随着世界科技的发展进步,现实社会与网络社会的联系越来也紧密,我国网民规模已达到6.32亿,手机用户14亿。网络社会和现实社会相互影响、相互作用,并将越来越多地影响现实社会。因此,网络空间安全对国家安全、政治安全和政权安全的影响越来越重要。保障网络空间的安全,特别是关键基础设施与关键行业的网络空间安全,成为当下越来越迫切需要解决的难题。网络空间安全当然需要有一大批人才来维护,人的问题是网络空间安全首要问题。
知道创宇资深安全顾问陆宝华
就网络空间安全人才的话题,笔者此次有幸邀请到北京知道创宇资深安全顾问陆宝华老师,为我们进一步解答网络空间安全的相关问题。以下是本次访谈内容的整理:
笔者:陆老师您好,您认为保障网络空间安全最需要什么样的人呢?
陆宝华:需要的是明白人。明白人才能少干糊涂事,糊涂人很少把事做明白。我想许多人会同意我的这个观点。网络空间安全同样需要明白人来干,才能减少不必要的损失。以其昏昏能使人昭昭吗?
笔者:现在高校不是每年都会许多的人才毕业吗?这些人不是您说的明白人吗?
陆宝华:多年来我国的院校已经培养许多优秀的人才,研究单位也有了不少的成果,安全厂商也造就了相当多的人才。这些,我都不否认。但是,一方面这些人还不能满足目前网络空间安全方面的需求量;另一方面,也确实有些人名不符实;还有些可能是放错了地方也不能都算是明白人。
笔者:在您看来,什么样的人才算网络空间安全的明白人?
陆宝华:明白人未必都是技术专家,我认为的明白人应该是这样的:清楚自己的任务目标,掌握完成此任务并能实现其目标的相关知识,清楚应该利用哪些资源并且知道如何利用。这样的人才能算是明白人。当然,如果能有相应的谋略,能掌握实施过程当然就更好了。
笔者:那我们分别来谈,比如说,在信息化应用单位,什么样的算是明白人呢?
陆宝华:对于信息化应用单位来说,不同角色,需要相应不同的明白人。前不久政协委员北京启明科技有限公司的严望佳总裁,曾提出在重要的部门设立首席安全官议案。受到了业内广泛的关注。应当说这是一个非常好的建议。但是,如果这个首席安全官不是个明白人,那也是比较麻烦的。
笔者:作为明白人的首席安全官,他应该具有哪些特点呢?
首先,他必须要清楚,这个单位的信息化的使命是什么,网络空间需要保护的目标是什么,应该制定什么样的总的安全策略框架。内部人员与信息资产的所属关系,内部的人员哪些能胜任什么工作,外部资源与安全产品能解决哪些问题等。同时还应该清楚国家的法律法规要求、相应的文件要求等。与上级单位及相关监管单位的沟通渠道等。
同时除了安全官,还要有相应的其他角色,如负责安全的技术人员。
相应的负责的安全的技术人员,除了清楚以上的要求外,还要还要掌握相应的实施技术,能够制定本单位的信息资产的访问控制策略,及相关的制度。当然其他角色也要需要相应的实施技术,如对于审计员来说,就必须清楚日志分析,异常事件分析,事件追踪等。
在这些要求中,对单位的信息化需要保护的目标是什么是首要的,不知道自己要保护什么,怎么可能制定出科学的安全策略呢。
笔者:这是个问题吗?
陆宝华:说起来,这些似乎不是什么问题,很多人可能会认为我在这里画蛇添足。
但是我有十五年以上的网络空间安全的监管经历。接触过相当多数的单位,也包括相当多的厂商和服务单位。真正能非常清楚的自己所有单位信息化的保护目标并不多。
笔者:能具体给我们说下信息化安全保护目标么?
陆宝华:信息安全的保护目标,各个单位不同,会是千差万别的。但是,抽象出来只有两大类,一类是单位的业务数据,二是系统的服务功能。而往往业务数据又是系统服务功能的基础,所以保护单位的业务数据是第一位的。
在网络空间中,存在有两大类数据,这些数据都是要保护的,一类是系统的安全功能数据,如对用户的身份识别,访问控制策略等。另一类是用户数据,用户数据包括两大方面,一方面是系统数据,如应用程序,另一方面就是用户的业务数据。对其他数据的保护是非常重要的,但是那些数据不是我们要保护目标,保护它们的目的仍然是要保护用户的业务数据。
笔者:用户的业务数据需要保护,具体应该如何做呢?
陆宝华:关于用户的业务数据的保护,好多教材和著作中都提到了C、I、A。C是指数据的机密性;I是指数据的完整性;A是指数据的可用性。实际上,在具体的信息系统中,我们只需要保护数据的机密性和完整性就够了,数据的可用性不需要对数据本身进行保护,我们保护了数据的机密性和完整性,实际上也相应的保护了数据的可用性。换句说,数据的可用性保护是以数据的机密性和完整性为基础的。试想一个数据泄密了,或者被篡改了,这个数据还可用吗?数据可用性的另个基础是对系统的保护。
对于一个具体的数据来说,也并不是需要保护机密性和完整性两个属性,可能只需要保护其中的一个,如网站上公开的宣传的那些信息,还需要机密性保护吗?但是绝对不能允许被入侵者篡改。也就是说,这个网站只需要保护完整性就够了。还有些数据,只需要保护其机密性,而完整性则不那么重要。当然,确实存在一些数据,即要保护其机密性,也需要保护其完整性。
只有详细的分析清楚了每个具体数据所需要保护的属性,才能算你是真的清楚了你所在单位的“数据”需要保护的目标了。你才能算是明白人。
清楚了保护目标,还要清楚应该用什么样的策略来进行保护。一个组织的整体安全策略是多种的,我不可能在此都给说清楚了。但是,安全策略的核心是访问控制(包括对数据流的控制),其他的安全功能,要么是为访问控制服务的,要么是访问控制的补充。
数据的不同的安全属性,其访问控制策略是不相同的,还存在着冲突。对于机密性保护需要用BLP策略,而对于完整性保护则需要用Biba等策略,或者其他的访问控制策略。我们在此不作技术方面的讨论,所以就不介绍这些模型了。有兴趣的人可以在许多著述中找到这类知识的介绍。
不清楚保护目标,不采用针对其安全属性的保护策略,就可能是白花钱,甚至是“花钱买破坏”,曾经有一个部委的专家和我谈过,说他们采取了,“低安全级别的主体,不可以访问高安全级别的客体的访问控制策略”我当时就问他,所有高安全级别的主体都是可信的吗?他说不敢说。这实际上就存在着信息泄露的策略缺陷。当时他是当成是先进经验向我谈的。
清楚一个单位的安全保护目标,不仅对信息化应用单位来说是重要的,对于“测评”、“检查”、“整改”等相关的服务和监管单位的人员来说也是重要的。特别是对于测评单位来说,如果,你对人家系统的测评没有很好结合人家系统的保护目标,人家要保护什么你都不知道,只是拿着标准死套,进行所谓的“合规”性检查,即便是“合规”了,能说是达到安全要求了吗?表面上合规了,实际上却是违规了。2013年十八大之前,某个二线城市的某重要单位的信息中心主任,请我帮他分析他们信息系统的安全状况,当时我发现了多处缺陷,当时就提出来了,他们也觉得我说的有道理,知道自己错在哪里了,可后来他告诉我,他们的系统刚经过测评并“达到了”三级的安全要求。可怕呀,无知者真的是无畏!当然,这只是个别现象。
笔者:这么说,除了信息化单位,从事安全服务的单位也是需要明白人的。
陆宝华:对,测评、检查、整改单位更需要明白人。他们是明白人,才能帮助信息化应用单位的人,理清思路,设计出更为科学合理的安全策略,并按这些策略进行实施。
其实其他的相关的服务单位也应该是明白人当家才行,如培训,现在各类的培训不少,可确实存在相当一部分糊涂人在进行这样的培训。一些机构,社团在搞什么资质,认证培训,说起来,这些资质和认证确实是需要的,但是这也需要明白人来搞,如果不是明白人搞,结果就很难说了。2013夏,某机构搞某项IT服务企业的资质认证,条件列了一大堆,一级资质,二级的资质。什么注册资金、人员数量、技术人员数量、学历等等列了不少条件,可就是没有对网络空间安全理解程度的要求。他们也在搞安全培训,我应一些企业的请求,也去参加了这个培训。培训的老师,自己还不明白什么是网络空间安全呢,2个小时东拉西扯,真正有用内容不需要20分钟,而且错误不少。这样的培训,考试合格后认定出来的资质,对系统的安全集成能有好的作用吗?
笔者:网络空间的监管是非常重要的一部分,是否更需要明白人?
陆宝华:当然,网络空间的监管工作当然非有明白来作不可,监督、检查、指导是监管部门的职责,可自己还弄不明白呢,怎么来监督、检查和指导呢?甚至一些单位没有相关的法律依据,也在做这种监督、检查、指导工作。一些单位的信息中心的负责人和我谈,他们希望有人来检查,不管他们是不是穿制服的,只要通过检查能帮他们把把脉,开个药方,帮他们改进工作,他们都欢迎。可他们盼来的检查,只是搭上一顿好饭,什么他们都得不到。
(新闻稿 2015-04-03)
