博客首页|TW首页| 同事录|业界社区
2001-03-08

 超越技术视野的中国信息安全问题

文/江海客
摘要:构造一个严密的国家信息安全体系需要大量的高、精、尖技术,需要大批出色的专家和网络安全工作者,需要大量的设备和资金,但是否有了这些就足够,是否还应该关注一下技术视野以外的东西?本文作者作为一个年轻的信息安全工作者,意在通过本文,使大家能关注技术层面之外的东西,为中国信息安全创造一个良好的氛围和环境。


一、“热”度的背后

毫无疑问,目前信息安全是中国信息产业的热点,甚至是中国经济的热点,社会生活的热点,国家增大投资力度,信息产业部、科委、计委广泛立项;各路专家登坛说法;安全企业四处游说;传统企业纷纷转型。就连一些本来平常的事情也会因为挨上了“安全”二字,而成为热点:譬如一个普通的21世纪中国网络安全应用研讨会被国内媒体大量炒做成“中国黑客大会”;譬如,打车时,司机师傅也许会和你讨论一下“海信防火墙”事件。
但“热”,代表关注,绝不代表发达、先进,更不能代表健康。我想对于中国信息安全的现状与发展,以及相关产业的进步与差距。简单的完全肯定,或者武断地全盘否定,都是不够理智的。就我个人的看法,是欣欣向荣中也有相当数量的不和谐的声音。
我在《深刻反思海信事件》一文中曾经不点名的批评了一些情况,应该说其中很多现象决非个体问题。
几天前看到一则消息令人难以理解,多个版本的实现源码早已公开的椭圆曲线加密算法,竟然有人自称为国内首创软件实现,达到国际先进水平如何如何,而且被广为报道。
其实让踏踏实实搞信息安全多年的人士很难接受的现象很多,比如一个突出的问题就是很多过去根本与计算机网络和密码技术不沾边的专家甚至是院士,突然变成了所谓信息安全专家。拉项目、要投资、或者为企业做顾问。一位国内出色的密码学家,对此做了一个形象的比喻,一些人是羽毛球冠军,但突然羽毛球不热了,乒乓球热了,于是他们就改行去做乒乓球教练了。羽毛球打得再好,打乒乓球也是个初学者,哪有当教练的资格呢。
夏天的时候在北京遇到了一个朋友,他说他现在准备做网络安全了。他过去是卖保健品的,他觉得网站的热潮没赶上,不该错过网络安全这个机会了。而中国的很多上市企业更给人一种哪里有题材、哪里有概念就涉足什么的感觉,其实很简单,向所谓热点投资几百万(也许都未必到位),就能在股市上获得上千万的回报。无论 ST也好PT也好,套上了概念,无论赢利与否,至少股票可以拉抬起来。
可悲的是,国内很多人对信息安全的关注并既不是出于对其紧迫性和必要性的关心、出于自己的责任感,也不是为企业寻找新的赢利增长点——仅仅是出于立项、申请经费、制造炒做热点的需要。如果信息安全不再炙手可热,而基因技术如火如荼的时候,我想恐怕就有一些网络股、安全股变成生物股,而又会多出一些著名基因工程专家来。
而看看国外的知名安全企业,无论是NAI、RSA,或者象CISCO这样应用与安全一体的设备供应商,哪一个不是在网络和安全界已经耕耘了很长的时间,有几个突兀而起或者半路出家的?而无论是生产汽车的通用,还是搞化工的宝洁,决不会因为信息产业热起来,就去转行搞软件开发。
不知这种反差能否让敏感的人有一种怀疑——中国的产业秩序是否有了一些问题?


二、谁是信息安全的主角

这个问题不同的人肯定会有不同的回答,各大高校、科研院所会保持一如既往的主角姿态,安全公司则将展示他们完善的产品与服务,民间的安全工作者和黑客同样会当仁不让的表现应有的水平和责任感。
但关键在于,谁是信息安全的主角取决于其所处的发展阶段。举个例子:大家也许记得,在计算机病毒刚流传到中国不久,关于反病毒技术的一些研究论文可以发表在国内很高级别的学术刊物上,甚至可以在全国科学大会上获奖。其实当时国外也是如此。但现在注定不行了。因为反病毒技术已经完全由科学研究阶段过度到工程实施阶段了,而且进一步的研究完全是以企业界为先导了。
这就是计算机技术发展的一个基本的定律:就是关键的理论性突破并转化为应用可能后,主要的进步和发展就是依靠企业的产业化实现和工程化实施了,而由于企业发展的进一步需要,进一步研究发展的实施者也必然由高校或者纯科研机构,转化到企业研发人员或企业自身的研发机构上。
应当说,目前信息安全的几大相关技术,都是基本成熟并可以工程实施的。此时,如果依然更多的把注意力集中到高校和科研机构上,试图通过大投入立项来解决信息安全问题,恐怕很难取得良好效果了。特别是中国传统的科研成果难以向生产力转化的问题,依然严重存在着。这种投入就会更多的转化为论文汇报、理论进展和实验室中的样品。而同时,如果简单的给高校和科研企业背负上产业化的压力,象当年高校和科研院所冒出了数十个版本的防毒卡一样,再搞出一堆高校院所版的防火墙,又有多大价值。国家经费理应大力保证高校和院所的基础研究。而应用性技术和工程实现的东西更多的交给企业去解决,这才能是一种良性循环。
对于民间力量的看法是,目前国内舆论和媒体对民间往往希望和追捧过高,类似伊拉克如果培养几个超级黑客就能逆转海湾战争的说法到处都是。对此,我着实不敢苟同。我非常尊重民间网络安全工作者的奉献和探索,但我依然觉得,民间的安全爱好者如果不最终和企业或者研究机构靠拢是很难发挥更大价值的。

三、中国信息安全紧缺的东西

对我此前的几篇文章中的观点收到很多反馈,有些朋友觉得其中很多是从“破”的角度思考,那么以下的内容就试图从“立”的角度思考问题。

第一, 需要健康公平的产业秩序
对此我们有一些建议。
1、扶植中小安全企业,特别是知识先导型的企业。举个例子来说,对创业型的安全企业来说,公安部和商密委的相关审批费用还是一个压力,但交纳审批费用应当还是必要的,是否可以考虑允许滞后交费的,比如可以在年检时补交审批费用。可以减小中小安全企业的创业压力。
2、提高产业准入的技术门槛,形成严格的测评机制,鼓励建立第三方测评机构。据说在早先国内制定反病毒产品测试标准时有这样的争论,如果按照国际标准测试,国内的产品都无法通过,那么是按照严格的国际标准来规范反病毒产品市场,还是降低标准以适应国内产品,大家争论不休。但应当说,出于对民族产业的保护,实际行动比较靠近后者。如果日前的测试不是采用本土化列表,而是用国际公认的WILDLIST和BASE列表作为参照,可能名次就完全不同,客观比较目前国内安全产品和国际的差距,就可以看到这种保护的结果没有达到初衷。同时由于安全产品的特殊性,为了保护局部的产业利益,降低产品要求,实际上等于以降低信息化的安全性和可靠性为代价。另外,国家官方的测评机构把握的是产品的市场准入问题,我想这一体系应当有一些有益的补充。国家应当允许第三方对安全产品进行测试,中国也应当有自己的ICSA类似的组织。当然,对产品测试结构和行为本身也要加强管理。
3、减少国家干预,鼓励公平竞争。再次建议,国家应当把商用安全和关键部门、关键网络的安全分开来看,商用应用的安全问题交给安全企业自由竞争去解决,而在关键部门和关键网络再考虑通过国家行为实施一个比较系统的独立体系。这样,国内安全企业才有更少的限制和更大的运做空间。
4、抑制过分炒做。目前,中国信息安全产业整个的浮夸气氛比较浓,一些商业炒做已经到了无以复加的地步。对消费者、对上层决策都有很大的欺骗性。但如果仅仅靠媒体和民间对此的监督和曝光,是很不够的,但这些属于企业经营范畴的东西,不宜用行政手段,对此应当有法律的约束,比如广告法,应当对计算机和网络软硬件产品,也应当有适用性,必要时要增补一些新内容。对于科技新闻报道的真实性,也有必要考虑有法律规范。另外一些特殊行为,比如所谓安全产品公开测试问题,也应当考虑制定一些规范,避免刻意误导和欺骗用户。
第二、不断提高全民意识和应用水平
信息化决不是用钱买来的,信息安全也决不是用钱买来的。日前,在应有关部门之邀检查某政府网站和内网的安全性时很有感触,他们配置了高档的CISCO PIX硬件防火墙,但WEB服务器的administrator和数据库的SA却没有口令,这个例子很直观的说明了一个道理,那就是人的因素是信息安全的关键环节。信息安全没有资金投入好比赤膊上阵,但再先进的安全软件和硬件离开了一定的使用水平和安全意识也是毫无意义的垃圾和废铁。
必须提高意识和应用水平还在于必须提高鉴别评定能力。国内信息安全领域之所以良莠不齐,鱼龙混杂,除了有一些不健康的灰色因素存在外,立项审批等环节的人员自身的水平也是一个重要因素。

第三、建立宽松的舆论和政策环境、科学准确的立法基础
几天前收到一篇文章,里面讨论了这个问题,中国黑客为何“归正”这样的早?大意是,美国黑客一般接近三十岁才告别纯的民间安全爱好者身份,而流向安全企业和政府部门。而中国的民间安全工作者一般25岁左右就已经向商品经济(安全公司)靠拢了。我想这其中也是一种压力。
1999年的拉斯维加斯的黑客大会上,全美黑客聚会一堂,当时给我印象最深的是,名为死牛祭祀的小组发布BO2K,我一个朋友看了报道说:“这不是散布病毒么?为何不抓他们?”我无意在本文讨论远程控制工具和病毒的区别,我只希望大家考虑一下所谓“为何不抓他们?”。2000年的黑客大会更有美国政府要员到场,号召黑客为国家服务。
民间力量对维护社会信息安全的的体系来说,应该说是一个分支关节,不可能系统、全面、有保障的解决问题,只能起到补丁的工作,但从另一个角度来说,民间队伍是整个信息安全事业的人才源泉,是一个基础。由于民间力量的不确定性,如何规范和管理确实是一个问题。我觉得第一就是应当象美国一样,不要管得太死,压得太紧,在民间形成一种宽松的技术氛围和环境。为渊驱鱼,为丛驱雀式的严抓狠管是影响产业发展的。但不管死又不等同于不管,否则就会很混乱。第一就是要有科学的立法,觉得国家这方面有些还不够全面,不够准确,比如前阶段关于计算机病毒的那个条例,“不准提供含计算机病毒的介质”,说的很死,那么用户发现或者怀疑计算机有病毒而需要向反病毒公司提供样本呢?第二就是有明确的取向,国家对民间信息安全的研究和实践应当不加干涉,但要有立法约束,而对涉及金融犯罪、反政府反社会、恶意破坏等一些行为则要依法惩处。第三就是要有好的舆论导向,中国的很多媒体不是以一个对社会负责的态度来报道黑客等题材,不是恶意贬低就是大力吹捧,报道者自身对信息安全技术又一无所知,漏洞百出,无论从社会效应还是从对青少年科普的角度,影响都是负面的。媒体应当不断提高自己的责任感和水平,引导网络安全爱好者追求技术,遵守法律。而不是去一棍打死,或者制造出一些亦正亦邪的偶像出来。第四就是逐步使民间网络安全工作者或者黑客逐步自我形成一个道德约束的机制。


四、中国信息安全要有放眼全球的战略视野
应该说国家在信息安全方面一直处于防守的地位,因此对国外安全产品有很多的限制,这一方面是出于国家安全的考虑,另一方面也是出于保护民族信息安全产业的考虑。但把两者联系起来想一想,民族性=先进性么?民族性=安全性么?
无论考虑产业利益还是考虑国家安全,都有秦始皇长城式的防御思想,还是忽必烈铁骑式的进攻思想的区别。中国把安全产品作为突破口,成为印度式的软件出口型国家,我想并非没有可能。这要比我们全面对国外产品设立种种禁令,再让企业都扑到国内市场这块饼上好的多。如此,不用别人的安全产品和别人都在用我们的安全产品所构画的图景,是绝对不同的。
国家对于国内安全产品和技术的一个重要判定是正确的,那就是:整体技术上落后很多但在密码理论方面并不落后。有的在密码体系的研究和现有密码算法的分析方面,很多走在了国际前沿领域,可惜具我所知,其成果却一直未能产业化。
我理解国家商密保护条例制定的初衷,在目前的情况下,政策性保护作为一种临时性的无奈的举措,是必要的。但商用密码和核心密码是不同的,商用密码应当遵循商业规则,如果全面禁入,那么必然的结果是,中国的安全产品在角逐国际大市场时,必然遭到对等的待遇。同时,限定了商用密码算法为国家秘密,则就意味着密码学家和密码企业无法用专利保护自己的算法,更不利于维护自身利益。我想商密领域同经济竞争的任何领域都相同,关键的不是保护,而在于自强。
我想国家应该考虑以密码技术为突破口,加紧国内先进成果的产业化,逆转对美国密码产品的落差,就可以逐步放开进口禁令,而以美国之道还美国之身,采用准入限出的方式,反制美国。如果一味严防死守,闭紧国门,可能带来一时的安全,却必然会更加被动和尴尬。
中国和西方列强在信息对话的劣势根本症结在于企业间实力的巨大差距,理应对症下药,这种差距应该由健康的产业循环来逐步拉近。过于倚重政府立项和统筹安排,把高校和科研院所作为信息安全产业的主要载体,则往往取得的结果只是一纸汇报和鉴定而已,很难成为产业发展的推动力。整个信息产业是如此,信息安全产业更是如此,当中国信息安全企业可以与NAI等业界泰斗平等对话乃至有超越之势时,我们的安全恐惧症会自然消失,整个安全秩序自然会攻守易型。一句话,中国应当成为加密算法和安全产品输出大国。

结尾的话

信息安全是随着信息化建设水涨船高的东西,信息安全产业的小秩序也必定被信息产业的大气候所左右。中国信息技术的进步是惊人的,但差距仍然是巨大的;中国 IT行业的秩序背后也潜藏着危机。因此我既不相信国家能脱离信息技术的格局和现有水准构造一个外挂式的技术框架,也不能期待信息安全领域是脱离中国IT大气候的纯净氛围。不知是否与人有同感,中国信息产业已经完成了一定的量化积累,但要完成质的飞跃,就必须强化秩序和建立公平合理的游戏规则,就必须找准症结,进行变革。关系到国家安全的信息安全产业,如何不能成为一个整顿IT产业秩序的突破口呢?