主题：【原创】IT八股：闲聊信息安全 (之一.基本概念) -- 昔杨今雨

在本文里面, 我将探讨4种安全技术或产品, 作为反面教材, 这些安全技术或产品被我归入火坑一类. 所谓的火坑, 顾名思义, 就是跳进去出不来, 投入巨大, 但是收益不成比例. 这里的投入既指的是厂商, 也指的是用户. 而这些技术或产品之所以成为火坑, 是因为他们或多或少都违反了一些信息安全方面的原则.

上文结尾的时候, 我提到了认证和授权, 那么第一个火坑, 就从授权开始. 前文提到, 在认证方面, 目前已经发展出了一些目前看来比较有效的方法. 常见的用户名+口令方式的脆弱性大家已经有了共识, 因此在认证技术上, 发展出了例如Kerboro(源自MIT, MS Windows的用户管理就使用了这一技术), 双因子身份认证(RSA公司的SecureID动态令牌卡是我最早接触到的采用这一技术的安全产品), PKI(利用非对称密码算法构建的信任基础设施)等等. 在国内, PKI技术受到大力的追捧, 目前全国已经建立了二十几个省级电子商务CA中心(类似VeriSign, Entrust), 提供数字证书技术服务, 其他行业性大小CA也很多. PKI技术确实有很大的优势, 无论从安全性, 经济性, 适用性, 可管理性方面来说, 都非常适合电子商务和电子政务系统的需求. 目前这种诸侯割据的局面在某些\"砖家\"看来很不爽, 总是琢磨着要搞全国大一统, 但是在我看来真这么干才是脑子坏了的表现, 为了片面地追求全国一盘棋, 而把风险增大到无法承受的地步. 不过这不是本文所要讨论的内容, 还是先留个坑在这里吧.

PKI技术如火如荼地发展着, 有人就开始琢磨能否模仿PKI的模式, 实现统一授权管理, 这就有了第一个火坑, PMI(Privilege Management Infrastructure).

这里我不打算讨论PMI的具体实现, 在PMI的具体实现里面, 有很多值得借鉴的地方, 但是PMI之所以成为火坑, 是因为四个字\"越俎代庖\". 授权之所以是信息安全体系建设里面最难的部分, 是因为:

[*] 授权的复杂度太高. 假设有N个主体, M个客体, 认证的复杂度是N, 而授权的复杂度会是N*M. 通常情况下, M>>N. 再加上授权的流动性, 如此高的复杂度, 即使在一个企业内部, 想要通过技术手段统一起来也是不可想象的. 作为旁证, 大家也可以留意一下, 在目前市场上, 以授权管理为核心的产品有几个;

[*] 在实际生活中, 授权原本就来自不同的管理者, A公司的管理者不会听命于B公司的管理者, 更不用谈政府部门之间. 授权是真正的权力的体现, 没有人会拱手相让, 让一个\"可信的权威机构对用户进行统一的授权\";

[*] 统一授权的风险太大, 大到无法承受的地步. 请问, 如何保证这个授权权威机构可信? 授权系统的崩溃造成的损害远大于认证系统的崩溃, 因为授权是最接近保护对象的环节, 这个环节如果出问题会直接把保护对象暴露在无情的风雨之下. (越接近保护对象的环节越重要, 在生活中也是如此, 核心身边都是中南海保镖, 而外围的就可以交给地方捕快了) 而统一授权系统的崩溃就是整个安全体系的彻底崩溃, 谁能够承担这样的后果?

记得在4~5年前, PMI是个很时髦的话题, 虽然是老外提出来后一直仅仅停留在理论探讨的阶段, 但是国内的热情却一下子走到了实际应用. 从厂商的角度, 似乎又看到忽悠客户大干快上的机会; 对客户来说, 乍听之下, 前景非常诱人, 似乎是一个\"一劳永逸\"的解决方案. 而结果是双方都掉到火坑里面去了, 授权的高复杂度, 使的厂商的开发投入居高不下, 但是距离产出可用的系统遥遥无期, 而客户发现, 上了这个系统和现有的管理模式格格不入, 推行的难度恐怕胡哥亲自下令都搞不定.

简单小结一下, 对于信息安全技术或者产品或者方案, 第一要避免复杂, 第二要符合现有的管理模式, 第三要注意风险的可控和可承受.

------------------------华丽的分隔线(学来的:-)---------------------------

PMI只能归入信息安全技术的范畴, 因为根本不可能出得来产品. 但是接下来的两个火坑是实际的产品, 不但是产品, 还是目前应用很普遍的产品. 这样的东西怎么会是火坑呢? 请容我细细道来.

第二个火坑是目前挺时髦的病毒防火墙, 或者说防病毒网关. 这东西Symantec, Trendmicro等等都有产品, 卖得也挺起劲. 对厂商来说是件好事, 但我说它是火坑主要是针对用户而言, 也用四个字来说, 就是\"屋上架屋\".

防病毒网关的价格很高. 这么高的价格其实不能全怪厂商, 因为实时防病毒本来就耗资源, 网关防病毒更加需要很高的配置和性能, 这东西布置在网络通道上, 一方面要完成把网络数据包先做协议分析, 再组包, 再扫描, 再拆包向后传的过程, 能不需要高配置吗? 另一方面, 网络通信本身存在不可靠性, 例如由于数据包丢失重发, 网络阻塞等等, 都会造成扫描效率的下降, 大马都拉不了的大车, 怎么办? 只能把大马整成大大马, 这一整成本自然上去了, 所以有的时候有朋友问我某个防病毒网关如何, 我一般就先问价格, 百兆环境下的低于20w免谈.

但是问题是, 花了这个钱, 可以获得什么样的效果呢? 问任何一个防病毒网关的厂商, 上了网关之后是否可以不再需要使用桌面的防病毒软件? 我打赌没有一个厂商敢回答\"不需要\", 因为病毒的来源不仅仅是网络, 光盘, U盘, 临时接入网络的电脑, 个个都有可能成为病毒的来源, 光是防网络有什么用? 不但要上桌面防病毒, 而且定时更新, 定期扫描, 一个都不能少. 既然如此, 防病毒网关的效益又体现在哪里呢, 更何况一旦遇到ARP欺骗这样以网络为攻击目标的病毒, 防病毒网关也无能为力? 用户得到的产出和投入不成比例, 这不是火坑是什么?

防病毒网关的问题在于, 它有意或者无意地隐藏了信息安全里面整体性全方位的原则. 信息安全概念里面的\"木桶\"理论, 阐述浅显而重要的原则: 一个桶能够装的水量不取决于最高的那块板, 而是取决于最短的那块木板的高度. 安全的强度取决于其中最为薄弱的一环. 单纯加强某个方面, 或者加强了某个方面, 造成可以替代其他方面的假象, 在信息安全里面, 都是值得警惕和注意的.

------------------------华丽的分隔线(再来一个)---------------------------

写着写着发现已经很长了, 为了让大家看起来不累, 看来要分两篇了.

• 【原创】IT八股：闲聊信息安全 (之四.产品点评(下))