那　罡

虛擬空間的話語權(quán)和管理權(quán),已經(jīng)成為各國政府關(guān)注的重點(diǎn)。網(wǎng)絡(luò)犯罪分子采取的手段也日益復(fù)雜,防不勝防。9月4日,中國國內(nèi)信息安全界的智囊們集中在云南,在中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會主辦的第24次全國計算機(jī)安全學(xué)術(shù)交流會上,重點(diǎn)探討了在互聯(lián)網(wǎng)世界中如何尋找安全的秩序與平衡。

云安全不能包打天下

2008年,亞馬遜的AWS、Google的App Engine和蘋果的Mobile Me成為云計算這一新領(lǐng)域的先驅(qū)。在這個領(lǐng)域里,應(yīng)用和數(shù)據(jù)在巨大的數(shù)據(jù)中心里運(yùn)行并通過互聯(lián)網(wǎng)與臺式電腦、便攜式電腦及手機(jī)連接。

中國工程院院士方濱興認(rèn)為,云計算使得用戶能夠充分使用電腦資源并只為所使用的服務(wù)付費(fèi),還能讓用戶隨時隨地使用數(shù)據(jù)、應(yīng)用和服務(wù),能夠獲得比他們可承擔(dān)的更強(qiáng)大的計算能力。全球金融危機(jī)使世界各地的企業(yè)對各項(xiàng)開銷都十分謹(jǐn)慎,包括IT投資,而云計算帶來的這些好處便極具吸引力。

同時,眾多專家也提出了一個看法:在云計算時代如何保證網(wǎng)絡(luò)及數(shù)據(jù)安全的關(guān)鍵是控制,畢竟大部分大型企業(yè)對業(yè)務(wù)關(guān)鍵應(yīng)用的安全控制不會輕易放手,除非使用云計算的收益遠(yuǎn)超于其風(fēng)險。

云計算已經(jīng)被企業(yè)、用戶、科學(xué)家乃至政府熱捧,其勢頭不可阻擋 。那么,“云”如何安全?方濱興認(rèn)為,云安全有三個含義,分別為:云安全服務(wù)、云的安全和安全的云。

云安全服務(wù)的典型例子就是Google,它會提示用戶哪些網(wǎng)站可能含有惡意代碼,建議用戶不要訪問。方濱興說,云可以幫助用戶完成很多后臺的事情,這種處理能力遠(yuǎn)非用戶端所能比擬。但是云安全也有其短板,比如在云和防護(hù)系統(tǒng)之間不能有任何的信息插進(jìn)來,因?yàn)樵仆情_放的,只要是開放的環(huán)境就不會安全,就需要保證云不被攻擊、不崩潰、程序不被篡改和竊取并且能夠可靠地提供服務(wù)。

當(dāng)然,云中出問題是必然的,不出問題才是偶然的。問題的關(guān)鍵是,我們?nèi)绾谓鉀Q云中的安全問題。

方濱興對此表示,通常數(shù)據(jù)需要通過某種應(yīng)用表現(xiàn)出來,而無法直接觀察到本體數(shù)據(jù)。有害信息將變得更具隱蔽性,僅是通過給其他的應(yīng)用程序提供服務(wù)。如何對云進(jìn)行安全監(jiān)控已經(jīng)成為一道難題。同時,IP地址的動態(tài)分配,使得傳統(tǒng)的IP過濾措施將會失效,造成資源動態(tài)分配帶來的追蹤和監(jiān)管困難。

方濱興認(rèn)為,最基本的解決方法就是通過虛擬機(jī)隔離技術(shù)實(shí)現(xiàn),對云實(shí)施等級保護(hù)制度或許是一條有意義的路,但是需要分析哪塊云更重要。其重要性取決于應(yīng)用,而不取決于云自身。云的漂浮性使得區(qū)域性的等級無法確定,只能按最高級別定級。

可信計算營造可信網(wǎng)絡(luò)

2009年,我國多個省區(qū)市相繼啟動了無線城市建設(shè)。同時,各大運(yùn)營商也開發(fā)出多項(xiàng)便捷的業(yè)務(wù),逐步推廣無線互聯(lián)網(wǎng)應(yīng)用。然而,安全問題一直在困擾著無線互聯(lián)網(wǎng)前行的腳步。中科院信息安全國家重點(diǎn)實(shí)驗(yàn)室主任、中國密碼學(xué)會副理事長馮登國表示,信息安全問題是一個綜合問題,它不僅僅是技術(shù)和管理問題,還必須從政治和社會的角度把握和認(rèn)識信息安全問題,從人、社會、網(wǎng)絡(luò)相結(jié)合的復(fù)雜巨系統(tǒng)角度分析信息安全問題,我們需要一個可信的環(huán)境。

信息技術(shù)在給人們帶來方便和信息共享的同時,也帶來了安全問題,如密碼分析者大量利用了信息技術(shù)本身提供的計算和決策方法實(shí)施破解,網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)技術(shù)本身編寫大量的攻擊工具、病毒和垃圾郵件;由于信息技術(shù)帶來的信息共享、復(fù)制和傳播能力,造成了難以管理數(shù)字版權(quán)的局面;互聯(lián)網(wǎng)深度應(yīng)用引發(fā)輿情、視音頻等問題。

隨著網(wǎng)絡(luò)高速化、無線化、移動化和設(shè)備小型化的發(fā)展,信息安全的計算環(huán)境可能附加越來越多的制約,這往往約束了常用方法的實(shí)施。馮登國舉了一個例子:傳感器網(wǎng)絡(luò)由于其潛在的軍事用途,常常需要比較高的安全性,但是由于節(jié)點(diǎn)的計算能力、功耗和尺寸均受到制約,因此難以實(shí)施通用的安全方法。

可信計算技術(shù)作為信息安全領(lǐng)域一個支撐性的安全技術(shù),它不僅涉及到計算機(jī),還涉及到網(wǎng)絡(luò)可信環(huán)節(jié)的構(gòu)建。從技術(shù)角度看,馮登國將可信計算定義為“系統(tǒng)提供可信賴的計算服務(wù)的能力,而這種可信賴性是可以驗(yàn)證的”。

任何一個信任體系都有一個公認(rèn)的、不需要證明的起始點(diǎn),這個起始點(diǎn)就是根信任關(guān)系。于是,信任關(guān)系可以從根開始一級一級向下傳遞,從而確保了可信的安全引導(dǎo)過程。同時,可信計算平臺在網(wǎng)絡(luò)上不再依賴IP地址,而是通過唯一的身份證書來標(biāo)識自己,內(nèi)部各元素之間進(jìn)行嚴(yán)密的互相認(rèn)證、對用戶身份進(jìn)行鑒別,這保證了完整的身份認(rèn)證。

可信計算就是基于硬件信任根的建立,基于密碼的身份認(rèn)證,基于標(biāo)簽的強(qiáng)制訪問和執(zhí)行代碼的一致性驗(yàn)證,從而能夠做到系統(tǒng)的最小優(yōu)化配置與資源的嚴(yán)格控制。

網(wǎng)絡(luò)威脅的蝴蝶效應(yīng)

一只南美亞馬遜河流域熱帶雨林中的蝴蝶,偶爾扇動幾下翅膀,可能在兩周后引起美國德克薩斯的一場龍卷風(fēng)。這就是蝴蝶效應(yīng)。

國家互聯(lián)網(wǎng)應(yīng)急中心袁春陽說,事物發(fā)展的結(jié)果對初始條件具有極為敏感的依賴性。哪怕初始條件的極小偏差,都將引起結(jié)果的極大差異?；ヂ?lián)網(wǎng)也是如此,例如今年的5?19暴風(fēng)影音斷網(wǎng)事件,就是因?yàn)楸╋L(fēng)影音的DNS合作伙伴DNSPod遭遇惡意攻擊,導(dǎo)致了國內(nèi)出現(xiàn)大面積網(wǎng)絡(luò)故障,這在近年是十分罕見的。

DNSPod就是那只小小的蝴蝶,而最終卻由暴風(fēng)影音掀起這場發(fā)生在國內(nèi)互聯(lián)網(wǎng)領(lǐng)域的罕見的風(fēng)暴。而令人擔(dān)憂的是,這次偶然事件背后的原因顯示,下一只“蝴蝶”可能正在某處潛伏。這次事件給中國互聯(lián)網(wǎng)界敲了一次警鐘。

袁春陽認(rèn)為,從技術(shù)角度而言,DNS是用戶能否登錄網(wǎng)站的關(guān)鍵。在國外,DNS攻擊事件已屢有發(fā)生。2002年10月21日,負(fù)責(zé)全球互聯(lián)網(wǎng)DNS服務(wù)的13臺互聯(lián)網(wǎng)根服務(wù)器均受到攻擊,事后安全專家心有余悸地說,只要攻擊再持續(xù)一個小時,整個互聯(lián)網(wǎng)的域名服務(wù)體系就會陷入崩潰。

在國內(nèi),大家都比較重視網(wǎng)站自身安全問題,而對作為基礎(chǔ)服務(wù)的DNS的安全問題卻很少有人關(guān)注,尤其是免費(fèi)DNS服務(wù)器?！捌髽I(yè)不管使用任何DNS服務(wù),都需要有一套故障應(yīng)急預(yù)案。

袁春陽表示,互聯(lián)網(wǎng)網(wǎng)絡(luò)遠(yuǎn)沒有我們想象中的那么安全和強(qiáng)壯,建立安全可靠的互聯(lián)網(wǎng)網(wǎng)絡(luò),還需要從5個方面入手:

1.加強(qiáng)對域名、路由等互聯(lián)網(wǎng)網(wǎng)絡(luò)運(yùn)行基礎(chǔ)設(shè)施的安全監(jiān)測及防護(hù)。

2.重視軟件安全開發(fā)和漏洞問題,加強(qiáng)對互聯(lián)網(wǎng)應(yīng)用軟件的監(jiān)管和安全審查措施。

3.建立信息共享機(jī)制,提高預(yù)警能力。工業(yè)和信息化部于2009年6月開始實(shí)施《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實(shí)施辦法》,當(dāng)前已有60多家通報工作成員單位。

4.建立應(yīng)對突發(fā)網(wǎng)絡(luò)安全事件的快速協(xié)調(diào)機(jī)制。工業(yè)和信息化部在今年6月也開始實(shí)施了《木馬和僵尸網(wǎng)絡(luò)監(jiān)測不處置機(jī)制》。為加快消除病毒隱患速度,CNCERT于2009年7月7日與電信運(yùn)營商、主要安全廠商等共同建立網(wǎng)絡(luò)病毒聯(lián)盟。

5.加快立法工作,嚴(yán)厲打擊地下黑色產(chǎn)業(yè)鏈。