关于中国国家信息安全的思考一文(草稿)

发布时间：2004年10月28日点击数： 作者：李兆星 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

我本身从事信息安全方面的技术工作，出于爱国之心。想对信息安全方面发表一些自己的看法，希望大家多交流指正。

    随着国家从近两年来对于信息安全方面的政策一步步的制订/修订/完善的过程中，我很欣喜的发现国家对于信息安全尤其得重视，并且正在加大各方面的力度。去年，国家颁布了27号文件，明确提出了对于 涉密计算机网络 信息安全的 保护措施必要要达到相应的标准，其中包括 安全审计类产品、身份认证类产品、访问控制类产品等等；今年3月，公安部又再次颁发反垃圾电子邮件/全面整顿垃圾电子邮件的通知；今年5月，国防科工委又在对武器、装备、通信等一级保密认证单位的检查中下发了相应的通知明确了对于信息安全保密检查工作的细则共16大则，上百小则；最公安部又在大力整治黄色站点，大快人心；信息产业部组织了专家组专门制订其从2005-2020年的战略规划，这一规划中关于计算机网络分为两组，一组是集中于ERP/CAD等的高端“应用组”，另一组则为专门的信息安全组；公安部同时还在制订全新的信息安全等级保护政策。

    “等级保护实施的关键问题是要落实责任制，层层都要有人管，从中央领导到各部门都有责任。” 公安部某处长说。（难道我们就不该对信息安全有些责任么？）

 

    第一，系统安全管理，其中包括系统资源的管理和信息资源分级分类管理。“从目前来看，在很多大型系统中，很多人可能并不清楚，里面究竟有哪些软件、硬件设备？有没有人插进来一个设备或者是删除一个设备？究竟是哪个关键部件出了毛病？等等。这些问题可能没有人知道。” 该处长还说，“此外，信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样，在系统中进入不同的设备、进入不同的操作也要进行区分。”

 

 

    第二，用户管理。在自己的系统上所注册的合法用户究竟有哪些？他们各自的权限在哪儿？这些问题必须搞清楚，因此，对密码的配制要进行管理。

 

 

 

    第三，对安全事件的管理。对网上发生的任何安全事件或者是犯罪案件都要进行管理。这个管理过程可以用PDRR模型进行控制，即在一个信息系统大网络环境下，实现三点一线的管理：一点是局域网的安全环境，二点是安全终端系统，三点是网络安全控制平台。对这三点之间的安全特性进行有效管理，就可形成对系统安全等级的有效管理和控制。

 

    由此可见，2004是中国的信息安全年。

 

    而根据CCID、IDG以及互联网实验室的一些相关调查报告数据表明，今后7年之内信息安全市场年复合增长率高达35%，而3A管理产品/安全中间件的增长率更是远高于此。所以信息安全大势所趋，所以我们一定要帮助国家走好这一步。

 

    然而，中国目前的网络安全市场现状如何呢？

     1、国内的防火墙厂商数家独大，百家争鸣；

     以天融信（国家保密局背景）/上海华堂（上海市政府）等为首的国内最早的一批防火墙厂商至今无论是在全国范围内或者是局部地区（华东）都有着明显的市场优势。当然，无可否认的是，他们的研发在国内是最早的，也是应该摘取果实的。但是从90年代到现在，近10年间，国内仍然有超过200家厂商/公司风生水起的涌入这个曾经方兴未艾的防火墙市场，于是一时间，早期的安全老大们受到了咄咄逼人的挑战。价格以及市场的竞争迫使他们缩小了自己的市场份额，后起之秀们（东大系东软，清华系同方/紫光/比威等，浙大系网新/易尚等，南京苏富特（省政府关系），广州天网，交大系捷普，北京中网等数百厂商涌入。这个市场真的有那么好么？

 

    如果真的有那么好的话，那么为何很多防火墙厂商都已经销声匿迹了呢？价格的混战/质量的层次不齐/管理的混乱等等各种因素导致了这一切的发生，但如果仅仅是此可能我们的政府/我们的涉密部门/我们的安全产品的使用者们可能要感觉欣慰的多了。

 

    因为连年的混战/各种媒体的攻势已经将一个观念树立在了中国目前大大小小的CSO/CIO心中——安全=防火墙。

 

    十分之可悲的这种观点，这就和 一滴水 自呼自己为我是一片海一样。防火墙仅仅是一种边界的安全设备，而且仅仅是能够进行简单的访问控制而已。尽管更多的新一代防火墙集成了IDS功能/DDOS功能等等，但是你可以设想 你本来一只手可以抓一只皮球用力的扔出去，现在要求你抓上3-4个皮球，你能打中目标么。

 

    看门狗就是看门狗，别让它去做什么探照灯/你家后花园小路的方向标等事情。

 

    2、国内的IDS入侵检测系统厂商十年砺剑，今也蹉跎；

 

    理想情况下，防火墙保护了我们的网络边界，于是我们放心大胆的让貌似合法的人都进来了。这些人却做了不齿的事情你能允许么。于是探照灯应运而生。随着北京启明星辰公司/上海金诺网安公司/成都30卫士通公司/中联绿盟公司的IDS陆续的进入市场，并经过了市场的磨练与推广，各家都拥有了自己的市场份额，也正在激烈的争斗中。然而IDS这样的一个被动的检测产品就在这样无休止的争斗中走向了自己夕阳之路。

 

    IDS基于统计/异常检测的模式自从被设计出来之后，很少发生大的变化，而众所周知的IDS的漏报率/误报率已经成为批评IDS人所提及的最大弊病。然而，仅此而已么？

 

    3、杀毒软件厂商口水战四起，核心技术无人热衷。

 

    从老牌的杀毒软件厂商到新生的杀毒新贵无一不热衷于对对手的诋毁与诽谤之中。

 

    不成熟的过渡性产品被接连推上市场，造成了客户机器的频繁死机；伪造的新病毒用以滥竽充数，难道这就是杀毒软件厂商对中国国家信息安全的态度么？商业利益是必要的，也是我们所认同的，但是首先你要为国家负责/为老百姓负责。因为你的利润来自这些方面。如果不是国家的政策性大采购，你能风风光光的摇摆在股市上么？

 

    4、新安全产品的介入，如雨后春笋般，尚缺磨难。

 

    国家政策的倾向性，催生了很多的信息安全产品，无论是身份认证类产品/审计类产品/终端控制类产品/内容过滤类产品都突现出来，这是一件好的事情。无可否认，毕竟中国还有热衷于信息安全的人们，来守卫国家信息领域的疆土安全。但是这些厂商一则新兴，二则实力过小，三则后劲不足，四则市场由不得他们。所以只有走一步看一步了。毕竟他们对国家的信息安全，尤其是近两年的信息安全起到了强有力的兴奋剂作用，毕竟这也让那些大的安全厂商意识到了一些方向上转变，催使他们转变方向，研发新的产品。

 

    说到此处，国内目前的信息安全现状您大概可以了解我对其的认识是怎样的了。以我在所了解到的美国的信息安全技术发展比起来，中国还远远落后。具体可从以下得以了解。

 

    1、在中国 谈及信息安全 2000年前就是防火墙，2003年就是IDS，2004年就是身份认证。安全怎么可能让其中的一个环节代替其整体的作用呢。在美国2000年前做的是彩虹标准，国防部的标准早就规划了安全的各个等级。甚至对于操作系统，也有非常严格划分。WindowsNT也不过是C2级别而已，Ibm AIX5目达到了次高一级。美国的交换机厂商思科CISCO公司早就夺取了互联网的半壁江山，如今他们更推出自防御网络 的概念，将防火墙/IDS彻底与交换机/路由器集成在一起。瑞典爱立信公司在其下一代的万兆路由器的背板设计中，多槽的复用结构设计，使得你在背板上插一块卡就能有防火墙/杀病毒/VPN功能等等。如果是这样，国内这些所谓的防火墙厂商（且不说其好坏），这些IDS厂商怎么生存。也就是说，单个的安全产品绝对不能越级代表其整体的安全体系说话了。尤其是最终用户们，更不能将放一个防火墙在那里一边当着摆设，一边洋洋自得说“我是安全的，看我有防火墙”。

 

    2、在中国 尤其是我所接触的太多政府机关/军工企业/保密科研机构，信息化建设投资的合理与否且不必说，安全投资原本是没有的；现在有了，为什么国家规定了某些单位信息化必须要给信息安全投资比例不低于15%。好了，这下有钱了，买吧。痛心的是，买回去的“几大件”呢？厂商的工程师跑去安初始化配置了一下，就放在那里了。我曾经检查过多家这样单位的安全产品，上一次的访问察看日志记录，竟然最长的是在两年以前。试问：你怎么能够及时地发现威胁与不安全的事件呢？

 

    说到底，一是不能以偏概全，二是不能有效利用。

 

    很多用户曾经跟我这样说，小李，你也知道我这里漏洞多的很，可我就是找不出来，我没有人手去管理；更者我的技术人员看不懂那些东西；我能找厂商支持两次，五次、八次呢？他们不愿意阿。用户还跟我这样说，我也想好好的管理起来，可是我网络大了，我哪里有精力啊。还有客户说，我网络里防火墙有 三个牌子的，IDS有2个牌子的，杀病毒的还有好几个牌子的，你让我怎么管。……

 

    为什么用户对信息安全产生了如此多的问题？

 

    前面提到了，百家齐鸣，参差不齐，注重产品，忽视管理等造成了目前的现状。

 

    所以我们必须要在国家信息安全政策的指导下解决这些问题，一方面衍生新的安全产品，另一方面，更重要的利用起目前现有的数百种异构的信息安全产品，在有效利用的同时，将安全管理生命周期化/服务化/工程化，从而为信息安全的最终用户的真正安全做出一些信息安全保障。

 

    对我们信息安全工作者而言，所面临的挑战有三个方面：

    1。帮助客户了解跟踪各种可用的安全技术；

    2。始终熟知如何将安全性集成到按指数增长的IT设备、系统、应用程序和基础设施的排列组合中；

    3。广泛影响人们的意识和行为，以便与利用人性弱点的威胁（如使用易于记忆的密码，因而被潜在的攻击者轻易获取）进行抗争。”

 

    的确，国内目前信息安全收到了广泛的关注，但这不是信息安全科技本身魅力，而是Internet飞速发展和它日益受到的安全威胁对我们工作和生活带来的巨大影响。仔细观察一下我们周围的信息环境，许多都缺乏有效的安全机制，也许有种种的原因，但有一个因素是关键的，甚至是肯定的，部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的，因为安全是一项工程，需要不断的实践和变化，而且安全技术永远滞后于应用技术的发展。

 

    大多数的技术学科都有理论家和实施者，信息安全也不例外，正所谓，我们认识问题要从宏观着眼，但是我们解决问题又需要从微观着手。宏观对于微观有一种指导的作用，微观又保障宏观能不能落到实处。很多安全专业人员理解信息安全的背景理论，但是除非安全系统能够置于应用程序（例如数据的传输、存储和处理）中的正确位置，否则他们的解决方案就不会起作用。另外，如果所用的安全解决方案没有在正确的过程中进行适当的管理（如：变更管理、事件管理、升级），那么所提供的安全级别就会随着时间而降低，直至所用的控制完全失效。

 

    就国内的环境而言，信息安全技术的开发不够开放，缺乏统一的标准，对核心技术的基础研究还处在概念的阶段，并且商业操作的成分太多，缺乏实事求是的精神。信息安全产业无论是从规模和发展水平来看，都远不及应用软件产业，虽然两者都落后于世界先进水平。信息安全产业目前没有形成清晰完整的产业价值链，还处在从单一的安全技术向安全集成、安全管理、安全服务的过渡时期。

 

    作为专业的信息安全人员，我们的使命是提供某种机制帮助客户建立有效的、灵活的安全体系结构，并保护其复杂的应用和资源，而我们又不得不面临不断变化的业务环境、应用程序的开发技术、计算平台、网络环境对安全提出的挑战。

 

 

 

    “安全永远滞后于应用！”，深究其原因，我们很容易得到答案，因为在用户的眼中“安全“不是目的，“业务应用”才是，“安全”只是保障其“业务应用”的一种手段，但我们更希望强调的是“好的安全”同时也是促进“业务应用”的手段。正因为这样，作为安全专业人员，我们需要为用户构造一个最适合目前业务活动的“安全体系结构”。

 

    例如：人们通常认为集中计算模型更可靠、更安全，管理更方便。而现在，很多公司已经将计算机资源广泛分布于企业内部或者企业以外很远的地点，再由中心进行虚拟管理，可见企业对IT的选择是方便“业务应用”驱动的，而不是安全驱动的。

 

    信息安全的概念也是与时俱进的，过去是通信保密（COMSEC），昨天是信息安全（INFOSEC），而今天以至于今后是信息保障（IA- Information Assurance）。美国国家安全局（NSA）在IATFV3。1中提出了深度防御（Defense-in-Deepth）的概念，把信息安全上升到信息保障的高度，并提出了人（People）、技术（Technology）、操作（Operation）三方面并举的核心策略，基于这个核心，IATF定义了各种环境下的安全需求和技术方案的框架，对现有的信息安全技术提出了许多新的挑战。

 

    三个因素：人、技术和操作，它们是有层次关系的，人是打底座的，是根本的；技术是顶端的东西，但是技术是要通过人，通过相应的政策和策略去操作这个技术的。

 

    在信息保障的概念下，把信息安全保障分出了四个环节，而不只是三个环节了，它们是PDRR，即保护（P）检测（D）、反应（R）、恢复（R）。认为这些是信息保障必须的环节。

 

    安氏中国正是以这种PDR2的模型来实施他们的安全工程。

 

 

 

    除了信息保障的概念以外，纵观目前各大安全技术公司的新技术和新产品，无不体现了“智能、整合、管理”这几个趋势。

 

 

 

趋势

技术/产品

公司

 

智能

Deep Inspector

NetScreen

 

Application Intelligence

Checkpoint

 

整合

实时事件关联、处理

OpenService

 

Tivoli SecureWay

IBM

 

天玥网络安全审计系统

启明星辰

 

管理

Enterprise Security Manager 5。5

Symantec

 

VigilEnt Security Manager Suit

NetIQ

 

企业安全计划 ESP

绿盟科技

 

 

 

 

    三个趋势中尤其以“管理”最为突出，如果说以业务应用为中心的安全体现结构就像机器，那么安全管理就像油，机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题，那么安全体现结构提供的安全也将收到损失。而且，安全体系结构的管理与维护相比与其设计、部署要困难的多，因为设计和部署都有明确的开始和完成的时间，而安全管理，则是一个没有真正完成时间的过程，它伴随整个业务应用的生命周期。

 

 

 

    而真正的安全概括起来必然

 

l         安全要以业务和相关的应用为中心

 

l         安全涉及到人/技术/操作三个方面

 

l         安全资源具有分布性/动态性/异构性

 

l         防御不仅仅在边界而应是多层次的

 

l         安全需要不断的实践和有效的管理

 

l         安全的发展更需要标准化

 

    想到这里，想起了中国的WAPI标准的风波之事，不由得很是难过，中国就不能够将自己的标准发扬光大么，尤其是信息安全关系国家战略发展的重要标准竟然也落得如此下场。

 

    政治游戏始终玩弄着爱国者的激情。

 

    前面曾经提到了对于 信息安全的 趋势的大胆的假设与估计:

    而在三个趋势中尤其以“管理”最为突出，如果说以业务应用为中心的安全体现结构就像机器，那么安全管理就像油，机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题，那么安全体现结构提供的安全也将收到损失。而且，安全体系结构的管理与维护相比与其设计、部署要困难的多，因为设计和部署都有明确的开始和完成的时间，而安全管理，则是一个没有真正完成时间的过程，它伴随整个业务应用的生命周期。

 

    很遗憾的是,具有中国特色的管理 尤其是 信息安全管理不仅仅让我们感到了 一丝丝的 悲哀。

    信息安全防护能力

    隐患发现能力

    网络应急反应能力

    信息对抗能力

    诸等能力的丧失与匮乏,让我们面临着很严峻的考验。

 

    考验：    

l         初步的建设引入了众多异构的安全技术，它们的运行效果无从量化；

l         海量的安全事件充斥着大量不可靠的信息，从而变的毫无价值；

l         制定安全策略的高层管理人员无法获得对安全态势的全局观；

l         安全措施与它所保障的实际业务没有有效的关联；

l         安全预警、安全防护、应急响应各子系统没有形成高效的数据链系统，导致安全体系的抗打击能力弱。

    不仅仅如此,那些没有经过处理的、相互独立的原始安全事件不仅不能给我们带来任何价值反而让我们在一些误报的事件上消耗了我们有限的精力，就像“狼来了”的故事一样，当狼真的来了的时候，我们的管理人员和安全机制已经变的麻痹了。

    大家都知道,美国很早以前就在做的C4I战略战术数据链系统,正因为其将三军六部以一个闭环的信息反馈通路连接起来,才能使之美国军队可以在世界上的任何一个角落耀武扬威。

    为什么?因为信息沟通的无边界效应使得正确的信息能够在最短的时间内反馈给正确的对象。

 这不正是体现了 对于 安全事件 有效的 管理么?

 因此我们的安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型的工具，而不仅仅是一些静态的管理模型（安全制度管理、身份管理、安全意识教育等）。

如何去对这样的动态模型工具的描述以及设计我将在其它的文章中进行说明。

       

    接下来，我们来看这样的三对词语：

    入侵政府WEB站点<-->入侵政府FBI内部网络

 黑客水平<-->信息安全水平

 网站安全<-->信息安全

 

    以上这些成对的词语，本来是不成比例的，每一组中，后者的或者在涵盖范围，或者在技术难度上，比前面的大很多，但不得不指出，这些概念被很多人模糊，特别是经过媒体对黑客的片面曲解炒做，很多人就更看不清楚。

 

    遗憾的是，我们的公众、我们的媒体，也包括一部分安全工作者，对此都不是很清晰，我们的报道中，甚至包括一些很专业的杂志上，所谓只要伊拉克培养几个专业黑客就可以扭转海湾战争这种令人啼笑皆非的说法比比皆是。站点安全作为信息安全大体系中的一个很小环节，被太多媒体报道无限夸大了，而看看黑客大战浩如烟海德网上评论，有太多的网民因为我们黑掉了对方的很多网站，就忘记了我们薄弱的信息产业基础，忘记了我们自己的安全体系是多么脆弱。我更为不满的是我们现在一些专家写文章有开始讲黑客故事的趋势。专家在公众和媒体一片混沌时有正本清源的义务，带头贩卖黑客传奇，公众也许看起来津津有味，但对学术来说，是一种堕落。

 

    有人为了说明某些的攻击行为的合理性，提出了中国的信息安全形势，是在对抗中体现的的观点。这个观点我完全同意。但这种对抗，不是你今天黑我十个网站，我明天黑你二十个站的，而是体制、管理、产业、技术的等方面的综合较量。

 

    这种对抗我们归纳为三个层面：

 

第一是管理层面，这种管理层面不是简单指具体安全实施的管理手段，更多指我们国家信息安全的战略体系，决策层的重视程度，相应的政策。美国的安全体系建设是相对比较好的，安全投入也是相对比较高的。但还是要增加20亿政府特别预算，还是要反思它们丢掉了20年，在两代人中没有形成安全意识。目前我们国家高层领导非常重视安全，提高到国家安全的高度，是令人欣喜的。进一步下去，无论微观还是宏观都有很多工作。比如如何避免重复投资，就象中国有1500家汽车厂，但加起来的产量不如人家一个车型一样，现在国内一下冒出数百种防火墙，但恐怕加起来的销售量也不如人家知名品牌Netscreen的一个型号。除了务实的东西，这里面还有很多务虚的必要，国家要拿出一个整体的、系统的想法出来，《俄罗斯国家信息安全构想》也为我们提供了很好的参考。管理层面不仅要倡导和投入，更要管理和立法，规范企业行为，规范个人行为。自由和混乱是两回事，美国政府也要搞“食肉动物Predator”监控网上言论，FBI甚至逮捕黑客以稳定网络秩序，特工可以在网上设 “钓饵” 抓捕色狼以保护公民利益。

这些都表明，没有绝对的网络自由，一个成熟的政府不仅是对现实社会有强大控制力的政府，同样是对网络这个所谓虚拟的社会有强大控制力的政府。同时，随着国家3～5年实现政务电子化的目标的实现，随着网络对生活方式的不断改造，网络安全对国家安全和公众安全的压力会不断加大，我们在给有关部门提出安全体系建设若干建议时，其中一条就是，按照传统的模式，各部门的领导在电子办公系统里的是资源权限最大的，但无疑作为领导的计算机使用技能和安全意识却要比网络管理人员差很多，同时政务网络的管理员不会有太高的资源权限，但他们的系统权限如何不会非法的变成资源权限？一个体系如何对待这个问题，我想不仅是一个技术模型的问题，也是管理层面必须宏观干预的问题。

 

    第二是产业层面，在通常的情况下，信息安全的对抗是以产业对抗的东西体现的，从个体的角度，是安全公司之间的对抗。现在我们很紧张，就是因为用的东西都是人家的，特别是密码产品方面形成了人家卡脖子，我们关大门的局面。如果我们自己起来几个明星企业，也能把东西卖出去，也能让人家用我们的东西，这形式就会有所改观。这种企业之间的竞争，只要不发生战争，将是未来若干年对抗的主要形式，中国的企业不能总是靠国家或者地方政府立项那点钱活着，也不要老盯着自己锅里的饭，欧美市场打进去有些困难，可以先多考虑第三世界国家的市场。产业对抗方面的背后需要很多的基础，国家支持，人才队伍等等。有些东西是相辅相成的，如果没有好的企业，好的机制，好的条件，再多的人才也是给人家培养。

 

第三是基础研究层面，应该说中国学术水平的滑坡非常严重，基础研究对信息安全很重要，这点我们的公众、我们的媒体往往意识不到。这个基础研究不仅在密码学等领域，相关的领域非常多，更包括对新的信息安全模型和理论的研究。基础研究不仅是大专院校和科研院所的事情，有规模的企业也有必要进行基础研究积累，举一个例子，目前我们的很多反病毒公司，得到新样本的反应速度不是很快，为什么，有很多制约环节，如病毒分析人员的经验和水平，如特别忌讳特征码提取不科学，造成对正常文件的误报，如要避免把一个病毒的变种作为一个新病毒处理，但这些对我们的反病毒企业都要纯粹依靠人员的经验完成。而国外比较出色的反病毒企业都有一个强大的文件评估系统，采用分布式的结构对可疑样本进行评估。而多数人甚至包括某些反病毒公司自己对此都一无所知，以为反病毒还不是来个病毒样本写一小段汇编就完了。现在完全靠自己在搞的国内反病毒产品能处理的反病毒数量大抵都在5000上下，尽管只相当于国外的1/9，但由于国内企业往往是立足于杀国内流行的病毒来做的，目前还体现不出太大的问题，但随着网络的普及，和新病毒更快的流行速度，我们的企业的"后台基础落差"，就越来越成为制约自身发展的机制。

目前公众里有很多狭隘的观点，与媒体的误导关系很大，比如一则安全公司的软广告中包含该公司有多少博士、硕士等，有人评论云"搞安全，别说研究生，教授都不如高中生！"。当然研究生、教授不一定水平就高，但也不是因为他高学历、高职称水平就低吧！

大概小小鬼才黑客主导网络战争的故事总是很吸引人，很多人似乎都有这个评论者的观点。但技术价值不是两个人对决一次来比较的，一个高中生可能很容易就把正在上网的一个密码学家的机器搞的崩溃重起，但这是从作为两个网民"对决"层次来说的，不是从"搞"信息安全这个层次来说的，钱学森先生单打独斗可能不是任何美国大兵的对手，但为什么说他顶五个师？这是理论的价值！而很多人的理解就是这种对决式的，博士算什么，拉出来，和我们的“红客”各配一台服务器，看谁先把谁"黑"了，谁就厉害，这是什么逻辑。

可见一些观念的误导对公众的影响之坏。 期待我们的计算机用户都变成安全专家是不现实的，但我们希望从媒体到公众都有一个全面的信息安全视野，我们不期待每个人的体系都是很清晰的、很专业的，但至少不应该是很狭隘的。无论是从组织体系、技术体系和管理体系的宏观划分；还是从协议层次、安全机制和系统结构单元的三维式描绘；哪怕就是纯技术层面的主机安全、系统安全、内容安全（狭义信息安全）的简单拆分，都有一个整体的思想在里面，至少要让公众的视野逐步全面而立体。让网民和用户把目光从潜层次的网站安全和黑客问题上转回来。特别是不能让我们大批的青少年沉溺于每天下载最新黑客工具，玩玩最新的木马这些无聊的事情上，要让他们知道信息安全是一个涵盖范围广阔的大系统，涉及到密码学、网络协议、操作系统等很多的理论基础知识，成长为一个安全工作者，不仅需要兴趣和爱好，更需要扎实的功底，需要刻苦的努力。

 

    一个社会对某项产业的全面的认识和了解，是这个产业发展的重要保障之一，对信息安全来说，决策层和舆论层的引导尤为重要，我们需要一个全景的信息安全视野，而对从业人员来说，应该有一个更高的要求，这个视野更不是静止的，而是动态的，发展的，这种视野将转化为我们处理安全问题的一个系统的思维。

 

    一是如何用管理手段弥补技术落后问题。

 

    二是如何走出隔离方法的误区，通过整体的思想，在若干不够安全的环节构筑的基础上，能形成一个相对安全的整体。

 

    三是考虑把不可见性/易变性/复杂性/一致性等系统理论等用于解决信息安全问题。

 

    思考这些问题之余我不仅想到，我们这些分布在四面八方的一线安全工作者，每天除了沉浸于规划、编码、工程、项目、文档、测试等琐事的同时，更要拓宽眼界。有一个整体的思想，才不至于迷失，我们看到树叶脉络的同时，也要看到树木，乃至森林。

    随着对信息安全的进一步思考，以及与国内外众多安全研究人员充分的交流与沟通，笔者更深刻的体会到了，中国国家信息安全的“第三次浪潮”正席卷而来。如何保卫国家的信息领域的疆土安全，重任在肩。

 

 用康德的话，做为本文的结语：黑夜给了我黑色的眼睛，而我注定要用它来寻找光明。

 希望我们广大的信息安全工作者能够帮助国家的信息安全整体发展走向光明的大道。

 

 

注：欢迎和本人联系并交换更多意见，联系方式如下：

         romemeteor@antpower.org

  本文在完成初稿的过程中得到了 蚂蚁团队 全体成员的大力支持与协助，并参考了 来自CCID/IDG等调查公司的数据以及来自东软/启明星辰/绿盟科技等安全公司朋友的一些交流记录，特别感谢安天实验室的专家的文章以及咸阳师范学院计算机科学技术系李长生教授的观点让我能够得到很多的启发。