北邮教授：虚拟空间很野蛮 不能用文明手段管理

http://tech.163.com/13/1208/10/9FIMHM28000915BF.html

2013-12-08 10:56:40　来源: 网易科技报道　有12人参与分享到

网易科技讯 12月8日消息，中国信息安全漏洞库发起的第六届安全信息漏洞分析及风险评估大会今日在北京举行，北京邮电大学教授杨义仙在大会演讲中提出了目前信息安全管理的六大错误，杨教授称，赛博空间(虚拟空间)是一个返祖的野蛮社会，缺乏基本的道德准则，不能只用文明手段来管理，必须向远古前进由丛林法则开始，推动赛博社会的生态文明建设。

“你要跟老虎讲文明让它懂礼貌是不现实的，你用驯兽师的办法可能有用。”杨义仙称。

同时杨义仙表示，赛博空间目前的黑名单规则极大地耗费了信息攻防双方的人力物力财力资源，如果把安全规则修改为白名单管理方式，即未被允许的均为禁令，那么将极大地方便管理。

以下是杨义仙教授提出的六大错误：

1、最基本错误：忽略了返祖现象

赛博空间是一个返祖的野蛮社会，甚至缺乏基本的道德准则，不能只用文明手段，必须勇敢向远古前进，由丛林法则开始，向原始人学习，推进赛博社会的生态文明建设。

你要跟老虎讲文明让它懂礼貌是不现实的，你用驯兽师的办法可能有用。

2、最致命的错误：以君子之心度小人之腹

当今所有信息安全技术都以用户是好人，一定为遵纪守法为前提，当确认某款软件干了坏事后才把它定义为恶意代码，才对其进行封杀或不漏，只有当某个用户的行为被证明危害了安全后才将其定义为黑客，这种马后炮的思路得不到根本改变，那么全球信息安全专家们将永远处于被动挨打的局面。

由于历史欠账太多，也不能一夜之间把思路调整为“人之初，性本恶”的有罪推论。

3、最受累的错误：全民被魔道怪圈绑架

当前信息安全的逻辑是：个别黑客的魔高一尺时，全体网民的道就必须跟着高一丈，如此往复循环冤冤相报永无止境，就好像全体网民被逼着看一场露天电影，有人站起来了大家就都得站起来，为什么网民不能舒服的坐着看电影呢？

但是魔道怪圈是可以逃脱的，就像战争双方的军备竞赛也会水涨船高，但是对普通市民来说战争的危机感并没有加强。

4、最仁慈的错误：未建立信息安全别动队

假如把赛博空间比喻为金银满地佳丽如云的后宫，那么最适合管理的人选应该是太监而不是帅哥，现在管理后宫的是一批帅哥，尽管对他们做了很多约束，但是很多时候他们把持不住，相当于信息安全界用股民来担任美联储主席。事实上国内外信息安全界攻守兼备的几乎都是同一批人，无形中加剧了各利益方的互相对抗，殃及全体网民。

如果有一支类似联合国维和部队，那么网民的安全感会大幅增强。

5、最具体的错误：黑名单管理

赛博空间的当前行事规则是“非禁止，即允许”，这个规则在信息安全的攻防双方都是通行的，极大地扩展了各自的创新空间，但是也耗费了对抗双方难以计数的人力、物力和财力等资源，如果把安全规则修改为白名单管理方式，即未被允许的均为禁令，那么理论上只需要由权威机构在给定环境下进行管理即可。

要马上全面推广白名单几乎是不可能的，但是在局部已经开始尝试。

6、最机械的错误：动态性不足

赛博空间的人和事都是瞬息万变的，网络社会的移动性、隐蔽性和不确定性更加严重，因此不能简单根据身份认证的方法把用户分为好人或坏人，也不能把各种操作机械的定位合法或非法，要针对特定信息，用时间的动态性，空间的动态性和事件的动态性来换取安全。

杨义仙认为，以上6店错误不能完全归结于信息安全界，IT接的过度创新和失误留下了太多急需弥补的漏洞，使得我们仓促上阵，头痛医头，根本没有事件来统筹战略。

“纠正六大错误也需要全体IT行业动起来，纠错也会使非常困难的长期难题，不能另起炉灶，最多在特定情况下从局部改起。”杨义仙说。（顾晓波）http://tech.163.com/13/1208/10/9FIMHM28000915BF.html

2013-12-08 10:56:40　来源: 网易科技报道　有12人参与分享到

网易科技讯 12月8日消息，中国信息安全漏洞库发起的第六届安全信息漏洞分析及风险评估大会今日在北京举行，北京邮电大学教授杨义仙在大会演讲中提出了目前信息安全管理的六大错误，杨教授称，赛博空间(虚拟空间)是一个返祖的野蛮社会，缺乏基本的道德准则，不能只用文明手段来管理，必须向远古前进由丛林法则开始，推动赛博社会的生态文明建设。

“你要跟老虎讲文明让它懂礼貌是不现实的，你用驯兽师的办法可能有用。”杨义仙称。

同时杨义仙表示，赛博空间目前的黑名单规则极大地耗费了信息攻防双方的人力物力财力资源，如果把安全规则修改为白名单管理方式，即未被允许的均为禁令，那么将极大地方便管理。

以下是杨义仙教授提出的六大错误：

1、最基本错误：忽略了返祖现象

赛博空间是一个返祖的野蛮社会，甚至缺乏基本的道德准则，不能只用文明手段，必须勇敢向远古前进，由丛林法则开始，向原始人学习，推进赛博社会的生态文明建设。

你要跟老虎讲文明让它懂礼貌是不现实的，你用驯兽师的办法可能有用。

2、最致命的错误：以君子之心度小人之腹

当今所有信息安全技术都以用户是好人，一定为遵纪守法为前提，当确认某款软件干了坏事后才把它定义为恶意代码，才对其进行封杀或不漏，只有当某个用户的行为被证明危害了安全后才将其定义为黑客，这种马后炮的思路得不到根本改变，那么全球信息安全专家们将永远处于被动挨打的局面。

由于历史欠账太多，也不能一夜之间把思路调整为“人之初，性本恶”的有罪推论。

3、最受累的错误：全民被魔道怪圈绑架

当前信息安全的逻辑是：个别黑客的魔高一尺时，全体网民的道就必须跟着高一丈，如此往复循环冤冤相报永无止境，就好像全体网民被逼着看一场露天电影，有人站起来了大家就都得站起来，为什么网民不能舒服的坐着看电影呢？

但是魔道怪圈是可以逃脱的，就像战争双方的军备竞赛也会水涨船高，但是对普通市民来说战争的危机感并没有加强。

4、最仁慈的错误：未建立信息安全别动队

假如把赛博空间比喻为金银满地佳丽如云的后宫，那么最适合管理的人选应该是太监而不是帅哥，现在管理后宫的是一批帅哥，尽管对他们做了很多约束，但是很多时候他们把持不住，相当于信息安全界用股民来担任美联储主席。事实上国内外信息安全界攻守兼备的几乎都是同一批人，无形中加剧了各利益方的互相对抗，殃及全体网民。

如果有一支类似联合国维和部队，那么网民的安全感会大幅增强。

5、最具体的错误：黑名单管理

赛博空间的当前行事规则是“非禁止，即允许”，这个规则在信息安全的攻防双方都是通行的，极大地扩展了各自的创新空间，但是也耗费了对抗双方难以计数的人力、物力和财力等资源，如果把安全规则修改为白名单管理方式，即未被允许的均为禁令，那么理论上只需要由权威机构在给定环境下进行管理即可。

要马上全面推广白名单几乎是不可能的，但是在局部已经开始尝试。

6、最机械的错误：动态性不足

赛博空间的人和事都是瞬息万变的，网络社会的移动性、隐蔽性和不确定性更加严重，因此不能简单根据身份认证的方法把用户分为好人或坏人，也不能把各种操作机械的定位合法或非法，要针对特定信息，用时间的动态性，空间的动态性和事件的动态性来换取安全。

杨义仙认为，以上6店错误不能完全归结于信息安全界，IT接的过度创新和失误留下了太多急需弥补的漏洞，使得我们仓促上阵，头痛医头，根本没有事件来统筹战略。

“纠正六大错误也需要全体IT行业动起来，纠错也会使非常困难的长期难题，不能另起炉灶，最多在特定情况下从局部改起。”杨义仙说。（顾晓波）