全球信息安全的九大战略错误 杨义先 教授 北京邮电大学信息安全中心主任 科学家是人类最聪明的群体!而科学家中,最善于彼此对抗者,又非信息安全专家莫数。但事实证明,正是这批人精中的人精,在保卫信息安全方面,却办了糊涂事,使得赛搏空间越来越不安全,甚至,如果再继续错下去的话,最终将导致“人人裸奔、个个自危”。 下面简要罗列全球网络安全界所犯的九大代表性战略错误。 因此,要想保卫禽兽不如的赛搏空间的安全,当然不能只用“文明手段”,必须勇敢地向远古前进,由“丛林法则”开始,向原始人学习,踏踏实实地推进赛搏社会的生态文明建设。 当然,由于历史欠账太多,我们也不可能一夜之间就把思路调整为“人之初,性本恶”的有罪推论,毕竟现在的绝大部分信息安全技术和手段都主要在“亡羊补牢”,都是基于“人之初,性本善”的假设。该错误的根,显然在错误1。 3 最受累的错误:全民被“魔道怪圈”绑架。 当前信息安全界的逻辑是:当个别黑客的“魔”高一尺时,全体网民的“道”就必须再高一丈,如此循环往复“冤冤相报”,永无止境!好像全体网民都被逼进了露天电影场,而且,因为有人“站立”,便导致大家都不得不“踮着”受罪。为什么网民们不能舒服地坐着享受电影呢?我们也许会罗列许多理由来辩解这种无奈现象,比如,信息系统越来越复杂、黑客技术越来越先进等,因此,网民必须为信息安全付出应有的代价。猛听起来,这种“叫屈”好像有道理,但是,请注意,在现实社会中,敌我双方的导弹等核武器系统也是在不断“水涨船高”吧,请问你作为普通市民,有没有越来越被战争威胁的感觉?基本没有吧! 因此,全体网民应该有希望,不再夜夜为自己的信息安全“做恶梦”,假如我们真能打破“魔道怪圈”的话,当然,必须承认,我们至今还无计可施,但是,世上无难事,只怕有心人。提示:杜绝“露天电影效应”的办法有两个,其一,放映效果足够好,使每个人都能清晰地享受,这样就不会有“站立”者了;其二,对“站立”者严厉惩罚! 在过去数十年里,全球信息安全界的研究重点几乎都是“如何从技术上去对抗黑客”,但却忽略了“黑客是人”这一最基本的事实!更准确地说,人、网络和环境组成了一个闭环系统,只有保障了其中各环节的安全,才谈得上真正的安全。适用于网络和环境的安全保障措施,显然不能照抄照搬用于人的安全保障。而对付人的最有效办法就是心理学,具体说来是《黑客心理学》。形象地说,王阳明的“破山中贼易,破心中贼难”,在网络安全界便可演绎为“破网络黑客易,破心中黑客难”,或者说是“攻城为下,攻心为上;攻网为下,攻人为上;如何攻城,假假真真;如何攻人,社会工程。”而对付黑客的心理战术之多,可能出乎许多人的意料之外,包括但不限于充分利用感觉的漏洞、知觉的漏洞等各种漏洞,与黑客展开记忆博弈、情绪博弈、注意控制、动机诱惑等对抗,充分利用微表情泄密、肢体语言泄密、姿势泄密、服饰泄密、习惯的泄密、爱好的泄密、喜欢的泄密等众多潜信道等,最终实现对黑客的全方位围攻。 幸好,刚刚结束的全球信息安全界的巅峰会议“RSA2020”,将今年的大会主题定为“人的要素(Human Element)”。看来,全球信息安全专家终于开始意识到:“安全的核心在人,而不在物!”而人的要素却在心,心的要素却在心理。但愿安全技术界将有更多的人关注黑客心理学。 不客气地说,别看现在全球信息安全界的专家们忙得热火朝天,好像大家都在甩开膀子大搞信息安全;其实,几乎没有一个人在搞“信息安全”,准确地说,大家都在搞“信息不安全”,即,哪里出现了黑客,哪里出现了“不安全”;于是,大家就一窝蜂地奔向哪里,整个安全界好像都在“打怪”,都完全被黑客牵着鼻子走。不信你看,全球现有的所有信息安全产品、技术、理论等,都只是“武器”,都是针对某种“矛”的“盾”;但却没有“兵书”;对比一下古今中外的军事对抗,武器虽然重要,但如何排兵布阵更重要;否则就不可能有以弱胜强,而这正是兵书的神奇之处。 如今在全球网络安全界,甚至连什么是安全,什么是黑客,红客的任务是什么,什么是安全对抗,网络攻防有极限吗,网络攻防的最佳策略存在吗等最基本的问题,都没能严肃回答,而只是像小木匠打家具那样,匆匆给出了一些罗列式的经验堆积。其实,网络安全真的拥有一套完整的统一理论,真的可以像信息论那样,成为严谨的数学理论,即,《安全通论》;它将在AI机器黑客和红客大规模普及后,扮演着类似于“香农信道编码定理”的角色。 如果把赛搏空间比喻为金银满地、佳丽如云的后宫,那么,最合适的管理人选应该是“太监”。但是,错误1导致的现状是:如今,管理该“后宫”的却是众帅哥,受某些规矩约束的众帅哥。或者,换句话说,现在,信息安全界选用了一个股民来担任“美联储”主席,想不出金融危机都难啰!事实上,当前,国内外,信息安全界攻守兼备的几乎都是同一批人!这当然在无形中加剧了各利益方的相互对抗,并且殃及全体网民!如果有一支类似于“联合国维和部队”,他们完全中立地、尽心尽力地、一视同仁地为全世界信息系统保驾护航,那么,网民们的安全感将大幅度增强。 7 最具体的错误:黑名单管理。 8 最机械的错误:动态性不足。 天下武功,唯快不破!安全的实质,就是红客与黑客的对抗;而对抗的致胜法宝,其实只有一个字:快!但是,“快”的法宝,是两个字:预测!即,若能精准预测对方的下一个动作,那么,在激烈的对抗中,基本上就能处于优势地位。但是,黑客的行为能预测吗?当然能预测,其实武林高手之所以能胜,就在于他能预测对方的下一个动作,从而以逸待劳轻松获胜。如何预测黑客的行为呢?向导弹学习!导弹之所以能精准击中目标,完全依赖于它的六字预测箴言:反馈、微调、迭代。因此,只要用好了这六个字,你也完全能精准预测黑客的行为。在各种各样的具体情况下,到底如何预测黑客的精准行为呢?也许《博弈系统论》能帮上你的大忙,当然,这绝非易事,更不是谁都能轻松掌握的武林秘笈;所以,网络安全界还应该大量吸引若干数学家、系统科学家和控制论专家等,大家同心协力,才能尽早纠正该错误。 |
|
来自: kaller_cui > 《网络空间》