当“振荡波”的阴晦逐步散去,还没等人们长吁一气,传来消息,一个被命名为“震荡波杀手”(worm.cycle.a)的恶性蠕虫病毒又开始“振荡”人们脆弱的电脑系统。电影《黑客帝国》的海报云:“万事有始皆有终!”,我们如何面对这个网络化的世界?我们又如何找寻网络那片纯净的天空!
深刻教训 信息安全刻不容缓
如果您的信件被盗取,计算机被损坏,机密资料泄漏以至银行存款的数额被篡改,您是否会觉得没有安全感。在我们逐步融入现在这样一个飞速发展的信息化社会时,信息安全问题已经不容置疑的来到我们身边。
过去的一年以来,安全问题逐步成为信息产业发展的一大挑战。随着互联网的普及应用,随着人们的工作、生活的逐步信息网络化,信息网络安全问题不但吸引了人们的眼球,而且更以其几何级增长的爆发和日益严重的后果,让人们切身感受到时时刻刻的威胁。
1998年以来,我国发生的黑客活动日益频繁,国内各大网站几乎都不同程度地遭到了黑客的攻击,经举报的就有上百起事件,其数据、财产损失还只是其次,其深远的影响则更是沉重的教训。1998年2月,广州视聆通被黑客多次入侵,造成4小时的系统失控;4月,贵州信息港被黑客入侵,主页被一幅淫秽图片替换;5月,大连ChinaNET节点被入侵,用户口令被盗;6月,上热线被侵入,多台服务器的管理员口令被盗,数百个用户和工作人员的帐号和密码被窃取;河南“中原热线”Web服务器受到黑客攻击;7月,江西169网被黑客攻击,造成该网3天中断网络运行2次达30个小时,工程验收推迟20天;同期,上海某证券系统被黑客入侵后,提走80.6万元现金;9月,扬州某银行被黑客攻击,利用虚存帐号提走26万元现金;10月,福建省图书馆主页被黑客替换……
一件件网络案件的爆发,一个个网络节点的被攻击,信息社会的生活在缤纷多彩的同时,也给人们以无尽的恐惧。近期我国接连不断地出现程度不同的信息系统安全事故,首都机场因电脑系统故障,6000多人滞留机场,150多驾飞机延误;南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东省工行因系统故障,全线停业一个半小时;深交所证券交易系统宕机事件等等。这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
我们在上网的同时,也许就有人在监视我们的行踪;我们收到信件,可能这封隐私的email有人早已看过;我们在计算机上工作,可是不经意间我们所有的工作成果化为乌有,被黑客们删得一干二净……想到这些对我们每个人的安全威胁,我们还能安详的安享网络带给我们每个人的快乐么?
个人如此,国家更甚。如果政府、军队的机密泄漏,国家面临的灾难将是令人无法想象的。据称,美国对伊战争之所以如此顺畅,其幕后信息战队功不可没,他们早在战争开始之前就已经通过黑客、信息手段获取伊政府各种机密信息以及散布心理战,当伊拉克士兵们无处躲藏,流血沙场的时候,他们也许不明白,信息安全问题就是血的教训。而就在5月27日,台湾某软件工程师因为使用和传播黑客工具侵入政府网络,被当局逮捕,这已是本月第四起因为威胁网络安全而被抓入狱的案例。然而抓住的黑客毕竟是少数,其散布于网上的黑客工具,就无时不在“没有门槛”的催生着大批的黑客们。
严重的问题逼向在信息高速路上向前的我们,虽然时刻受到威胁,可是我们已经无法离开也不愿离开网络的世界、信息的生活。美国明尼苏达大学Bush-Kugel的研究报告中指出,企业在失去网络信息的情况下,金融业至多只能运作2天,商业则为3.3天,工业则为5天,保险业约为5.6天。而更为严重的是,现在社会的一切事、物、过程、工程……都无一不与计算机、网络有了越来越紧密的依赖性的联系。以经济情况来看,有25%的企业,因为数据的损毁可能立即破产,40%会在两年内宣布破产,只有7%不到的企业在五年内后能够继续存活。
信息生活,别无选择;信息安全,刻不容缓!
前进途中 我们究竟还差多远
对于我们的祖先来讲,先生存,才能图发展;对于信息化社会的我们来讲,先要安全,才能放心驰骋网络。
这个道理不言而喻。
各国政府对信息安全问题的重视,更是强调不遗余力。我国政府出台国办27号文件高度强调了信息安全对国家安全的重要意义,并提出实行等级安全保护制度。而最近,美国总统布什发布的《关于网络空间安全的国家战略》报告,指出:“网络空间对于本土安全与国家安全来说都是至关重要的。安全而且可靠的网络空间是支撑国民经济、关键性基础设施以及国家防卫的支柱。因此,‘关于网络空间的国家战略’是一项必须加以实施的战略。”
在政府以及社会各界的高度重视下,毫无疑问,网络安全是眼下最炙手可热的产业。在IT经济日趋平缓,IT产业缺少亮点的时候,安全市场表现出的成长潜力让业内外人士趋之若骛。数据是最诚实的,它告诉我们,2003年,中国网络安全产品市场的总销售额达23.57亿元,比2002年增长了5.21亿元,增长率为28.4%,保持了较高的增长速度,其增长率高于中国计算机总体市场的增长率,也高于国内绝大部分行业、产业的增长率。
可是,热闹归热闹,在热热闹闹的产业市场一片繁荣后面,一些不易看到的东西,不由得使我们深思。曾记得,业内人士把2003年高兴的称为“网络安全年”,其意思是本年内,网络安全市场繁荣,技术、产品层出不穷……然而,ISCA试验室恶意代码研究部主任布鲁斯-休斯(Bruce Hughes)却称:“毫无疑问,2003年的网络安全情况是有史以来最差的一年。”据统计,2003年出现的几种病毒,包括Slammer、冲击波和Nachi等,全年共感染了数万台服务器和工作站。
信息网络化使我国面临信息安全的挑战日益增高。目前,因特网已覆盖我国几乎所有的城市,并有3000多个政府数据库和10000多个企业数据库与之连接,且发展加快,信息网络的开放性和交互性等特征,同时又带来了信息安全的先天性不足和脆弱性,加之我国在信息网络安全技术方面的差距、相关法规滞后、管理水平较低以及发达国家的技术封锁,使信息安全问题日益增大。
近来,最引入注目的动向就是新型蠕虫病毒的增多,这些新型病毒不再通过传统的电子邮件方式进行传播,而是通过软件漏洞和互联网上的开放端口直接攻击网络系统。而黑客入侵的方式方法也更具有了高技术、简单化和工具化等特点。尽管网络安全厂商不断的推出产品和技术,但网络犯罪、黑客、病毒事件却反而有上升的势头,统计资料显示,2003年底出现的病毒数量比年初时增加了2倍。
有人说“道高一尺,魔高一丈”。我们感觉到一种巨大的距离,我们的安全保障、安全技术甚至全社会都在努力让我们的网络更安全,但是这个努力就像一头勤奋的骏马在往前飞奔,可同时,黑客、病毒以及网络漏洞隐患却像一列征驰的列车,不断超越着我们的每一点进步和每一个漏洞的弥补。始终把威胁留给人们,而且威胁越来越大。
我们不禁回想起了以往的安全事件,正是黑客与技术的结合制造了各类信息安全事件。爱虫病毒导致了120亿美元的损失,但是在此事件发生不足十个月的时间之后,全球依然遭受了病毒Anna Kournikova的袭击,难道我们没有从爱虫病毒的袭击事件中吸取教训并取得技术突破吗?事实上,大多数受害组织都努力了,可是威胁还是依然,因为直接从技术的角度去寻求解决方案,尚且不能彻底,何况我们还有无数的法律、文化差异、安全意识等等漏洞没有全面弥补。无数次的惨痛教训使我们得出一个教训:安全必须全面,网络的安全,离我们还有很远的路,我们必须更加严谨与努力,否则1%的漏洞,都会让我们承担100%的后果。
某黑客网站打出一句醒目标语,“未来的权力,掌握在黑客手中!”
在让人们一阵的心悸之外,也让人看到信息安全现在的处境堪忧。
《黑客帝国》有句名言:“万事有始皆有终!”
目前的安全产业界在一阵的繁荣之后,是否都应低首沉思,怎么样让黑客、病毒们有始的来,有终的去?怎么样让我们至少目前不再尽力了还有那么大的差距?
全网安全 从概念走向理念
在信息安全业界这样一个热闹而冷静的时刻,一个同样热闹而冷静的大会适时地召开。第五届信息安全大会,以独有的视角,汇集与会专家和业界泰斗们的碰撞与思考。
让我们明白一个道理。
安全没有绝对的,但是安全需要全面的。全网安全,将是未来信息安全前进的一个全新思路。
本次大会的探讨,使全网安全,就像冰山露出之一角!即便还有不甚完备的地方,但是已经不再是曾经的一个空洞的语词概念,而像站在高山之巅能看到那轮快要喷薄而出的红日一样,给我们展现了信息网络安全的未来、前景和理念!
什么是全网安全?
全网安全,从整体保护出发,协同网络七层的安全技术,变被动防御为主动防护,会同社会意识、法规监管、等级保护等制度体系,搭建起信息网络全面安全的体系架构。
国信办网络与信息安全组专家贾颖禾指出,“全网安全”要求国家、企业、个人共同构筑国家信息安全保障体系,贯彻国家27号文件提出来的积极防预、综合防范的策略原则。
赛迪集团副总裁徐东英指出,仅仅主机安全不是全网安全,要桌面、服务器、网关等每个节点都安全;仅仅应用层安全不等于全网安全,要保障网络七层都安全。
某国际著名安全厂商的中国区执行总裁说,当传统单一的杀毒软件、防火墙等安全产品已经不能满用户的安全需求时,集成多项安全技术的整体解决方案走上舞台,这种将防病毒、防火墙、IDS等多项安全技术紧密集成在一起的更加智能化的解决方案,可以说是全网安全的基石。全网安全要求网络安全产品不再是局限于单一功能,安全防御也不仅仅体现在某个环节上。信息安全将发展成一个动态的、立体的、全面的体系。所以只有搭建整体的防护体系,形成全方位的安全保护,才能确保最佳安全效果。
国内某知名厂商专家说,“全网安全”应从保护、检测、反应、恢复反制、预警五个环节构建一个完整的信息安全综合防范体系:一方面我们要同时展开对保护、检测、反应、恢复反制、预警等几大类技术与产品的研究与开发,另一方面从信息保障体系的设计上也要综合考虑保护、检测、反应、恢复反制、预警几个环节。
……
专家们的话语,让我们对“全网安全”的理念有了窥斑见豹之感。尽管“全网安全”体系的建立,我们还有一些摸索的路要走,但是我们相信,道路是曲折的,但前途已经展开了光明。
美好前景的召唤,良好市场的烘托!
围绕着信息安全的各界人们,要做的事情还有很多!
让我们的网络安全更全面,就是让我们的全网更安全!
安全产业 忧患中打造明天
信息安全产业,从很短的时间迅速发展到今天,有够多不成熟的地方是我们不必过于苛求的。
应该看到网络安全最薄弱的环节并不是系统漏洞,而是人的漏洞。
安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人(或者说一部分人)。那么我们与信息网络安全威胁的斗争,实际上是与人(或者说一部分人)的斗争,这样性质的斗争,自不待言,注定了它的艰巨性、复杂性和持久性。
是否我们就此就有些失望与悲观呢?是否那些网络“阴晦”总是围绕着我们信息时代的发展呢?答案当然是否定的!在网络时代迅猛其实也刚刚开始发展的今天,各种各样的信息安全问题,会层出不穷,人类在跨入自身一个崭新的时代发展,也是没有先例的,是摸着石头过河。我们相信,只要黑客、病毒那些威胁网络信息安全的因素不符合我们大部分网民的利益,不符合绝大部分企业单位的利益,不符合国家与社会的利益,不符合人类发展、交流的愿望和利益,那它就没有理由能够长期存在,甚至“茁壮成长”。而人类发展的潮流就像长江的奔腾,是不可阻挡的。
更何况,市场的力量更是强大的。安全产业美好的市场前景一直在召唤着我们。调查显示,国内用户的安全意识已大幅提高,网络安全市场容量也得到大幅提升。从各方面汇集来的数据都表明国内的安全市场还在继续蕴酿和扩大之中。《中国互联网络发展状况统计报告》表明,我国已经有8千多万网民。信息产业部发布的数字称,我国的移动通信用户达到2.9575亿户,是世界上移动用户最多的国家。网络市场的发展同步促进了安全需求,需要保护的网络内容将越来越多。如果说上述安全需求充分显示出来还需要等待时日。近期国家陆续启动的电子政务工程和数字奥运将是拉动网络安全市场的动力因素。现在来看,计划用于政府电子政务IT建设的投资市场规模至少将达到400亿人民币以上。以常规的用于网络安全投资占据电子政务总投资15%的比例来计算,电子政务中的安全投资就可以支持安全市场的茁壮成长。这些强大的市场力量,将客观激励更多的人们去投入信息安全领域的斗争。
所以,站在我们目前的安全曲折道路上,我们能够坚信,我们的信息网络社会的前途是光明的!
对于从来没有遇到过的信息安全的状况和情形,我们不必害怕!
毕竟,我们已然前行!