超越技术视野的中国信息安全

超越技术视野的中国信息安全
2001 02 22 江海客  
 
 
　　【eNews专稿】毫无疑问，目前信息安全是中国信息产业的热点，甚至是中国经济的热点，社会生活的热点。国家增大投资力度，信息产业部、科委、计委广泛立项；各路专家登坛说法；安全企业四处游说；传统企业纷纷转型。一些本来平常的事情也会因为挨上了“安全”二字，而成为热点：譬如，一个普通的21世纪中国网络安全应用研讨会被国内媒体大量炒做成“中国黑客大会”；譬如，打车时，司机也许会和你讨论一下“海信防火墙”事件。

　　一、“热”度的背后

　　“热”，代表关注，绝不代表发达、先进，更不能代表健康。我想对于中国信息安全的现状与发展，以及相关产业的进步与差距。简单完全肯定，或者武断地全盘否定，都是不够理智的。就个人的看法，是欣欣向荣中也有相当数量的不和谐的声音。

　　笔者在《深刻反思海信事件》一文中曾经不点名的批评了一些情况，应该说其中很多现象决非个体问题。

　　例如，几天前看到一则消息令人难以理解，多个版本的实现源码早已公开的椭圆曲线加密算法，竟然有人自称为国内首创软件实现，达到国际先进水平，而且被广为报道。

　　又例如，一个突出的问题就是很多过去根本与计算机网络和密码技术不沾边的专家甚至是院士，突然变成了信息安全专家。拉项目、要投资、或者为企业做顾问。一位国内出色的密码学家，对此做了一个形象的比喻，一些人是羽毛球冠军，但突然羽毛球不热了，乒乓球热了，于是他们就改行去做乒乓球教练了。羽毛球打得再好，打乒乓球也是个初学者，哪有当教练的资格呢。

　　还例如，去年夏天在北京遇到了一个朋友，他说他现在准备做网络安全了。而他过去是卖保健品的，他觉得网站的热潮没赶上，不该错过网络安全这个机会。而中国的很多上市企业更给人一种哪里有题材、哪里有概念就涉足什么的感觉，其实很简单，向所谓热点投资几百万（也许都未必到位），就能在股市上获得上千万的回报。无论ST也好PT也好，套上了概念，无论赢利与否，至少股票可以拉抬起来。

　　可悲的是，国内很多人对信息安全的关注并既不是出于对其紧迫性和必要性的关心、出于自己的责任感，也不是为企业寻找新的赢利增长点――仅仅是出于立项、申请经费、制造炒做热点的需要。如果信息安全不再炙手可热，而基因技术如火如荼的时候，我想恐怕就有一些网络股、安全股变成生物股，而又会多出一些著名基因工程专家来。

　　而看看国外的知名安全企业，无论是NAI、RSA，或者CISCO这样应用与安全一体的设备供应商，哪一个不是在网络和安全界已经耕耘了很长的时间，有几个是突兀而起或者半路出家的？而无论是生产汽车的通用，还是搞化工的宝洁，决不会因为信息产业热起来，就去转行搞软件开发。

　　不知这种反差能否让敏感的人有一种怀疑――中国的产业秩序是否有了一些问题？

　　二、谁是信息安全的主角

　　这个问题不同的人肯定会有不同的回答，各大高校、科研院所会保持一如既往的主角姿态，安全公司则将展示他们完善的产品与服务，民间的安全工作者和黑客同样会当仁不让的表现应有的水平和责任感。

　　但关键在于，谁是信息安全的主角取决于其所处的发展阶段。举个例子：大家也许记得，在计算机病毒刚流传到中国不久，关于反病毒技术的一些研究论文可以发表在国内很高级别的学术刊物上，甚至可以在全国科学大会上获奖。其实当时国外也是如此。但现在注定不行了。因为反病毒技术已经完全由科学研究阶段过度到工程实施阶段了，而且进一步的研究完全是以企业界为先导了。

　　这就是计算机技术发展的一个基本的定律：就是关键的理论性突破并转化为应用可能后，主要的进步和发展就是依靠企业的产业化实现和工程化实施，而由于企业发展的进一步需要，进一步研究发展的实施者也必然由高校或者纯科研机构，转化到企业研发人员或企业自身的研发机构上。

　　应当说，目前信息安全的几大相关技术，都是基本成熟并可以工程实施的。此时，如果依然更多的把注意力集中到高校和科研机构上，试图通过大投入立项来解决信息安全问题，恐怕很难取得良好效果了。特别是中国传统的科研成果难以向生产力转化的问题，依然严重存在。这种投入就会更多转化为论文汇报、理论进展和实验室中的样品。而同时，如果简单的给高校和科研企业背负上产业化的压力，像当年高校和科研院所冒出了数十个版本的防毒卡一样，再搞出一堆高校院所版的防火墙，又能有多大价值。国家经费理应大力保证高校和院所的基础研究。而应用性技术和工程实现的东西更多的交给企业去解决，这才能是一种良性循环。

　　对于民间力量的看法是，目前国内舆论和媒体对民间往往希望和追捧过高，类似伊拉克如果培养几个超级黑客就能逆转海湾战争的说法到处都是。对此，笔者着实不敢苟同。笔者非常尊重民间网络安全工作者的奉献和探索，但依然觉得，民间的安全爱好者如果最终不和企业或者研究机构结合是很难发挥更大价值的。

　　三、中国信息安全紧缺的东西

　　对笔者此前的几篇文章中的观点收到很多反馈，有些朋友觉得其中很多是从“破”的角度思考，那么以下的内容就试图从“立”的角度思考问题。

　　第一、健康公平的产业秩序

　　对此我们有一些建议。

　　1、扶植中小安全企业，特别是知识先导型的企业。举个例子来说，对创业型的安全企业来说，公安部和商密委的相关审批费用还是一个压力，但交纳审批费用应当还是必要的，是否可以考虑允许滞后交费的，比如可以在年检时补交审批费用。可以减小中小安全企业的创业压力。

　　2、提高产业准入的技术门槛，形成严格的测评机制，鼓励建立第三方测评机构。据说在早先国内制定反病毒产品测试标准时有这样的争论，如果按照国际标准测试，国内的产品都无法通过，那么是按照严格的国际标准来规范反病毒产品市场，还是降低标准以适应国内产品，大家争论不休。但应当说，出于对民族产业的保护，实际行动比较靠近后者。如果日前的测试不是采用本土化列表，而是用国际公认的WILDLIST和BASE列表作为参照，可能名次就完全不同，客观比较目前国内安全产品和国际的差距，就可以看到这种保护的结果没有达到初衷。同时由于安全产品的特殊性，为了保护局部的产业利益，降低产品要求，实际上等于以降低信息化的安全性和可靠性为代价。另外，国家官方的测评机构把握的是产品的市场准入问题，这一体系应当有一些有益的补充。国家应当允许第三方对安全产品进行测试，中国也应当有自己的ICSA类似的组织。当然，对产品测试结构和行为本身也要加强管理。

　　3、减少国家干预，鼓励公平竞争。再次建议，国家应当把商用安全和关键部门、关键网络的安全分开来看，商用应用的安全问题交给安全企业自由竞争去解决，而在关键部门和关键网络再考虑通过国家行为实施一个比较系统的独立体系。这样，国内安全企业才有更少的限制和更大的运做空间。

　　4、抑制过分炒做。目前，中国信息安全产业整个的浮夸气氛比较浓，一些商业炒做已经到了无以复加的地步。对消费者、对上层决策都有很大的欺骗性。但如果仅仅靠媒体和民间对此的监督和曝光，是很不够的，但这些属于企业经营范畴的东西，不宜用行政手段，对此应当有法律的约束，比如广告法，应当对计算机和网络软硬件产品，也应当有适用性，必要时要增补一些新内容。对于科技新闻报道的真实性，也有必要考虑有法律规范。另外一些特殊行为，比如所谓安全产品公开测试问题，也应当考虑制定一些规范，避免刻意误导和欺骗用户。

　　第二、不断提高全民意识和应用水平

　　信息化决不是用钱买来的，信息安全也决不是用钱买来的。日前，笔者在应有关部门之邀检查某政府网站和内网的安全性时很有感触，他们配置了高档的CISCO PIX硬件防火墙，但WEB服务器的administrator和数据库的SA却没有口令，这个例子很直观的说明了一个道理，那就是人的因素是信息安全的关键环节。信息安全没有资金投入好比赤膊上阵，但再先进的安全软件和硬件离开了一定的使用水平和安全意识也是毫无意义的垃圾和废铁。

　　必须提高意识和应用水平还在于必须提高鉴别评定能力。国内信息安全领域之所以良莠不齐，鱼龙混杂，除了有一些不健康的灰色因素存在外，立项审批等环节的人员自身的水平也是一个重要因素。

 


超越技术视野的中国信息安全
2001 02 22 江海客  
 
 

　　第三、建立宽松的舆论和政策环境、科学准确的立法基础

　　几天前收到一篇文章，里面讨论了这个问题，中国黑客为何“归正”这样的早？大意是，美国黑客一般接近三十岁才告别纯民间安全爱好者身份，而流向安全企业和政府部门。而中国的民间安全工作者一般25岁左右就已经向商品经济（安全公司）靠拢了。笔者认为这其中也是一种压力。

　　1999年的拉斯维加斯的黑客大会上，全美黑客聚会一堂，当时给我印象最深的是，一个名为死牛祭祀的小组发布BO2K，一个朋友看了报道说：“这不是散布病毒么？为何不抓他们？”这里无意讨论远程控制工具和病毒的区别，只希望大家考虑一下所谓“为何不抓他们？”。2000年的黑客大会更有美国政府要员到场，号召黑客为国家服务。

　　民间力量对维护社会信息安全的体系来说，应该说是一个分支关节，不可能系统、全面、有保障的解决问题，只能起到补丁的工作，但从另一个角度来说，民间队伍是整个信息安全事业的人才源泉，是一个基础。由于民间力量的不确定性，如何规范和管理确实是一个问题。不要管得太死，压得太紧，争取在民间形成一种宽松的技术氛围和环境，为渊驱鱼，为丛驱雀式的严抓狠管是会影响产业发展的。但不管死又不等同于不管，否则就会很混乱。第一就是要有科学的立法，国家这方面有些还不够全面，不够准确，比如前阶段关于计算机病毒的条例，“不准提供含计算机病毒的介质”，说的很死，那么用户发现或者怀疑计算机有病毒而需要向反病毒公司提供样本呢？第二就是有明确的取向，国家对民间信息安全的研究和实践应当不加干涉，但要有立法约束，而对涉及金融犯罪、反政府反社会、恶意破坏等一些行为则要依法惩处。第三就是要有好的舆论导向，中国很多媒体不是以一个对社会负责的态度来报道黑客等题材，不是恶意贬低就是大力吹捧，报道者自身对信息安全技术又一无所知，漏洞百出，无论从社会效应还是从对青少年科普的角度，影响都是负面的。媒体应当不断提高自己的责任感和水平，引导网络安全爱好者追求技术，遵守法律。而不是一棍打死，或者制造出一些亦正亦邪的偶像出来。第四就是逐步使民间网络安全工作者或者黑客逐步自我形成一个道德约束的机制。

　　四、中国信息安全要有放眼全球的战略视野

　　应该说国家在信息安全方面一直处于防守的地位，因此对国外安全产品有很多的限制，这一方面是出于国家安全的考虑，另一方面也是出于保护民族信息安全产业的考虑。但把两者联系起来想一想，民族性=先进性么？民族性=安全性么？

　　无论考虑产业利益还是考虑国家安全，都有秦始皇长城式的防御思想，还是忽必烈铁骑式的进攻思想的区别。中国把安全产品作为突破口，成为印度式的软件出口型国家，并非没有可能。这要比我们全面对国外产品设立种种禁令，再让企业都扑到国内市场这块饼上好的多。不用别人的安全产品和别人都使用我们的安全产品，绝对不同。

　　国家对于国内安全产品和技术的一个重要判定是正确的，那就是：整体技术上落后很多但在密码理论方面并不落后。有的在密码体系的研究和现有密码算法的分析方面，很多走在了国际前沿领域，但据笔者所知，可惜其成果却一直未能产业化。

　　我们理解国家商密保护条例制定的初衷，在目前的情况下，政策性保护作为一种临时性的无奈的举措，是必要的。但商用密码和核心密码是不同的，商用密码应当遵循商业规则，如果全面禁入，那么必然结果是，中国的安全产品在角逐国际大市场时，将遭到对等的待遇。同时，限定了商用密码算法为国家秘密，则就意味着密码学家和密码企业无法用专利保护自己的算法，更不利于维护自身利益。商密领域应该与经济竞争的任何领域都相同，关键的不是保护，而在于自强。

　　国家可以考虑以密码技术为突破口，加紧国内先进成果的产业化，逆转对美国密码产品的落差，再逐步放开进口禁令，以美国之道还美国之身，采用准入限出的方式，反制美国。如果一味严防死守，闭紧国门，可能带来一时的安全，在未来会更加被动和尴尬。

　　中国和西方列强在信息对话的劣势根本症结在于企业间实力的巨大差距，理应对症下药，这种差距应该由健康的产业循环来逐步拉近。过于倚重政府立项和统筹安排，把高校和科研院所作为信息安全产业的主要载体，则往往取得的结果只是一纸汇报和鉴定而已，很难成为产业发展的推动力。整个信息产业是如此，信息安全产业更是如此，当中国信息安全企业可以与NAI等业界泰斗平等对话乃至有超越之势时，我们的安全恐惧症会自然消失，整个安全秩序自然会攻守易型。一句话，中国应当成为加密算法和安全产品输出大国。

　　结尾的话

　　信息安全是随着信息化建设水涨船高的东西，信息安全产业的小秩序也必定被信息产业的大气候所左右。中国信息技术的进步是惊人的，但差距仍然是巨大的；中国IT行业的秩序背后也潜藏着危机。因此笔者既不相信国家能脱离信息技术的格局和现有水准构造一个外挂式的技术框架，也不能期待信息安全领域是脱离中国IT大气候的纯净氛围。目前中国信息产业已经完成了一定的量化积累，但要完成质的飞跃，就必须强化秩序和建立公平合理的游戏规则，就必须找准症结，进行变革。关系到国家安全的信息安全产业，如何不能成为一个整顿IT产业秩序的突破口呢？
 

我比较感兴趣的几点：

1。“多个版本的实现源码早已公开的椭圆曲线加密算法，竟然有人自称为国内首创软件实现“

2。“一位国内出色的密码学家，对此做了一个形象的比喻，一些人是羽毛球冠军，但突然羽毛球不热了。。。。。“
比较孤陋寡闻，“国内出色的密码学家“们 是不是只会给大家讲，a,这是国家机密。b,给你讲了你也不懂？
倒真想听点别的。哪位给推荐一点相应的资料？









[编辑 -  8/5/02 by  moqingsong]

打倒一切各种形式的学术腐败！

看了这么多帖子都没有发现技术性的文字，这里怎么了

看了这么多帖子都没有发现技术性的文字，这里怎么了

???

作为技术人员，我们不仅要关心技术的事情，还要关注一些政策性的东东。产品的生存与社会是息息相关的。

上一篇文章，提出了一些理想化的见解，不难看出，作者很了解现在国内的安全领域。不过，小卒的见解能传达到政府耳朵里吗？我怀疑，呵呵。

另外，政府对国内安全领域很重视，但不足之处是总跟着国外走，我们没有自己的核心技术，各个公司几乎都有浮躁的毛病，连同学校都被感染了。

令：去google搜一下江海客，就知道他是何许人也了

本是只想看看罢了，不发表任何见解的。

但是，实在有点忍不住了。

嗬嗬！
江海客是何许人也，我可真的是不晓得。

不过很多话说得十分中肯，举的几个例子，虽然我觉得有些比较偏颇，但还是有这种事情。有些问题根本上就应该归结到社会这个大环境中。制度总归于是制度，很多时候也是迫于无奈，落后么，你有什么办法，而且有时必须要用自己的，所以只能保护起来。但我不认为中国的密码学研究不处于落后的地位，在这一点上于此作者有着根本的不同。谁都知道任何技术，关键的都不在保护，而在于自强。但是怎样自强呢？  很多东西，不要只停留在口头上，以密码技术为突破口，又谈何容易，国家拨的款都到哪里去了？恐怕，真正需要资金的人，往往拿不到资金。
  于是出现了很多黑算法，不晓得是不是中国特色，反正不符合密码学的基本原则，不过也是无奈之举，多半论坛上大家都只在意算法速度，用了33算法，卡可以达到多块，其实，不只有没有人想过，为什么算法不公开呀。
   很钦佩老一代搞学术的，有着不朽的精神，与他们相处让人受益匪浅，可惜很多年轻一代，以没有了这种精神，只有赚钱是最重要，或者是说骗钱是最重要的。但我想专家就是专家，moqisong兄不必怀疑。

   发现很多人都认为，“为人民服务“只是一句空话。但我从不这么认为，因为我看见了真是为人民服务的人，而且十分敬佩这样的人。但现在社会现在都把这种人叫做傻瓜了。

   我只是忍不住谈谈一点自己的感受，很诚恳，不是指对任何人。

  嗬嗬！

谢谢fenger_li兄，说出了这么中肯的意见。
这种大的问题，好像说太短的话确实说不明白。也容易引起误解。
我真正想说的是，像这种热门的核心技术。如果申请到专利，确切证明算法强度。只卖许可证就是一笔很大的钱。我指的是出口。
就想高通那个cdma一样。
这个才是美国等西方国家真正的经营方式。
也才是所谓“知识经济”（骨子里是股票经济）的内核。
才是为什么西方国家那么富的原因。
而国家把这些都封起来。后者说没有花大力气推进。
是一个得策吗？


[编辑 -  7/22/02 by  moqingsong]

谢谢fenger_li兄，说出了这么中肯的意见。
这种大的问题，好像说太短的话确实说不明白。也容易引起误解。
我真正想说的是，像这种热门的核心技术。如果申请到专利，确切证明算法强度。只卖许可证就是一笔很大的钱。我指的是出口。
就想高通那个cdma一样。
这个才是美国等西方国家真正的经营方式。
也才是所谓“知识经济”（骨子里是股票经济）的内核。
才是为什么西方国家那么富的原因。
而国家把这些都封起来。后者说没有花大力气推进。
是一个得策吗？


[编辑 -  7/22/02 by  moqingsong]

1、我不认为现在中国有出口密码产品和知识专利的实力。

2、封起来，不是因为太自信，而是不自信。当然，军方除外。

3、希望总参等的老前辈，能找到接班人。

嗬嗬！

[quote]谢谢fenger_li兄，说出了这么中肯的意见。
这种大的问题，好像说太短的话确实说不明白。也容易引起误解。
我真正想说的是，像这种热门的核心技术。如果申请到专利，确切证明算法强度。只卖许可证就是一笔很大的钱。我指的是出口。
就想高通那个cdma一样。
这个才是美国等西方国家真正的经营方式。
也才是所谓“知识经济”（骨子里是股票经济）的内核。
才是为什么西方国家那么富的原因。
而国家把这些都封起来。后者说没有花大力气推进。
是一个得策吗？


[编辑 -  7/22/02 by  moqingsong]

1、我不认为现在中国有出口密码产品和知识专利的实力。

2、封起来，不是因为太自信，而是不自信。当然，军方除外。

3、希望总参等的老前辈，能找到接班人。

嗬嗬！
 [/quote]

看起来到现在还没有找到。

而起关在罐子里面养王八的后果你知道是什么？就是永远也

养不大。部队的情况就是这样。中国的情况也差不多是这样。

鄙人薄见：
1。由于安全政策的技术和市场导向，国内安全公司不能积极进入发展最快利润最丰厚的电信市场和企业市场，而拱手将其让与Netsreen,Cisco,Check Point等国外公司。这种做法不仅不能保护自己，反而给自己断血，给他人输血！
2。从本人在RSA Conference 2003所见和对安全芯片的了解，我们的安全观念和技术落后现状正日益增大。非常令人堪忧！
3。5年内，我们发展的方向最多就是守住很小的一块国内市场，大约占国内市场的30%，全球市场的1%。这和闭关锁国无二。
4。树立，滋生和夸大国际信息战敌意，长期影响我国的信息产业的发展。
5。被动挨打：为什么我们老想着别人可能来攻击我们，一味的采取自认为“自己的”落后技术严防死守，而从没有想法去了解，去站在别人的肩膀上，去使用别人的技术来更好的保护自己，在极端情况下可以去有效地攻击别人呢？！

一点愚见，
我觉得国内不只是信息安全这一个行业是这样，在很多领域都是这样
说到底就是行业垄断，而且是政府行为的行业垄断

上周，一个在英国的同学给我打电话，无意之间说起电话话费
大家做梦也不会想到，在英国的电话话费折合人民币0.5元/分钟
这个价格在国内打长途都不够用，
这就存在一个问题：国内电信垄断得到的暴利哪去了？

包括信息安全、电信等领域也许只有真正打破垄断之后才会有真正的发展

一点愚见，
我觉得国内不只是信息安全这一个行业是这样，在很多领域都是这样
说到底就是行业垄断，而且是政府行为的行业垄断

上周，一个在英国的同学给我打电话，无意之间说起电话话费
大家做梦也不会想到，在英国的电话话费折合人民币0.5元/分钟
这个价格在国内打长途都不够用，
这就存在一个问题：国内电信垄断得到的暴利哪去了？

包括信息安全、电信等领域也许只有真正打破垄断之后才会有真正的发展

呵呵，尽管还没有工作。不过觉得我们国家的垄断行为太严重了。
尤其是国家参与的垄断行为，有点可怕！

http://sdxxyz.8u8.com/xdocument/X-jhk.htm

美国对密码类产品的出口现在不存在过分的限制措施，所有类型的芯片，开发软件（包括原码）都可以买到。

美国对密码类产品的出口现在不存在过分的限制措施，所有类型的芯片，开发软件（包括原码）都可以买到。
 

是这样吗，好像不是吧？好像在密钥长度喝运算速度上都有限制

什么样的密钥长度和速度？
RSA 2048？ DES/3DES/AES 10G？我相信肯定没问题.

我说的是芯片，不是算法

我说的是芯片。涉及算法的指实现该算法的芯片。
总之，我们提供的芯片和美国，韩国，日本，以色列公司能买到的芯片是一样的。没有针对中国有特殊的政策。