對(duì)我而言,信息安全是一個(gè)發(fā)展變化快速且令人興奮的領(lǐng)域。 幾乎每天清晨業(yè)界都有新的消息。
最近,我讀到一篇新聞提到中國(guó)科學(xué)技術(shù)大學(xué)正投入興建一條長(zhǎng)達(dá)2,000公里,從北京到上海,世界上最長(zhǎng)的量子通訊網(wǎng)絡(luò)(quantum communication network),并預(yù)計(jì)于2016年前完工。項(xiàng)目的推動(dòng)人,希望通過(guò)量子加密技術(shù)提供用戶最安全的通訊環(huán)境。
Fortinet創(chuàng)始人&CTO謝華
這真是了不起的雄心。
理論上,量子通信網(wǎng)路的安全是滴水不漏的。任何想要攔截加密密鑰的企圖,都會(huì)改變量子數(shù)據(jù)或量子位的物理狀態(tài),觸發(fā)通訊程序警報(bào)。目前,全世界不同國(guó)家還有許多實(shí)驗(yàn)室都在研究這項(xiàng)技術(shù)。
這個(gè)猶如信息安全產(chǎn)業(yè)的“圣杯”的量子加密技術(shù),真的如此登峰造極么?我相信量子加密的開(kāi)發(fā)人員將會(huì)努力不懈地追求這牢不可破的安全技術(shù),但即使如此,我仍忍不住想問(wèn),單一的技術(shù)無(wú)論再完美,是否真的可以解決目前人類最復(fù)雜的問(wèn)題之一,并成為最終和唯一的解決辦法。
根據(jù)我的觀察,量子加密要被廣泛采用面臨兩大門坎:采用的成本效益,另一方面更重要的是,即使量子加密本身堅(jiān)不可摧,但安全系統(tǒng)其他部分仍存在薄弱環(huán)節(jié)。
合乎成本效益嗎?
目前并無(wú)法清楚估算導(dǎo)入量子加密技術(shù)的成本,但似乎很高,尤其在研發(fā)初期,技術(shù)尚未成熟且使用者還不多的情況下。對(duì)企業(yè)來(lái)說(shuō),增加利潤(rùn)、減少開(kāi)支是非常重要的,加上目前現(xiàn)有的低成本加密技術(shù)幾乎可以滿足多數(shù)企業(yè)應(yīng)用程序安全上的需求,因此,企業(yè)怎么可能投入更高的成本導(dǎo)入量子加密系統(tǒng)?
企業(yè)的安全由最薄弱的環(huán)節(jié)決定
更艱巨的挑戰(zhàn)則是,信息安全并不是一個(gè)各自獨(dú)立的拼圖,而是一個(gè)互聯(lián)的系統(tǒng)。如果量子加密真的難以破解,網(wǎng)絡(luò)犯罪分子依然可以在信息安全系統(tǒng)中薄弱的環(huán)節(jié)中鎖定攻擊的目標(biāo)。例如,他們可以利用社會(huì)工程來(lái)獲得機(jī)密數(shù)據(jù)的信息,或者也可以像目前多數(shù)黑客一樣,在用戶的計(jì)算機(jī)上植入惡意軟件,竊取數(shù)據(jù)。
由于量子加密只能確保數(shù)據(jù)在傳輸過(guò)程中的安全,但這只是整個(gè)安全鏈的一環(huán),若因此而稱它是一個(gè)「牢不可破的安全」技術(shù),有點(diǎn)言過(guò)其實(shí)。事實(shí)上,量子技術(shù)之外還有其他的技術(shù),正如許多產(chǎn)業(yè)所依賴的不僅僅是技術(shù)本身,這些道理都是一樣的。
需要不斷強(qiáng)化安全鏈中的脆弱環(huán)節(jié);通過(guò)統(tǒng)一產(chǎn)業(yè)界信息共享和安全規(guī)范或要求來(lái)推動(dòng)升級(jí)個(gè)體部件來(lái)達(dá)成提升整體安全性的目標(biāo)。
這意味著,雖然信息安全解決方案的提供商努力共享威脅情報(bào)并發(fā)展自己的技術(shù),但企業(yè)和消費(fèi)者也必須花時(shí)間了解更多網(wǎng)絡(luò)安全和防范攻擊的相關(guān)訊息。此外,不僅在當(dāng)?shù)氐腃ERT團(tuán)隊(duì)必須提高應(yīng)變能力,各個(gè)地區(qū)的科研機(jī)構(gòu)也同時(shí)加緊腳步培育網(wǎng)絡(luò)安全人才。
需要努力的方向還有很多,且涉及到許多相關(guān)的領(lǐng)域和范疇。真正的關(guān)鍵在于,這些相關(guān)的業(yè)者和研究單位需要在各自的領(lǐng)域努力投入并相互合作,才能創(chuàng)造一個(gè)安全、可行的環(huán)境,而不是只單靠一個(gè)量子加密技術(shù)。