从互联网“第一人”到信息安全“布道者”
- 来源:计算机世界
- 关键字:互联网,信息,安全,布道者
- 发布时间:2010-04-28 13:46
本报记者 汤铭
摄影记者 杨立航
没有互联网,中国的科研可能就无法快速向前发展,所以必须要开通互联网,既然要开通,就必须加强管理,保证网络的安全。
“最后一公里”耗时十八个月
孙定:今年是《计算机世界》创刊30周年,在整理《计算机世界》老报纸的时候,我看到在1993年的报纸上就刊登有您写的有关互联网的文章。
许榕生:我遇到互联网,完全也是机缘巧合。上个世纪八十年代,中美之间展开了高能物理研究方面的合作,我当时在中科院高能物理研究所(下称高能所)。合作开展起来以后,大量科学试验产生了海量的数据,这些数据需要和美方交换。早先高能所也多次尝试用各种低速的通信线路进行计算机联网,但这些都很难将电脑上的海量数据在国际间传送,因为那样即不方便也非常昂贵。后来,中美双方的科学家提出建立一条互联网的通道,来解决数据传送的问题。这条专线的国内入口在三元桥,由AT&T负责中国到美国的线路传输,当时是通过卫星来传输信号,从三元桥连接到旧金山。进入国内之后,再从三元桥把光纤铺设到了现在万寿路邮电局。中美双方各负担一半的线路租用费用,各出每月两千美元。
在这个过程中我们遇到了重重困难,经过了多个环节的审批才完成。当年我用来申请这条专线的表格,现在已经被电信博物馆给借走了,变成了历史展品。
当光纤铺设到万寿路邮电局之后,问题来了。一方面因为“巴统组织”的缘故,美国商业部还限制路由器出口中国,美国科学家只能到斯坦福加速器中心借了一个给高能所。另一方面,由于光纤不能再往前铺设了,但是高能所距离万寿路邮电局还有几公里的距离。怎么把这条线路引到高能所?大家提出了各种方案,甚至有人建议在地铁里假设一条线路,连接两处。最后经过了多方的测试,终于找到了解决方案,通过两条电话线加上64K的调制解调器,最终在1993年3月将信号传到了高能所计算中心。这个过程整整花了将近18个月。
就在专线开通之后不久,线路就给美国方面给切断了。原来是美国的某些政府机构担心中国会从互联网上获取美国的情报。好在事先有多位美国科学家(诺贝尔奖金获得者)联名向美国政府写信以及参与合作计划的美国科学家的电话申明,表明此专线是用于科学研究的。也就在一周后,美国政府才同意有控制地开放这条专线。后来美国又发来一些文件,对网络安全问题作了详细的规定,规定这条专线只能进入一些科学机构的网络,并且不得在网上进行散布病毒、黑客活动,以及用于军事及商业目的,中方必须签字后才能使用。
线路连通之后,我们去申请了两组C级IP地址,除了满足高能所内的几百台计算机,还给原来的电子工业部的研究单位,以及周边一些科研合作单位开通了一些账户,让他们也在第一时间接触上了互联网。当时,国内一些专家通过互联网看到了国外的学术刊物上刊登的自己的文章和科研结果,都是激动万分。还有在一些人对于互联网的知识尚无了解,很多人都是不请而来向高能所请教,还有穿军装的军人来了解互联网。于是后来,我们就开始举办有关互联网的科普报告,在全国搞了几百场,起到了普及和启蒙互联网知识的作用。
正是在这样的背景下,所以当年我给《计算机世界》投了稿,借助你们来普及互联网的知识。
孙定:那您后来又是怎么步入信息安全领域做研究的呢?
许榕生:自从专线开通后,我就开始做管理工作。在这个过程中,我们也受到过来自外部的攻击,而且当年也存在有不良信息的问题,因此有人就对开通网络持一种否认的态度。但是当时我的态度是,如果这个网络不开通,中国的科研就无法向前发展,所以必须要开通。那既然要开通,就必须加强管理,保证自己得网络安全问题,因此研究的重点也就逐渐转向了网络安全上。
当时,也有国内的一些军方机构在进行网络安全、入侵检测等方面的研究。我在对国内外的调研中发现,这个课题在国外推进得非常快。因为当时网络发展速度迅速,网民的数量也在急剧增加,各种各样的补丁都来不急打。如果光是靠军方的研究,对于中国的互联网发展来说是不够的,因此我觉得中国科学院也应该在这方面进行相应的研究,于是我就向当时中国科学院的领导进行了回报。领导对此很重视,专门立项,研究题目就叫“黑客入侵防范软件研究”,并且划拨了专门的研究经费。这个课题完成后,还获得了中科院科技进步项目的一等奖。
后来,我们做出国内第一款网络隐患扫描产品,也就是漏洞扫描软件,并快速地实现了产品化,转让给企业。从此,对网络信息安全研究一发不可收,一直延续到现在。
再好的防火墙等设备,都很难阻挡各种信息安全犯罪的行为,因此必须有后发制人的、主动防御的策略,那就是计算机取证技术。
“计算机取证”是研究焦点
孙定:在去年我们报社举办的IT两会上,我们听到您介绍了防范黑客的内容,其中提到了计算机取证技术。计算机取证技术真的能非常有效地防范黑客攻击吗?
许榕生:防范互联网 “黑客”攻击是一个世界性难题。 防范“黑客”攻击应当主动出击,即设法查清它的来龙去脉,并有针对性地设置防范措施,而不是被动地依靠“防火墙”去“堵”。可以想象,内部出现了问题,再多的“防火墙”也无济于事。计算机取证技术可以通过对流入信息的识别、保存、分析、提交等程序,对被怀疑的信息加以分析、判断,进而制定有效的应对措施。
而且,随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中,与计算机相关的法庭案例(如电子商务纠纷,计算机犯罪等)也不断出现。一种新的证据形式——存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。大量的计算机犯罪——如商业机密信息的窃取和破坏,计算机欺诈,对政府、军事网站的破坏等等。案例的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点,这对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学,计算机取证正成为了人们研究与关注的焦点。
孙定:那么计算机取证与普通的取证有什么不同呢?
许榕生:计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。
计算机取证是使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。因此,计算机取证可以是指,对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
证据在司法证明中的作用是无庸质疑的,它是法官判定有罪与无罪的标准。在人类的司法证明发展过程中,证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明的转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的转变。
在很长的历史时期内,物证在司法活动中的运用一直处于随机和分散发展的状态。直到18世纪以后,与物证有关的科学技术才逐渐形成体系和规模,物证在司法证明中的作用也才越来越重要起来。随着科学技术的突飞猛进,各种以人身识别为核心的物证技术层出不穷。例如,继笔迹鉴定法、人体测量法和指纹鉴定法之后,足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充着司法证明的“武器库”。特别是20世纪80年代出现的DNA遗传基因鉴定技术,更带来了司法证明方法的一次新的飞跃。而电子证据的出现,则是对传统证据规则的一个挑战。与传统证据一样,电子证据必须是:可信的、准确的、 完整的、使法官信服的、符合法律法规的,即可为法庭所接受的。
电子证据还具有与传统证据有别的一些特点:计算机数据无时无刻不在改变; 计算机数据不是肉眼直接可见的,必须借助适当的工具; 搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原子操作;电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。
而计算机证据出现法庭上在中国只是近10年左右的事情,而在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱,在美国已经有了一些法律解决由电子证据带来的问题。
目前,中国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了一些有关计算机证据的说明,如《关于审理科技纠纷案件的若干问题的规定》,《计算机软件保护条例》等。法庭案例中出现的计算机证据也都比较简单,如电子邮件、程序源代码等不需要使用特殊工具就能够得到的信息。但随着技术的不断发展,计算机犯罪手段的不断提高,因此我们必须制定相关的法律,必须自主开发相关的计算机取证工具,使日益增加的计算机及网络犯罪受到应有的制裁,进一步保护网民或用户的合法权益不受侵害。
未来物联网将产生几千万亿的产业规模。中国也会在网络基础上加上传感器,大力推进物联网。而物联网中传感器、信号传递、信号接收端都会存在某种程度的漏洞,所以必须加强物联网安全的研究。
物联网安全更需加强
孙定:近一段时期以来,物联网概念非常热。物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大, 由此带来的安全问题是不是比互联网时代的网络安全更加严峻?
许榕生:的确是这样的。2009年11月份,我在无锡召集了一个国际网络安全高峰论坛,这实际上是一次“黑客”论坛。论坛以“信息共享和响应”为主题展开“社会工程学、硬件黑客、信息战、安全取证”4个方面的议题。
参会的嘉宾既有网络技术高手,包括云计算安全、计算机固件安全、数据恢复与数字取证、IPv6的专家、国内外RFID和通信协议技术专家、路由协议破解专家、网络渗透与反渗透的专家、反恐情报分析专家、逆向工程与脆弱性研究专家,以及社会工程学专家和国际黑客小组协调人等。这次论坛开阔了中外网络安全高手彼此间较充分的信息交流,大大增加了相互的了解。
当前的网络安全发展随着物联网概念的产生,已经有了新的发展趋势。以黑客攻击为例,以前比较熟悉的是软件攻击,如今正在被新潮的破解硬件趋势所取代。由于这些硬件技术的破解,导致泄密、系统破坏或者重要设备的毁坏往往不是以往防火墙、入侵检测、防病毒产品能够解决的。在研讨会上,就有来自国外的专家对所住的宾馆房卡系统进行了破解,并现场演示了对内含RFID芯片的身份证件的攻击。
按照初步估计,未来物联网将产生几千万亿的产业规模。中国也会在网络基础上加上传感器,大力推进物联网。而物联网中传感器、信号传递、信号接收端都会存在某种程度的漏洞,所以必须加强物联网安全的研究,将漏洞分析技术、计算机取证技术融入到物联网安全研究中。
高端感悟
黑客攻击手段正“魔高道长”
电子商务和电子政务迅猛发展,黑客攻击的频率和强度有增无减。许榕生认为目前所面临的网络威胁,早已不仅仅是早期出现的那些攻击手段,如病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等。黑客们正在利用硬件漏洞、逆向工程、社会工程学、反取证等手段丰富其攻击网络的方式。
在许榕生看来,利用硬件的黑客技术虽然报道不多,但它的的确确出现了:在BIOS芯片中植入病毒木马,让目前的防火墙、防毒软件都失效; 针对主机板上的电磁辐射进行信息获取的技术。仅仅使用软件非法侵入的方式可能已经落伍,新时期的黑客技术应包括破解硬件本身。
许榕生介绍,逆向工程是指对软件执行码直接进行分析,可被看做是“开发周期的逆行”。实际应用中逆向工程主要分成两种情况:第一种,软件的源代码可用,但描述文档不再适用或者丢失;第二种,软件没有可用的源代码,任何能找到它的源代码的努力都被称为逆向工程。软件的逆向工程实现方法有:通过观察信息交换进行分析、使用反汇编器进行反汇编和使用反编译器进行反编译等。黑客则利用反逆向工程的方法保护自己的恶意代码。
针对前一段时间热炒的谷歌被攻击事件,许榕生表示,真正的黑客高手,是会采取反取证的手段,不会那么轻易让人找到他们入侵的痕迹的。而计算机取证正是需要将犯罪者留在计算机中的“痕迹”作为证据提供给法庭。可以用做计算机取证的信息源很多,如系统日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。随着计算机取证技术的发展和取证工具的广泛使用,黑客在入侵过程中越来越多地使用痕迹销毁技术和反取证技术,以对抗调查人员的取证分析。因此,取证与反取证往往形成“矛与盾”的关系,成为黑客攻击技术与反黑客技术较量的技术制高点之一。
采访手记
信息安全的关键还是在人
“人傻钱多”,也许是现在很多机构信息安全工作的写照。盲目地唯技术论,认为添置了防火墙、杀毒软件、入侵检测设备就可以高枕无忧了,而忽略了人员的信息安全管理。
对话过程中,许榕生多次提到“社会工程学”。在他看来,社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。
因为“人”这个环节在整个信息安全体系中是非常重要的,这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络或者是设备的新旧等因素不相同而有所差异。无论是在物理上,还是在虚拟的信息系统上,任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被黑客用做“补给资料”来运用,使其得到其他的信息。
信息化工程必须是一把手工程才能成功,网络信息安全也是一样。从管理层就得认识到信息安全的重要性,随后通过强化管理入手,辅以相应的技术手段,一方网络才可平安。
关注读览天下微信,
100万篇深度好文,
等你来看……
