中新網11月14日電 11月9日，發生了兩件大事。第一件是美國大選正在如火如荼地進行著，第二件是以“智慧安全，連接賦能”為主題的第二屆中國互聯網安全領袖峰會(Cyber Security Summit，簡稱CSS安全領袖峰會)在北京國家會議中心開幕。

這兩件大事看似無關，實則有關。出席本次會議的騰訊安全玄武實驗室負責人于旸表示，今天的我們同時生活在兩個空間中，即物理空間和數字空間，“我們對這兩個空間的依賴已逐步從物理空間向數字空間轉移。這兩個空間的交融也變得越來越深入，數字空間對人類的影響也越來越大。”因此，2008年的美國大選通常被認為是互聯網第一次影響了美國選舉，而今年的美國大選則是信息安全問題第一次影響了大選結果。

在會議上，被黑客界尊稱為“TK教主”的于旸發表了以《數字空間和信息安全的進化論》為主題的演講。他將自己從事信息安全工作十余年的研究經驗，結合進化論理論，深入淺出地剖析了數字空間中的信息安全演變過程，以及應對措施。

信息安全 越進化越復雜

物理空間誕生于宇宙大爆炸，其后，產生的基本粒子開始形成宇宙中的物質。在于旸看來，今天的數字空間如同宇宙是從基本粒子長期演變形成的一般，也是基于一行一行代碼逐漸架構起來的，只是規模可能還處于非常早期的階段，遠未達到形成了“星系”的狀態。

于旸指出，在數字空間創世的早期，安全問題大多數是一些微觀層面的問題。如，一行一行的代碼中，某行代碼出現了問題，或者某個變量設定有問題等。這些微觀層面形成的安全問題，只會影響一個微觀的對象。

類比生物的進化來看，從一個單細胞生物的誕生，一直到產生了地球上最為復雜、最為壯觀的生命——人類。在進化的過程中，個體本身變得越來越復雜，個體的功能變得越來越多樣。與此同時，弱點也會跟隨個體一起進化，個體的脆弱點同樣會變得越來越復雜。

與之類似，人們在數字空間當中的行為已經不是單一行為了，操作的復雜程度越來越高，操作對象之間的聯系也會變得越來越復雜，這就導致我們今天面對的信息安全，已經不再是某一行代碼的問題，或者說某幾處代碼之間的問題，而是一個協議和一個協議之間的問題，或者是某些協議共同作用發生的問題，甚至是一個設備和一堆設備之間的問題、一個系統和一個系統之間的問題。但是，這些對象相互之間看不到特別明顯的關系，這些其實就是進化的結果。

　　安全威脅 一波未平一波又起

在于旸看來，在信息空間的進化過程中，不僅傳統的安全問題依然存在，新的安全問題也已經進化出來了。他以電商系統為例。當我們去電商網站購物時，支付錢款時會進入到交易結算系統中，而交易結算系統與電商交易系統通常是兩個系統，甚至有可能隸屬于不同的公司所有。這兩個系統在發生關系的時候就有可能發生問題。因為交易系統的設計是由一組人員去完成的，而交易結算系統是另外一組人員去完成的。

無論雙方溝通的結果如何，依然會存在一些瑕疵，這也就導致了這樣一種情況，即攻擊者可以在購買完成之后，將結算的交易金額修改成一個非常小的數字，而電商交易系統只是判斷這個交易是否成功，并不在乎交易數字是多少。這樣一來，“電商網站的交易系統可能不知道攻擊者購買一臺冰箱，到底是花了2000元，還是花了1元。”

于旸還列舉了很多生動的案例，闡述進化過程所產生的新的安全問題。例如前幾年運營商提供的短信保管箱服務，可以讓用戶將短信存儲到服務器上。這原本是一個非常好的便民措施，但犯罪集團卻利用這項便民業務，結合其他黑客技術，攔截了短信驗證碼，以竊取用戶網銀上的資金，而用戶很可能并不知道。

再例如對蘋果手機的解鎖和盜竊。蘋果手機的安全性首屈一指，即便手機被竊取，依然可以通過云端鎖定手機、刪除數據確保信息安全等。雖然竊賊對手機和SIM卡放在一起沒有辦法破解，但是假如他們盜竊到了你的蘋果手機，他們可以利用手機中的SIM去控制你的某個網絡服務，例如郵箱等。因為很多網絡服務為了安全性，會要求與手機號綁定，這就給竊賊留下了可乘之機。若你的蘋果手機ID是使用這個郵箱注冊的，那么犯罪分子則通過這個郵箱又可以控制你的蘋果ID，將你的手機進行清空，進而取得蘋果手機的使用權限。

安全措施 應隨安全問題同步進化

事實上，在上述的案例中，看起來誰都沒有犯錯誤，也沒有人是故意的，甚至看起來根本就沒有人犯錯誤。但這些問題糾結在一起之后，它就變成了我們將要面臨的新的安全問題。

于旸進一步指出，如果我們拋開軟件或者硬件的視角，以更抽象的視角來看，今天的信息安全和網絡空間進化中遇到的安全問題，如同生物進化一樣，已經進化成了一種非常復雜的形態，而這種形態的安全問題用傳統的方法是難以進行發現、分析和防御的。

因此，于旸認為安全措施也必須隨之進化，即作為防御者、安全研究者，我們需要隨著安全問題進化。這種情形是一種非常大的挑戰，但是于旸相信，這里面也一定蘊含著非常大的機會。