洋葱式信息安全观察：没有消息就是最坏的消息

楔子：”没有消息就是最坏的消息。“

“没有消息就是最坏的消息”，这句话用在情报界再贴切不过了。人类区别于动物的典型特征之一就是使用语言，而语言是丰富信息的载体。在信息时代，无论是好消息还是坏消息，良好的决策体系总是能够采取相应策略，而没有消息，则意味着无从着力。而对于情报工作者而言，没有消息，就意味着没有完成情报工作，依然是个最坏的消息。

就此观点，让我们看看信息安全中的一些典型场景：

1、就信息安全工作而言，拔网线是否能够在网络战中成为制胜的招数？

拔网线，信息就此中断，入侵动作则随即被中止。听起来是一个简单有效的招数。然而，答案恰恰是否定的，在历经了多次攻防演练后，拔网线成为了演习中防守方的绝招，然而在真实的世界，这个招数却不能使用，甚至是最坏的决策。

防守方可以通过短时间的断网，来巩固自身的防御，但很难承担长时间的“没有消息”。当前这个时代，我们已经和现代信息技术融为一体，经济、金融、物流，各行各业以及生活中，信息的需求无处不在。

例如，在俄乌战争中的典型被拔网线事件：2022年2月26日，美国和欧盟、英国及加拿大发表联合声明，宣布禁止俄罗斯的几家主要银行使用环球同业银行金融电讯协会（SWIFT）国际结算系统。而俄罗斯面对被踢出SWIFT的信息化应对则是建立自己的金融信息和支付体系外（俄罗斯银行金融信息系统，SPFS），当然被拔网线的最终应对还是业务连续性，在结算这一领域，俄罗斯还通过多元化外汇资产等方式来进行应对。

由以上案例我们可以看出，拔网线不是真实环境中的解决之道。同时，我们应注意到信息缺乏恐慌症将会长久伴随人类社会存在，上至国家、下至个人层面。

2、“网线接口在我这一侧，拔不拔我做主！”

“网线接口在我这一侧，拔不拔我做主！”，本文中拔网线是代指含义，从上例我们可以看出，业务级拔网线的痕迹，这意味着拔网线还真不是防守方可以做主的事。攻击方可以在在业务层、应用层、网络层、物理层等多个层面进行拔网线。例如：网络层可以通过DoS、DDoS等手段；物理层可以采用电磁攻击手段。

事实上独善其身的网络很少存在，由于各种因素，这些网络都可能遭受技术、社会工程甚至是潜伏者的攻击。技术上的气隙攻击虽然很少应用于商业环境，但其身影却从未从政治、军事等更高层面的对抗中消失。而社会工程带来的拔网线效应，相信安全人员自震网事件发生以来，至今还挂在嘴边。而互联网和物联网的发展以及遗留下的漏洞，则使得拔网线更加隐蔽、快速、持久，同时形成更高烈度的打击效果。

在真实环境中，我们需要解决的反而是被拔网线的困境。BCP（业务连续性计划）则是从整体层面解决拔网线的应对之策。相信近日在乌克兰上空赚足了眼球的starlink，会让大家若有所思吧！其影响必定深久。

3、安全设备没有发出任何告警，就是安全？

有多少网络当真是把所有的流量进行筛查，完全排除了可以流量？又有多少主机可以确保没有异常活动？安全设备没有发出告警，我们是否能确认安全防御是有效的，没有被绕过？相反，因为缺少足够的信息，我们始终无法做到绝对的安全。没有告警发出，恰恰是“没有消息就是最坏的消息”的另外一种表达。

笔者曾多次在安全的网络中，与安全人员共同努力，基于“我们仍然感觉有异常的存在”而尽职调查，利用情报技术，发现极其隐蔽的攻击痕迹，从而进一步提升了其安全。毋庸置疑，虽然我们无法做到百分之一百的安全，但网络安全技术和管理始终在提升的过程中。

最后，“没有消息就是最坏的消息。”来自于哪位名人，我想这个灵感来自于香农的“信息就是不确定性的减少。”我们穷其所能，只是为了有适当的信息。