在近日的“云災(zāi)備與云存儲(chǔ)安全論壇”上，長(zhǎng)江學(xué)者、北京郵電大學(xué)信息安全中心主任、災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室主任楊義先教授做了題目為“全球信息安全的六大戰(zhàn)略錯(cuò)誤”的主題演講，以獨(dú)特的視角剖析了信息安全領(lǐng)域存在的六個(gè)重要誤區(qū)，并提出了自己的解決思路。楊義先教授從業(yè)信息安全近三十年。

         錯(cuò)誤1(最基礎(chǔ)的錯(cuò)誤)：忽略了“返祖”現(xiàn)象。構(gòu)成賽搏空間的所有要素(計(jì)算系統(tǒng)、存儲(chǔ)系統(tǒng)、傳輸系統(tǒng)、采集系統(tǒng)等)都是人類文明精華的最先進(jìn)成果，因此，按慣性思維，自然認(rèn)為賽搏空間本身也最文明!然而，我們錯(cuò)了，并且大錯(cuò)特錯(cuò)，實(shí)事上，賽搏空間是最“返祖”的野蠻社會(huì)，在這里，甚至連文明社會(huì)的最基本準(zhǔn)則(道德準(zhǔn)則、關(guān)系準(zhǔn)則、秩序準(zhǔn)則)都是空白，“弱肉強(qiáng)食”司空見(jiàn)慣，“損人利己”天經(jīng)地義，“損人不利己”甚至“損人損己”也比比皆是。

        因此，要想保衛(wèi)禽獸不如的賽搏空間的安全，當(dāng)然不能只用“文明手段”，必須勇敢地向遠(yuǎn)古前進(jìn)，由“叢林法則”開(kāi)始，向原始人學(xué)習(xí)，踏踏實(shí)實(shí)地推進(jìn)賽搏社會(huì)的生態(tài)文明建設(shè)。

        錯(cuò)誤2(最致命的錯(cuò)誤)：以君子之心，度小人之腹。當(dāng)今，所有信息安全技術(shù)都以“用戶是好人，一定會(huì)遵紀(jì)守法”為前提，比如，只有當(dāng)確認(rèn)某款軟件干了壞事后，才把它定為“惡意代碼”，才開(kāi)始對(duì)其進(jìn)行封殺或補(bǔ)漏;只有當(dāng)某個(gè)用戶已被證明危害了安全后，才將其定為黑客，才開(kāi)始對(duì)他進(jìn)行應(yīng)急處置等。如果這種后發(fā)制人的“馬后炮”思路得不到根本改變，那么，全球信息安全專家們將永遠(yuǎn)處于被動(dòng)、挨打的局面!

        當(dāng)然，由于歷史欠賬太多，我們也不可能一夜之間就把思路調(diào)整為“人之初，性本惡”的有罪推論，畢竟現(xiàn)在的絕大部分信息安全技術(shù)和手段都主要在“亡羊補(bǔ)牢”。

        錯(cuò)誤3(最受累的錯(cuò)誤)：全民被“魔道怪圈”綁架。當(dāng)前信息安全界的邏輯是：當(dāng)個(gè)別黑客的“魔”高一尺時(shí)，全體網(wǎng)民的“道”就必須再高一丈，如此循環(huán)往復(fù)“冤冤相報(bào)”，永無(wú)止境!好像全體網(wǎng)民都被逼進(jìn)了露天電影場(chǎng)，而且，因?yàn)橛腥?ldquo;站立”，便導(dǎo)致大家都不得不“踮著”受罪。為什么網(wǎng)民們不能舒服地坐著享受電影呢?我們也許會(huì)羅列許多理由來(lái)辯解這種無(wú)奈現(xiàn)象，比如，信息系統(tǒng)越來(lái)越復(fù)雜、黑客技術(shù)越來(lái)越先進(jìn)等，因此，網(wǎng)民必須為信息安全付出應(yīng)有的代價(jià)。猛聽(tīng)起來(lái)，這種“叫屈”好像有道理，但是，請(qǐng)注意，在現(xiàn)實(shí)社會(huì)中，敵我雙方的導(dǎo)彈等核武器系統(tǒng)也是在不 斷“水漲船高”吧，請(qǐng)問(wèn)你作為普通市民，有沒(méi)有越來(lái)越被戰(zhàn)爭(zhēng)威脅的感覺(jué)?基本沒(méi)有吧!

        因此，全體網(wǎng)民應(yīng)該有希望，不再夜夜為自己的信息安全“做惡夢(mèng)”，假如我們真能打破“魔道怪圈”的話，當(dāng)然，必須承認(rèn)，我們至今還無(wú)計(jì)可施，但是，世上無(wú)難事，只怕有心人。提示：杜絕“露天電影效應(yīng)”的辦法有兩個(gè)，其一，放映效果足夠好，使每個(gè)人都能清晰地享受，這樣就不會(huì)有“站立”者了;其二，對(duì)“站立”者嚴(yán)厲懲罰!

        錯(cuò)誤4(最仁慈的錯(cuò)誤)：未建信息安全別動(dòng)隊(duì)。如果把賽搏空間比喻為金銀滿地、佳麗如云的后宮，那么，最合適的管理人選應(yīng)該是“太監(jiān)”。但是，如今，管理該“后宮”的卻是眾帥哥，受某些規(guī)矩約束的眾帥哥。或者，換句話說(shuō)，現(xiàn)在，信息安全界選用了一個(gè)股民來(lái)?yè)?dān)任“美聯(lián)儲(chǔ)”主席，想不出金融危機(jī)都難啰!事實(shí)上，當(dāng)前，國(guó)內(nèi)外，信息安全界攻守兼?zhèn)涞膸缀醵际峭慌?這當(dāng)然在無(wú)形中加劇了各利益方的相互對(duì)抗，并且殃及全體網(wǎng)民!如果有一支類似于“聯(lián)合國(guó)維和部隊(duì)”，他們完全中立地、盡心盡力地、一視同仁地為全世界信息系統(tǒng)保駕護(hù)航，那么，網(wǎng)民們的安全感將大幅度增強(qiáng)。

         當(dāng)然，要想糾正該錯(cuò)誤，顯然不能僅僅依靠技術(shù)手段，而且這絕對(duì)是一個(gè)非常困難的問(wèn)題。所幸，現(xiàn)在這樣的“別動(dòng)隊(duì)”已經(jīng)開(kāi)始活躍于賽搏空間的某些局部，比如，出現(xiàn)了SAAS概念，即，信息安全即服務(wù)。

         錯(cuò)誤5(最具體的錯(cuò)誤)：黑名單管理。當(dāng)前，賽搏空間的行事規(guī)則是：非禁止，即允許。該規(guī)則在信息安全的攻防雙方也是通行的，其好處是極大擴(kuò)展了各自的創(chuàng)新空間，但是，卻耗費(fèi)了對(duì)抗雙方難以計(jì)數(shù)的人力、物力和財(cái)力等資源。如果把安全規(guī)則修改為“白名單管理”方式，即，未被允許的指令均為禁令，那么，理論上，只需要由權(quán)威機(jī)構(gòu)，在給定環(huán)境下，預(yù)先測(cè)試某些操作的安全性，然后，將安全操作寫(xiě)入“白名單”中就行了。

          當(dāng)然，要想馬上、全面推廣“白名單”，幾乎是不可能的，但是，從局部開(kāi)始，針對(duì)某些關(guān)鍵系統(tǒng)的核心操作，采用“白名單”也是值得嘗試的。

        錯(cuò)誤6(最機(jī)械的錯(cuò)誤)：動(dòng)態(tài)性不足。與現(xiàn)實(shí)社會(huì)類似，賽搏空間的“人”(實(shí)體)和“事”(進(jìn)程)也應(yīng)該是瞬息萬(wàn)變的，而且，網(wǎng)絡(luò)社會(huì)的移動(dòng)性、隱蔽性、不定性等更加嚴(yán)重，因此，既不能簡(jiǎn)單地用身份認(rèn)證方法，把用戶分為“好人”或“壞人”;也不能把各種操作，機(jī)械地定為“合法”或“非法”;更不能“以不變，應(yīng)萬(wàn)變”，必須綜合考慮時(shí)間、空間、事件等因素。當(dāng)然，要想提高動(dòng)態(tài)性，一定得付出相應(yīng)的代價(jià)。

        因此，針對(duì)一些特定的信息系統(tǒng)，在特殊情況下，完全可以借用現(xiàn)實(shí)社會(huì)中的眾多直觀思路，用時(shí)間的動(dòng)態(tài)性、空間的動(dòng)態(tài)性、事件的動(dòng)態(tài)性等來(lái)?yè)Q取賽搏空間的安全性。

補(bǔ)充說(shuō)明：

        1、客觀地說(shuō)，以上六大錯(cuò)誤不能完全歸咎于信息安全界，因?yàn)?，IT界的過(guò)度創(chuàng)新和失誤留下了太多急需彌補(bǔ)的漏洞，使得我們倉(cāng)促上陣，頭痛醫(yī)頭，根本沒(méi)時(shí)間和精力來(lái)統(tǒng)籌戰(zhàn)略。

        2、我們沒(méi)有能力和機(jī)會(huì)介入賽搏基礎(chǔ)設(shè)施的起步階段，致使建設(shè)與安全始終是“兩張皮”。

        3、糾正上述六大錯(cuò)誤，也絕不僅僅是我們的責(zé)任，更重要的是“全體IT專家必須行動(dòng)起來(lái)”。

        4、“糾錯(cuò)”將是非常困難的長(zhǎng)期難題，不能另起爐灶，最多在特定情況下，從局部改起。