如何保障網路資訊保安？

2013-11-01

主持人：

於 揚，易觀國際集團創辦人，董事長兼CEO，「正知書院」常務理事

嘉　賓：

吉迪恩•拉赫曼（Gideon Rachman），英國《金融時報》首席外交事務專欄作家

李曉東，中國網路絡資訊中心(CNNIC)執行主任

費引迪（Randal Philips），美思明治集團亞洲地區執行總經理

文偉平，北京大學軟體與微電子學院資訊保安系副教授

譚曉生，奇虎360首席私隱官

每個人都面臨網路安全風險

於揚：各位來賓下午好，特別高興今天有這樣的機會應力奮老師的邀請來主持這樣一個網路安全高規格的討論。正如大家所看到的，今天的來賓都是各個領域的專家，我們也有一個專家可能要早一點走，所以我們就直接切入正題。我們整個大會的主持人在談到斯諾登的問題，大家都很清楚這個新聞事件，但是大家會覺得這樣一個新聞事件很有意思，但是跟我自己有什麼關係？我其實覺得網路安全，包括資訊保安，其實對於每個人都是至關重要的，我相信我們日常生活工作中都有這樣的例子，我們不想被別人知道的聯絡資訊，被一個未經授權的個人或機構拿到了，然後打擾我們，我們用一兩個例子講一講你在日常生活中被打擾的情況。

吉迪恩•拉赫曼：非常感謝大家邀請我，我當時沒有把網路安全當回事，我覺得就是網路空間，是我私人生活的一部分，但是在過去的一年內我的看法大大發生了變化，這些事情發生以後纔想到，所有的個人資訊，包括我的信用卡密碼、工作檔案、輸入密碼的地方，這實際上是個挺嚴肅的事，誰又有興趣來窺探我的資訊？我的資訊有什麼意義值得他們調取？在英國有很多這樣的人，如果有人把你的電腦偷了，或者透過你的電腦侵入你的系統，把你的電腦進行遠程控制，那很恐怖，斯諾登事件讓大家知道網路的資訊是非常有價值的。

於揚：我相信沒有人比李曉東主任在整個國家網路資訊方面更權威的，您同意他的說法嗎？

李曉東：今年4月份在北京辦了一個國際網路大會，大概有1900個外賓到北京，是歷史上規模最大的。會議開始的時候有些外國朋友問我說可不可以把電腦帶到中國，如果帶過來，數據是不是會很快被軍方或者某些部門竊取掉？我回答了一句話，說你可能過於高估中國人的技術能力了，如果中國每個人都是駭客的話，那麼這個世界的網路就已經毀滅了。最終的結果是他們每個人都帶了電腦，因爲沒有電腦他們是無法工作的。也許中國某個駭客會非常厲害，但不是每個人都面臨這種狀況。

於揚：我相信這對所有想到中國來發展的朋友都是一個好訊息，你們不用擔心，因爲我們今天的網民還沒有武裝到牙齒。

費引迪：我在過去的20多年中，在美國工作時，有很多的資訊，我們在過去的10-15年都在運用這樣的技術，現在不僅僅是中國，在其他的地方也是如此，我們要知道你的資訊面臨著哪些風險，那麼到底是怎麼樣的情況，比如說你要獲取別人的資訊有多容易或者多難，比如智慧型手機和個人的設備，我們也在新聞中看到一些報導，就是有不同的情報利益或者個人利益，他們要捕獲這樣的資訊，大家每個人都面臨這樣的風險，這真的是有關網路安全非常重要的話題，不僅僅是從個人還是職業的角度都值得談論。

於揚：在前面幾位嘉賓都在比較宏觀的層面談完之後，給我們幾個切實的例子。

文偉平：我也跟大家分享一個例子，這個例子可以說對我的一生都很關鍵，因爲它直接改變了我的專業方向。CIH病毒惡意代碼大家都知道，它可以破壞硬體也可以竊取電腦的資訊。CIH是第一次出現的能夠破壞電腦硬體的病毒，當時是WIN95系統時代，我當時在讀本科。CIH病毒侵入到我的電腦之後，在1999年4月26日這一天，把我的電腦啓動介面破壞掉了，這一次給我的打擊也很大，我最初是學電腦的，我後來又學了地質方面的專業，之後我就漸漸喜歡上了資訊保安。從1997年開始一直研究資訊保安，剛纔於總提到這個事情我是很有感觸的，惡意代碼對大家的影響還是很大的。

全球信任合作才能解決安全問題

於揚：文教授講了一個例子，而且這個例子讓大家印象深刻，它開啓了文教授職業發展的歷程。譚總特別想馬上回答一下文教授的問題，但是進行之前我們要先回過頭繼續剛纔的話題，因爲吉迪恩•拉赫曼先生要先走。有一些英國人把他們的個人電腦帶到中國來，我們現在有來自政府的，還有來自資訊保安網站的專家人士，從個人的層面來講，網際網路用戶還不一定有知識進行駭客的行爲，你認爲從英國這方來看，比如從專家的觀點來看，網際網路的安全是如何和剛纔的事件聯繫在一起？

吉迪恩•拉赫曼：我不是商人，我可能沒有專門的經驗，比如說一些大的英國公司，不一定是像美國那樣的公司，它們可能會認爲會受到很多網路上的襲擊，他們很怕這樣的威脅，尤其是從中國來的，可能是他們的一些資訊等等，所以在這個晚餐上我看到了一些商人，他們告訴我們說，別把你們的電腦帶到中國去，這是他們說，當然可能是安全界的人是這樣的觀點，但是人們確實在這件事情上很認真，可能也跟他們自己的個性還有他的公司背景有關，他們就比較小心。我們來看廣一點，比如斯諾登事件在西方也產生很大的影響。

我們把經濟的情報看成是首要的事件，美國人一直都在說，他們認爲中國的情報或者是竊取怎麼樣是很在乎的，尤其是在公司的層面上，這確實是一直以來的擔憂。

費引迪：有兩點我要說。我今天也代表中美商會，每年中美商會發一個白皮書，一部分是關於安全的事情。今年他們說可能55%的會員公司對安全很緊張，對他們來說，來中國就很重視這個事情。我現在可以告訴大家，從我的經歷上來講，可能你們都不一定相信看到的事實，我在這一塊20多年了，我以前在政府採集這樣的資訊情報，然後直接給白宮和主要的政策決定者，可以幫助他們做一些決議，有一些資訊的準確性也要得到確認，我們收集到這些資訊，有一些對美國的公司也很有用，我們還不能夠把這些資訊給這些美國公司，因爲美國的法律是這樣規定的。我們採集了一些很有用的資訊，比如對蘋果電腦很有用的資訊，我們不能把這些資訊洩露給蘋果或者其他的競爭對手，比如微軟，是不可能這麼做的，儘管我們想做也不行，因爲在這方面沒有一個指南。這跟在中國不太一樣。在法國也是如此，他們採集一些有一些商業用途的資訊，到底目標是什麼，資訊來源去哪裏，各個國家是不一樣的。

於揚：你們在美國可能有資訊分級制度，你們怎麼來用，這個用途不一樣。它代表了很多美國在中國做生意的公司。360是做安全的公司，從360的角度能不能給一個回答，其實辦法總比問題多，這些問題其實不見得是一種有組織的行爲，也許就是一些愛好者的行爲。

譚曉生：並不是商人在英國就不會受到英國的攻擊，網路是無國界的，如果在中國物理上也有一些額外的風險，比如貼身攻擊，我接觸到你這檯筆記本把硬碟數據拷走之類的，這和網路無關，完全是傳統情報的工作，也不是一般老百姓可以做到的，這又回到了傳統話題，和資訊保安無關，中國的安全情況，微軟今年3月份公佈了一個報告，中國惡意軟體感染率是全世界最低的，大家可能恐怕難以相信，只有全球的10%。

於揚：吉迪恩•拉赫曼先生您現在是不是放心一點了？

吉迪恩•拉赫曼：作爲記者來說，我沒有太關注這個問題，我認爲在商界這些人更值得關注，因爲有很多人說一定要保守商業祕密，我作爲記者沒有那麼多的商業祕密，所以沒有很多的考慮和顧慮，不管怎麼樣，在這個領域裏面有時候還是很認真對待這些警告的。我並不是進行自我控訴，在座的聽衆還是比較感興趣的，英國不僅是英國的商業，比如說受到中國的攻擊，到中國來資訊就要受到威脅，這是我聽到的。

於揚：您經常爲政府提出一些建議和可以實施的預防舉措，因爲這樣你們就可以提供一些資訊或者更好的產品。

吉迪恩•拉赫曼：不管是從個人的角度還是從其他的角度，我覺得建議都是差不多，這個技術是非常新的，而且發展很快，有很多人還沒有太多的去想這方面，因爲我們每年面臨的安全問題都不一樣。但是有時候你可能會在全球範圍內達成一致——到底該怎麼樣來做。但是這就需要有信任的關係，比如美國和中國是否有足夠的信任關係，還有商界是不是大家彼此足夠信任才能夠更好來做買賣和交往，在政治層面上有時候很難想像現在雙方能夠坐下來共同達成一致，很好地來尊重彼此，在這個層面上好像還不太可行。

於揚：吉迪恩•拉赫曼先生留下了很好的關鍵詞就是信任，他認爲今天在更高的層面上解決安全，包括所謂資訊洩露的問題，不同機構之間信任的建立特別重要，這方面也特別巧，剛纔我在下面也和李曉東主任談到這個問題，您是不是也回答一下這個問題？

李曉東：就目前全球網路安全來說，全球合作實際上是一個非常突出的問題，像譚總講的中國感染惡意軟體的幾率佔全球10%，中國佔有全球25%的網民，所以說這意味著不是說我們中國的網民安全能力和防護能力比較強，其實是從機構層面包括360和中國政府各個方面做了很多工作，實際上政府推動了民間機構以及官方機構做了很多努力才能達到這個效果，讓我們的安全狀況比全球安全水準要高。

另外說一下這個相互信任的問題，在8月25日各國雲系統受到了安全攻擊，包括CNN和華盛頓郵報，有人直接問我，這是不是美國人乾的？我如果告訴他這是美國人乾的，他一定會非常感興趣，因爲大家非常關心中美網路安全的問題。在2012年中國有1400多萬臺設備被人植入木馬和控制，這可能相當於歐洲一些國家（的設備總數），這1400萬里面超過1000萬臺中國的設備是被美國的終端控制的，即是我們中國被黑的機器70%是來自美國的設備控制的，當然美國的設備不一定是美國人管的，但是這就說明了另外一個問題，這些數字會讓我們中國人非常擔心來自美國的安全威脅，是否美國的各個機構和美國政府在消除這種對中國安全威脅上做了足夠的努力，這也是需要協作和信任的。我說了一組數字和一個案例，也展現全球格局裏兩個大國的不信任。8月份對中國國家基礎設施的攻擊不是美國人做的，是由於一些經濟利益導致的。但是會有非常多的人感興趣，（也許甚至）希望是美國人做的，所以未來如何在合作框架裏建立信任關係，相互之間如何能夠協作，國與國之間在全球範圍內怎麼協作，在全球有幾十億網民的情況下怎樣基於原有的框架進行資訊保安的合作，這是未來五年十年非常重要但是難以解決的問題。

於揚：大家知道斯諾登事件，最近被炒的很熱的是德國總理默克爾，據說她的手機被美國監聽，爲什麼美國總是出現在新聞中，這兩個看似是個體的事件，它們之間有沒有關聯？

費引迪：剛纔這位先生講的，每次都讓我想起這樣的事情，每次美國政府都會這樣說，我們如果都能夠把自己份內的事做好，我們的世界就會很美好。大家看電影的時候，比如看到美國的中情局，到處都有他們的人，在現實生活中並不是這樣的。他剛纔講到的是怎麼樣在網路空間中建立信任，我們一直在努力尋找互惠共贏的框架，當然這是中美之間，有這樣事情的發生也是比較正常的。因爲中美是兩個大國，不管是從經濟關係來說、還是政治關係來說，探索未來發展過程中必然是要聯繫在一起的。在這個過程中就要照顧兩個國家的利益，不管我們中間會經歷什麼，但是我們的內心深處總有這樣的一個資訊提醒我們怎麼樣能走得更遠，比如像我這代人，我周圍很多人知道中國也有很多資訊的丟失，大家都有這方面的擔憂——怎麼樣保護自己。隨著現在雲時代的到來，不管是企業還是公共部門或者政府，我們都需要具備這樣的能力，來堅守已經保護好的（領域），並在未保護領域擴大保護。我補充一點，類似網路間諜行爲，或者說竊取個人非法行爲來說，現在這些事情和行爲背後實際上也是有成本的，它的一個結局會帶給我們更好的防禦，反之如果我們沒有去付出保護的話，會帶來非常糟糕的結果。

個人可放心大膽地走在網路時代

於揚：這讓我想到一個問題。無論是斯諾登事件，包括我們最近看的默克爾被監聽，包括過去幾年聽到說哪個用戶的信用卡資訊被拿走，我不知道今天在座的聽衆是不是有這樣的感覺，20年前、15年前除了真正的安全專家，就我們大衆來講，知道的好像不多，但因爲今天的網路技術的發展，網路能夠讓很多人知道這個訊息。這是從結果的角度來講。隨著技術發展帶來便利的同時，其實也讓過去的一些所謂違規的行爲能夠更普遍化，而且可能會有多種的機構和個人掌握這種技術。比如說我們今天的手機，包括剛纔幾位嘉賓談到的PC被攻擊，文教授說這讓他下決心去追求新的職業，手機是離我們最近的一個裝置，一個人手機丟了一定是最驚恐不安的，PC丟了的程度遠遠小於手機被丟的恐慌程度。360作爲一個技術公司怎樣去看今天技術的前進，在帶來便利的同時，隨著移動網路的滲透率越來越高，連身體健康生理指標都記錄下來，我們怎麼防止這些資訊被惡意的人使用、被惡意的機構劫持？

譚曉生：首先說一下現實，最近的十年網路有非常大的發展，深入到人們的生活，你的生活已經很大程度是依賴於網路的，你的資訊已經在上面了，使用得多，出現問題也多，我們能不能規避這個問題？不行。因爲電腦的體系結構在上世紀40年代的時候，以它的天然缺陷導致先天缺陷，這是沒有辦法解決的。雖然這個體系結構問題到現在沒有解，但在這種情況下我們的生活能不能過得更好一些？當然是有辦法的，在政府的管制上面，從人類文明開始，小偷一直存在，但是我們透過制度讓小偷受到懲罰，社會就不會太亂，在網路上也是一樣的。第二是制定一些遊戲規則，比如軍事的東西不要用在民間上，大規模殺傷武器不能用，打仗也有各種各樣的規矩，現在只是新的規則還沒有在網路這個世界裏形成，雖然包括聯合國倫敦會議在試圖制定。手機是非常不安全的，尤其是安卓的操作系統，到處都是漏洞，而且你現在聯的網不僅是營運商的網路，如果你連接到一個公用wi-fi是非常不安全的。

文偉平：資訊不安全和資訊保安也是一個博弈的過程，可信計算和不可信計算都是對立的，到今天這些安全問題都沒有解決。首先剛纔譚總提到了電腦的體系結構本身存在問題，在網路協議這塊李主任比較熟，它能導致拒絕服務攻擊，近十年網路的發展引入大量的新技術、新服務和新應用，現在的微博社會關係可以把資訊進行復制，有了這個條件，供給者就可以利用網路上的社會關係發動一些釣魚攻擊，還有wi-fi網路、移動智慧終端和雲端計算，雲端計算現在在我們國家是比較熱的話題，也有大量的企業資產整合在雲系統裏形成了一些數據。從資訊保安技術的角度確實也沒有一個通用的辦法完成對資訊的保護，我們就安全領域來說，資訊沒有絕對的安全，比如要建立一個資訊保安體系，很多人都提管理和技術的結合，怎麼樣更好的保護我們的資產？

於揚：咱們圍繞7分管理3分技術，請每一個嘉賓講三個關鍵詞，給在場聽衆一個建議，無論從管理的角度還是技術的角度，無論從國家安全的角度還是從商業資訊的安全，還是從個人隱私的保護，我們有哪些事可以做？

李曉東：我送給大家一句話，你要相信技術的進步，保護好自己，放心大膽走在網路時代。

剛纔講我們無論是原有的體系結構還是網路現有協議的缺陷，未來信息技術的進步和下一代網路對資訊傳輸和保護都將是有所進步的。就像你不要指望一把刀把一個大象砍倒，但你可以造出一把強大的槍一下把大象打倒，要相信技術進步。還有你要建立一個安全意識。逢人就告訴你的資訊，這是不行的，在網路時代你要學會用網路規則保護自己。還有無利不起早，你有多少資訊對別人是有超強價值的？爲什麼放心大膽？在網路界有一個基本的（原則），上網不涉密，涉密不上網，所以請大家放心走在網路時代。

費引迪：我想很簡短地說，我們現在生活在這樣的一個時代，就像剛纔他說的，而且它還在不斷發展。你沒有辦法把所有的東西都保護好，比如你個人的生活、對網路的依賴度，你對最核心的資訊一定要保護好，就好象跟你媽媽說話一樣肯定是無話不談，但是你跟其他人說話肯定不會像對自己母親講話一樣，對資訊也是一樣，有些人有這樣的技術來竊取資訊，保護好自己最重要的資訊。

文偉平：資訊保安沒有絕對的安全，只有相對的安全，資訊保安技術手段應該也是輔助的一種手段，我們應該要去追求更高的技術手段和管理水準，保證我們自己信息系統的安全，這也是未來研究領域追求的目標。

譚曉生：我直接給大家幾個指導，不管是PC還是手機，該裝的安全軟體都裝上，這是能讓你好很多，可以規避絕大多數的攻擊；第二個是把你的密碼分成三個不同的密碼，一個是隨便玩的，比如是在微博上玩的，第二個是放私隱資訊的，比如儲存的裸照什麼的就找第二級密碼，和第一個不能完全一樣；第三個是和錢有關的，每個密碼，只要服務商允許，你都設置在15位以上。這個世界總是會前進的，你要獲得好處，一定會要折讓一些利益，包括你的資訊，這是一定的，人不能因噎廢食。