當今時代�,網絡間諜、黑客造成的網絡犯罪和地緣政治關系緊張愈演愈烈��,防不勝防�,對此����,美國白宮正在研究一個國家網絡安全戰(zhàn)略,并預計在2016年推出���。幫助構想這個戰(zhàn)略的是Greg Shannon���。Shannon前不久還是卡內基梅隆大學軟件工程研究所首席科學家,如今正準備加入白宮科技政策辦公室��,負責網絡安全策略�。
在日前接受《麻省理工科技評論》主筆David Talbot的采訪上�����,Shannon向公眾講解一系列網絡安全問題����。他表示����,處理當今頻繁發(fā)生的網絡犯罪和間諜威脅,需要從根本上用全新的方式來創(chuàng)建所有軟件���。而穩(wěn)固這個新的基礎需要20年��。
網絡安全已經成為嚴重的威脅��,不過這類事件最近發(fā)生了什么實質性的變化呢���?
索尼黑客事件可謂網絡安全威脅的分水嶺。該事件的規(guī)模�����、波及范圍和損失都是空前巨大的,而且該事件折射出網絡安全與經濟發(fā)展之間的關系是何等的緊密相連——也就是說����,隨著網絡安全威脅日益嚴重,經濟發(fā)展就越受威脅�。
近年來,數十億美元的資金投入到新的安全技術研發(fā)中去���,難道它們都不管用嗎���?
惡意網絡活動不斷增多背后隱藏的動機也越來越復雜。在互聯網早期時代�����,改良過的IT基礎設施大可以壓制基礎設施方面帶來的安全風險�����,盡管威脅一直存在�,但可以通過補丁修復�����。但如今��,網絡上的惡意活動及其牽涉的資產價值正呈幾何數級的增長——而為的都是劫持系統和竊取數據。我們所看到的結果是��,網絡攻擊的威脅比以往任何時候都要嚴重����。
那么根本的技術問題出在哪里?
一方面是效用問題——你如何保證安置了一種新的技術手段后就能在安全防御中有所作為�?很多時候甚至是起不了作用。另一方面是效率問題——通常的防御手段是����,對新發(fā)現的漏洞予以修復,那么對手只不過不再使用這個攻擊手段(而換成另一種攻擊方式)�����。因此�,這樣的防御方式也不能收獲穩(wěn)妥的效果,因為它無法創(chuàng)建一種一般性的�、長效的防御機制,所以說效率不高��。
我們需要調整開發(fā)軟件的方式��,并開發(fā)有效率的安全防御系統。也就是說���,需要數十億行的代碼都要嚴謹運作����。
如今編寫代碼真正嚴謹的地方是NASA——他們的代碼編程都在千里之外完成����,且一般需要好幾年的時間才能完成。他們使用非常正式的手段��、易于控制的工具來保證軟件的可靠和完善���。
我們怎樣才能讓所有的IT設施都像火星探測器的代碼那樣先進��?
首先��,我們需要明白���,讓軟件的日常運行總不那么完美的還有許多非技術因素�。除了核電站或者空中交通管制一類高度優(yōu)先級領域的設施,出了問題之后并沒有那么多的規(guī)則和后果可言��。
所以在政策方面需要考慮的是激勵每個人編寫更好的代碼,如今�,大部分公司的防御系統過于脆弱,數百萬行的代碼中�,平均每一千行就會出現一個bug。而技術方面需要建立市場激勵機制��,讓嚴謹的軟件開發(fā)手段變得更加容易讓每個人都用得到�。
此外,縱然內部員工惡意行為或者是其他人為錯誤都是導致網絡安全問題的因素之一���,然而嚴謹的軟件也是可以通過內部清晰的訪問規(guī)則和提醒機制來達到防范于未然的目的的�。
我們需要多少時間�����,才能讓互聯網基礎設施能夠抵擋得住激烈的網絡攻擊����?
對于大型工業(yè)網絡系統來說,5到10年是保守起見���。而一般公司或機構的話�,或許需要20年以上����。
