高麗華


在世界范圍內(nèi)，中國信息安全水平被排在等級最低的“第
四類”，與某些非洲落后國家為伍，我們的鄰居兼IT產(chǎn)業(yè)對手印度排在第三類。國外最新研制出的
計(jì)算機(jī)“接收還原設(shè)備”，可以在數(shù)百米、甚至數(shù)公里的距離內(nèi)接收任何一臺未采取保護(hù)措施的計(jì)
算機(jī)屏幕信息。或許，下一輪計(jì)算機(jī)的換代將不是因?yàn)樗俣龋且驗(yàn)榘踩?br />

去年10月底在常州召開的第17次全國計(jì)算機(jī)安全學(xué)術(shù)交流
會暨電子政務(wù)安全討論會上，國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心副主任方濱興演示的幻燈片讓與
會者心驚肉跳：去年1至3月，觀察到的全球病毒擴(kuò)散次數(shù)超過5.8億次，我國超過3.13億次；全球
有33.6萬臺電腦被感染，我國超過8.89萬臺。


據(jù)人民大會堂表決系統(tǒng)的設(shè)計(jì)者之一，北京航空航天大學(xué)
計(jì)算機(jī)系教授熊璋介紹，為了屏蔽計(jì)算機(jī)信息傳輸中的輻射，需要拿專門的儀器進(jìn)行實(shí)測，做到在
門口的馬路上檢測不到大會堂內(nèi)傳輸?shù)碾娮有盘枴?br />

正視“不安全文化”


當(dāng)人們靜下心來思考信息安全的對策時可能會沮喪地發(fā)
現(xiàn)，自己首先需要解決的問題似乎不是如何根除危險(xiǎn)，而是如何“端正思想”，即如何“容忍”危
險(xiǎn)，學(xué)會“與危險(xiǎn)共存”。因?yàn)閺母旧险f，危險(xiǎn)是不可能一勞永逸地解除的。


今人面臨的風(fēng)險(xiǎn)并不弱于古人。古人固然享受不到計(jì)算機(jī)
網(wǎng)絡(luò)等新技術(shù)帶來的方便、效率和財(cái)富，可也絕對不會遭遇核武器、生化武器、克隆人、網(wǎng)絡(luò)戰(zhàn)等
可能帶來的災(zāi)難和恐慌，更不會想到，“9·11”后“打開一封信都可能是一種致命的危險(xiǎn)”。


于是人們便不無興趣但又并不輕松地看到，當(dāng)網(wǎng)絡(luò)專家們
興奮地論證著“網(wǎng)絡(luò)效應(yīng)與結(jié)點(diǎn)的增多成正比”時，站在一旁的安全專家卻忙不迭地告誡“網(wǎng)絡(luò)結(jié)
點(diǎn)越多網(wǎng)絡(luò)越脆弱”，因?yàn)槎嘁粋€鏈接就多一分被黑客和病毒攻擊的危險(xiǎn)。


信息安全的話題在這兒似乎成了一個無解的悖論。一方面
是人們忙忙碌碌地尋找著各種各樣的網(wǎng)絡(luò)解決方案，另一方面卻是“聯(lián)網(wǎng)本身就是最大的不安
全”。


保障信息安全是以犧牲方便性、靈活性為代價的。如同你
給家里裝了一把很復(fù)雜的門鎖，小偷是撬不開了，但你自己進(jìn)門也麻煩了許多，忘記了密碼還會把
自己鎖在門外。為信息安全的層層加密不僅會抬高成本，還會影響系統(tǒng)運(yùn)行速度。通常情況下人在
電腦屏幕前等待的耐心只有7秒鐘，如果因?yàn)榘踩档土斯ぷ餍?，不少人寧可放棄安全。著?br />社會學(xué)家、慕尼黑大學(xué)教授烏爾里?！へ惪司驮u布什政府所主張的對恐怖分子的全面控制方針
“顯然是不可能的，而且最終可能導(dǎo)致失望，產(chǎn)生相反的結(jié)果”。


在這里，“不安全文化”成了解決信息安全首先需要正視
的事實(shí)。烏爾里希·貝克據(jù)此提出，當(dāng)今社會應(yīng)當(dāng)“發(fā)展一種不安全文化”，在他看來，零風(fēng)險(xiǎn)如
同零失業(yè)率一樣，充其量不過是一種“集體的謊言”。如果承認(rèn)此話有些道理，那么我們的信息安
全策略就須把“不安全文化”納入其中，作為思考和應(yīng)對信息安全問題的重要參考系。


僅有盾是不夠的


2002年幾乎整個10月份，美國人都是在恐懼中度過的——
馬里蘭州和弗吉尼亞州先后有10人死于“連環(huán)槍手”射出的子彈，另有3人受傷。如果不是最終捉
住了兇手，不知還會有多少人喪生，而兇手一旦“成功”，其“示范效應(yīng)”可能帶來的后果更會讓
人不寒而栗。


這意味著“與危險(xiǎn)同行”僅有防范遠(yuǎn)遠(yuǎn)不夠，更重要的是
找到入侵者或疏于防范的責(zé)任人，讓他們付出應(yīng)有的代價，并以此警示后人。毛澤東早就談及“積
極防御”或曰“攻勢防御”的問題，從戰(zhàn)略上看，進(jìn)攻往往是最好的防御。


信息安全風(fēng)險(xiǎn)的防范尤其是這樣。中國工程院院士何德全
談及信息安全問題時強(qiáng)調(diào)，當(dāng)前各國都面臨著同樣一個挑戰(zhàn)，那就是“信息防御的成本越來越高，
而攻擊的成本則越來越低”，一個不知名的中學(xué)生制造的病毒就可以讓成千上萬臺電腦陷入癱瘓。
為此，信息安全的武器庫中光有盾是不行的，還得有矛。


而縱觀國內(nèi)信息安全市場：商用密碼、防火墻、防病毒、
身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)等等，主流產(chǎn)品幾乎都是防御型的，這種格
局應(yīng)盡早改變。一個對風(fēng)險(xiǎn)責(zé)任人缺乏震懾力的防御體系必定是低效的，防御成本也會越來越高，
而當(dāng)成本增長超出了“經(jīng)濟(jì)視角”的承受力時，信息安全就將陷入空談。


信息防范“攻擊術(shù)”


國家計(jì)算機(jī)網(wǎng)絡(luò)防范中心首席科學(xué)家許榕生在介紹國際信
息安全技術(shù)最新進(jìn)展時說，國際信息安全技術(shù)已經(jīng)從被動防范走向主動出擊，當(dāng)前最熱門的“攻擊
型”技術(shù)有兩項(xiàng)，一項(xiàng)是取證技術(shù)，另外一項(xiàng)是網(wǎng)絡(luò)入侵陷阱技術(shù)。


取證技術(shù)是針對計(jì)算機(jī)入侵、犯罪進(jìn)行證據(jù)獲取、保存、
分析和出示的技術(shù)。如同美國“連環(huán)殺手”會在射出的子彈中留下可供破案的痕跡一樣，計(jì)算機(jī)入
侵者也會留下這樣那樣的痕跡，信息安全中的取證技術(shù)就是找出其中的蛛絲馬跡。


中科院國家信息安全重點(diǎn)實(shí)驗(yàn)室研究員趙戰(zhàn)生談及取證技
術(shù)的意義時認(rèn)為，信息安全管理，說到底就是“摘責(zé)任”，出了問題，需要先把責(zé)任搞搞清楚，之
后才能采取下一步的措施。


談及中國信息安全的“根本問題”或“最大隱患”時，業(yè)
內(nèi)人士多首選“核心技術(shù)缺乏”這一條。中國計(jì)算機(jī)安全專委會副秘書長、公安部計(jì)算機(jī)局原總工
程師繆道期研究員說，中國信息安全有“三大黑洞”，一是用外國制造的芯片；二是用外國的操作
系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)；三是用外國的網(wǎng)管軟件?！澳阌昧送鈬臇|西，萬一發(fā)生戰(zhàn)爭，你不知道
里頭有些什么‘后門’或‘陷阱’能把我們吸到黑洞里去?！彼慕Y(jié)論是要搞自己的芯片，自己的
操作系統(tǒng)，自己的網(wǎng)管軟件。中國現(xiàn)代國際關(guān)系研究所信息與社會發(fā)展研究室主任俞曉秋也呼吁搞
自己的東西：中國不僅有其他國家普遍存在的網(wǎng)絡(luò)信息安全問題，還嚴(yán)重缺乏網(wǎng)絡(luò)技術(shù)的自主性，[!--empirenews.page--]
“在核心技術(shù)上一直依賴國外企業(yè)，這才是最危險(xiǎn)的?！?br />


摘自《光明日報(bào)》