我讲这个例子的意思是,网络安全到底取决于什么因素?是取决于设施足够完善吗?大家可以明确看出,设备或者是产品的先进并不足以保证安全。现在的互联网非常容易窃密,也有很多非法经营和非法活动都可以在互联网上做。现在我们说信息社会是一个虚拟社会,它已经影响到我们社会的每一个角落,对虚拟社会的攻击已经对整个实体社会产生了影响。
在网络安全技术方面,美国掌握绝对的控制权,互联网所有名字的翻译体系全部在美国人的控制之下。由美国商务部和各个政府委员会制定的互联网公共秩序就是世界秩序,对此美国坚决不会退让,因为这也是他们的万两黄金,涉及到他们的国家利益。现在的互联网,或者说IT通信技术正在成为我国的关键信息基础设施,但是我们对其公共政策的制定和关键资源的所有权和运行权完全不能自主。这就是我国互联网安全问题的现状。
“蠕虫”病毒是大面积爆发的攻击程序,会导致大面积的网络瘫痪。蠕虫问题到现在都没有解决。“僵尸”也是影响规模很大的网络攻击程序。2005年数据显示,中国内地至少有250万个IP地址是被人控制的,而这些IP地址的主人并不知道。通过受控制的IP地址可以盗窃信用卡信息,可以用机器来攻击你的网站,来敲诈你。超过五千个节点规模的“僵尸”网络攻击程序现在有140多种。一个“僵尸”网络攻击程序可以通过大概150万个计算机来传播。我们不能随便说买150万台计算机来搭一个网络,但黑客只需要花一点上网费就可以控制全世界的网络。
木马是可以通过网络监听控制信息的软件。我们发现,连续几年的控制者都来自相同的区域,前四名都是美国、中国台湾、中国香港和日本。在通过网络的方式窃取银行信用卡信息以及其他个人身份信息方面,2004年我们处理了300多起事件,2005年处理了400多起。攻击者会利用中国的计算机来攻击其他国家的用户,窃取他们的信息,因此这些国家必须和我们合作才能解决这个问题。
还有一个最近最流行,并且从2000年2月份到现在一直没有解决的事情,就是分布式服务拒绝攻击。举一个例子,就像我想让你家计算机不好使,就用你的信息在互联网骂全国人一遍,最后留一句话说“有本事你骂回来”,所有人都会骂回去,这就是分布式攻击。在互联网进行分布式攻击是有动机的,可以攻击商业竞争对手,也可以威胁对方。
黑客通过网络构建的地下经济是一片繁荣,而我们日渐依赖的信息社会却似乎总是危如累卵。曾经有人说互联网会垮掉,不管会不会垮掉,我们都始终提心吊胆。
我们从事件对抗来看网络安全保障。人类一直努力在和自然灾害对抗,但这种对抗跟我们现在面临问题不太一样。自然灾害是无动机的,可能大多数是天灾,个别的人祸也不是针对你的,防范就是需要更好的设备和技术。但是有动机的事情需要全面的对抗。这种对抗涉及到的相关属性比我们现实做的多很多。一个事件包括主体——谁在攻击我,它的目的是什么;包括受体——我攻击的对象是什么,我想达到的目标是什么;还包括攻击的方法——工具是什么,攻击的途径是什么。我们现在把其他安全信息都忽略掉了,只是忙着在和工具对抗。
“蠕虫”的主要特点是蔓延快速,涉及到的计算机数量非常多。以前大家重视的对抗焦点是解决终端问题,消灭终端上的“蠕虫”病毒,但那不是最优先的任务。比如SARS时期我们的首要任务是治病人还是隔离嫌疑人让社会正常运转呢?所以,对抗的焦点应该是分析发现隐患,最后才是清除。
“僵尸”网络攻击程序的主要特点是可以让各种我们知道的网络安全威胁的威力比原来大很多倍,而且非常灵活并且难以检测。所以对抗的焦点除了检测和清除终端的病毒之外,还包括检测传播行为和控制行为。这些计算机可以先不把病毒清除掉,而是让黑客控制系统瘫痪,它的危害自然暂时就没有了,然后再追踪攻击者。
在和间谍软件或者木马的对抗中,很多人是直接用杀毒软件杀掉就行了。但如果感染的计算机涉及到商业秘密或者国家秘密,就不能这样简单的结束对抗。你需要切断黑客的控制途径,还应该检查和分析黑客是怎么进来的,黑客在植入木马过程中拿走了什么东西,有没有留下一个秘密通道以便将来再进来。
对抗分布式拒绝服务攻击时,很多时候我们都是在自己的网络边缘设置一些产品或者设备来过滤干扰流量。但是,更高效的做法是能够在离工具源更近的地方进行隔离,这方面显然需要与别人合作。更加高明的是揪出并且铲除攻击平台,让整个网络都变干净。黑客通过被控制的计算机搜集自己想窃取的信息,然后通过银行或者市场获利。显然,对这样的事件的对抗焦点不是清除恶意代码,而是要定位并且关闭那些假网站,要分析假网站中哪些用户已经中招了,要尽快通知他们,还可以跟踪金融的渠道抓到罪犯。
从上述事情中可以看出对抗网络攻击的两个挑战:一是我们需要的不仅是产品,而是一种综合的能力,综合的能力不光包括技术,还包括体系和资源;另外一个挑战是网络安全的全球化问题。其中也有几个误区。一个误区是只见树木不见森林。现在有各种各样的安全设备,但是这些设备的管理员都是分开的,你只看一个角落,看不见整个森林,处理问题也只能天天抓小问题,根本抓不到最关键的问题。第二个误区是舍本逐末,事倍功半。很多情况下我们只关注清除终端上的问题,但这不是最优先的问题,也不是最高效的问题。第三个误区是生搬硬套,东施效颦。我们现在用于虚拟世界的很多经验,尤其对危机事情处理和突发事件来自于现实社会,为此设置的很多制度和流程也都来自于现实社会,但这两者差别很大,最明显的差别是速度上的差别。还有一个最大的误区是迷信技术,搞错对手。太多人希望把更好的产品往那一放就永远安全了,那也太小看黑客的智慧了。黑客是人,一招不行会有第二招的,所以永远不应该说有一种往那一放今后就没有安全问题的产品。
那么,网络安全问题到底是产品问题还是服务问题?首先,产品和平台是离不开的,它是网络安全对抗的工具和武器,但是应该从单一化的产品发展到综合化、集成化的平台。其次,网络安全正在从单一的事件发展到和信息资产相关。产品原来只是和单一的事件关联,现在越来越多地需要了解谁在攻击,攻击的目的是什么。
面对那些有组织、有动机的网络威胁,需要的是有组织、有计划的对抗。这不光靠产品来实现,动态的适应能力尤其是保持安全状态的关键。我们必须不断的调整,这种调整不可能完全来自产品和技术,还需要人的参与,也就是说体现在服务的层面