新华网评:网络安全能力需要用什么检验?

24.11.2014  14:21

    杜跃进

    网络安全的本质是攻防对抗。既然是对抗,就有对手,既然有对手,就有动机和谋略,至于对手为达到某一目的所采用的具体方法,则是非常多变的了。

    很多人还没有真正认识到网络安全的这一特点。在网络安全对抗中,完全局限于具体技术方法层面的兵来将挡,就会始终陷于被动;忽略对手主观能动性的特点,认为存在某种可以一劳永逸解决问题的“银子弹”,则早晚会吃大亏。网络安全工作中更需要的不是自然科学规律,而是孙子兵法。我们不但需要了解对手的各种攻击技术,更需要理解“白开心”、“淘黑金”、“纯小偷”和“大玩家”们的不同。

    技术和环境的变化会彻底改变攻防战法与安全态势。在今天全球高度互联的信息社会下,任何一个小的产品或者系统,都开放在全球不同动机的攻击者面前。这些产品或系统的任何一个设计漏洞、管理员或用户的任何一个不当使用或者疏忽,都可能被某个角落里的攻击者所利用,用于窃取隐私、盗窃金钱、甚至杀人越货。唯一的问题就是,你会不会成为目标,以及什么时候成为目标。如果心存侥幸觉得自己永远不会是目标,那就大错特错了:每个人都有很高的可能成为达成最终目标所利用的对象(你可能要为此而承担一些责任),每个人都有更高的可能“城门失火、殃及池鱼”—因为关键基础设施受到攻击而损害自己的利益或安全。

    因此,鸵鸟思想是非常要不得的。禁止研究某个系统或者产品的漏洞缺陷,不能让安全防护方尽量多尽量早地发现问题和消除隐患,得益的是不受本国法律管辖的世界其他地方的攻击者(本国境内的违法者当然也是受益者,总之就是便宜了坏人);通过封闭研发的方式,寄希望于攻击者不知道系统是怎么实现的从而无法攻击,同样是十分脆弱和危险的,因为对这种保密的效果自己是无从知晓的,从而可能导致自己觉得安全实际早已被人掌握的安全假象。而且只要系统投入使用,攻击者就可以开始研究找到攻击方法,而封闭研发欠缺真正的攻防考验,往往更加脆弱;以为找过“权威”队伍进行过安全检查、符合强制的安全标准就可以高枕无忧了,这是忘记了攻击者的方法可能不是从“权威”那里学的,长期实战的攻击者的能力也不见得比所谓的“权威”队伍低;等等。

    “是骡子是马,拉出来遛遛”,这是网络安全能力检验的一条基本思路。追求实效的安全竞赛,就是这一思想的重要践行。“XP挑战赛”中,主流XP安全防护产品直接面对全社会的研究人员的挑战,很多厂商从中找到了改进产品的新方法,持续下去的话,这些产品就会在不断的锤炼中成为真正的强者;“GeekPwn”、“XCTF”等比赛,则是通过社会研究人员寻找更多产品的安全问题、通过实战对抗培养和发现实战人才的重要活动。这些做法,也是国际上通行的最佳实践。我们需要的是改变观念、完善规则和机制,让我们的网络安全能力不断得到实实在在的提升。

作者简介:

    杜跃进,博士,北京邮电大学、哈尔滨工业大学(威海)、中科院信息工程研究所兼职教授、博导。曾任网络安全应急技术国家工程实验室主任、国家网络信息安全技术研究所所长。拥有十几年的互联网安全经验,是我国最早从事互联网和互联网安全方面工作的专业人员之一,在我国网络安全关键技术研发、技术手段建设、应急响应、国际合作等领域做出大量贡献。

    主要学术兼职有:中国计算机学会计算机安全专业委员会常务委员,中国互联网协会网络与信息安全工作委员会副主任委员、北京市信息化专家咨询委员会委员、中国通信学会国防通信技术委员会委员、工业和信息化部通信科技委通信网络信息安全专家咨询组专家、中美网络军控专家组专家、香港应急响应组织顾问等。在国内外网络信息安全领域拥有较大知名度和认可度,曾担任亚太计算机应急响应组织(APCERT)副主席,在将CNCERT/CC推向国际以及国家计算机应急响应组织推广方面作出重要贡献;曾担任国际电信联盟“网络安全日程”高级专家组中方代表的第一专家;第29届奥运会安全保卫工作协调小组信息网络安全指挥部技术保障专家和奥组委技术部信息网络安全专家;上海世博安保工作协调小组网络安全指挥部专家;广州亚运会亚残运会安保工作协调小组网络安全工作部专家。曾获得国家科技进步一等奖两项(分别排名第三、第二)、新世纪百千万人才工程国家级人选、全国青年岗位能手、信息产业十大杰出青年、中央国家机关优秀青年(两次)、信息产业部重点工程突出贡献奖一等奖、信息产业科技创新先进工作者、2008年度中国信息安全保障突出贡献奖、中国计算机学会2013和2014年杰出会员和演讲者、2014年亚太信息安全领导成就奖等荣誉称号,获得获得国务院特殊津贴。