| 出版日期:2004-08-09 总期号:1337 本年期号:58 |
|
 |
另眼看InfoSecurity
治理比防御更重要 万平国 翻一翻中国历史,可以大概得到这样一个印象:只要有战争,国家和社会就不稳定;如果没有战争,国家和社会就可以得到休整,如果再能保证生产,往往就是天下太平。老百姓渴望天下太平,因为,战争让他们流离失所。所谓太平盛世,一定是建立在天下太平的基础上。 历朝历代,统治者都是把天下太平作为国家目标。统治者在不得已的情况下,会采用战争的方式来解决某些通过治理无法达到的目标。但在历史的长河里,治理的时期远比战争的时期长得多。也有一些统治者,企图通过对外战争来转移内部的治理危机,但多半以失败而告终。看一看今天的网络安全,天下太平肯定谈不上,因为,网络安全事件层出不穷,危害甚广;说天下大乱是夸大了,但也有几分相似,因为,整个网络安全的体系架构就建立在攻击和防御的模型上,用战争术语来描述,应该算是“战时”而不是“和平时期”。尽管网络安全技术在不断改善,但网络的总体安全状况没有改善。 今天的网络用户希望天下太平,希望在网络上能和平相处,不希望时时处在攻击和防御之中,因为那样让他们感到不安全。令人吃惊的是,为了解决网络的安全问题,安全业界采取的几乎都是防御的办法,从访问控制、防火墙、入侵检测和防御、漏洞扫描和补丁、VPN、抗攻击网关,到物理隔离,总体思路都是对抗攻击,是防御策略。这些策略和方法不能说没有用,但是,就像不能指望通过战争来实现天下太平一样,不能把攻击和防御作为网络安全的主要策略。现在网络的总体安全状况并没有明显改善,也说明了这一点。 这对今天的网络安全是一个启迪。要解决目前的网络安全威胁,光靠抗攻击和防御是不行的,最重要,要靠网络安全治理。实际情况也是这样,目前,来自外部的网络攻击只占10%,而内部的攻击占90%。防火墙无法防御不经过它的攻击。再说,在内部天天抗攻击也不合适。所以说,网络治理是关键。 在有互联网之前,几乎所有的网络都有网管,很少有网络采用防火墙之类的防御网关,那时候的网络安全状况比现在好得多。有了互联网之后,几乎很少采用网管,即使有,仅有的网管产品也是功能有限,大多采用防御网关,但是,实际效果却不很好。 什么是网络安全治理?就是像一个政府统治国家那样管理网络,要治理不要战争。从安全的角度讲,有政府比没有政府要强。但是,今天的互联网恰恰是一个无政府主义盛行和自由主义的网络,这是目前网络安全威胁严重的主要根源。互联网上有一句名言:在网上没有人知道你是一个人还是一条狗,因为互联网只认IP地址。自由、平等、不确认身份是互联网的特性,这在带来方便的同时,也带来了巨大的问题,如欺骗、攻击、病毒、木马等。无政府主义的互联网是最不安全的网络环境。要打破互联网的无政府状态,需要改进,光对等不行,还需要等级制度;光接入方便不行,还需要身份认证制度;光自由不行,还得有全网安全策略。一个网络上至少需要有一个类似于政府功能的管理设备,既要保护公共安全、全网安全,还要保证个体安全。网络安全要靠全网的安全策略,靠统一管理,靠安全治理。已经有安全厂商已经开始推出类似的技术和产品。 一个网络要安全,就像一个国家和社会一样,要统而治之。不统就无法治,光统而不治,也不会安全到哪儿去。要治理不要战争,这才是太平之道。作为管理者和用户,现在我们明白,必须建立一个政府型的网络才安全。前些年,我们忽视了这一点,所以,网络安全的问题没有解决得很好。现在,我们认识到这一点,如果再加以落实,就可能真正地实现网络安全。 |
||||||||||||||||||||||||
