胡凌:网络安全与互联网架构

网络杂谈之二

© 2011 HL

当我们的生活越来越多地搬到互联网上去的时候,安全问题日益凸显。根据国家计算机网络应急技术处理协调中心编写的《2010年中国互联网网络安全报告》,网络安全隐患的表现形式主要包括:(1)基础网络安全,例如国家骨干网传输系统以及域名解析系统;(2)重要联网信息系统安全,包括政府部门网站、金融行业网站、工业控制系统等;(3)公共网络环境安全,例如木马、僵尸网络、手机恶意代码、软件漏洞、分布式拒绝服务等带来的风险。

这个分类包含了重要的信息。我们首先需要了解的是,网络安全威胁针对的究竟是互联网的哪些部分。互联网是一整套由硬件、软件和传输协议构成的信息传输系统,从公共政策的角度,可以大致分为内容层、应用层、代码层和物理层。内容层就是我们平时上网浏览的各种信息内容,应用层包括各种应用程序和软件服务,代码层包括传输协议和域名系统,物理层则是负责数据包传输的光缆线路和硬件。现有的计算机安全威胁针对的更多的是应用层和代码层,例如,各种病毒和木马通过各种渠道侵入我们的个人电脑,网络攻击则针对重要的网站服务器以及域名系统:前者试图控制和窃取终端设备上的信息,而后者足以使部分互联网瘫痪。

因此,网络安全防护就可以从以上两个方面着手分工应对。对于基础网络安全和重要的联网信息系统安全,由国家负责防卫。这类似于物理世界中的国防,针对的是外来攻击和重大入侵。而涉及公共网络安全的问题,则由国家和私人共同负责。这类似于物理世界中的国内安全保卫,防卫的任务分散到公安部门、私人保安和个人。中国已经建立起一整套网络安全防卫体系和标准,可以应对重大的突发网络安全事件,并将防卫责任按照属地化管理原则逐级分配至不同的网络提供商和接入提供者。

和普通网民息息相关的实际上是公共网络安全。尽管各级ISP能够对外来入侵起到一定的防护作用,每个人也需要自行安装杀毒软件进行防护,而这些杀毒软件是由私人企业开发的,目的首先是为了盈利,目前国内比较有名的杀毒软件有360,金山,瑞星,卡巴斯基等等。实际上国家也可以使用公共财政开发安全软件供个人下载使用,尽管软件一旦研发出来,复制使用的成本是零,但前期的研发投入、后期的病毒数据库更新、开发商业模式都涉及不小的费用,所以与其由国家投入开发单一的安全软件,不如由私人企业开发,投入市场竞争,不断改进软件质量。国家只需要对安全质量加强监管即可。(读者可以思考现实中作为公共物品的国防是否也应由私人负责最有效率。)

这里涉及到的问题显而易见:为什么要不断改进安全软件质量?为什么会有那么多的安全软件产品?答案是:因为互联网病毒和安全威胁层出不穷。据统计,每天互联网上新生产出来的病毒和木马数以千计,而且这些病毒不会被消灭,而是会永远潜伏在网上,遇到合适的条件就会大面积爆发(这一点和生物性病毒截然不同,后者可以随着宿主的死亡或治愈而得到控制)。造成这一现象的直接原因是制造病毒和发动攻击已经成为一种高利润的经济产业,因为网络犯罪集团能够得到的利益要多得多(最近的例子包括索尼的在线服务器遭到黑客攻击,上亿用户个人信息失窃)。从这一点来说,也有必要由同等商业化的软件安全企业提供安全防护来针锋相对。

除了直接原因,还有一个结构性的深层原因往往被人们忽视。一般认为“只要国家制订了安全法规,加大法律的惩处和执行力度,就可以减少安全威胁”。这样的法律仍然是基于传统安全观念而制订出来的,它依赖于如下三个假设:(1)网络犯罪者都是理性的,所以他们会对(2)惩罚的强度,和(3)被发现的概率,进行算计和回应:如果惩罚强度和发现概率超出了他们能够接受的范围和收益,网络犯罪就不会发生。这里存在的问题是,互联网本身带来的不同于物理世界的技术架构被忽视了。首先,按照经典的“端对端”原则,互联网的原初设计是为了最大限度地满足数据传输和共享,对数据真实性的认证要放到终端进行,以保证互联网的开放性与匿名性。最为普遍的TCP/IP协议满足了这样的需求,如果将传输内容分割成数据包,就很难检测其内容。随着技术的发展,人们已经有能力深入探测数据包内部信息,在网关提早对不受欢迎的信息进行拦截,但仍然无法完全阻止不断翻新的病毒和攻击。其次,互联网独特的传输协议使任何终端设备都可以被分配一个IP地址加入整个网络,而无需接受认证。目前最为普遍的一种终端是个人电脑,大家会通过它来上网。常见的终端还包括数字电视、电子阅读器、智能手机、iPad等等,它们都成为新兴的媒体。尽管都是多功能设备,个人电脑和这些终端的最大区别是,其尺寸和运行系统可以使用户自行编写代码程序和软件。其结果是普通人也可以具有制造病毒和发动攻击的能力,安全威胁无处不在。上述两点概括起来,网络安全的结构性原因是具有创生性(或叫繁殖能力)的互联网和个人电脑,这种特殊结构使互联网变成我们今天看到的繁荣景象,也带来了严重的隐患。对比上面提到的传统安全法律观念,可以看到网络犯罪被发现的概率不大(黑客们有能力隐藏身份避免追踪),但可获取的收益却很多,法律无法提供有效威慑。最好的办法仍然是靠技术而非法律来减少网络安全的损失。

如果按照这样的逻辑,上一段开头的表述就替换成“只要保持安全软件市场的竞争性,就会有更好的安全产品出现,减少大部分用户的安全损失”。这个表述的未言明的前提是:我们仍然保持着互联网的创生性架构,它可以带来更多繁荣和创新。如果我们从安全软件企业的商业模式入手观察,就会发现,安全企业(以及其他种类的互联网巨头)的扩展会逐渐改变现有的创生性架构,使之成为一个较为封闭而安全网络平台,终端电脑也会被纯粹的信息应用设备取代。让我们先从商业模式说起。

早期的杀毒软件要用户购买的。安全软件企业像卖掉鞋子一样把装有病毒数据库的软盘交到用户手中,用户回去自行安装,过一段时间再拿空白盘回来拷贝更新了的数据库,以便应对新型病毒。这种模式运作较为缓慢,类似于普通商品的售后服务,而且软件的价格也较为昂贵。一种新的模式慢慢出现成型:在线更新。用户购买时可以直接在线下载安装程序,实际上购买的不过是一个激活序列号,因为复制该程序无需任何成本。更主要的是,软件不再被看成是一种商品,而是持续不断的服务。只要用户电脑联网,就可以随时更新病毒库。请注意,这样的模式仍然是要在终端运行安全软件,通过病毒库在本地查杀病毒,只不过其更新和服务更加快速便捷。起初的更新还需要用户同意,但后来完全不通知用户,直接在终端服务器运行更新活动,以减少用户终端电脑资源的消耗。最新的模式叫做“云查杀”,对于未知的病毒,可以直接提交到企业的安全软件中心即时确证查杀。从这个变迁的过程来看,用户在终端自主选择的能力被逐渐集中至服务商的中心服务器,只不过终端电脑还是由用户自我掌控的,但一旦选用了安全软件,就要接受这样的服务条款,无法更改拒绝。实际上用户们希望如此,在安全威胁日益增加的情况下,他们不愿意为个人电脑的安全操心(既需要专门知识,又耗费精力),只想痛快地委托给一位“诚实的代理人”全权打理。这就是为什么安全软件行业能够生存至今。

在杀毒服务模式变化的同时,安全企业的盈利模式也悄悄发生了变化。如上所述,早期的安全软件是要卖钱的,和普通商品没有两样,只不过复制和分发的成本为零。评估这类企业业绩的方式只有看其市场占有率和零售价。尽管越来越多的企业涌进这个市场拉低了平均价格,但它们仍然遵循提高质量、促销、吸引顾客这样传统的商业策略。但是后来,“免费”的观念极大地冲击了安全软件行业:既然用户下载安装软件是没有成本的,为什么不能把查杀服务也一并免费呢?随之而来的问题是,如果整套查杀服务都免费,企业岂不是亏本,靠什么赚钱?这就涉及到有战略眼光的安全企业对互联网经济的深刻理解。一方面,安全软件可以在线更新,喜欢免费的心理会将用户牢牢拴住,形成庞大的用户群体;另一方面,安全企业可以通过广告和其他增值收入来获取利润,来补贴安全软件的研发。庞大的用户群正是这部分利润的来源,而且其他增值服务(例如游戏、聊天)和安全服务一起能够更有效地强化用户黏度,远远比一家单一的安全软件企业更有竞争力。这实际上体现了整个新经济的特征:免费服务+增值服务+广告收入。

这样的模式几乎摧毁了传统安全软件市场,因此也就可以理解像360这样最早推出杀毒免费的企业在业内为何人人喊打。消费者喜欢免费,在安全软件质量无法明显区分的情况下,谁能率先提供免费服务,谁就能迅速占领用户的桌面,形成宝贵的用户群资源。这将是一个从安全企业角度说出的惊心动魄的创业故事。但是另一方面,如果我们反过来想,既然安全服务本身极端重要,为什么其他领域的互联网企业不做安全产品呢?这其中当然有路径依赖的作用,没有人在互联网发展初期能够预见到安全环境的变化,很多创业者首先想的是如何跑马占地。随着地被逐渐圈完,形成不同服务的高门槛,如果要向安全企业转型就意味着更多的研发投入,这将面临极大的市场风险。而且在很多人看来,专业化的安全服务正是所有互联网行业赖以正常运行的基础。可有人偏偏不这样想,既然安全软件企业可以转向其他领域,其他领域企业为什么不能转向安全领域?特别是当安全软件企业无法确保真正的网络安全的时候,一些互联网企业决定自己开发安全程序保护自己的产品,其中最著名的便是腾讯。

随着腾讯用户数量的不断增长,不同于传统破坏性病毒的木马逐渐兴起,特别针对很有价值的QQ号码及其一整套虚拟财产。腾讯为防止用户流失,主动开发自己的防木马程序QQ医生(后来升级到QQ管家),并免费提供给网民。这就和已经占领一定市场份额的360发生了冲突,因为双方都想尽可能成为守护用户桌面的唯一安全软件。而且在360看来,腾讯是要凭借其庞大的用户群自然过渡到让大家接受QQ管家的状态,双方的竞争地位并不平等,非采取极端手段不能挽回失去的市场份额。接下来发生的事情相信很多使用QQ和360的读者都耳熟能详了:360广为宣传QQ扫描用户电脑,偷窥隐私,开发扣扣保镖劫持QQ管家,最后是马化腾“艰难的决定”,迫使用户二选一。且不论其中涉及到的法律问题如何(例如隐私、不正当竞争、反垄断),3Q大战本身反映了新经济商业模式的极端情形:只有通过抓住网民的免费心理和恐惧心理,向他们提供良好的众多网络服务,才能真正屹立不到。

换句话说,这个极端情形就是“一站式”服务。不论是安全软件企业还是即时通讯企业、搜索引擎企业、门户网站,都采用了交叉补贴策略,想成为互联网的“入口”——每一位网民上网的必经之路。这样它们的视野就逐渐从不同服务的整合,转移到开发浏览器平台或客户端平台,并转向取代现有操作系统,甚至是软件和硬件合一的程度。如果能和电信运营商合作,出售一台由自己企业设计制造的“云计算”智能手机,上面运行着自己开发的操作系统和主要应用程序,并能吸引众多用户,那这家企业就牢牢地把握住了互联网发展的主动权。(哦,我忘了,我是在谈论苹果公司吗?)尽管对国内互联网企业而言,实现这一目标可能还需要一段时间,但这已经是可以预见的未来。

在这一未来下面,我们都将享有高质量的信息应用服务(因为它们是个人定制的),并安逸于绝对安全的环境中(不再有攻击和病毒,因为一切应用都要经过严格审查,而且个人文件都会贮存在云端进行安全扫描),但同时我们丧失了隐私和自主(你所有的信息都会通过各种服务整合形成你的数字档案,并自动预测你的个人偏好以提供推荐服务,你甚至还无法决定是否使用某一服务,因为转换成本会相当高昂)。很多人拥抱这一未来,特别是他们在听到“偷窥隐私”这样的口号而受到惊吓的时候。

在这一未来下面,我们目前见到的“互联网”已经不复存在。整个网络服务的生态系统将由几家大公司操持,他们成为整个生态链的提供和维护者,只有符合它们利益的服务和应用才能得到推广。个人电脑被智能手机和平板电脑取代,丧失了创生能力(你很难想像在手机上编程),普通人的创新力被互联网架构的改变扼杀(因此也减少了很多新编写的病毒),整个互联网的创新性也将受到极大影响,而推动这一架构改变的力量正是商业利益的刺激和我们自己。这是我们集体的选择。

我们的网络安全旅途就此结束,戛然而止,似乎意犹未尽。我无法提供一剂处方加以诊治,毕竟还需要不断观察自主能否战胜安逸、创新能否平衡安全。“如果我的同胞们要下地狱,我也只能帮助他们,因为这就是我的工作”,美国最高法院大法官霍姆斯的这句话不应当成为立法者的座右铭。

网络杂谈

1 Comment

  1. 时雨 · 2011-10-21 Reply

    目前最为普遍的一种终端是个人电脑,大家会通过它来上网。常见的终端还包括数字电视、电子阅读器、智能手机、iPad等等,它们都成为新兴的媒体。尽管都是多功能设备,个人电脑和这些终端的最大区别是,其尺寸和运行系统可以使用户自行编写代码程序和软件。其结果是普通人也可以具有制造病毒和发动攻击的能力,安全威胁无处不在。

    个人电脑被智能手机和平板电脑取代,丧失了创生能力(你很难想像在手机上编程),普通人的创新力被互联网架构的改变扼杀(因此也减少了很多新编写的病毒),整个互联网的创新性也将受到极大影响,而推动这一架构改变的力量正是商业利益的刺激和我们自己。这是我们集体的选择。

    首先,PC被取代这个前提本身就很可疑:智能手机显然不能取代PC,只是作为更便携的移动终端;至于平板电脑,即使取代了PC,本身也有成为编程平台的潜质,很难想象用手机编程,但用平板电脑编程并非难以想象,哪怕现在苹果与谷歌阵营的平板电脑编程能力薄弱,但未来某厂商推出可编程的平板电脑也不是难以想象的事情。只是现在PC端显然是更合适的编程平台,并无必要在其他终端上编程。

    其次,普通人的创新能力并非基于PC平台的可编程性,普通人通常是与编程绝缘的,无论是在哪个平台。相反,普通人或许会因为更加便捷的智能设备具备更多的创新能力。而具备发动攻击能力的Geek们不会在意使用何种平台。

Leave a Reply