| 出版日期:2004-11-15 总期号:1364 本年期号:85 |
|
 |
网络只有自治才能保证安全
另眼看InfoSecurity 文 万平国 一位负责网络安全工作的CSO给笔者来电话,非常郁闷地诉说他的遭遇。前不久,他所在的单位在他的一再呼吁下,开始重视网络安全问题,投资并部署了网络安全解决方案。在部署之前,一家厂商说得天花乱坠,从安全威胁分析到解决方案,从技术到产品,从方案带来的好处到售后服务,让他感到非常有必要尽快实施,并且选择了这家安全公司来实施。部署后,下面的技术人员很快发现不是那么回事,安全问题没有解决,甚至连基本的安全措施和策略都存在问题。CSO很重视这个问题,立即召开厂商的技术和方案再确认会议,笔者也被邀请参加。让我大吃一惊的是,厂商花了整个上午,不断灌输“世界上没有绝对的安全”这个道理,还搬出了这位专家那位专家的话来证明。连技术上明显的失误都解释为:厂商是为了用户的方便性,才牺牲了一些安全性。很明显,用户的钱花了,安全问题几乎没有解决。 笔者并不是同情这个用户和CSO,却不认可这个厂商的行为。但仔细想想,这家厂商的说法也没有什么问题,它只不过是把网络安全界流行的说法,巧妙地用在它的商务上。其实大家都是这么做的,只是该厂商的产品和技术差点,这位CSO的运气不好而已。用该厂商的话来说,其他的厂商也都是这么做的。 有一个问题是值得深思——没有绝对的安全,安全是相对的。这个也可以接受,但有没有相对安全的测量和检测标准?否则,从安全走向“没有绝对的安全”,最后走向“不安全是可以接受的”,陷入一个明显矛盾的循环怪圈。 要讨论安全的测量和检测标准,还得回到技术上来。到底有没有可测量的安全技术手段和方法?目前的技术和产品是否支持这些测量和检测?这样一问,就发现了问题。目前普遍的安全技术和产品,具有不可测或测不准的特性,有些可以定性但无法定量,有些技术和产品干脆具有模糊性和不可测。以防火墙为例,如果你要拒绝某个IP或端口的服务,添加一条拒绝的规则,立即可以测试,防火墙确实拒绝某个IP或端口的服务。拒绝了也就安全。但如果用户准许某个IP或端口的服务,也可以立即测试,确实准许了某个IP或端口的服务。但准许的是安全的吗?不,没有办法保证准许的是安全的。准许放行的IP和端口的安全性具有不确定性。还远不止这些,最大的问题在于规则设计。安全管理员的规则设计是正确的吗?全面吗?没有遗漏?答案几乎是否定的。防火墙的安全规则的设计具有极大的复杂性,从理论上讲,你可以设计一套规则出来,但你没有办法知道你设计的规则是不是正确的安全策略。几乎所有防火墙的规则设计都是粗颗粒度的,所以就决定了防火墙的安全性具有模糊性。防火墙是这样,入侵检测就更不用讲。入侵检测具有漏报和误报的特性。因此,入侵检测也具有测不准的特性。防病毒可以测量吗?不,也测不准。首先是新病毒测不准,老病毒的变种,也可能测不出来,具有随机性。密码也不例外,前不久MD5还是可控的,现在我国的科学家研究证明它也是不安全的。 安全个体具有测不准的特性,是不是意味着安全问题就无法解决了呢?答案不是。安全具有测不准的特性,但网络的整体安全却可以设计成为自治的。如果一个网络的安全具有测不准的特性,而网络本身又无法自治,那么这个网络就是一个不可用的网络。自治网络是安全的,因为自治网络的每一台计算机能够自我防御,保护自己免受攻击,在面对攻击的同时能够自我适应并启动防御机制。自治网络的每一台计算机按照自己的安全最大化机制来决策,同时却能保证整个网络的安全最大化。自主网络的每一台计算机接受一个原则的约束,即不得破坏网络的整体安全。自主网络的内部冲突会自动冲突避免,冲突不能避免则进行仲裁,仲裁具有强制性。 只有网络是自治的,才能保证网络的安全。很多的网络自治安全技术正在不断发展,如准入访问控制、自防御网络、分布式防火墙等。那种只用一个防火墙来保护整个网络的时代快要结束了,2005年将是网络自治安全技术大发展的一年。 |
||||||||||||||||||||
