從大的方面講,信息安全主要包括:運行安全(主要是由網絡和計算機構成的平臺)、交易安全(傳輸過程中的數據安全)、內容安全、個人或單位隱私保護。幾年前,談論信息安全還僅限於政府部門內部,而且所涉及的也大多是內容安全、防止泄密等。但近幾年,在新經濟的環境下,所有人的生活已與網絡形成了非常緊密的聯系,隨著安全問題越來越引起政府和企業的關註,各種安全技術和產品也不斷湧現出來。但值得思考的是,為什麽在強大的防禦技術的保護下,信息的安全問題反而越來越多,入侵與反入侵技術總是在上演“道高壹尺,魔高壹丈”的活劇?在中國,信息安全應用的最大隱患到底在哪裏?其癥結究竟是什麽?
管理:信息安全應用的最大漏洞
據統計,在美國被中國黑客攻擊的網站中,政府網站占3%,而在中國遭到美國黑客攻擊的網站中,政府網站竟占37%還多。這個數字充分說明,中國的政府網站應該進行的管理沒有到位。其實,美國人所采用的攻擊手段並不高明,其中許多技術漏洞都是被中國人最早發現並公布的,但正是由於在管理上沒有得到足夠的重視,才讓別人利用簡單的技術鉆了空子。
提高安全管理意識已刻不容緩。中國國家計算機網絡與信息安全實驗室主任白碩先生在接受記者采訪時說:“目前,中國的信息安全在技術上的最大隱患是,操作系統、微電子芯片、路由器等核心技術都掌握在別人手裏,這是壹個極為嚴重的問題。像中國這樣壹個大國,沒有自己的核心技術,就好像所有的信息系統都建築在沙灘上壹樣,稍有風吹草動,我們就會失去平衡。盡管不久前中國國防科技大學推出了自主研制的核心路由器,中科院軟件所也有了相應的安全操作系統軟件推出,但這些剛剛起步的技術離可用還有壹段距離,況且面對著如此具大的應用市場,這壹點突破仍然是杯水車薪。”
那麽,如何解決當前的問題?在只能采用國外產品的情況下如何保證信息的安全?怎樣在現有條件下,對壹些疑點進行修補呢?白碩先生認為,壹個最直接、最有效的方法就是拉緊管理這根線,用嚴密的制度彌補技術上的不足。近幾年,我國的政府機構為了加強對信息安全的保障,實行了內網與外網分離的策略,但這種隔離從嚴格意義上講只能防外而不能防內。事實上,不管多麽先進的安全技術,都抵擋不住從內部攻破,先進技術解決不了人的問題,“家賊難防”是盡人皆懂的道理。北京郵電大學信息安全中心楊義先生曾說過,信息安全在管理方面還存在幾個問題:壹是CA(數字證書認證中心)的建設,目前全國***建立了不下20個CA認證機構,其實有壹個就足夠了;二是目前的安全問題,包括病毒、網絡安全、加密等,也分屬很多部門管理,各有各的標準。建議設立壹個統壹的部門,把認證及所有安全問題統壹管起來,以保證擁有壹個標準的控制手段。
投資失衡:信息安全應用的隱患之壹
信息安全在技術與管理上的比重失調還明顯地體現在投入上。目前在中國,大多數企、事業單位在建立信息系統時,安全建設方面的投入均不足整個系統的5%,而國外在這方面的投入壹般都在10%~15%。如果對這5%的投入進行具體分析,其中用於購買硬件設備的投資已基本接近發達國家的水平,而購買服務和管理的投資幾乎為零,因而從信息系統建設壹開始就已經給安全帶來了極大的隱患。
那麽,企、事業單位在IT投資時,安全管理方面的資金應該投到哪些方面呢?在壹個信息化系統中,屬於管理的問題有很多,在某些情況下,與信息化配套的管理機制不可能自發地產生,這時安全管理就必須進行購買,也就是花錢買管理。企業或事業單位應該與壹些專業從事安全管理的公司進行合作,***同建立起壹套管理體系,包括質量管理體系、文檔管理體系、組織體系、監督檢查機制等,要根據各單位具體的安全需求配置安全級別。單位中需要管理的事務很多,如果管理機制得不到很好的慣徹,安全是無從談起的。
另壹個資金投向應該是安全服務。信息技術在不斷地發展,安全問題也將隨著網絡應用的不斷深化而變化出更多的新內容,安全漏洞防不勝防。然而,目前對於中國的許多企、事業單位來說,最為困難的還是缺少能夠全面承擔起各種安全系統管理重任的人才,在這種情況下,唯壹的變通方法就是花錢買服務。但是,目前在中國,各單位在安全服務方面的投入也基本為零。
技術分布失衡:信息安全應用的隱患之二
白碩先生認為,目前在國內市場上,保障網絡安全的產品不是太少,而是太多了。但從分布上看,少數類型的產品又過於集中。例如防火墻,現在許多廠商都在做防火墻,已經造成壹種水平不高的重復,從宏觀上看這並不是壹種理想的技術格局。網絡安全保障具有非常多的環節,包括預防(漏洞掃描、風險評估等)、實時檢測、審計、記錄取證、災難恢復以及對於攻擊的響應手段等,但目前這些安全環節在產品開發上並沒有得到合理的分布,如安全中的必要環節審計、取證、備份和災難恢復等產品數量偏少,而且沒有過硬的技術。
作為政府的信息安全管理部門,信息產業部計算機網絡與信息安全中心目前非常關註安全產品和服務的標準及立法等問題(即對於安全產品及服務的合格認證)。不久他們將召開壹次關於網絡安全服務試點選擇的會議,並將出臺壹系列具有長遠規劃的安全法規和政策,力圖讓人們看到國家信息安全發展的脈絡。而對於標準,他們希望改變現有的工作模式。過去的方法是,由國家下達壹個標準化研究任務,壹些專門從事標準研究的機構就開始制定工作,現在看來這種方式已經不適應時代的發展,因為專職研究機構距離研制安全產品的第壹線還有相當大的距離,因此對於壹些策略的理解還存在很大差距。信息產業部希望,將這種研究方式轉化成以企業為主的標準研究方式,把壹些真正有實力的大型企業聯合起來,***同承擔標準的制定工作。
追求安全不應該制約發展
安全問題是現代經濟發展的最大障礙,但是不是因為安全問題得不到很好的解決,國家和企業就必須放慢發展的步伐呢?在討論安全與發展的關系之前,我們需要搞清楚的是,什麽樣的系統是安全的系統。壹個商業系統,永遠也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說:“在商業系統內部,安全是壹個相對的概念,因為我們無法追求絕對安全。什麽叫相對安全?首先,安全問題所帶來的損失是商業企業能夠承受的。例如信用卡業務,它的風險很大,但是銀行仍然在大規模地開展這項業務,這是由於信用卡風險大同時利潤也很大,招商銀行大約30%的利潤都來自信用卡;第二,壹定要確保不給客戶造成損失,這是在任何銀行系統中都必須遵循的壹個硬指標。壹旦出現問題,只要有證據顯示責任不在客戶,銀行必須承擔損失。有了這兩條原則,銀行就可以求發展。”
信息安全是壹個綜合性的問題,從政府部門的角度看,安全與發展也是壹個辯證的關系。政府機構對於安全的需求也是分等級、分層次的,只要不突破安全底線,還是要邊發展邊完善。目前保障安全的技術已經很多了,其中用戶的身份識別就是壹個極為重要的方面,此外還有服務器端的管理,如安裝監測軟件、防火墻等等。但最關鍵的壹點還是如何使用這些技術,使系統既安全又好用。總的來說,壹個系統是不是安全,絕不是單純的技術問題,對於業務的管理已影響到了信息安全應用的方方面面,如事後監督、實時監控等。如果從管理和技術兩方面都能夠做到萬無壹失,我們就可以得到壹個相對安全的環境。