引 言
春秋时期,孔子去鲁桓公宗庙观礼,看到一只倾斜的瓦罐。孔子问守庙人为何不把那只瓦罐扶正?守庙人回答说:这是“佑座之器”。无水之时倾斜,装满水时倾倒,只有装上一半水时才是正的。这件小事让孔子悟出了中庸之道的道理。1807年,英国著名的科学家戴维在紧张的做着从苛性钾中电解分离单质钾的实验,直接电解固体以及熔融苛性钾和苛性钾的饱和溶液都告失败,正当绝望之时,他想到了一个”折衷”的主意,电解在空气中吸潮后的苛性钾,结果成为他成为人类历史上第一个发现碱金属的科学家。
上面两个例子说明了同一个道理,凡事都应掌握“适中”的原则,即所谓的中庸之道。我们回过来关注以下我们的信息网络安全问题。
网络其实是“脆弱”的
“网站被黑”、“数据泄漏”、“服务器瘫痪”、 “尼姆达”等名词在近年来可谓“声声入耳”,然后我们就不得不对“防火墙”、“入侵检测”、“防病毒”等信息安全技术来个“事事关心”。如同汽车给人类带来交通方便的同时也带来环境污染和车祸一样,信息技术与网络应用的发展对传统生产力与人们生活和思维方式产生了巨大的冲击的同时,也带来日益严重的信息安全问题。随着“计算机犯罪”、“网络恐怖”“信息战”等事物的出现,专家已把信息安全提升到国家、军队安全的同等高度来看待,足可见信息安全在新的信息时代的重要性和紧迫性。
人们常把黑客病毒比作信息时代的“洪水猛兽”,然而又不愿意主动放弃互联网这块“奶酪”带来的实惠和方便。如何解决这对矛盾的,首先想到的就是信息安全产品。 然而似乎是事与愿违,信息安全技术的飞速发展,并没有换来我们所期望的网络的“高枕无忧“。一方面政府、企业不断加大对信息安全投资的力度,另一方面网络入侵事件却越来越频繁,如同2001年美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件。如同叶圣陶在《多收了三五斗》说的, “白花花的大米没有换来白花花的银元,心里便打了个折扣。”
Internet在建立时就缺乏安全的总体构想和设计,而采用的TCP/IP协议在设计时主要考虑的是互通性与互操作性,而在安全上的防护却较弱。目前被广泛采用的Unix、Windows NT/2000的系统都存在许多安全漏洞且呈增加趋势,在系统上运行的软件平台更存在不易察觉的漏洞和后门程序。服务器、防火墙等系统趋与复杂的同时,也为配置错误或不当增加了几率。
无论是防火墙还是入侵监测等产品,总是相对于新的网络攻击技术出现之后,规则库或手法库的更新总是滞后与黑客的攻击。所以常说,不存在绝对的网络安全,安全产品与技术的真正意义在于,满足用户需求的前提下,最大限度的保护用户信息与网络的安全。也就是说,给不同的用户提供适度的安全与开放。也就是通过安全风险与评估的手段正确认识我们希望的开放与安全的“度”。
儒家的中庸之道,其实就是反对过与不及,“不得中行而与之,必也狂狷乎”,要在过与不及两端之间转折和把握一个中点或度,也就是量变到质变度量关节线,以顺应事物的发展。对于我们讲述的互联网安全之道,就是要在隔离与互通性掌握一个合适的度,来获得我们期望的安全下的自由。从添加路由器(ACL)访问列表、划分VLAN,系统配置权限策略,到采用防火墙或辅助与入侵检测来进行逻辑隔离边境网络,然后到采用物理隔离或GAP技术进行内网与外网链路层的断开来阻断通用协议确保安全。在保证应用的前提下,适度降低开放性以提高安全性,换句话说,依据中庸之道的思想是,深入了解需求,合理评价两个方面(如互联网的开放与安全)对事物最终走向的影响,才能得出我们应遵循的“度”。下面以电子政务遇到的信息安全矛盾为例给予阐述。
信息化建设呼吁安全与开放的“适度”
目前蓬勃发展的以政府信息化为代表的电子政务成为信息化的热点,而关于政务平台中的信息安全问题也成为最大争议,尤其是信息的流失与信息间谍的潜入对电子政务这一领域尤为敏感。一种观点认为,电子政务应突出政务公开的特点,以提高政府工作效率和透明度。最小化的隔离,最大限度的开放不能让信息安全成为束缚电子政务发展的瓶颈。另一种观点更偏重与确保政府内部敏感的安全性应放在首位。即应对存放核密信息的核心层、涉及“普密”的政府业务层给予充分的“隔离”,以构建一个可信的电子政务安全保障体系。
事实上,以上两种观点实质上是共同的,也是切合当前实际的,只不过侧重点和角度不同而已。该保的能保住,该放的放得开,所以有必要根据安全级别与敏感度和开放需求来进行隔离划分网段。国家已经明确也是公认的观点是网络划分为内网、外网和公网(公众信息网)三部分,内网与外网要物理隔离,外网与公网应逻辑隔离。内网主要肩负政府的核心办公,外网则有两大任务,一个是行政监管,还有一个是为公众服务,所以要开放一定信息,必然要形成和公众网的无缝连接,以求方便、快捷。公网主要是提供给分散在各地的民众、企业等实体的信息传输平台,目前Internet为主要方式。
1
2
下一页>>
