信息安全面面观

―――在某全国性大会上的即席发言

杨义先

北京邮电大学信息安全中心主任

灵创团队带头人

问：什么是“信息”？答：不知道！因为，至今，国内外从未有大家公认的有关“信息”的权威定义。

问：什么是“安全”？答：不知道！因为，事故发生后，谁都明白了“不安全”的含义，但是，没人能清楚地定义“安全”。

问：什么是“信息安全”？答：“不知道”+“不知道”！

列位，至此，你也许会认为国内外信息安全专家都是“吃饱了撑着”吧？非也，正是因为有这样一堆“不知道”，“信息安全”才被当作科学技术研究的对象，而且，还是越来越倍受重视的对象。

问：如何研究“信息安全”？答：不知道！

看来，今天是“不先生”专场了！且慢，因为，我下面马上就要与大家分享一些研究信息安全的法宝了：

1，信息安全需要辩证法。信息安全是一门高智商的对抗性学科。作为矛盾主体的“攻”与“守”双方，始终处于“成功”和“失败”的轮回变化之中，没有永远的胜利者，也不会有永远的失败者。“攻”与“守”双方当前争斗的暂时动态平衡体现了信息安全的现状，而“攻”与“守”双方的“后劲”则决定了信息安全今后的走向。“攻”与“守”双方既相互矛盾又相互统一，他们始终都处于互相促进，循环往复的状态之中。更具体地说，安全是相对的不安全才是绝对的，用户不要相信商家所宣传的“绝对安全的完整解决方案”之类的神话，同时，用户也不应该一劳永逸地呆在自己曾经建设的安全系统之中，必须随时对系统进行安全维护和更新。

2，信息安全需要它山石。作为一门直接由社会需求所推动的新学科，信息安全正随着社会需求的不断丰富、不断变化而迅速发展，因此，信息安全不能孤立于其它已经成熟的任何学科，必须充分吸收其它学科的营养以适应自己的快速成长。既然，以孙子兵法为代表的军事理论已经在现代“商战”中被广泛应用，而且取得了突出成就，那么，它们为什么不能够在现代“网战”中发挥应有的作用呢？许多用户始终愿意错误地相信“有安全措施总是比没有安全措施强，即使这些安全措施并不可靠”，但是，他们却忘记了“备周则意怠”这一千古兵训。到目前为止，虽然没有人有意识地将兵法战术引入信息安全的研究之中，但是，现在信息安全中的许多思想和技术，的确与兵书中的许多计策不谋而合，比如，逃避入侵检测的渐近攻击法就基于“常见而不疑”的思想；新出现的信息隐藏技术就是典型的“瞒天过海”；黑客们调用别人的计算机资源发动的分布式拒绝服务攻击与“借刀杀人”如出一辙；“攻”、“守”双方的许多新技巧都是“出奇制胜”的典范；对付黑客的蜜罐技术难道不是“李代桃僵”吗？希望在不远的将来，有人能够有意识地将军事理论引入信息安全研究之中，为此建立全新而实用的信息安全理论与技术。

3，信息安全需要生力军。到目前为止，研究信息安全的主力军主要来自信息技术等领域的自然科学工作者。首先，应该肯定这些科研人员经过自己的艰苦努力已经取得了若干杰出成就，但是，与其它学科相比，信息安全的涉及面实在太广，需要太多的知识背景和想象力，比如，军事学家当然更擅长于建立信息安全对抗理论，从而使得信息安全能够在完整的理论体系指导下健康地发展；法律专家能够通过公正的法律体系限制众多的攻击行为，从而净化网络环境减少信息安全的压力；教育学家可以通过提高全民素质来提高“网民”的道德水准，从而形成全民抗“黑”的有利之“势”；经济学家可以通过分析“攻”与“守”双方的当前成本开销来客观现实地为信息安全定位；管理专家能够通过有效的管理事半功倍地实现信息安全目标等等。总之，信息安全应该是目标而不只是手段，无论用什么方法，只要能够达到信息安全的目的，就应该肯定。

4，信息安全需要服务观。如果把信息比喻为“红花”，那么安全就是“绿叶”。如果把信息比喻为“主角”，那么安全就是“配角”，虽然这个配角显得异常重要和不可获缺。信息安全是服务，是一种特殊的核心服务，信息安全的提供者和使用者都应该对此有清醒的认识。作为信息安全的科研人员，应该紧紧围绕信息的具体安全需求展开其科研工作，为了科研而进行的科研在此会显得毫无价值，当然，随时注意总结科研经验，提炼相关理论并用于指导后续研究仍然是十分重要的。为了提供良好的服务，信息安全的科研人员就必须对被服务对象有相当的了解，这就要求信息安全的科研人员必须具有相当宽广的知识基础，比如，很难想象不懂移动通信的人员能够为移动通信提供良好的安全服务。作为信息安全系统的用户对安全服务也要把握好适当的“度”，忽略安全的作法不可取，不计代价求安全的作法也是错。

信息安全需要的东西还有许多，我的发言时间到了，抛砖引玉该结束了，谢谢大家！

注：继吾友替我收藏并回赠“文明与野蛮的较量”一文（已在科学网上补发　http://blog.sciencenet.cn/blog-453322-588580.html　）之后，我的另一朋友又寄来了某年（不详，估计5年前）我在某全国性会议（不详）上的一个即席发言。借假期闲散之机，我将该发言整理成此文，重新以博客形式发表，供大家批评。

看来，我的散落在“民间”的“非技术类”东西还不少，但愿还有朋友给我提供更多有趣的遗忘品。由于过去没有博客，也未重视此类“非技术品”，所以，常常应邀完成讲话（或作序）后，就扔掉了文稿并删除了记忆。现在想来确实可惜，不过，相信借助博客，今后类似的憾事不会再发生了。谢谢博客！