2011年底包括CSDN在内的许多知名网站先后被曝严重的用户信息泄漏事故,相信让很多人又一次切身体会到现实的安全威胁(事发时我在韩国,一时大意,有1万多关注的Twitter账号因此被盗,至今尚未追回)。而作为从业者,除了骂娘之外,恐怕更应该做的是冷静思考:我们能够做些什么,又应该怎么做?比如,密码这个被称为最差身份验证机制的古老技术,是否有更理想的替代解决方案?技术实力不足的网站与网络服务的用户资料管理,是否有好的办法?
3月的特别策划中,有几位作者都谈到了一些共同点,比如终端用户和一线技术人员的安全意识和常识水平急需提高。的确,这次被涉及的网站几乎都暴露出即使是一些基本安全实践上也曾经出现过较大的过失。而从泄漏的密码统计来看,密码的强度符合要求的比例极低。CSDN在这两方面的表现都令人汗颜, 值得好好检讨和总结。
人人都知道安全无小事,互联网上的安全新闻层出不穷,攻击者的招数也不断推陈出新,但真正重视并能坚持采取足够行动的单位和个人却并不多。2011年虽然被Unisys的报告称为“前所未有的网络犯罪年”,但全球安全软件行业市场总额不到200亿美元,而网络犯罪产业链收入据估计却高达3880亿美元,已经接近贩毒业。
中国的情况更糟,想想国内整个信息安全产业的产值有多少?再看看书店里卖的安全方面的图书,数量低、质量差,销售也不容乐观。再去转转安全方面的专业网站、论坛,多数已经长草了。安全方面的技术会议,规模和其他领域相比也显寒酸……
近年来,在技术迅速发展的同时,从经济学、心理学和社会学等非技术角度研究安全成为一种大趋势。有经验的安全人员都已经知道,钓鱼、假托等社交工程、心理攻势相比各种技术手段很可能是更强大的攻击工具。百科全书式的安全专家Ross Anderson在其经典著作《Security Engineering》一书新版中专辟一章讲述安全中的心理学与用户体验问题,并非偶然。
其实信息安全产业的现状就可以很好地用经济学来解释:安全意味着抉择(tradeoff)。想要得到安全,你必须拿一些东西(金钱、使用体验等)来交换。正如Bruce Schneier(说:“当你面对安全的时候,要问的不是这个能不能让我们更安全,而是值不值得我们去交换。”100%的安全永远是无法实现的,遭遇安全事故永远是小概率的,安全永远是会给自己添堵的,安全永远是纯投入不挣钱的。在这种情况下,存有侥幸心理,在安全上马虎大意一 点,实在是人之常情。“这里没有绝对的对与错。”
反过来,这种抉择理论也适合攻击者。他们在选择目标时显然会盘算攻击的难度和收益。难怪安全专家会告诉我们,保证安全除了投入之外,还有一招是使自己价值降低,以至于不值得被攻击。此外,用博弈论来思考攻防双方之间的互动,也是一个有意思的角度。
必须正视的是,今天的安全工程所要保护的范围已经不仅仅是IT软硬件系统,还包括IT人员以及内部与外部的用户。对于有一定规模的互联网站而言,安全事故很可能牵动数以百万计乃至全社会的神经。为了应对日益严峻的形势,我们需要将安全置于更大的背景下思考,寻找更多新的解决途径。