IT系統在帶來極大的信息傳播與共享能力、提高生產效率、豐富人們的業務生活外,也不可避免的帶來安全問題,安全隨人們的依賴程度提高而越嚴峻。針對IT系統的***逐步由技術炫耀向有組織犯罪甚至組織和國家之間半軍事化對抗演變。
在日常現實生活中,人們的人生與物理安全,很多時候是依賴於事後追查機制。通過事後追查,提高犯罪者法律風險來降低安全事件發生的概率,只有一些重要事件需要保護時才提供額外的事前安全保護機制;事後追查機制用較低的成本獲得一個能被大衆接受的安全度。但是IT系統特別是網絡化之後,單純的事後追查防範風險的機制已經很難有效針對IT系統,主要原因在於:
1)接觸成本低:在現實犯罪中,罪犯想要實施犯罪,則必須物理接觸被實施對象,因此其接觸成本大大提高。而在網絡系統中,任意在網絡上連接的兩點都可以實現虛擬接觸,罪犯的接觸成本大大降低。
2)取證困難:在現實犯罪中,物理接觸必然會留下大量的物理證據和目擊人證,取證更容易;而在網絡犯罪中,都是電磁信號等非持續保留信號,即使可以持續保留的文件日誌等信息也都可以被罪犯繞過或無痕刪除,而且最後也只能指認鎖定的IP和主機,無法確認實施人員。
3)地域受限:國家是由界限的,在現實犯罪中,罪犯實施犯罪必須接觸被侵犯目標,在追查的一定時空域內,還屬於一個國家的管轄權內,實施取證與執法都比較容易。而網絡上,可以輕易跨越國界實施犯罪,導致取證和執法都相當困難。
4)侵害獲知的實時性:在現實犯罪中,侵害的都是實體資產,一旦侵害發生,被害人可以及時獲知然後通過報案啓動事後追查體系。然而針對IT系統的犯罪,大部分侵害的是信息資產,用戶很難及時獲知被侵害已經發生。即使侵害的是實體資產,也可以通過信息欺騙滯後被發現的時間,典型的案例就是震網在2006年左右就已經***伊朗核設施後修改參數導致核設施生產不出可以製造核武器的物質,然而顯示卻一切正常,直到2010年才被發現。
基於以上原因,採用現實生活中的事後追責處置的方式來應對IT系統的安全問題,是很難降低IT系統的安全風險。要求IT系統必須擁有更多主動的事前、事中與事後的防禦與檢測措施。於是各類IT系統安全防護與檢測產品應運而生:防護牆、***檢測、病毒檢測等等,這些系統降低了IT系統的部分安全風險但也帶來了很多其他的問題,但是始終難以從根源上緩解IT系統面臨的安全威脅。究其原因:雖然數學已經證實了可以在兩個不可靠的系統之上構建可靠的系統,但還無法證實在多個不安全或不可信的系統之上可以構建可信的系統。不可靠是物理客觀而且可以清晰界定範圍,可信則是主觀範疇,安全雖然是物理客觀但卻屬於未知範疇。要想讓IT系統更加安全,還必須從IT系統自身的安全着手,讓安全成爲IT系統的基礎屬性。
讓安全成爲IT系統的基礎屬性,實際上包含了如下的要求:
1) IT系統的自主開發的代碼必須是達到一定安全度的:針對IT系統的代碼安全漏洞發起***日益成爲當前針對IT系統發起遠程***的重要手段。相對來說:管理等問題帶來的侵害基本都是接觸式的***,而遠程非接觸式的侵害基本都需要配合IT系統的安全漏洞來發起。而安全開發的意識基本還未普遍形成,導致安全漏洞在IT系統中普遍大量存在。必須強化系統設計與開發人員的意識,採用一定的技術手段,來降低IT系統開發時引入大量的安全漏洞和其他各種安全瑕疵。
2) 針對IT系統的外部來源組件必須有一定的安全監控和管理手段:IT系統是在一個開放式架構複雜組合而成,大多數IT系統必然需要採購或者本身就是建立在其他第三方的外部組件之上來構建的。針對這些第三方來源的組件,必須有一套准入、驗收、保證、響應與追責的體系,來保證第三方來源的組件進入時初步的安全,安全問題產生時的快速響應與修復,對第三方來源的組件的安全問題追責和管理。
3) IT系統的外部防禦體系:目前業界已經建立了一套IT系統的外部防禦體系,但是在目前IT系統的安全風險與威脅之下,也遭受着各種各樣的挑戰,原因正在於:
a) 檢查滯後性:缺乏及時發現最新***和被***的能力。IDS/IPS依賴對漏洞和***代碼的已知信息上,殺毒產品依賴於對病毒和***的樣本和具體行爲信息上。難以針對0DAY和特馬做出及時的響應。
b) 缺乏智能分析和關聯能力:一般做法要麼粗暴的阻斷導致由於誤報導致可用性大幅度降低,要麼將非常專業的信息遞交給無專業技能的用戶做決斷,用戶既不能正確判斷也非常煩惱頻繁的提示導致的易用性損失,最後可能導致用戶關閉相關安全功能。
要想達到以上幾個目標,最終讓安全成爲IT系統的基礎屬性,整個IT產業界和安全業界必須做出以下的努力:
1) 樹立安全意識:通過越來越多的安全事件,IT系統的安全的重要性開始被越來越多的人們所重視。但是如何來解決IT系統的安全問題,很多人都抱有簡單的幻想,希望用一個簡單的改善就能獲取安全;必須認識到安全是一個非常複雜的體系,需要全方面的投入和改善,每一個安全的措施只能提高一點***者的成本或降低特定情況的風險而不能大幅度改善安全境況。用戶信息泄密事件之後,很多廠商號稱自己換用了MD5加密存儲用戶的密碼手段,因此是安全的就非常可笑。問題在於***者是通過安全漏洞獲得用戶敏感信息的,解決方案並沒有解決自身的安全漏洞問題,只是讓***者拿到的是MD5加密的信息,***者通過彩虹表就已經能查詢出大部分強度不夠的密碼,***者甚至可以***服務器修改代碼,讓用戶密碼在做MD5運算之前就傳遞給***者等等。當然有了改善總比沒有改善要好,至少***者需要做出更多額外的工作增加了***成本。所以針對有重要信息資產的系統,安全投入會不斷增高,很多企業不願意在安全上做投入,認爲安全只是成本沒有正向收益,但是企業需要想一想,如果沒有安全來保障IT系統的運營,引入IT系統帶來的效益或者依賴IT系統帶來的效益,就只是空中樓閣,在罪犯和競爭對手***之下飛灰湮滅。以安全爲看點可能爲你爭取到更大的蛋糕,但即使安全不能爲你增加什麼,但沒有安全你就無法守住你已經獲得的蛋糕。當然,安全也必須在可能的損失、成本、用戶體驗、系統可用性等各種競爭性需求之下尋求一個平衡,但安全必須成爲一個重要的考慮因素。
2) 改善學校的計算機教育體系:在我們傳統的開發能力教育中,強調性能和用戶友善性爲主,但是缺乏安全的部分。未來的程序員從學校中學習不到安全,瞭解不到安全的重要性,掌握不了安全問題的機制和編碼的相關性,自然編寫出來的代碼千瘡百孔,漏洞遍地。在我們傳統的軟件工程教育中,對軟件安全設計的原則缺乏描述,對關鍵的軟件安全開發管理過程也缺乏講解。自然難以在未來軟件設計和軟件工程管理中,將安全作爲一個考量的重要因素。
3) 用安全開發過程(SDL)來保障代碼安全:微軟從2003年開始認識到必須改進自身開發產品的安全性必須從開發過程着手,之後引入了安全開發過程(SDL),WIN7、OFFICE2010、IE8等產品都是在SDL過程下開發出來的。這些產品雖然未能完全解決安全漏洞,但是相對於以前的系統,安全性得以大幅度的提高,在安全業界也獲得了好評。微軟的實踐證實:即使是在超大型軟件開發背景下,通過安全開發過程的管控,結合安全能力與安全意識的培育,是可能在開發級上就非常有效的提升IT系統的安全性的。當然採用SDL意味着需要付出很大的成本,而且對既有的開發模式、人員衝擊都比較大。可以通過採用循序漸進的方式,但是基礎的人員安全能力與意識的培訓、系統上線前的安全測試、漏洞及時響應修復與公告等措施還是必須具備的。
4) 建立供應鏈安全管理體系:供應鏈安全最近越來越被注重,但如何控制好供應鏈的安全還需要各種各樣的管理規範和技術體系支撐,但至少,要求供應商承諾實施安全開發過程、對安全漏洞實施響應承諾是必須的,在此基礎上,還需要對供應商交付的組件特別是非大衆公共的組件實施必要的安全驗收和安全監理,依據供應商自身組件安全問題和響應評估供應商的安全能力和安全性,頂起淘汰不合格的供應商。纔能有效地在供應鏈源頭控制安全風險。
5) 外部防禦體系需要不斷依據***發展作出技術變革:針對現有防護體系的不足,業界已經在反思,從技術到策略都在作出調整。下一代防護牆(NGFW),下一代***檢測系統(NGIDS)都提出了應對IT安全問題的新的方向,他們都在綜合安全事件智能分析、對未知安全漏洞***的檢測、對未知***事件的及時感知等能力上有所加強。配合這些外部防禦體系,可以更有效地對IT系統當前的安全狀態進行感知和發現基於未知漏洞的***。
6) 實現防護方共享***信息機制:安全本身是一種狀態,當用比較低的成本壘高***者***成本導致***者收益小於***者成本時可以獲得最高的安全性。從防護者角度,要每個IT系統都單獨且面面俱到發現IT系統的所有未知安全問題並及時分析響應作出對抗策略需要付出太高的成本而且高端安全人力資源也極爲短缺,如果防禦方能共享***信息,共享專業安全***團隊的分析和響應支持,可以大大降低所有IT系統防護未知安全問題和***對抗的成本,針對***最新的***手法和安全漏洞作出快速響應,以較小的代價變相推高***者成本來實現IT系統的安全性。
無論如何,二十一世紀是信息網絡時代的世紀,在這個世紀,架構在互聯網之上的各種IT系統將更加深刻的勾畫人類的未來,無論移動互聯、物聯網、雲計算,安全會成爲這些IT系統面臨的最迫切需要改進的問題。努力實現讓安全成爲IT系統的基礎屬性,或許會付出很高昂的代價,但是相對未來可能因安全問題引起的損失,是我們必須要面對和付出的努力。