据《科技日报》2006年1月18日报道:在经历了从“充满憧憬地尝试”到“习惯性依赖”的变迁后,网络正逐渐演化成人们不可或缺的一种生活方式;然而,就在人们痛快淋漓地品尝网络带来的“饕餮大餐”的同时,黑客、木马、病毒程序、垃圾邮件却窥伺在侧,意图择机攻击。
目前,网络所面临的安全风险已经成为现实社会的焦点话题。据调查,目前美国每年因网络安全问题而蒙受的经济损失超过170亿美元,德国、英国也均在数10亿美元以上。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
而在中国,国家计算机病毒应急处理中心的监测结果显示,目前我国95%与互联网相连的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。此外,88%的电脑都潜伏有间谍软件———间谍软件已成为信息时代政府部门和企业网络所面临的最大威胁。
不止如此,中国在安全领域的“菲薄”投入亦令人担忧。赛迪顾问2005年调查数据显示,中国IT产业今年整体投入4200亿元,其中用于安全防范方面的投入仅为40亿元,而由于安全问题造成的直接损失已经超过了8亿元。此外,用户普遍对使用正版软件、防病毒软件认识不足,也促使由计算机犯罪造成的损害屡屡发生。赛迪顾问总裁兼CEO黄涌认为,信息安全已不再是一个简单的技术问题,在今天的信息安全环境中,提高全民的防范意识已是刻不容缓。
据报道,近日北京一家防病毒厂商在进行计算机病毒防御软件研制过程中违规操作,致使计算机病毒在互联网上大量传播,对计算机网络安全造成严重危害。经市检察机关批准,警方对该公司副总经理执行逮捕。虽然此案在全国尚属首例,但是也显示出现在网络犯罪的愈演愈烈趋势。网络已成为名副其实的“双刃剑”。
专家指出,信息及网络安全已经由原来的技术问题逐步转化为一个严重的社会性管理问题,它不是某一厂商或是某一个人的问题,而是整个计算机产业和用户需共同应对和共同解决的问题,需要政府、产业以及用户通力协作。多管齐下“谋”安全已然成为“止痛”信息安全的一剂良药。
政府部门需要规范和引导
国家计算机病毒应急处理中心计算机病毒防治产品检验中心专家张健认为,信息安全一方面需要政府制定一系列的政策、法规、标准进行规范和引导,需要整个行业都承担起相应的义务;另一方面,也需要进一步提高用户的安全意识和安全管理。
张健举例说,现在的计算机病毒已经呈现出新的技术特点,主要是通过Email、网页等途径进行恶意传播,其目的主要是盗取机密信息,摄取经济利益。因此,当现实社会的犯罪分子把互联网作为一种犯罪工具时,信息安全已逐步演变为一个严重的社会管理问题。
据悉,国家相关部门正在积极探讨构建安全信息应用环境的可行之道———日前,国务院信息化工作办公室网络与信息安全协调小组官员在视察国内某反病毒厂商时透露,国家信息安全立法工作已进入筹备阶段,目前正在开展深入调研工作。据悉,美国也正在倡导运营商建立“洁净的网络”。
然而,仅仅依靠立法显然还不够,中电科技集团15所副所长马泉林表示,没有科学、合理、配置完整的高水平信息安全平台与基础设施,实现信息安全就只能是纸上谈兵。随着网络时代的到来,加强国际间合作也将成为提升网络安全的重要途径。
微软(中国)有限公司首席技术执行官李志霄亦指出:“互联网和信息技术安全需要全社会的共同努力,这也是微软目前正在和很多政府部门及行业伙伴进行着类似合作的原因所在,我们的目的是尽可能地将微软的经验、方法与中国的政府部门、企业共同分享,携手提升安全的业务环境。”
业界需要积极参与
面对日益严峻的网络信息安全形势,整个IT产业正在积极应对、通力合作,与政府部门及用户一起迎接挑战。在中国,随着政府及企业信息化建设的迅猛发展,用户对安全产品的选择也日趋成熟,赛门铁克、CA以及瑞星等国际、国内的安全厂商不断加快与国内的政府部门、企业级用户的深入合作,以为其在利用信息化推进自身发展的道路上提供信息安全技术保障。CA中国的相关人士也表示:“我们愿意与广大同行开展更密切的合作,加强对各家产品的支持,给用户提供更加集成的安全管理解决方案。”
而作为全球最大及最有影响力的平台供应商,微软在安全方面的积极努力和大手笔投入已开始发挥出宝贵的“示范作用”。微软公司董事长兼首席软件架构师比尔?盖茨一直强调:“安全已经成为微软的首要任务,也是微软研发的重头戏。”就在今年2月份召开的业界年度RSA盛会上,盖茨表示,除了收购与安全技术相关的公司之外,微软还将其60多亿美元研发资金中的1/3用于安全软件技术开发。此外,WindowsXPSP2和WindowsServer2003SP1都已通过共同标准证书(CommonCriteriaCertification),它也是许多政府、金融机构所要求的一个基本测试标准。
计世资讯高级分析师曹开彬认为:“在信息安全整合的浪潮中,微软将具有众多的优势,因为微软在整合方面积累最多的技术和经验。由于微软既有操作系统、数据库,还备份软件、系统管理软件,因此,微软会成为整合的最有力推动者。此外,微软对于信息安全最大的贡献在于及时发布相关信息,并及时提出与公布解决方案。也就是说,最大的贡献在于微软的责任心。”
据悉,早在3年前,微软就提出高信度计算(TrustworthyComputing)的概念,并开始高度关注信息安全问题。在微软,所有软件开发人员开发出的新产品,全都要经过严格的安全检验。微软制定了包括要求、设计、实施、检验、发行、响应以及审计等在内的完整的软件安全过程。今年发布的VisualStudio2005、SQLServer2005以及BizTalkServer2006Beta2无一不是该软件安全设计流程的“结晶”。
微软在安全领域的种种努力取得了非常显著的成果。记者了解到,对操作系统的安全性具有重大提升的微软WindowsXPSP2的全球分发量已经超过25亿份,而融汇了“默认巩固安全”、“设计成就安全”等软件安全设计理念并提供了安全向导等工具的WindowsServer2003SP1的下载量亦超过了400万次。与此同时,超过1800万的用户正在使用WindowsAntiSpyware测试工具来保护他们的计算机免受间谍软件的威胁。
用户需要培育“安全”思维
即使是世界上最好的技术,如果不为人知或人们不会使用,那么也无法发挥作用。由于全世界有数亿名计算机用户,而用户的安全知识水平也参差不齐,因此这将是一个巨大的挑战。而在中国,用户的信息安全意识也非常薄弱,需要各方加大力度,帮助用户了解如何使自己计算机运行的环境更加安全可靠。
赛迪顾问总裁兼CEO黄涌对记者说,“三分技术,七分管理”是信息安全领域的一句名言,信息安全中的30%要依靠计算机系统信息安全设备和技术保障,而70%则依靠用户安全管理意识的提高以及管理模式的更新。
微软等大厂商们正在与计算机制造商、零售商、ISP以及其他伙伴合作进行全球范围内的客户教育/培训工作,目的是使更多的人了解到如何养成使计算机保持“卫生”的良好习惯以及如何毫不费力地启用保护技术。与此同时,微软还为开发者和IT专业人士建立了一个安全指导中心以帮助客户制定和管理更加有效的安全策略。过去的两年里,为帮助中国的软件企业开发出更加安全的软件,微软培训了11万多名软件专业人员和开发人员,并且在全国范围内派发超过近50万张补丁及安全指南光盘,微软大中华区首席安全顾问艾力克表示:“同时,我们也正在与业界其他领导者进行合作,一起努力帮助中国用户优化更新管理以及安全解决方案。”对此,曹开彬颇为认同,他说,在深入研究的基础上,提出适合中国用户的、完整的信息安全战略和信息安全架构,这也是目前中国用户所缺乏的。曹开彬建议微软等大厂商还要继续下大力气加强信息安全的宣传,尤其是帮助用户树立起信息安全的防范和管理意识。对于用户,尤其是中国用户而言,这是最重要的,也是最有效的。
种种迹象表明,政府部门、IT行业以及厂商已经认识到多方合作对“止痛”信息安全的重要性,而且微软作为全球最大的IT厂商,也在和业界一起,不断致力于提升整个信息应用环境的安全性。然而,未来的信息安全之路依然是“道高一尺、魔高一丈”,这种“魔道之战”将始终伴随着网络的发展,如何解决信息安全还需要整个社会一起来思考,共同来应对。
