国外信息安全保障技术的回顾与前瞻

今年初．美国网络安全部门召集在信息安全保障领域做出过享越贡献的七名非常优秀的专家，以访谈的形式预测该领域的未来.这心专家围绕一些有争议的和非常尖锐的问题侃侃而谈.预侧威胁将怎祥形成，当前信息技术环境，各种各样的因素相互作用产生什么祥的安全新挑战，以及未来的科技之路应该怎样走等等。他们的回答对我们了解国外信息安全保障技术发展极具启发意义。

一、未来15年信息技术最大的改变将会是什么?

Whitfield Diffie：Web服务的崛起。目前，我认识的每个人都很依赖Google你不能不使用它。如果它将你的查询内容传给你的对手，你就麻烦了。在未来的巧年里，我们将会看到有很多从事交易保密的公司兴起，从图像处理、统计计算、内容分析等等，这些公司几乎无所不为，甚至做许多我们现在还不知道的事情。没有一个大型公司能够离得开这些服务，为此也就不得不将自己的工作秘密告诉给服务提供者。因而Web信任将会成为Web契约，对安全的控制已经远远超出任何一个单一组织力所能及的范围。

Dorothy Denning：我曾经列出一些从来都没有发生过的预测，我有时觉得自己的预测十分可笑。尽管如此，我还是被Google所带来的一切深深吸引，如数字地球，虚拟环境等。也许我们会享有实况转播的三维网页，它能够通过数以亿计的设备在Internet上传播实况视频、音频及其他数据，从而有效地将物理世界和虚拟空间融为一体，其产生的效果无疑将会带来安全和隐私问题。

Terry Benzel：接下来的15年将会看到的是无所不在的计算的社会生活化。对于这个问题我们已经谈论好几年了，而且在主要的国防部门和私营市场上已看到了例证。在今后的15年中，计算处理将从单一的有意识的行为转换到我们El常生活中。从技术上来讲，我们将完成从联网工作站、笔记本以及服务器等向嵌入式，无限制的计算节点和分布广泛的传感器系统的转换。Internet通讯将从客户间的点到点通讯发展成多方信息分发模型，随之而来的将是以内容为中心的组网，数据存储将代替固定的信息仓库。

Steven Bellovin：最显而易见的答案是我们将会看到计算机无处不在，它们广泛地连接在一起并且没有界限。这无疑将产生全新的安全挑战，比如怎样让我买的二手电视机知道我是它现在的主人，我如何将一些(但不是全部)观看或录制的权力授权给我的家人，我怎样将该电视以前的主人排除在外。

Jeremy Epstein：因为计算机化的装置已经无处不在(不仅仅是笔记本、黑莓手机、MP3播放器)，再像现在这样对每个装置都单独进行管理几乎是不可能的。大型公司可以投入专门的IT人力去管理复杂的网络，家庭用户却没有这样的设施和条件。这样一来，对于家庭和商业用户来说，管理将会超过安全成为主要问题。

Paulo Verissimo：首先，计算机系统将进入“面向元件”的时代，这是在汽车制造业中引发了一场革命的概念。可视化、多核心、多芯片是成功的重要因素，但最终的关键将是一种新的商业模式，该模式能大幅降低许可证费用，且能估计到开源和免费软件带来的市场冲击，这在虚拟市场上已经发生了。其次，使用一台物理逻辑的个人计算机处理所有事情的潮流也将发生彻底的改变，例如我将会使用我的“办公”电脑，我的“web浏览”电脑，我的“网上银行”电脑，我的“个人剧场”电脑等等。它们是否可以同时放在一个盒子中并不重要，重要的是它们将会是自我控制，相互之间毫不相关，并且有不同的安全级别和可靠性。无疑这对于安全保障而言，好处将会是巨大的。

Whitfield Diffie：未来的15年中，虚拟现实将会从现在的网络游戏业发展成为能支撑大多数商业交易的理想场所。虚拟现实的安全性是一个几乎还没有涉及的话题。在线聊天已经彻底改变了一个lO岁孩子在现实活动场所免受侵犯的安全性，虚拟现实对网络会议、咖啡网吧和网上闲聊等等也有着同样的安全威胁。

Bob Blakley：我们用于连接信息系统的设备将会变得越来越小，同时也会越来越专业化和多样化。今天我们在台式电脑上使用的大部分功能将会“进入网络”，因为连接会更广泛，更可靠，更便宜。各种信息，包括我们自己在内，都会跟随着这些功能“进入网络”，其结果将会使我们的现实世界被信息化的虚拟世界所覆盖。这无疑会迫使我们对安全观念作出深刻反思：可用性将会是重要的甚至是决定性因素，隐私将会变成比今天更加尖锐的问题，信息的完整性对我们生活的安全及质量将会更为至关重要。

二、回顾15年来，在信息技术领域有哪些意想不到的事情严重影响了信息安全保障问题?

Jeremy Epstein：要说意想不到的事情，倒不是我们在提高软件(从电子商务到网络娱乐)安全性上没有取得很大进步，真正让人惊奇的是以下几点：

一是消费者仍在购买他们明知有漏洞或有潜在威胁的系统，这就是“温水煮青蛙”现象。如果消费者和企业在15年前就知道他们必须定期打补丁，而且还必须经常遭受漏洞的威胁，他们也许就不会非常情愿的采用IT。但就因为安全问题是逐步产生的，所以大家在不知不觉中被置于长期面临安全威胁的状态。二是各类批发业务纷纷采用网上支付，而这种在线金融管理过程所依赖的基础设施，无论在客户端还是在服务器端都没有安全。三是尽管存在信息安全保障问题，软件规模的增长并没有减慢。15年前，我们为Windows3．1的安全性付出了很多，当时它最多也就只有几百万行的代码，而今天的企业和大多数的消费者用的要么是Windows XP要么是Vista，它们的代码都有数千万行。

15年前，我们没有想过我们能保护上百万行的代码，今天，我们可以断定根本保护不了数千万行的代码。

Paulo Verissimo：“流行"的计算实践糟蹋了“严肃认真的”计算实践。重启和每周一次的打补丁已成为填塞漏洞的重负，同时也是可靠计算的象征，不仅在个人计算机上是这样，在高端系统和基础设施，诸如数据中心、电信、银行，甚至汽车和飞机制造企业中也是这样。如果说这种情形给个人用户带来的是不愉快和不方便，那么对于经营商、服务商以及关键信息基础设施的重要计算应用的影响更是超乎想象。业界在几十年后痛苦地发现，对充满漏洞的技术已经无能为力，在短期内把它们变得更好、更可靠已是毫无希望，要对那些存贮在没有可信性的系统中的信息进行保障几乎是不可能的。

Steve Bellovin：最令人惊讶的事是威胁模型的变化。我们以往只认为攻击都以利益为目的，但是没人会想到当前的黑客己与其他形式的罪犯结成联盟，例如与垃圾邮件制造者、信用卡窃取者等等。考虑到大多数台式机可怜的安全级别，这种情况将会给计算机犯罪者提供巨大的利益驱动。

Terry Benze：最令人惊讶的事情实际上还更多地体现在社会与文化方面，而不单是技术领域。例如，垃圾邮件、网站钓鱼及网络犯罪的黑市交易等，都是技术专家们始料未及的，也是技术领域中本不该有的。这些怪事似乎是社会文化与科学技术之间缺乏沟通造成的。僵尸网络数量的上涨就是最好的例证。随着Web的诞生，惊讶就源源不断，Internet最初的设计者根本没想到今天它会有如此广泛的应用。

Dorothy Doming：僵尸网络的确是令人意想不到的事情之一。巧年前，人们通过联网的计算机编程进行计算，例如计算RSA私钥，但计算机的所有者却是自愿让自己的机器被使用。我没有印象在上世纪90年代初有任何讨论涉及到几个敌手怎样会损毁和控制大量的机器，并用一个命令将它们组织成一个网络，控制基础设施，然后利用僵尸网络发送垃圾邮件，进行欺骗，发起分布式拒绝服务攻击((DDoS)。这种形式的首次攻击是2001)年2月发生在Yahoo[, CNN. Amazon以及其他商业网站上的。僵尸网络已成为当前互联网_卜最严峻的问题之一。■（责编：Catherine）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。