对浮云的安全措施

(原载英国《经济学家》周刊10月26日一期)

尹宏毅 翻译

2003年2月12日

（原文提要：数码安全曾经是技术怪才的领地，现在却是人人关心的问题。但汤姆·斯坦达奇说，这个问题，或其解决办法，内容远远超越了单纯的技术。）

当世界上最大的富翁决定，现在是其公司改变方向的时候了，则问一问为什么是值得的。比尔·盖茨很少给微软公司的几千名雇员发送电子邮件备忘录。１９９５年十二月，他的遐迩闻名的举措是发送了这样一份备忘录。他在其中宣布，微软公司必须成为因特网的“铁杆力量”。今年一月，盖茨先生发送了另外一份传阅信件。其主题是电脑安全的重要性。

直到最近为止，大多数人要么没有意识到电脑安全，要么认为它无足轻重。这在以前大体上属实，除了在少数专业领域 譬如银行业、航空航天和军事应用。它们依靠难以闯入的和不出差错的电脑和网络。但是现在，全世界的消费者、公司和政府都警觉起来，加以注意。为什么呢？

明显的答案看来是，去年在美国发生的恐怖分子袭击使人们加深了对所有形式的安全的意识。但是，更深一层的原因是，一种长期的文化变迁正在发生。几年来，数码安全的重要性不断提高，工商业和个人生活的越来越多的方面已经依赖于电脑。一言以蔽之，计算技术正处于从一种可以选择的工具向着一种无处不在的公用设备的转变之中。人们期望公用设备可靠。实际上，公用设备的一个定义是这样一种服务，它十分可靠，以至于只有在它失灵的时候，人们才会注意到它。电话服务、电力、煤气和自来水都符合这一定义。计算技术显然并不符合，起码目前是这样。

电脑技术要想成为一种公用设备，许多先决条件之一就是要有充分的安全保障。把您的公司、您的个人信息或者实际上是您的生命委托给一个充满了安全漏洞的系统，那会是很危险的。其结果是，保障电脑与网络的安全问题已经引起比以前普遍得多的关注。

电脑越来越成为人们所依赖的物品；多亏了因特网，电脑彼此之间联系也越来越紧密。在一个统一、浮云一般的全球网络之中，把千百万台电脑连接在一起，所带来的是成本和便利方面的巨大好处。

开放性的代价

然而，轻而易举的四通八达和远程接入，其不利的一面是安全措施被挫败的风险加重。安全专家施奈尔指出，当你在大街上开设一家商店的时候，顾客和小偷都能走进来。他说：“你不可能只要顾客，而又没有小偷。因特网上的情况也是如此。”太阳微系统公司安全技术专家迪菲说，由于音乐、电影、纳税申报单、照片和电话现在通常采取的都是数字形式，所以从传统形式到数码形式的转变已经达到一个临界点。“我们再也不能在没有基本的安全保障情况下继续这种迁徙了。”

9.11恐怖主义袭击肯定促使各公司认可自己对公司网络的依赖以及网络的脆弱性，注重灾难后的恢复和备份系统。袭击过后摩根斯坦利公司对信息技术经理和首席信息官们进行了一项调查，结果发现，安全软件已经从排在第五位或者更低的位置上升到首要的重点位置。通用汽车公司首席技术官斯科特说：“它已经上升为重中之重。它现在位于每个人的雷达屏幕上。”

引起轰动的、安全保障被破坏的事件的增加突出显示了改善安全状况的必要性。随着因特网的扩展，向卡内基梅隆大学的电脑应急反应小组报告的事件发生数量，包括病毒的爆发率和不速之客对系统的闯入，近年来也急剧上升。“爱情病毒”是一种通过把自身拷贝发送给一个受到感染的电脑的地址簿里面的每个人而传播的病毒，２０００年五月发动袭击时，它成了头条新闻。许多公司，就连英国议会，都关闭了其邮件服务器，以阻止它的传播。

从那时以来，已经有一些破坏性越来越大的病毒，感染了成千上万台电脑。最新一种叫做“妖怪”，是上个月才发作的。病毒仅仅是比较明显的安全问题类别当中的一种，但是鉴于其所能够造成的破坏，及其所引起的范围广泛的传媒报道，所以这种发作促使人们更加认真地对待安全问题。

恐惧、刺激与咖啡

据分析家克莱恩说，２００１年与上年相比，用于安全技术的开支增加了百分之二十八。克莱恩预测，今后几年开支的增加将继续保持强劲的势头，从２００１年的六十亿美元左右增加到２００５年的一百三十亿美元。

尽管安全开支正在增加，但它仍然是从一个很低的基数起步。调查结果发现，大多数公司把技术预算的不到3%用于安全。而技术预算一般被规定在公司收益的3%左右。由于3%乘以3%是0.09%，所以大多数公司花在咖啡上的钱都比用于电脑安全的要多。

虽然把安全说成是一个能够轻而易举地解决的技术问题，只要使用更多的技术，最好是推销商自家的技术，这种说法符合推销商的利益，但是期望薪金使用新奇的技术来解决问题，这却是有关数码安全的三的危险的错误概念之一。改善安全意味着实施适当的政策、去除不力的激励措施，以及对风险加以管理，而不仅仅是购买巧妙地硬件和软件。没有任何一蹴而就的解决办法。数码安全所依赖的不仅是技术，而且同样是，即使不更多的是人类文化因素。安全保障的实施不仅是一个技术问题，而且是管理问题。技术是必要条件，但并不是充分条件。

另外一项与此相关的错误概念是，安全可以留给公司系统部的专家们来搞。实际上不能。它要求高级管理层的合作与支持。决定哪些资产需要最好的保护，以及确定适当地兼顾成本和风险，这些是只有高级管理层才应当作出的战略决策。此外，安全几乎不可避免地牵扯到其所带来的不便。没有从高层传来的明确信号，使用者往往会把安全措施看作讨厌的、碍手碍脚的麻烦，会想方设法地回避。

第三个常见的错误看法涉及这种威胁的性质。甚至意识到这一问题的高级管理者，其所担心的事情也往往会不对头，比如病毒的发作和怀有恶意的黑客。他们忽略了更大的问题，所涉及的是内部完全、心怀不满的前雇员、与公司已为可以信赖的顾客获得供应商之间的网络连接、笔记本电脑或者手持电脑被盗，以及雇员所建立的不安全的无线接驳点。这并非出乎意料：病毒和黑客往往引起公众的极大注意，而内部完全被破坏却被掩盖起来，而且与新技术相关的威胁往往被忽略。但是，如此安排工作重点是错误的。

最后一个，也是比较次要的错误观念是，电脑安全十分令人厌烦。实际上，它被证明是基础行业比较有趣的方面之一。安全咨询人员和电脑犯罪专家所讲述的正义与邪恶之间的战争，要比有关顾客关系管理系统利弊的讨论引人入胜得多。因此，实际上没有任何借口来回避这一主题。任何还没有这样做的人都应当对电脑安全产生兴趣。

计算机安全(2)

行业工具

如果问一位不是专家的人有关电脑安全的事情，则他大概会提到病毒和怀有恶意的黑客所发动的袭击，即使这仅仅是由于与其他安全问题相比，这些问题要显露得多。首先拿病毒来说，像生物学上的病毒一样，电脑病毒是恶毒的密码串，利用其宿主来自我复制和造成麻烦。一直到最近几年，病毒曾经仅仅感染单独一台电脑上的文件。最终，一个被感染的文件会被转移到另外一台机器里，一般是通过软盘，从而传播病毒。然而，现代的病毒则要阴险得多，因为它们能够跨越因特网从一台电脑中跳跃到另外一台电脑，最经常的是通过电子邮件。

病毒传播的极广。根据旧金山的电脑安全研究院和联邦调查局共同进行的年度调查（２００２年四月发表的报告），在响应调查的组织（主要是美国大公司和政府机构）当中，百分之八十五在２００１年期间遇到了电脑病毒。然而，对于病毒所造成的破坏加以量化难度极大。当然，切断电子邮件或者因特网连接可能会严重阻碍一家公司的业务能力。在严重的案例中，一个办公室或者学校里的每一台电脑可能都需要清除病毒，而这可能会花费几天时间。

咨询公司“电脑经济学”估计，２００１年病毒所造成的世界范围的开支达到一百三十二亿美元。要容易量化的多的是每次病毒发作以后反病毒软件销售额的暴涨。

反病毒软件的工作原理是通过扫描文件、电子邮件和网络传输，以寻找已知病毒的与众不同的特点或者痕迹。没有通用方法可以把一种病毒与非恶性的一段代码区分开来。毕竟，两者都仅仅是电脑程序，一个特定的程序是恶性的与否常常取决于人们的主观意见。因此，只有当一种病毒已经感染了其最初的受害者，并且开始传播的时候，其特征才能够通过分析人员的分析来确定，对于其他的电脑，才能够通过刷新其数据库来采取免疫措施。

从技术观念来看，保护一台电脑或者网络免遭病毒侵害，是耗费精力的，但也是比较简单的。所涉及的是在单个机器上安装反病毒软件，并且不断对其刷新。在邮件服务器上执行看守任务和在电子邮件传送之前对其加以扫描的病毒扫描软件，能够提供额外的一道防线。

对付恶意的黑客的闯入则完全是一个更加复杂的问题。电脑是十分复杂的系统，以致不速之客有无穷无尽的途径试图闯入。袭击者十分经常地采用的是与蠕虫和病毒所利用的同样一些安全缺陷；蠕虫和病毒可以被看作恶意黑客活动的一种自动化的形式。

一俟闯入一台电脑，袭击者便能够抹掉网页（如果该电脑是一个网络服务器），复制信息（假如该机器存储着用户信息、金融数据或者别的文件），利用该电脑作为一个基地来袭击其他电脑，或者安设“特洛伊木马”软件，以便今后轻易地进入，或者使该电脑能够在因特网上被遥控。

像病毒的情况一样，有关网络不速之客的有意义的数字也难以找到。许多袭击都没有引起注意，或者没有得到报告。但电脑安全研究院/联邦调查局的调查结果却使人略微了解到问题的规模。在参加这项调查的503个大公司和政府机构当中，有40%在2001年期间察觉到系统被闯入，有20%报告了专利信息失窃。在遭到袭击的公司当中，有70%报告其网站被毁。

防范不速之客闯入电脑或网络的主要工具是防火墙。正如其名称所显示，一道防火墙是位于一个网络（一般是因特网）和另外一个网络（譬如一个封闭的公司网络）之间的装置，它加强了有关什么东西可以穿越的一系列规则。例如，网页可以进入防火墙内部，但文件则不得外出。

然而，防火墙并不是万灵药，而且可能会使用户错误地自以为很安全。它们要产生效果，其配置就必须合理，而且随着新的威胁和弱点被发现，还必须经常刷新。

但是，有许多种类的袭击是防火墙所不能防止的。袭击者可能能够绕过防火墙，或者利用一个弱点，通过传送防火墙会看作是合法的东西。许多袭击都牵扯到向网络服务器发送巧妙的欺骗性请求，从而使之做其在通常情况下不准做的事情。在一道防火墙看来，这种袭击与对网络服务器的一次合法使用一模一样。

一项替代选择是“闯入察觉系统”（IDS）。它监视一个网络或一台电脑上的行为格局，当可疑的东西出现时发出警报。一些类别的侦察系统监视网上传播，寻找异常活动，譬如来往于网上的一个“特洛伊木马”的信息；另外一些则在电脑上看守，搜寻异常的接驳情况，比如获取密码文件的企图等。

安全工具箱里的其他工具包括加密技术，就是对数据加以数学编码，以便只有想要让其接收的人才能阅读。还有相关的密码学上的真实性证明技术，以证明人们的身份就是其所声称的。

一个典型的网络的安全，通过各种安全技术的多层结合来保障。但是，这些新奇的措施仅仅对付安全状况差所造成的后果。一项与此并行不悖的努力正在做出，以应付安全状况差的主要原因之一：编写得很差的软件。据马萨诸塞州的一家安全咨询公司说，70%的安全缺陷都是由于软件设计方面的漏洞。有缺陷的软件往往不安全。因此，通过对软件缺陷采取更加坚决的立场和使自己所设计的程序更加可靠，软件公司也能够改善安全。

软件制造商会有朝一日拿出没有安全弱点的产品吗？看来可能性极小。但即使它们的确做到这一点，也会仍然有大量的系统并没有获得补丁的帮助，或者配置有误，因而容易遭到攻击。不论技术多么灵巧，也总是存在人为失误的余地。安全如同一个链条，最薄弱的环节通常是人。

计算机安全（3）

最薄弱的环节人

有关阴险的黑客的成见是，他是一个皮肤白皙的小伙子，在一个黑暗的房间里，俯身在计算机键盘上，对与电脑为伍情有独钟，而厌恶与人为伴。但是，最成功的攻击者却是讲起话来喋喋不休的一类，几乎遇到任何情况都能够左右逢源。用安全技术专家施奈尔的话说：“业余的黑客攻击对象是系统，而专业黑客所攻击的是人。”

近年来最臭名昭著的黑客米特尼克大力依靠人的弱点来闯入美国政府机构和技术公司的电脑系统。经过将近5年的牢狱生活之后，2000年在美国参议院的一个政府电脑安全小组会议上作证时，他解释说：“当我试图进入这些系统的时候，第一道攻击战线将是我所说的‘社会工程学’袭击。这实际上意味着设法通过电话哄骗某人。我在这方面十分成功，以致我很少需要发动一场技术性的攻击。电脑安全的人的方面很容易被利用，而且经常被忽略。各个公司花费数以百万计的美元购买防火墙、加密和安全准入装置，这些钱都白费了，因为这些措施都没有解决安全链条中的最薄弱的环节。”

换句话说，人的弱点甚至能够破坏最巧妙的安全措施。在一项调查中，伦敦维多利亚车站的上下班的人们有三分之二欣然地透露了自己的电脑密码，以换取一支圆珠笔。另外一项调查的结果表明，英国的办公室职工有将近一半使用自己的名字、一位家庭成员的名字或者宠物的名字作为密码。其它常见的失误包括在贴在电脑显示屏上面的不干胶便笺或者附近的白色书写板上写下密码；外出吃午饭的时候仍然使电脑保持登录状态；在公共场所中，在没有安全措施情况下把存储着机密信息的笔记本电脑丢在一边。

根据安全咨询公司梅塔集团的调查，不速之客闯入公司系统的最常用的方法不是技术性的，而仅仅涉及搜寻到一位雇员的姓名和用户名（从一份电子邮件里面就很容易推测出来），谎称自己是该雇员给系统求助台打电话，假装忘记了密码。

寥寥几项防范措施，在阻止病毒传播方面就能起很大作用。许多病毒隐藏在电子邮件内部传播，但用户只有双击它们，它们才会发作。好奇的用户双击，结果似乎什么也没有发生，用户就不再多想了，但是病毒却开始传播。教育用户不要双击可疑的电子邮件附件，这是对付病毒的一项简单但有效的反措施。

如果处理得当，基于管理的、而不是单纯基于技术的安全对策，其成本效益可能会很高。“真正安全”公司的霍斯特说，危险在于“人们购买一大堆崭新的技术，擦一擦额头上的汗水，然后说：‘棒极了，我已经关照了这件事。’而如果节省这笔钱，在政策和办事程序方面做一些简单的事情，他们的境况也许会更好”。

人员防火墙委员会大力提倡这种对策。其主席卡汉说，这个想法就是“使安全成为每个人份内的事情”，制订一项明确的安全政策，规定什么是许可的，什么不许可。然后，政策的实施应当双管齐下，通过指导用户的行为和对防火墙、反病毒软件等进行适当的配置，其方式如同把街道内的严防、报警器和门锁结合起来使用，以便与现实世界中的溜门撬锁的盗贼做斗争。卡汉说，但是，调查结果显示，所有办公室职工当中的一半，从来都不受到任何安全培训。

传播和执行安全政策的一条途径是在安全软件里面再添加一个层次。英国的一种安全软件能够确保使用者熟悉公司的安全政策，方法是在他们登录时使显示屏上跳出信息和像小测验一类的问题。根据该公司的数字，73%的公司从来都不要求雇员在开始就职以后再次阅读安全政策，还有三分之二的公司从一开始就不叮嘱雇员阅读安全政策。

剑桥大学电脑实验室的安德森是正在把来自经济理论的思想应用到信息安全上的越来越多的电脑科学家之一。他说，不安全“往往是由于邪恶的刺激因素，而不是由于缺乏适当的技术保护机制”。例如，最有条件保护一个系统的人或公司可能没有充分的动机要这样做，因为系统失灵的代价会落在别人头上。安德森争论说，对这种问题的考察最好是利用经济学概念，比如外部性、信息不对称、逆向选择（或译为反淘汰）和道德风险。

这种例子充斥因特网。假如一名袭击者闯入甲公司的电脑，利用它们来通过虚假的通信量使乙公司的电脑超载，从而使合法的用户无法使用。乙公司遭受损失部分地是由于甲公司系统不安全。但是除非乙公司提出诉讼，甲公司就不会受到任何激励要解决这个问题。这种事情的一些例子已经开始出现。在一个案例中，一位得克萨斯法官对三家公司颁布了一项限制令，这些公司的电脑被不速之客用来攻击另外一家公司的系统。这三家公司被迫切断与因特网的联系，直到其能够证明这些袭击者所利用了的弱点已经被消除为止。

家贼难防

虽然外部攻击得到传媒的较多注意，但是咨询公司远景研究公司最近的一份报告说：“大多数与电脑安全相关的犯罪活动仍然是内部的。”该公司估计，在涉及超过10万美元损失的安全措施被挫败当中，有70%是内部犯罪，常常是心怀不满的雇员所为。

家贼的偷袭所造成的损失可能远远超过外贼。调查结果显示，内部人员对一家大公司所发动的攻击造成的破坏价值平均为270万美元，而外部攻击平均造成的损失为57000美元。

利用技术手段与家贼作斗争的难处表明，安全主要是一个人的问题。实际上，内部人员袭击的根本原因可能是管理不力。一名雇员可能会对被降职或者没有得到提升感到不满，或者感觉薪酬太少或者自我价值没有得到实现。改善管理是比技术希望大得多的方法，以对付上述问题。

防范内部人员的犯罪活动的最佳途径是使其难以实施。关键的事情之一是使责任分散，以便没有任何个人掌管一切。另外一项简单的措施是确保所有雇员都在某一时刻外出度假，以阻止他们维持作弊的系统或程序。公司系统的准入特权必须与雇员的职权范围相称，以便例如只有人事部门的人员能够进入雇员记录档案。当雇员离开公司或者其角色改变的时候，其准入特权必须立即收回或者更改。

———————————————————————————————————

北京大军经济观察研究中心

电话：86-10-63071372，传真：66079391，信箱：zdjun@263.net

地址：北京市西城区温家街2号，邮编：100031，

网站网址：www.dajun.com.cn,