如何保障网络信息安全？

2013-11-01

主持人：

于 扬，易观国际集团创始人，董事长兼CEO，“正知书院”常务理事

嘉　宾：

吉迪恩•拉赫曼（Gideon Rachman），英国《金融时报》首席外交事务专栏作家

李晓东，中国互联网络信息中心(CNNIC)执行主任

费引迪（Randal Philips），美思明治集团亚洲地区执行总经理

文伟平，北京大学软件与微电子学院信息安全系副教授

谭晓生，奇虎360首席隐私官

每个人都面临网络安全风险

于扬：各位来宾下午好，特别高兴今天有这样的机会应力奋老师的邀请来主持这样一个网络安全高规格的讨论。正如大家所看到的，今天的来宾都是各个领域的专家，我们也有一个专家可能要早一点走，所以我们就直接切入正题。我们整个大会的主持人在谈到斯诺登的问题，大家都很清楚这个新闻事件，但是大家会觉得这样一个新闻事件很有意思，但是跟我自己有什么关系？我其实觉得网络安全，包括信息安全，其实对于每个人都是至关重要的，我相信我们日常生活工作中都有这样的例子，我们不想被别人知道的联络信息，被一个未经授权的个人或机构拿到了，然后打扰我们，我们用一两个例子讲一讲你在日常生活中被打扰的情况。

吉迪恩•拉赫曼：非常感谢大家邀请我，我当时没有把网络安全当回事，我觉得就是网络空间，是我私人生活的一部分，但是在过去的一年内我的看法大大发生了变化，这些事情发生以后才想到，所有的个人信息，包括我的信用卡密码、工作文件、输入密码的地方，这实际上是个挺严肃的事，谁又有兴趣来窥探我的信息？我的信息有什么意义值得他们调取？在英国有很多这样的人，如果有人把你的电脑偷了，或者通过你的电脑侵入你的系统，把你的电脑进行远程控制，那很恐怖，斯诺登事件让大家知道网络的信息是非常有价值的。

于扬：我相信没有人比李晓东主任在整个国家网络信息方面更权威的，您同意他的说法吗？

李晓东：今年4月份在北京办了一个国际互联网大会，大概有1900个外宾到北京，是历史上规模最大的。会议开始的时候有些外国朋友问我说可不可以把电脑带到中国，如果带过来，数据是不是会很快被军方或者某些部门窃取掉？我回答了一句话，说你可能过于高估中国人的技术能力了，如果中国每个人都是黑客的话，那么这个世界的互联网就已经毁灭了。最终的结果是他们每个人都带了电脑，因为没有电脑他们是无法工作的。也许中国某个黑客会非常厉害，但不是每个人都面临这种状况。

于扬：我相信这对所有想到中国来发展的朋友都是一个好消息，你们不用担心，因为我们今天的网民还没有武装到牙齿。

费引迪：我在过去的20多年中，在美国工作时，有很多的信息，我们在过去的10-15年都在运用这样的技术，现在不仅仅是中国，在其他的地方也是如此，我们要知道你的信息面临着哪些风险，那么到底是怎么样的情况，比如说你要获取别人的信息有多容易或者多难，比如智能手机和个人的设备，我们也在新闻中看到一些报道，就是有不同的情报利益或者个人利益，他们要捕获这样的信息，大家每个人都面临这样的风险，这真的是有关网络安全非常重要的话题，不仅仅是从个人还是职业的角度都值得谈论。

于扬：在前面几位嘉宾都在比较宏观的层面谈完之后，给我们几个切实的例子。

文伟平：我也跟大家分享一个例子，这个例子可以说对我的一生都很关键，因为它直接改变了我的专业方向。CIH病毒恶意代码大家都知道，它可以破坏硬件也可以窃取计算机的信息。CIH是第一次出现的能够破坏计算机硬件的病毒，当时是WIN95系统时代，我当时在读本科。CIH病毒侵入到我的电脑之后，在1999年4月26日这一天，把我的计算机启动界面破坏掉了，这一次给我的打击也很大，我最初是学计算机的，我后来又学了地质方面的专业，之后我就渐渐喜欢上了信息安全。从1997年开始一直研究信息安全，刚才于总提到这个事情我是很有感触的，恶意代码对大家的影响还是很大的。

全球信任合作才能解决安全问题

于扬：文教授讲了一个例子，而且这个例子让大家印象深刻，它开启了文教授职业发展的历程。谭总特别想马上回答一下文教授的问题，但是进行之前我们要先回过头继续刚才的话题，因为吉迪恩•拉赫曼先生要先走。有一些英国人把他们的个人电脑带到中国来，我们现在有来自政府的，还有来自信息安全网站的专家人士，从个人的层面来讲，因特网用户还不一定有知识进行黑客的行为，你认为从英国这方来看，比如从专家的观点来看，因特网的安全是如何和刚才的事件联系在一起？

吉迪恩•拉赫曼：我不是商人，我可能没有专门的经验，比如说一些大的英国公司，不一定是像美国那样的公司，它们可能会认为会受到很多网络上的袭击，他们很怕这样的威胁，尤其是从中国来的，可能是他们的一些信息等等，所以在这个晚餐上我看到了一些商人，他们告诉我们说，别把你们的电脑带到中国去，这是他们说，当然可能是安全界的人是这样的观点，但是人们确实在这件事情上很认真，可能也跟他们自己的个性还有他的公司背景有关，他们就比较小心。我们来看广一点，比如斯诺登事件在西方也产生很大的影响。

我们把经济的情报看成是首要的事件，美国人一直都在说，他们认为中国的情报或者是窃取怎么样是很在乎的，尤其是在公司的层面上，这确实是一直以来的担忧。

费引迪：有两点我要说。我今天也代表中美商会，每年中美商会发一个白皮书，一部分是关于安全的事情。今年他们说可能55%的会员公司对安全很紧张，对他们来说，来中国就很重视这个事情。我现在可以告诉大家，从我的经历上来讲，可能你们都不一定相信看到的事实，我在这一块20多年了，我以前在政府采集这样的信息情报，然后直接给白宫和主要的政策决定者，可以帮助他们做一些决议，有一些信息的准确性也要得到确认，我们收集到这些信息，有一些对美国的公司也很有用，我们还不能够把这些信息给这些美国公司，因为美国的法律是这样规定的。我们采集了一些很有用的信息，比如对苹果电脑很有用的信息，我们不能把这些信息泄露给苹果或者其他的竞争对手，比如微软，是不可能这么做的，尽管我们想做也不行，因为在这方面没有一个指南。这跟在中国不太一样。在法国也是如此，他们采集一些有一些商业用途的信息，到底目标是什么，信息来源去哪里，各个国家是不一样的。

于扬：你们在美国可能有信息分级制度，你们怎么来用，这个用途不一样。它代表了很多美国在中国做生意的公司。360是做安全的公司，从360的角度能不能给一个回答，其实办法总比问题多，这些问题其实不见得是一种有组织的行为，也许就是一些爱好者的行为。

谭晓生：并不是商人在英国就不会受到英国的攻击，网络是无国界的，如果在中国物理上也有一些额外的风险，比如贴身攻击，我接触到你这台笔记本把硬盘数据拷走之类的，这和网络无关，完全是传统情报的工作，也不是一般老百姓可以做到的，这又回到了传统话题，和信息安全无关，中国的安全情况，微软今年3月份公布了一个报告，中国恶意软件感染率是全世界最低的，大家可能恐怕难以相信，只有全球的10%。

于扬：吉迪恩•拉赫曼先生您现在是不是放心一点了？

吉迪恩•拉赫曼：作为记者来说，我没有太关注这个问题，我认为在商界这些人更值得关注，因为有很多人说一定要保守商业秘密，我作为记者没有那么多的商业秘密，所以没有很多的考虑和顾虑，不管怎么样，在这个领域里面有时候还是很认真对待这些警告的。我并不是进行自我控诉，在座的听众还是比较感兴趣的，英国不仅是英国的商业，比如说受到中国的攻击，到中国来信息就要受到威胁，这是我听到的。

于扬：您经常为政府提出一些建议和可以实施的预防举措，因为这样你们就可以提供一些信息或者更好的产品。

吉迪恩•拉赫曼：不管是从个人的角度还是从其他的角度，我觉得建议都是差不多，这个技术是非常新的，而且发展很快，有很多人还没有太多的去想这方面，因为我们每年面临的安全问题都不一样。但是有时候你可能会在全球范围内达成一致——到底该怎么样来做。但是这就需要有信任的关系，比如美国和中国是否有足够的信任关系，还有商界是不是大家彼此足够信任才能够更好来做买卖和交往，在政治层面上有时候很难想象现在双方能够坐下来共同达成一致，很好地来尊重彼此，在这个层面上好像还不太可行。

于扬：吉迪恩•拉赫曼先生留下了很好的关键词就是信任，他认为今天在更高的层面上解决安全，包括所谓信息泄露的问题，不同机构之间信任的建立特别重要，这方面也特别巧，刚才我在下面也和李晓东主任谈到这个问题，您是不是也回答一下这个问题？

李晓东：就目前全球互联网安全来说，全球合作实际上是一个非常突出的问题，像谭总讲的中国感染恶意软件的几率占全球10%，中国占有全球25%的网民，所以说这意味着不是说我们中国的网民安全能力和防护能力比较强，其实是从机构层面包括360和中国政府各个方面做了很多工作，实际上政府推动了民间机构以及官方机构做了很多努力才能达到这个效果，让我们的安全状况比全球安全水平要高。

另外说一下这个相互信任的问题，在8月25日各国云系统受到了安全攻击，包括CNN和华盛顿邮报，有人直接问我，这是不是美国人干的？我如果告诉他这是美国人干的，他一定会非常感兴趣，因为大家非常关心中美网络安全的问题。在2012年中国有1400多万台设备被人植入木马和控制，这可能相当于欧洲一些国家（的设备总数），这1400万里面超过1000万台中国的设备是被美国的终端控制的，即是我们中国被黑的机器70%是来自美国的设备控制的，当然美国的设备不一定是美国人管的，但是这就说明了另外一个问题，这些数字会让我们中国人非常担心来自美国的安全威胁，是否美国的各个机构和美国政府在消除这种对中国安全威胁上做了足够的努力，这也是需要协作和信任的。我说了一组数字和一个案例，也展现全球格局里两个大国的不信任。8月份对中国国家基础设施的攻击不是美国人做的，是由于一些经济利益导致的。但是会有非常多的人感兴趣，（也许甚至）希望是美国人做的，所以未来如何在合作框架里建立信任关系，相互之间如何能够协作，国与国之间在全球范围内怎么协作，在全球有几十亿网民的情况下怎样基于原有的框架进行信息安全的合作，这是未来五年十年非常重要但是难以解决的问题。

于扬：大家知道斯诺登事件，最近被炒的很热的是德国总理默克尔，据说她的手机被美国监听，为什么美国总是出现在新闻中，这两个看似是个体的事件，它们之间有没有关联？

费引迪：刚才这位先生讲的，每次都让我想起这样的事情，每次美国政府都会这样说，我们如果都能够把自己份内的事做好，我们的世界就会很美好。大家看电影的时候，比如看到美国的中情局，到处都有他们的人，在现实生活中并不是这样的。他刚才讲到的是怎么样在网络空间中建立信任，我们一直在努力寻找互惠共赢的框架，当然这是中美之间，有这样事情的发生也是比较正常的。因为中美是两个大国，不管是从经济关系来说、还是政治关系来说，探索未来发展过程中必然是要联系在一起的。在这个过程中就要照顾两个国家的利益，不管我们中间会经历什么，但是我们的内心深处总有这样的一个信息提醒我们怎么样能走得更远，比如像我这代人，我周围很多人知道中国也有很多信息的丢失，大家都有这方面的担忧——怎么样保护自己。随着现在云时代的到来，不管是企业还是公共部门或者政府，我们都需要具备这样的能力，来坚守已经保护好的（领域），并在未保护领域扩大保护。我补充一点，类似网络间谍行为，或者说窃取个人非法行为来说，现在这些事情和行为背后实际上也是有成本的，它的一个结局会带给我们更好的防御，反之如果我们没有去付出保护的话，会带来非常糟糕的结果。

个人可放心大胆地走在互联网时代

于扬：这让我想到一个问题。无论是斯诺登事件，包括我们最近看的默克尔被监听，包括过去几年听到说哪个用户的信用卡信息被拿走，我不知道今天在座的听众是不是有这样的感觉，20年前、15年前除了真正的安全专家，就我们大众来讲，知道的好像不多，但因为今天的互联网技术的发展，互联网能够让很多人知道这个消息。这是从结果的角度来讲。随着技术发展带来便利的同时，其实也让过去的一些所谓违规的行为能够更普遍化，而且可能会有多种的机构和个人掌握这种技术。比如说我们今天的手机，包括刚才几位嘉宾谈到的PC被攻击，文教授说这让他下决心去追求新的职业，手机是离我们最近的一个装置，一个人手机丢了一定是最惊恐不安的，PC丢了的程度远远小于手机被丢的恐慌程度。360作为一个技术公司怎样去看今天技术的前进，在带来便利的同时，随着移动互联网的渗透率越来越高，连身体健康生理指标都记录下来，我们怎么防止这些信息被恶意的人使用、被恶意的机构劫持？

谭晓生：首先说一下现实，最近的十年互联网有非常大的发展，深入到人们的生活，你的生活已经很大程度是依赖于互联网的，你的信息已经在上面了，使用得多，出现问题也多，我们能不能规避这个问题？不行。因为计算机的体系结构在上世纪40年代的时候，以它的天然缺陷导致先天缺陷，这是没有办法解决的。虽然这个体系结构问题到现在没有解，但在这种情况下我们的生活能不能过得更好一些？当然是有办法的，在政府的管制上面，从人类文明开始，小偷一直存在，但是我们通过制度让小偷受到惩罚，社会就不会太乱，在互联网上也是一样的。第二是制定一些游戏规则，比如军事的东西不要用在民间上，大规模杀伤武器不能用，打仗也有各种各样的规矩，现在只是新的规则还没有在互联网这个世界里形成，虽然包括联合国伦敦会议在试图制定。手机是非常不安全的，尤其是安卓的操作系统，到处都是漏洞，而且你现在联的网不仅是运营商的网络，如果你连接到一个公用wi-fi是非常不安全的。

文伟平：信息不安全和信息安全也是一个博弈的过程，可信计算和不可信计算都是对立的，到今天这些安全问题都没有解决。首先刚才谭总提到了计算机的体系结构本身存在问题，在网络协议这块李主任比较熟，它能导致拒绝服务攻击，近十年互联网的发展引入大量的新技术、新服务和新应用，现在的微博社会关系可以把信息进行复制，有了这个条件，供给者就可以利用网络上的社会关系发动一些钓鱼攻击，还有wi-fi网络、移动智能终端和云计算，云计算现在在我们国家是比较热的话题，也有大量的企业资产集成在云系统里形成了一些数据。从信息安全技术的角度确实也没有一个通用的办法完成对信息的保护，我们就安全领域来说，信息没有绝对的安全，比如要建立一个信息安全体系，很多人都提管理和技术的结合，怎么样更好的保护我们的资产？

于扬：咱们围绕7分管理3分技术，请每一个嘉宾讲三个关键词，给在场听众一个建议，无论从管理的角度还是技术的角度，无论从国家安全的角度还是从商业信息的安全，还是从个人隐私的保护，我们有哪些事可以做？

李晓东：我送给大家一句话，你要相信技术的进步，保护好自己，放心大胆走在互联网时代。

刚才讲我们无论是原有的体系结构还是互联网现有协议的缺陷，未来信息技术的进步和下一代互联网对信息传输和保护都将是有所进步的。就像你不要指望一把刀把一个大象砍倒，但你可以造出一把强大的枪一下把大象打倒，要相信技术进步。还有你要建立一个安全意识。逢人就告诉你的信息，这是不行的，在互联网时代你要学会用互联网规则保护自己。还有无利不起早，你有多少信息对别人是有超强价值的？为什么放心大胆？在互联网界有一个基本的（原则），上网不涉密，涉密不上网，所以请大家放心走在互联网时代。

费引迪：我想很简短地说，我们现在生活在这样的一个时代，就像刚才他说的，而且它还在不断发展。你没有办法把所有的东西都保护好，比如你个人的生活、对互联网的依赖度，你对最核心的信息一定要保护好，就好象跟你妈妈说话一样肯定是无话不谈，但是你跟其他人说话肯定不会像对自己母亲讲话一样，对信息也是一样，有些人有这样的技术来窃取信息，保护好自己最重要的信息。

文伟平：信息安全没有绝对的安全，只有相对的安全，信息安全技术手段应该也是辅助的一种手段，我们应该要去追求更高的技术手段和管理水平，保证我们自己信息系统的安全，这也是未来研究领域追求的目标。

谭晓生：我直接给大家几个指导，不管是PC还是手机，该装的安全软件都装上，这是能让你好很多，可以规避绝大多数的攻击；第二个是把你的密码分成三个不同的密码，一个是随便玩的，比如是在微博上玩的，第二个是放隐私信息的，比如保存的裸照什么的就找第二级密码，和第一个不能完全一样；第三个是和钱有关的，每个密码，只要服务商允许，你都设置在15位以上。这个世界总是会前进的，你要获得好处，一定会要折让一些利益，包括你的信息，这是一定的，人不能因噎废食。