浅说信息安全
一、 前言
目前,信息安全事件频频发生,支付宝、携程先后中招,更有恐怖的,波兰航空的地面操作系统都被黑了。信息安全问题已经越来越严重,毫不夸张滴说,信息安全的威力绝不下于核武器,可以轻而易举地摧毁一个国家。试想一下,哪一天我们到银行发现里面的钱没了、飞机起飞不了、火车发不了班了、电网无法供电了、通信中断了等等,我们的生活会变成怎样?因此,信息安全已经是一个事关国家生死存亡的必争之地。
二、 什么是信息安全
然而,什么是信息安全?信息安全包含了哪些内容?如何做到信息安全?大多数人并不了解,感觉那太高大上,离我们太遥远,这主要是因为大家对信息安全的不了解,也很少有人全面通俗地说过什么是信息安全。
总的来说,信息安全包含了攻和防两个对立面,即是攻什么,防什么。
从“攻”的角度,攻击者想要做什么?不外乎两方面:破坏和窃取。“破坏”也就是攻击者让被攻击者的网络系统、计算机系统受得人为的非法破坏使之不能提供正常的服务,或者篡改信息使用系统受到欺骗从而获得非法利益。“窃取”即是从被攻击者的计算机系统、网络系统中获取得到未经允许的信息。无论“破坏”还是“窃取”,都会让被攻击者受到巨大的损失,甚至是毁灭性的。
有攻自然就有防,从“防”的角度,信息安全就是防止攻击者的“破坏”和“窃取”,要让攻击者:进不来,拿不走,打不开。从技术上说这基本上就包含了信息安全防护的全部内容。
光从技术上还不能保证信息安全,还需要一个完善的管理制度并且坚决地贯彻执行。因此,信息安全防护包含了技术和管理两方面,技术是工具,管理的人是主体,只有两方面双管齐下才有可能保护信息的安全。
一般来说,信息安全是指保护计算机信息系统及系统中的信息数据免遭破坏、泄露,保障系统的正常运行,维护使用者的合法利益,主要是针对“防”的一方来说。
三、 信息安全如何做
根据对信息安全的理解,要做到信息安全,需要从多个层次上下功夫,多管齐下 。
- 1. 让攻击者“进不来”
“进不来”是目前大多数人对于信息安全的理解,顾名思义,就是让攻击者进不了、破坏不了你的系统和数据,这是最常见的信息安全技术,是信息安信最外围的防御。它保护的对象主要是系统本身,如:网络系统、操作系统、数据库系统、服务系统等。
先说说攻击者是如何对系统进行破坏的,一般从两方面进行破坏。
- 对网络系统进行破坏
计算机系统之间是通过网络的连接通信的,如果网络被破坏了,计算机系统之间就无法进行数据交换,业务就无法正常开展。
这类似于对生活中对交通道路的破坏,比如,攻击者在网络中发送大量的非法数据包,造成通信负荷过大,从而瘫痪通信,就好比在高速公路上故意放入了大量的汽车、非机动车,人为造堵,从而让交通的正常次序被破坏。或者,攻击者故意修改了通信的路由信息,让正常的信息无法到达正确的地方,就好像高速公路的路牌、导航信息被修改或破坏了,让人找不到正确道路一样。更有甚者,干脆直接破坏通信线路,就比如直接炸掉高速公路,让通信直接中断。
从技术角度来说,DDOS攻击、DNS攻击、ARP攻击、物理损坏等等都是这一类攻击破坏。这种破坏一般受害面积都很广,但对计算机数据本身不会有损害。
- 对计算机系统进行破坏
这就是直接对计算机系统本身进行破坏,这类破坏一般是利用计算机病毒、木马、后门或者利用计算机系统的本身漏洞,非法进入计算机系统内部进行破坏。这种破坏造成的后果包括有:计算机中的文件被破坏、数据被窃取、服务程序被破坏、信息被篡改、计算机系统被非法控制等。比如,计算机机病毒和木马是广大普通用户经常面临的威胁,也是广大用户对于信息安全最直接的体验。
面对这两种威胁,防守一方最直接的作法就是让攻击者“进不来”:让非法数据进不了网络,计算机病毒、木马程序进入不了系统,感染病毒后能够有效地发现并进行发现和查杀,堵住系统的漏洞让入侵者不能非法进入计算机系统等。
为了让攻击者“进不来”,市场上出现大量的安全产品来保护系统:网络防火墙、入侵检测系统、堡垒主机、杀毒软件、系统补丁等等,分别抵御各类针对网络和系统的攻击。同时,为了应对在网络、系统在遭遇破坏的情况,许多系统在设计时就设计了各种冗余备份、各个环节的防护,在一个系统遭遇破坏时,可以继续使用冗余的备份系统进行服务,把破坏的影响降到最低。
“进不来”是信息安全中的基本防御,保护的是网络和系统,是所有计算机应用中都需要面临的问题。
- 2. 让攻击者“拿不走”
让攻击者“进不来”的信息安全防御对于一般的用户来说大多数情况下都已经够用,但对于许多领域来说还远远不够,如军、政、金融、通信、交通等等应用中。因此,在“进不来”的防御基础上,需要再进行“拿不走”的系统防御。
“拿不走”的保护对象主要是系统中的信息数据,一般是在系统出入口的防御,它的防御目标是防止计算机系统中的信息数据被非法带离系统,也就是防止入侵者的“窃取”。
“进不来”的防御可能存在漏洞(包括技术漏洞和管理漏洞),很难做到百分百的安全,入侵者是有可能突破“进不来”所部署的防御圈进入系统的,如不加以防护,入侵者就可以随意窃取系统中的信息数据。因此,就需要部署更高层次的防护系统来保护信息数据免遭窃取,让入侵者进了系统也“拿不走”信息数据。
“拿不走”的防御,通常是基于系统鉴权,控制对系统中的使用权限,让有权限的人才可以对受保护的数据进行操作。这些权限包括:
- 进入系统的权限。
- 访问受保护数据的权限。
- 复制数据的权限。
- 使用存储介质的权限。
- 使用通信设备的权限。
- 以及一些其他的权限控制。
在系统鉴权时,身份鉴定是一个重要环节,如何标识和鉴定用户的身份是一项关键的技术所在,目前通常使用的是证书系统及PKI技术。它们的基础是非对称加密解密技术,目前常用的是RSA算法和椭圆曲线算法。RSA算法经过数十年的发展,应用非常广泛,但随着技术的发展,它正在逐步退出历史舞台,比之更安全更高效的椭圆曲线算法正在一步一步成为新的标准。
对于普通用户来说,直接使用这种防御技术的机会并不多,但是在许多的特殊领域,如金融、党政、军事等等领域,这则是一项不可或缺的信息安全保护技术,典型的应用产品是终端防护类产品。
- 3. 让攻击者“打不开”
从前面可以看到,“带不走”的信息安全防护主要是一项面向系统出入口的信息安全防护,一旦出现管理漏洞,依然存在着巨大的信息泄漏风险,并且无论是“进不来”还是“带不走”,均不能做到全生命周期的数据安全保护。因此,还需要一项更高层次的信息安全保护,这就是“打不开”的信息安全保护。
“打不开”保护的对象是信息数据本身,目的是让入侵者即便突破了“进不来”和“带不走”的防护窃走了信息数据,也不能获取到数据的真实信息,也是防止入侵者的“窃取”。这种信息保护技术就是对信息数据进行加密,数据在传输和存储过程中被窃取的风险最大,因此在此过程中数据需要进行加密,只有在使用的时候才解开得到真实数据。
数据加密技术应该非常广泛,分为对称和非对称两种,常用的对称加密算法有AES、DES等,非对称算法有RSA、椭圆曲线算法。对称算法的特点是加密和解密的密钥是一样的,加密解密的效率比非对称算法要高;而非对称算法的特点是加密和解密的密钥不一样,但效率要比对称加密低,非对称密钥分为公钥和私钥两个,公钥是可以公开的,谁都可以获取得到,但私钥只有其所有者才拥有,是私密不可公开的。在实际应用中,通常是对称和非对称算法结合使用,由于对称加密效率高,因此可以用来加密数据,而非对称算法的加密和解密密钥不一样,便于密钥管理,可以用来加密对称算法的密钥。当要加密一段数据时,先随机生成一个对称算法的密钥,用来加密数据,再用非对称算法的公钥加密对称算法的密钥;解密数据时,先用私钥解密得到对称密钥,再用该对称密钥解密得到明文数据。在此过程中,由于公钥可以公开谁都可以用来加密数据,而只有私钥拥有者才可以解密数据,因此只要保管好私钥就可以保证数据的安全。
- 4. 完善的管理制度
除了技术上“进不来”、“拿不走”、“解不开”这三个层次的防护,在管理上还需要有一套完善的管理制度,并且要贯穿整个系统。再好的技术,如果维护和使用不到位,依然还会存在得安全漏洞,而且这种威胁是致命的,可以让整个安全系统完全失效。一个完善的管理制度,在系统上,要在建设、维护、操作、巡查、灾备上配备规范制度;应用上在系统使用、数据使用、权限分配上配备管理办法;在责任上针对维护人员、使用人员制定明确职责,设立日志审查及追责制度。总结大概就是以下十类:
- 建设规范。
- 日常维护管理办法。
- 操作规范。
- 巡查制度。
- 应急预案。
- 使用制度。
- 信息数据管理制度。
- 管理职责及责任。
- 使用权限管理。
- 日志管理。
针对不同的行业,信息安全的要求程度,在管理制度上的要求也会不一样,比如在某些特种领域,除了这十类制度,还会有更为细致管理制度,细致程度可能会精确到系统中的某个文件的管理。而在一般的小企业,安全等级要求低,可能就完全用不着这么多的制度。但是,无论哪一行业,只要是希望建设完善的管理制度,这都是应该考虑的。
再完善的制度,如果不执行或者执行不了,那也是一纸空文。因此,制度的合理性、可操作性以及能否坚定地执行,这才是评价制度成败的关键。
总的来说,信息安全就是要从通信网络、计算机系统、访问控制、数据保护、系统管理等几个方面构筑一道保护信息安全的长城,通俗地总结为进不来、带不走、解不开三个技术层次和一个管理层次。要构筑一道可靠的信息安全长城,这四个层次都不可或缺,目前来说国内具备从四个层次通盘考虑构建设出一套完整的整体安全体系的企业并不多,这方面的能力还非常薄弱。
四、 信息安全的负面影响
当然,信息安全也并不是越完善越好,信息安全越完善也会带来越多的负面影响。这些负责影响表现在:
- 信息安全系统越完善,系统的投入成本越高。
- 信息安全系统越完善,系统运行效率越低。
- 信息安全管理越完善,维护工作量越大。
- 4) 信息安全越完善,日常使用越麻烦,工作效率越低。
- 信息安全越完善,监管成本越高。
因此,明确自身的定位,确定信息安全要求,设计合理的信息安全系统,制定合理、可操作的管理制度,让信息安全系统、管理制度与自身定位相匹配,这是信息安全的关键。
五、 信息安全事件分析
针对近期的几个信息安全事件,可以分析一下他们的安全体系在哪里出了问题。在2015年5月,支付宝出现了大面积访问故障,全国多省市支付宝用户出现手机和电脑支付宝无法登录、余额错误等问题,最终找到的原因是通信线路受到了物理破坏。印证四个层次,是“进不来”的防护出现了问题,尽管在数小时后便恢复了服务,就目前的国内技术水平来说已算是相当不错,但作为国内最顶尖的互联网企业之一,基本上代表了民用企业的最高水平,我们认为理想的情况是,即便某一条通信线路出现了故障也能够在瞬间自动切换到备份的通信线路上,让用户基本感觉不到故障的发生。要知道如果是发生战争,几个小时已经足以摧毁一个国家了。
2014年3月,携程网发生了用户信用卡信息被泄露的严重事故。事后说原因是因为开发人员打开了所谓的调试功能。这一事故暴露了携程的哪些信息安全短版呢?首先,用户信用卡数据属于敏感信息(直接关乎用户经济利益),包括开发人员在内的所有人员都不应该具有查看的权限,这说明它们的系统在“带不走”的层次出现了问题。同时,对于敏感信息,无论是传输或是存储都不应该以明文出现,在事故中出现了明文,这说明了他们在“打不开”层次出现了问题。该事件是由黑客入侵系统后所暴露,这又说明了他们在“进不来”的层次也出现了问题。2015年5月,携程又再次发生了系统瘫痪事故,进一步说明了在“进不来”的防护中存在巨大问题。更严重的是在管理制度上的漏洞,在操作规范、维护管理、巡查制度上均有严重问题。携程对于其在信息安全要求上的定位并不合理,明显过低,它们所犯的错误就像是银行工作人员可以知道我们银行帐号密码一样可怕,开发或管理人员竟可以直接明文查看用于支付的信用卡信息,一旦他们将之泄漏,这个后果将是万劫不复的。最后我们得到的结论是携程网在“进不来”、“带不走”、“打不开”三个技术层次以及管理制度上都存在严重的安全漏洞。
2015年6月21日,波兰航空公司的地面操作系统遭遇黑客袭击,致使系统瘫痪长达5小时,至少10个班次的航班被取消,1400多名乘客滞留华沙弗雷德里克·肖邦机场。如果,前面两次事故中损失的可能只是金钱,但在这一次的事故中则已经威胁到了乘客的生命安全了,假设黑客攻击的是空中调度系统那么乘客的安全就可怕了。明显地在“进不来”层次出现了漏洞。
通过这几个安全事故,说明信息安全技术是一个系统级的技术要求,需要从三个技术层次进行体系的系统的安全设计,同时还需要配合完善的管理制度,任何一个方面出现短版都可能出现漏洞,只有几个方面多管齐下才可能构筑成一道可靠的信息安全长城。
六、 对我国信息安全的思考
2013年,斯诺登暴出了“棱镜”门事件,这让全世界都对信息安全的担忧提到了嗓子眼上,对信息安全的各个层次、各个环节都提出了严峻的挑战。中国一直是美国“棱镜”的首要目标,如何面对,这是一个事关国家存亡的战略问题。
我们的薄弱点在哪里?我认为在两点,一是人才,二是基础系统。
基础系统是指我们目前的核心芯片、操作系统、数据库、设计软件、办公软件等基础软件均需要广泛依赖于美国,还无法离开美国而独立运行,也就是我们的命脉还掌握在美国人的手里。国家已经意识到了这一点,启动了核高基战略,然而,这是一个国家行为,却也是一个市场行为,我们要走的路还很远,这还只是万里长征的第一步。
再者,人才的缺乏才是我们目前最严峻的考验,系统设计、系统开发、系统维护、日常管理,各个方面的才人我们都极其缺乏,而且越是高端的人才缺乏得越严重,而且是指数式的下降。造成这样的原因与我们国家的社会环境密切相关,因传统思想的影响,管理人才比技术人才普遍要吃香,大多数的软件开发人员在年过三十以后的奋斗目标都会是管理人员,或者转型,不再愿意再承担一线的代码编写开发工作,这给我们带来了非常严重的技术断层问题。信息安全领域是一个面广而深的领域,需要大量的一线积累、磨练、钻研,花费数年、数十年才能掌握其精髓,一个三十岁的开发人员,可能只是刚刚初窥门径,但许多人这个时候转型了,从此失去了继续打磨的机会,企业也失去了培养高精人才的机会。出现这种状况,也怨不得开发人员,这与我们的从业环境密切相关:一是待遇,二是工作环境。一说待遇,一线开发人员的待遇远远低于管理人员及市场人员,能开百万豪车的管理人员、市场人员比比皆是,但开发人员能有几人?二说工作环境,在我国开发工作被称为吃青春饭的工作,特点是工作强度大,加班多。年过三十以后,由于身体精力下降的原因、家庭的原因,这种强度大,加班多的工作往往就不适合了。基于这些,年过三十后,除了少量因兴趣或性格原因的,大量开发人员纷纷转型。对于企业而言,如果不改变这种传统考核方式以及奴隶式剥削的工作环境,不营造一个培养高精人才的摇篮,让开发人员哪怕年过三十也愿意一直从事这一行业,不断积累磨炼钻研,我们很难培养出高精的信息安全人才。2000年前后,表面上高工资的开发工作曾经盛极一时,然而时过境迁,十多年过去,这种曾经的表面繁荣已经被严酷的现实打击支离破碎,开发类工作日渐衰落,愿意从事这一行业的年青人还能占到几成?也无怪几乎所有的软件开发企业都在哭诉:开发人员太难招了!
软件开发人员是信息社会的基本建设者,如果这一群体出现了问题,我们的信息社会如何发展,信息长城由谁去修筑?我们常常在抱怨,像什么芯片、什么系统、什么发动机,国家投入了这么多钱,为什么出不了成果或者收效奇慢?钱都被吃掉了?其实原因就是这么简单,缺乏人才,就是做不出来,只能慢慢摸索,钱再多也是白搭。一句常说的话:二十一世纪最重要的是人才。然而,人才不是天生的,人才都是由普通人培养而成。因此,在新的形势下,我认为当下我们最重要的最基本的,不是启动了什么什么项目,而是是否培育了一个良好的人才成长环境,搭建了一个良好的人才摇篮。有了人才,就什么事都可以做,有了人才的摇篮,就可以源源不断地产生人才。
因此,不光是信息安全领域,当你的企业还在抱怨找不到好的人才时,为什么不想想如何改善自己的人才成长环境,自己来培养人才呢?如果每个企业都是想让别人去培养,自己来享用,那我们的社会就是病态的,如果每个企业都能培养人才,又何愁没有人才呢?
最后,无论是信息安全亦或是核高基,决定其最终成败的,不是投入了多少钱,而是是否搭建了一个良性的人才培养摇篮。