完善安全机制为保障IT系统安全的关键

在日常现实生活中,人们的人生与物理安全,很多时候是依赖于事后追查机制。通过事后追查,提高犯罪者法律风险来降低安全事件发生的概率,只有一些重要事件需要保护时才提供额外的事前安全保护机制;事后追查机制用较低的成本获得一个能被大众接受的安全度。但是IT系统特别是网络化之后,单纯的事后追查防范风险的机制已经很难有效针对IT系统,主要原因在于:

1)接触成本低:在现实犯罪中,罪犯想要实施犯罪,则必须物理接触被实施对象,因此其接触成本大大提高。而在网络系统中,任意在网络上连接的两点都可以实现虚拟接触,罪犯的接触成本大大降低。

2)取证困难:在现实犯罪中,物理接触必然会留下大量的物理证据和目击人证,取证更容易;而在网络犯罪中,都是电磁信号等非持续保留信号,即使可以持续保留的文件日志等信息也都可以被罪犯绕过或无痕删除,而且最后也只能指认锁定的IP和主机,无法确认实施人员。

3)地域受限:国家是由界限的,在现实犯罪中,罪犯实施犯罪必须接触被侵犯目标,在追查的一定时空域内,还属于一个国家的管辖权内,实施取证与执法都比较容易。而网络上,可以轻易跨越国界实施犯罪,导致取证和执法都相当困难。

4)侵害获知的实时性:在现实犯罪中,侵害的都是实体资产,一旦侵害发生,被害人可以及时获知然后通过报案启动事后追查体系。然而针对IT系统的犯罪,大部分侵害的是信息资产,用户很难及时获知被侵害已经发生。即使侵害的是实体资产,也可以通过信息欺骗滞后被发现的时间,典型的案例就是震网在 2006年左右就已经入侵伊朗核设施后修改参数导致核设施生产不出可以制造核武器的物质,然而显示却一切正常,直到2010年才被发现。

基于以上原因,采用现实生活中的事后追责处置的方式来应对IT系统的安全问题,是很难降低IT系统的安全风险。要求IT系统必须拥有更多主动的事前、事中与事后的防御与检测措施。于是各类IT系统安全防护与检测产品应运而生:防护墙、入侵检测、病毒检测等等,这些系统降低了IT系统的部分安全风险但也带来了很多其他的问题,但是始终难以从根源上缓解IT 系统面临的安全威胁。究其原因:虽然数学已经证实了可以在两个不可靠的系统之上构建可靠的系统,但还无法证实在多个不安全或不可信的系统之上可以构建可信的系统。不可靠是物理客观而且可以清晰界定范围,可信则是主观范畴,安全虽然是物理客观但却属于未知范畴。要想让IT系统更加安全,还必须从IT系统自身的安全着手,让安全成为IT系统的基础属性。

让安全成为IT系统的基础属性,实际上包含了如下的要求:

1)IT系统的自主开发的代码必须是达到一定安全度的:针对IT系统的代码安全漏洞发起攻击日益成为当前针对IT系统发起远程攻击的重要手段。相对来说:管理等问题带来的侵害基本都是接触式的攻击,而远程非接触式的侵害基本都需要配合IT系统的安全漏洞来发起。而安全开发的意识基本还未普遍形成,导致安全漏洞在IT系统中普遍大量存在。必须强化系统设计与开发人员的意识,采用一定的技术手段,来降低IT系统开发时引入大量的安全漏洞和其他各种安全瑕疵。

2)针对IT系统的外部来源组件必须有一定的安全监控和管理手段:IT系统是在一个开放式架构复杂组合而成,大多数IT系统必然需要采购或者本身就是建立在其他第三方的外部组件之上来构建的。针对这些第三方来源的组件,必须有一套准入、验收、保证、响应与追责的体系,来保证第三方来源的组件进入时初步的安全,安全问题产生时的快速响应与修复,对第三方来源的组件的安全问题追责和管理。

3)IT系统的外部防御体系:目前业界已经建立了一套IT系统的外部防御体系,但是在目前IT系统的安全风险与威胁之下,也遭受着各种各样的挑战,原因正在于:

a)检查滞后性:缺乏及时发现最新攻击和被入侵的能力。IDS/IPS依赖对漏洞和攻击代码的已知信息上,杀毒产品依赖于对病毒和木马的样本和具体行为信息上。难以针对0DAY和特马做出及时的响应。

b)缺乏智能分析和关联能力:一般做法要么粗暴的阻断导致由于误报导致可用性大幅度降低,要么将非常专业的信息递交给无专业技能的用户做决断,用户既不能正确判断也非常烦恼频繁的提示导致的易用性损失,最后可能导致用户关闭相关安全功能。