網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。既然是對抗,就有對手,既然有對手,就有動機(jī)和謀略,至于對手為達(dá)到某一目的所采用的具體方法,則是非常多變的了。
很多人還沒有真正認(rèn)識到網(wǎng)絡(luò)安全的這一特點。在網(wǎng)絡(luò)安全對抗中,完全局限于具體技術(shù)方法層面的兵來將擋,就會始終陷于被動;忽略對手主觀能動性的特點,認(rèn)為存在某種可以一勞永逸解決問題的“銀子彈”,則早晚會吃大虧。網(wǎng)絡(luò)安全工作中更需要的不是自然科學(xué)規(guī)律,而是孫子兵法。我們不但需要了解對手的各種攻擊技術(shù),更需要理解“白開心”、“淘黑金”、“純小偷”和“大玩家”們的不同。
技術(shù)和環(huán)境的變化會徹底改變攻防戰(zhàn)法與安全態(tài)勢。在今天全球高度互聯(lián)的信息社會下,任何一個小的產(chǎn)品或者系統(tǒng),都開放在全球不同動機(jī)的攻擊者面前。這些產(chǎn)品或系統(tǒng)的任何一個設(shè)計漏洞、管理員或用戶的任何一個不當(dāng)使用或者疏忽,都可能被某個角落里的攻擊者所利用,用于竊取隱私、盜竊金錢、甚至殺人越貨。唯一的問題就是,你會不會成為目標(biāo),以及什么時候成為目標(biāo)。如果心存僥幸覺得自己永遠(yuǎn)不會是目標(biāo),那就大錯特錯了:每個人都有很高的可能成為達(dá)成最終目標(biāo)所利用的對象(你可能要為此而承擔(dān)一些責(zé)任),每個人都有更高的可能“城門失火、殃及池魚”—因為關(guān)鍵基礎(chǔ)設(shè)施受到攻擊而損害自己的利益或安全。
因此,鴕鳥思想是非常要不得的。禁止研究某個系統(tǒng)或者產(chǎn)品的漏洞缺陷,不能讓安全防護(hù)方盡量多盡量早地發(fā)現(xiàn)問題和消除隱患,得益的是不受本國法律管轄的世界其他地方的攻擊者(本國境內(nèi)的違法者當(dāng)然也是受益者,總之就是便宜了壞人);通過封閉研發(fā)的方式,寄希望于攻擊者不知道系統(tǒng)是怎么實現(xiàn)的從而無法攻擊,同樣是十分脆弱和危險的,因為對這種保密的效果自己是無從知曉的,從而可能導(dǎo)致自己覺得安全實際早已被人掌握的安全假象。而且只要系統(tǒng)投入使用,攻擊者就可以開始研究找到攻擊方法,而封閉研發(fā)欠缺真正的攻防考驗,往往更加脆弱;以為找過“權(quán)威”隊伍進(jìn)行過安全檢查、符合強(qiáng)制的安全標(biāo)準(zhǔn)就可以高枕無憂了,這是忘記了攻擊者的方法可能不是從“權(quán)威”那里學(xué)的,長期實戰(zhàn)的攻擊者的能力也不見得比所謂的“權(quán)威”隊伍低;等等。
“是騾子是馬,拉出來遛遛”,這是網(wǎng)絡(luò)安全能力檢驗的一條基本思路。追求實效的安全競賽,就是這一思想的重要踐行。“XP挑戰(zhàn)賽”中,主流XP安全防護(hù)產(chǎn)品直接面對全社會的研究人員的挑戰(zhàn),很多廠商從中找到了改進(jìn)產(chǎn)品的新方法,持續(xù)下去的話,這些產(chǎn)品就會在不斷的錘煉中成為真正的強(qiáng)者;“GeekPwn”、“XCTF”等比賽,則是通過社會研究人員尋找更多產(chǎn)品的安全問題、通過實戰(zhàn)對抗培養(yǎng)和發(fā)現(xiàn)實戰(zhàn)人才的重要活動。這些做法,也是國際上通行的最佳實踐。我們需要的是改變觀念、完善規(guī)則和機(jī)制,讓我們的網(wǎng)絡(luò)安全能力不斷得到實實在在的提升。
作者簡介:
杜躍進(jìn),博士,北京郵電大學(xué)、哈爾濱工業(yè)大學(xué)(威海)、中科院信息工程研究所兼職教授、博導(dǎo)。曾任網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室主任、國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長。擁有十幾年的互聯(lián)網(wǎng)安全經(jīng)驗,是我國最早從事互聯(lián)網(wǎng)和互聯(lián)網(wǎng)安全方面工作的專業(yè)人員之一,在我國網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)、技術(shù)手段建設(shè)、應(yīng)急響應(yīng)、國際合作等領(lǐng)域做出大量貢獻(xiàn)。
主要學(xué)術(shù)兼職有:中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會常務(wù)委員,中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會副主任委員、北京市信息化專家咨詢委員會委員、中國通信學(xué)會國防通信技術(shù)委員會委員、工業(yè)和信息化部通信科技委通信網(wǎng)絡(luò)信息安全專家咨詢組專家、中美網(wǎng)絡(luò)軍控專家組專家、香港應(yīng)急響應(yīng)組織顧問等。在國內(nèi)外網(wǎng)絡(luò)信息安全領(lǐng)域擁有較大知名度和認(rèn)可度,曾擔(dān)任亞太計算機(jī)應(yīng)急響應(yīng)組織(APCERT)副主席,在將CNCERT/CC推向國際以及國家計算機(jī)應(yīng)急響應(yīng)組織推廣方面作出重要貢獻(xiàn);曾擔(dān)任國際電信聯(lián)盟“網(wǎng)絡(luò)安全日程”高級專家組中方代表的第一專家;第29屆奧運會安全保衛(wèi)工作協(xié)調(diào)小組信息網(wǎng)絡(luò)安全指揮部技術(shù)保障專家和奧組委技術(shù)部信息網(wǎng)絡(luò)安全專家;上海世博安保工作協(xié)調(diào)小組網(wǎng)絡(luò)安全指揮部專家;廣州亞運會亞殘運會安保工作協(xié)調(diào)小組網(wǎng)絡(luò)安全工作部專家。曾獲得國家科技進(jìn)步一等獎兩項(分別排名第三、第二)、新世紀(jì)百千萬人才工程國家級人選、全國青年崗位能手、信息產(chǎn)業(yè)十大杰出青年、中央國家機(jī)關(guān)優(yōu)秀青年(兩次)、信息產(chǎn)業(yè)部重點工程突出貢獻(xiàn)獎一等獎、信息產(chǎn)業(yè)科技創(chuàng)新先進(jìn)工作者、2008年度中國信息安全保障突出貢獻(xiàn)獎、中國計算機(jī)學(xué)會2013和2014年杰出會員和演講者、2014年亞太信息安全領(lǐng)導(dǎo)成就獎等榮譽稱號,獲得獲得國務(wù)院特殊津貼。