企業Q&A
問:産品的信息安全爲何漏洞百出?
答:信息安全是一門快速發展並且專業性很強的技術。即使是很有經驗的軟硬件工程師精心打造的信息技術産品,也可能存在很多信息安全漏洞。
隨著時間的推演,有些漏洞會被研究人員或黑客發現。包括筆者在內的業界人士就發現了許多蘋果手機和安卓手機系統的漏洞。隨著軟硬件規模的擴大,潛在漏洞的數目也會隨之快速增長。因此,有效的信息安全技術也必須更加專業化。
然而,據筆者觀察,市場上許多信息安全産品並非由信息安全方面的專業人士打造。這就好比外科醫生的手術器具未經外科醫生的設計及評價。
毫無例外,每個信息安全産品的營銷團隊都聲稱自己的産品安全、可靠、強大、甚至便宜。這在一定程度上給采購者或消費者造成選擇上的困難。
問:如何判斷産品的信息安全合格?
答:非專業人士要如何選擇合格的信息安全産品呢?筆者在此提出三個建議,包括核心技術透明化、研發團隊專業化,以及産品評估標准化。
一、核心技術透明化。信息安全的一個基本原理是“透明化”,即信息安全産品的核心技術應該公開,並且接受專業人士的評估和檢驗。這一原理被稱作Kerckhoffs原理或Shannon原理,長期以來被業界普遍認同,並且極大地促進了信息安全技術的發展。然而市場中許多信息安全産品卻沒有遵循這一原則,以致不可能對其産品的安全性進行評估。這一類把安全性建立在“秘密配方”基礎上的産品,其安全性是可疑的,也是不可靠的。隨著時間的推移,其“秘密配方”可能由于種種原因(例如逆向工程和內部人爲攻擊)泄露,直接導致其産品安全性的失效。
二、研發團隊專業化。由于信息安全技術的專業性及複雜度,合格的信息安全産品的研發團隊中,應該有信息安全方面的專業人士自始至終地參與。這裏所說的專業人士,不僅是指熟悉信息安全方面的標准與工具,還應該了解信息安全研究發展的前沿。
鑒于信息技術的快速發展,筆者建議了解信息安全最前沿技術的專業人士(包括學術界人士)積極參與信息安全産品的研發,或者提供必要的咨詢。
三、産品評估標准化。一個合格的信息安全産品需要經過嚴格、公正的評估。這種評估最好由專業的第三方根據國際標准實行。
例如,國際標准信息技術安全評價通用准則(Common Criteria)可以用來評價電腦安全産品在特定使用環境中的安全屬性和等級。對于規模不太大的軟件系統而言,可以考慮用嚴格的形式化方法(Formal Method)來證明其沒有安全漏洞。
另外,特別的侵入測試(Penetration Testing)可以用來測試産品的安全屬性。這樣的測試只能針對當時所知的一部分安全漏洞和侵入方法進行檢測,其結果不能適用于當時沒有檢測到的安全漏洞和侵入方法,以及其後新發現的安全漏洞和侵入方法。因此,侵入測試的適用範圍是有局限性的。
(作者爲新加坡管理大學信息系統學院副教授)