的计算机。显然对这样的事情它危害是一种首先可以窃密。另外它是可以瘫痪任何系统,攻击任何系统让它不能工作。主要的特点它可以让各种各样我们知道的网络安全威胁,威力比原来大很多倍,而且非常灵活,难检测。不是说通过分析一个病毒代码我就知道他要干什么。所以像这类东西对抗的焦点就包括除了检测和清除终端的代码之外,还包括检测、传播行为,还要检测控制行为,一个僵尸网络,黑客在控制它干什么,你要发现它才可以。定位和切断它的指挥系统,这些计算机可以先不把它清除掉,但是让黑客控制系统瘫痪掉,它的危害自然暂时就没有了,追踪攻击者。
这个比如说是间谍软件,或者木马的对抗,很多人碰到这种事情怎么样?用杀毒软件杀掉就行了。但是如果你计算机涉及到商业秘密,涉及到国家秘密是不是就这样完了?其实不是这样的。我们对这种事件当然可以杀掉木马就完了,你也可以切断黑客的控制途径。虽然木马在这里,但是它不能控制了。或者是你还应该检查和分析,黑客在植入木马过程中从你这拿什么东西了,有没有留下后门,他留一个秘密通道,将来还可以再进来的。怎么进来的?你有安全防范设施,怎么进来?一定是某一个环节出了问题。
这个是分布式拒绝服务攻击。在很多的情况我们都是做这样的事情,我们在自己的网络边缘设置一些产品或者设备来过滤干扰流量。但是更高效的做法是你能够离工具源更近的地方做隔离,显然你做不到,需要找别人合作。更加高明的我们看到整个网络都干净了,是什么呢?究出并且铲除攻击平台,僵尸网络也可以干这种事情。这个是在线身份窃取的一种,网络钓鱼。这些是受害者、用户。这些是同样是受害者,被钓鱼的公司,这些是黑客的作案工具,第三个环节,方法和途径,有很多的假网站。黑客通过这些被控制的计算机搜集它所窃取的信息,然后通过银行或者市场获利。显然对这样的事件它的对抗焦点清除恶意代码的事情都没有了。它要定位,并且关闭假网站,要分析假网站哪些用户已经中招了,你尽快通知他们,可以跟踪金融的渠道抓到攻击者,抓到罪犯。
所以我们有一个启发,刚才我们说到我们也介绍一些事件的对抗,我们到底有没有误区呢?从刚才介绍的事情里面,我们可以挑出两个挑战来,一个是好像我们需要的不光光是产品,我们需要是一种综合的能力,刚才说到要协调。这种综合的能力我有一个三维的图今天就不介绍了,只是点出来在综合能力不光需要技术,还需要体系,还需要资源,这个资源包括很多的基础东西。另外一个挑战也是借用另外一个会议的主题,网络安全的问题叫什么?叫全球化的问题。
方案在哪里?在全球化解决,点出几个误区可以批判。一个误区只见树木不见森林,现在有各种各样的安全设备,但是这些设备之间每个管理员都分开看的。像我刚才说大规模僵尸网络,你宁愿看一个角落,你看不见这些大树,你处理问题也只是天天是小的问题,根本抓不到最关键的问题。第二个误区社本逐末,事倍功半。很多事情我们只关注清除终端上的问题,但是首先这不是最优先的,其次这不是最高效的。第三个误区生搬硬套,东施效颦,这句话本身也有点生搬硬套。我们现在用于虚拟世界的很多经验,尤其对危机事情处理和突发事件来自于现实社会,我们为此设置的很多制度和流程都来自于现实社会,但是这两者差别很大,最明显的差别是速度上的差别。我这边可能十分钟一个事情了。印度洋海啸这样的事情跟它是不能比的。最大的一个误区迷信技术,搞错对手。我们太多人想着,我通过更好的产品往那一放就永远安全了。我后面加上你也太小看黑客的智慧了。黑客是人,一招不行会有第二招的,并不是说我编一个程序,一进进不来再不干了,并不是这样的。所以永远不应该说有一种往那一放,今后就没有安全问题了。那我就失业了。
结论,网络安全它到底是产品的问题还是服务的问题。首先产品和平台当然是离不开的,它是网络安全对抗的工具和武器。但是产品和平台它应该再有一个发展的方向。就是从单一化的产品发展到综合化,集成化的平台。因为否则的话你只是看到离散的东西,永远效率不行的。另外正在从单一的事件发展到和信息资产相关。产品原来只是和单一的事件关联,入侵检测系统,防火墙,发生一个攻击事件挡住就行了。现在越来越多谁在攻击,攻击的目的是什么。
网络安全更离不开面对这种有组织,有动机的威胁需要是有组织,有计划的相应。这种不光是靠产品实现的,尤其是动态的适应能力是保持安全状态的关键。你铁柜子你说现在所有的技术要花十天才能打开,那是现在,也许明天那只需要一分钟了,你必须不断的调整,这种调整不可能完全来自产品和技术。是需要人的参与,也就体现在服务的层面。祝大家好胃口。希望我的发言有所启发。谢谢!
严望佳:谢谢杜博士,也谢谢赵老师的精彩演讲。我想杜博士说的绝对不是骇人听闻,也不是说让大家没有胃口。现在大家有什么问题吗?
提问:有一个问题关于中国安全标准的问题,问一下关于WAPI标准的问题,最近的一些发展,还有你们对这个话题未来的展望。
赵战生:大家知道WAPI是咱们国家第一个在国际上抛了一个我们自己的想法。但是这个想法到现在还没有获得一种全面的通过,正在竞争和斗争的过程中间。反映什么问题呢?现在国际标准中间虽然有关于无限方面有一些相应的标准,但是并不完善。中国人是有能力指出它存在一些问题,也有能力提出一些自己主张的。但是这里面牵涉到有利益,有些国家在利益中间要扮演领导者,它阻碍你把这个东西成为一种标准去领导某种潮流,这里面有这样的竞争和斗争的问题在。
从我们国家自己也要反省一下我们做这个事情存在什么问题。想法提出来了,很重要的问题就是要就绪。技术支持,方方面面要就绪。我们自己做的就绪的工作不够,因此支持我们去在国际上争取它成立起来,也受到一些局限。当然现在继续在做好这些事情,包括密码算法,大家知道我们国家过去从来没有公布一个所谓我们国家的算法。现在有一个SMS4的算法,配套这个WAPI的标准公布出来了,所以这个事情看起来都在一个工作过程中,也可以说是一个艰难的长征的过程中。当然我们是希望我们国家的智慧更多的贡献于人类,也是为了我们的利益。
提问:我是旗舰律师事务所的律师。有一个问题问杜博士。我说的稍微多一点点。因为我参加这种网络安全的会议大概有过几次。每次大家都是强调硬件的技术保护,很少强调综合治理,我不知道这个词对不对,您的意思我觉得是综合治理的意思。我觉得综合治理这个问题,现实生活中我有很多的客户是计算机网络方面的客户,他们在网络安全做的都是特别的出色。没有出现过被黑客,病毒攻击的情况,但是他们信息安全却受到了极大的威胁。这个威胁不是来自外部,是来自内部。有一个公司花了七年时间研制流媒体的软件,占领全国三分之一的职场。这个信息安全的保护很到位,基本上没有受到外界的盗窃和攻击。但是出了什么问题呢?它内部研发的主创人员,还有他的网络工程师,以及市场部的经理把这个信息窃取了。
因为你用任何技术都没有办法防止制作技术的本人窃取,他们在外面成立一家新的公司。等于这个万两黄金被盗走了。总经理跟我说,如果你偷了我万两黄金,我想办法再创万两黄金。但是你偷走我这个技术等于把我掐死了,你很快就把我占领了。他们的成本是零,我们的成本是用七年来开发的。这个安全的漏洞不是出在技术和网络上,而是出在内部的人员上。现在问题出在哪呢?当我们解决这个事情的时候,这个事情我们处理过几单,一个是直接向法院起诉。法院问我们一个相当头疼的问题,你有什么证据证明把你偷走了,法院要看实物,要看万两黄金,有没有赃物,这个我们没有拿不到,因为万两黄金存在他们头脑里,是一种数据流,这个问题我们碰了第一次壁。
第二次我们到公安机关保安,公安局我们又发现了一个问题,公安机关它对这个窃取商业机密的理解处在一种不确定的情况,他们不理解。最后我们通过科技部进行鉴定,鉴定他们偷的我们的技术,连原代码,公司的标识都没有改变。等于是人脏俱获了。技术以中国人的聪明才智能够低档外来的侵入,但是法制环境是很薄弱的环节,对于这一点您有没有好的建议。
杜跃进:这个问题非常难,也是很好的问题。我补充一点,我的观点技术是和技术对抗的,比如说您举这个案例,如果有非常好的防范措施的话,确实别人没办法从外面直接窃取信息过来。但是您的案例正好说明我另外一个观点。这时候因为有利可图的时候我就不一定这样了。当然您的案例可能是公司里面自己的人觉得这个东西很有市场,我就拿出去做了。
当然也不排除另外一种情况,我瞎猜,如果我是一个人我想要偷你这个东西,我进不去你的防火墙,甚至你跟网络是断开的。我去游说,我参加午餐会好不好,我把技术参加的主干人员我把他说的天花乱坠,他被说服了我就拿到东西了。这就是我刚才说所谓综合治理的问题。我的观点是你要看到你保护的是什么。
我在我们的网络边界筑起一道墙是防止误打误撞的事情。有一些事件干这个事件的人他能获得利益,但同时你的利益受到巨大损失。这个时候再好的防护都是没有用的,所以所谓的综合治理,其实包括法制的层面,包括您刚才说的东西,所以我说体系那部分其实就包括很多软的东西,资源那边也包括。这个案例我一开始我的什么东西不能坚决被拿走的,而不是说被谁拿走,是谁都不应该拿走的。
应该打破这个界限,很多人认为防好外面就行了,其实内部也不安全,我觉得这个着眼的角度应该调整一下。你保护的是万两黄金,保护的并不是别人通过这个万两黄金接近你的。这个要改变。当然我说的容易,很多是要探索和事件的。
严望佳:我也补充一句。这个跟我们国家直接知识产权法制保护不健全相关,因为我不太同意我们法制很健全,我们其实还不是一个法制社会。现在大家已经在呼吁,因为不保护知识产权的话根本就不能保证创新。我们国家要保护软件行业,保护创新型国家,没有这些东西是不可能的。我知道有一些部门在这里面做考虑。具体的法律规定应该是这样的,如果您的客户他被窃取的东西没有证明对他实际带来伤害,那是连立案都不会同意的。
只有等他们盗窃做出产品,并且产品在市场销售,有了认定才能说造成多大的损失。现在最多哪怕立案了,公安机关引起特殊的重视只是把你原代码追出来。这是我们律师研究的结果。通过这件事情你要加强公司的凝聚力,还是文化。把主要的开发核心人员变成股东。希望他们能够为公司负责任,用人的时候加强考察,德才兼备然后是等待法律的出台,这确实是很难。
杜跃进:我也补充一点。刚才说到证据的事情。确实我们经历过很多安全事件都碰到一样的事情。有一些没有像您这么复杂,但是被攻击的人找公安部门人的时候,公安部门都要求出示证据,这个证据是很难的。难在几方面,一个是事发之后再找证据已经没有了,在虚拟世界里面。另外很多证据不能只在自己掌握的一亩三分地就能找得到的,需要外面的配合,所以我们这方面有很多的研究,包括司法方面的取证。其实这里面也还需要很多别的工作,包括一些试钱的工作应该被重视起来,包括合作上的工作应该被重视起来。
提问:我是《中华工商时报》的记者。刚才我听赵老师说咱们国家网络信息安全形势还是比较严峻的。您刚才说了很多西方还有国外的那些标准制定的情况。但是我想听关于咱们国家标准制定比较少,我不知道咱们国家由哪些部门负责制定这个东西?在标准制定中目前存在什么样的问题?困难在哪?
赵战生:咱们国家对于标准的制定,以前还都重视,以前比较多是在密码方面能采用的标准。随着咱们国家信息化的深入。在国信办的关注下,专门成立起来全国信息安全标准技术委员会。这个委员会现在是分着有这么几个工作组。其中有管测评的,有管密码的,有管保护的,有管管理的,有管认证和鉴别认证这些方面。
今天时间短来不及讲更多的事情。标绘已经确定十几个标准有了。但是以前的工作宣贯的力度不够。现在已有的标准,正在写一些有关宣贯的教材,大概明年什么时间就可以出来了。另外大家关心这些标准的话,可以查这样的网站,WWW.TC260.ORG.CN,到这个网站看我们国家有关标准的情况。现在正在制定“十一五”的情况,早上我就在那开会。这些事情重视还是蛮重视,但是有若干问题需要进一步解决,一个标准是广泛公示的产物,不是一个两个学者想写点什么写点什么。
赵战生:再一个标准是需要业界后盾的支持。没有技术,没有自己的能力做这个事情,你写在那里也白搭。第三个标准是要广泛宣贯,规范大家的技术,规范我们行为的。这些问题来讲下来绝不是说叫做几个人写一写就完了。因此这次在制定规划中间大家深刻体会到,我们要制定的规划是一个标准化的工作规划,而不是写标准的工作规划。因此在这些方面来讲已经逐步认识到这些问题了。在一个新的五年计划里面,我想我们的标准化工作会有一个大的前进。
严望佳:我有一个小问题,因为我对刚才杜宝石讲到一个手机的攻击程序已经有人开始在做,挺感兴趣。因为我觉得涉及到每一个人,也许我们现在网络安全是国家主权,国家的利益,有的是企业的行为等等。我想慢慢的可能每个人都会关注网络安全,因为每个人都会有越来越多的信息资产,最后我们的手机可能变成PDA,我们银行的操作,可能很多都会在手机里面,手机里面也会有很多保密的信息,这方面我想请杜博士再给我们多说几句。
杜跃进:具体这个案例我说不了太多,也是刚刚在网上看到并不是亲自掌握这个案例。这个案例好像一个公司卖这个产品,有的律师讨论合法还是不合法。显然很多东西其实都是技术本身让你很难说合法不合法。但是这些东西会打擦边球,说我不是为了这个目的,但是很多用户其实就是为了这个目的。具体这个案例我说不了太多东西,但是借刚才严总的话,不光是因为我们用手机了,大家用在银行存钱,大家都用信用卡。每年通过信用卡,或者说网上银行这些事情导致的这种损失也是很大的。所以我倒是赞同那个观点,我们跟每个人都是相关的。这个案例本身我分享不了太多东西。
严望佳:我们期待着以后跟您再分享。如果没有什么问题的话我们今天的午餐会就到此为止。在这里我要感谢支持咱们午餐会的媒体,包括搜房财经,商务周刊杂志社,经济观察报,搜房网,互联网周刊,谢谢大家的参与。感谢!
(责任编辑:丁潇)
| 
精彩生活 
