IT技术日新月异，企业IT系统越来越来越复杂。安全威胁无处不在，“信息新安全”已经成为当今社会关注的重要问题之一，硬件要安全，软件要安全，无处不在的接入网络也要安全……信息安全产业迎来了自己的需求“井喷”时代。
   
    “信息社会，安全基石”。对于众多安全企业而言，在看到巨大市场前景的同时，如何协助行业部署新一代信息安全的“马其诺防线”……无限商机的背后，一场没有硝烟的战争已经打响。
   
    一、信息社会 安全基石
   
    中国家信息中心信息安全研究与服务中心　李少鹏 现任职于国家信息中心信息安全研究与服务中心，中国计算机安全网站内容主管。
   
    从互联网的前身—阿帕网（APPANet）的建立，到目前全球数以亿计的上网用户;从美国政府于上个世纪90年代提出的“国家信息基础设施”（建设信息高速公路）计划，到以互联网为核心的综合化信息服务体系和信息技术在全世界各领域的广泛应用；从1971年第一封以@为标志的电子邮件的发出，到现在全球每天360亿封的电子邮件往来。当今世界的政治、军事、经济、文化等各个方面都已经离不开信息技术的强力支撑，以互联网兴起为重要标志的现代信息化社会已经建立。
   
    随着社会的发展和稳定对信息的依赖性越来越强，始终伴随着信息化的信息安全问题在最近几年迅猛放大，已经成为抑制全球信息化进程发展的重大障碍。
   
    从无伤大雅的恶作剧脚本，到造成几十亿美元的蠕虫病毒，从以信息共享为名的盗版软件，到如今泛滥成灾的流氓软件，信息安全已经从神秘的黑客世界走入到每一个计算机用户的面前。如何正确、有效判别这些潜在的信息风险，关系到当今社会信息化发展的大计。
   
    不可避免的安全危胁
   
    写一段没有任何运行错误的程序代码对于一个程序员来说很容易，但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够，问题出在程序员身上么？要知道，即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞，这早已不是什么新鲜的事情。
   
    计算机世界的霸主微软公司的程序员可都是一流的精英，先不说过去Windows、Office系统中至今还补不过来的千疮百孔，往前看其新一代的号称最安全的操作系统Vista，公开的Bug已达2万个，问题代码更是多达几十万行，发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的，可在一个0和1的数字世界里，复杂才意味着技术的前进、使用的便利、功能的强大，如今许多人早已明白：没有任何问题的代码只能是没有任何功能的代码。
   
    除了程序代码设计本身的问题，安全漏洞还存在于通讯协议、网络架构、交互模式、电子辐射、信号外泄，甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方，漏洞也不可避免，而只要漏洞存在，那么威胁永远存在。
   
    触目惊心的安全事件
   
    2004年10月至2005年1月，某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站，致使该公司蒙受重大经济损失，这是我国首例如此大规模的“僵尸网络”攻击案；
   
    2005年4月11日，全国超过二十个城市的互联网出现群发性故障；同年7月12日，北京20万ADSL用户断网；
   
    2005年10月，网易计算机系统公司发现与北京市网通合作项目中，价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张，总价值155万余元；
   
    2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库，盗窃了价值380万元的充值卡密码……
   
    公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示，在被调查的一万三千多家单位中，54％的被调查单位发生过信息网络安全事件。
   
    同时，最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示，89％的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13％，名列全球第二位，而仅在2004年，公安部侦破的网络诈骗案件就达1350起。对此，国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下，发起成立公益性的“中反网络钓鱼联盟”。2006年8月，广东首次公开处罚垃圾邮件发送者，这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。
   
    安全法规需进一步完善
   
    从1989年《中华人民共和国保守国家秘密法》伊始，到2005年《电子签名法》的实施，我国目前现行的与信息安全直接相关的法律、规章和制度有65部，“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”，可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）通过后，电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台，不仅规范了信息安全市场，还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用，同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。
   
    尽管如此，现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前，我国还没有一部严格意义上基于信息安全的基本法，同时这为信息安全标准与政策的制定与落实带来了一定的难度。
   
    层出不穷的攻击手段
   
    目前流行的攻击手段有很多，除了病毒、蠕虫、口令破解等传统方法，木马、网络钓鱼、SQL注入等较为新型的攻击方法，其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及，应对起来容易些。值得特别注意的是以下三种攻击形式，分布式拒绝服务攻击、零日攻击和社会工程学攻击。
   
    分布式拒绝服务攻击至今还没有特别有效的防范方法，其具备攻击方法简单和攻击源无法确定的特点，上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机——“僵尸网络”，通常借助通讯工具或电子邮件来植入木马，并通过新的系统漏洞的出现而达到顶峰。
   
    零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击，这种攻击最为致命和可怕，因为任何人都很难对未知的情况做出正确的反应，此种攻击成功率高、隐蔽性强，往往针对某个既定目标，是今后安全防范工作的最大隐患之一。
   
    最后一种是社会工程学，实际上它是一种非技术手段的攻击，它的直接攻击对象不是数据库也不是防火墙，而是能够出入这些敏感地带的人。技术再高也是由人来操作的，安全防范做得再好，得到授权的人也是可以出入的。世界著名黑客凯文·米特尼克在《欺骗的艺术》一书中写到：“安全不是技术问题，它是人和管理的问题……”，“由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难……”，“精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险，然而却没有解决最大的漏洞——人为因素。”因此，在如今信息安全技术已经趋于成熟的环境下，正确的安全防范意识无比重要。
   
    目前，仍然还有许多人普遍缺乏安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……，这样的安全事件几乎天天都在发生，其关健原因在于安全管理和意识的匮乏。对于被动的防范来说，意识要重于技术，甚至会超越技术。
   
    安全技术任重道远
   
    广义上的信息安全包括了众多内容，信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化，是信息安全技术发展的重要趋势。目前主流安全技术不外几种。
   
    主动防御
   
    虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上，目前的主流产品还是在遵循“病毒产生——研究特征码——升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。
   
    生物识别
   
    从用户名加口令到加密锁，再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术，可目前最为广泛应用的还是最初的用户名加口令身份认证技术，简单易用，且能够保障基本的安全需求。但不可否认，生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。
   
    可信计算
   
    严格的说，可信计算并不能算一项新兴技术，早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后，国家将其列入“十一五”规划重点支持项目，相关企业也成功的生产出TPM的安全芯片，但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。
   
    灾难恢复
   
    实际上，灾难恢复主要不是技术问题，而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来，银行、电信，海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环——灾难恢复的管理和实施带来了强有力的促进和重大指导作用。
   
    二、思索信息安全：内涵与外延
   
    中国信息安全产品测评认证中心副主任 江常青 中国信息安全产品测评认证中心副主任，系统工程实验室主任，国际组织IEEE，ISSA，ISC2及ACM成员。中国第一个CISSP认证证书获得者。
   
    要谈论信息技术发展的趋势和信息安全面临内外部环境的变化，就像一个一直在匆匆行路的人，突然要停一下，观看周围环境，预估和展望前面的道路。 但是要想象前方，恐怕先要回头看看走过的路，因为有两种可能：一种是走出来的路，过去和现在影响着未来；二种的情况是，也许路一直在前方，变化的则是我们的认识和行为。无论怎样，“时而思”比不思则罔更有益。
   
    信息安全的历史有多久？五年，五十年，还是五千年？都可以。
   
    目前，国家、企业和个人开始认识并重视信息化所带来的安全风险问题，以及国内出现专门的信息安全从业人员，仅有5-10年；而以现代计算机的发展与应用算起，信息技术渗入现在社会生活带来的信息安全问题，这段历史达到了50年；其实，自从人类文明伊始，文化和信息的使用开始就存在信息安全问题，这是5000年的历史。但是，历史从来没有象今天这样迫使我们必须去思考和面对信息安全的问题，因为当今是高度信息化的社会。我们生活在一个信息世界中，信息安全问题关系到每个人、家庭和社会各个组织机构。
   
    从辨证学角度来说，变是绝对的，也是相对的。在5～5000年这个“漫长”的尺度上，信息安全领域有的在变，而且变化很大；有些东西也许并没有多大的进展和变化。处理信息的设施在技术发展中变化着，解决信息安全的具体技术措施和手段也随着发展，信息安全的内涵也不断延伸，但有关信息安全的一些关键和核心的问题并没有得到探讨与思考。
   
    “谁的”信息安全？
   
    信息安全自身没有价值和意义，它对于信息和信息系统所有者、管理者、使用者、监管者才有意义。因此，同样一个信息及其系统对于不同的人、组织甚至国家的意义是不同的，因为其安全的目标和需求是不同的。比如说，某商业银行的信息系统，对于银行自身、银行监管部门，以及政府来说，安全价值与意义有着根本的区别。作为企业的银行，其安全核心是保障组织机构的正常运行和获得商业利益的能力；作为行业管理部门是金融安全风险的一个组成部分；从国家和政府部门来说它是事关国计民生的重要信息系统，它的安全影响社会。
   
    “什么的”安全？
   
    从历史发展看，信息安全逐步从信息传输的安全，发展到信息产生，传输、处理、存储等整个生命周期的安全。同时，信息安全也从单纯的指信息数据的保密安全，扩展到支撑信息流动的软硬件、载体的IT安全。在新一代信息技术大规模普及的今天，信息安全还包括信息的使用安全，信息内容的安全与信息及信息系统互动的人的安全等方面。
   
    因此，信息安全不是孤立的。当我们谈论安全时，一定是指特定对象的安全，同时要强调这个特定的对象是对于谁而言，言论中的安全必须在明确的上下文环境之中，否则就失去意义和准确性。
   
    安全是什么？
   
    安全是一种或多种性质或属性吗？它和色彩，质量是对象的属性类似吗？这个问题很难回答。假设安全是“属性”，安全信息安全经典定义中的保密性、完整性、可用性。这三性都是以否定语句来定义的。要证明一个肯定的性质存在比较容易，找到它即可。要证明“不被修改”等类似否定语句的性质比较困难。 此外，要证明信息或系统同时满足三个性质更为困难，因为这些安全性质是动态变化，它会随着外部对手和系统内部自身变化而变化，也就是常说的今天的安全难以保证明天的安全。因此，很有必要反思安全作为性质是否妥当。近年来，从风险角度来重新定义安全的趋势十分明显，将安全定义为风险可控可管理的过程。这样一来，安全就不是系统自身的性质了，转化为对抗风险的保障能力。安全保障能力由技术、管理、人等措施来构建起来，安全亦被风险和保障两个概念所取代，隐身在后面。安全与否不再是去寻找这些性质存在与否，而是去计算保障是否大于对应风险。如果是，就是安全。这种重新定义的安全将不再是性质，而是个过程和目标，通过过程去达到目标，而目标反映了信息安全在上下文环境中特定要求。
   
    这些探讨和思考能否达到我们理解信息安全的本质，笔者不得而知，但是这是一个探索的过程。在信息技术层面上，在我们实际可以设计实现的信息处理技术的进展中，可以看到未来信息安全技术的发展趋势：
   
    软件安全
   
    软件是构建信息世界和社会的核心部件，安全问题的产生很大程度上来源它的不安全、不可靠，如何提高软件的安全性将会是个重点，有理由相信，随着软件形式化、自动化的提高，其安全性会快速的提高。
   
    安全度量
   
    有人说，不可度量的不是科学，信息安全正处于这样的境地。确实，目前我们还无法在信息安全领域找到类似物理世界的度量，如时间量、空间量、质量等，也没有类似比特的信息量，因此信息安全要成为科学还有很长的路要走。但尽管如此，我们已逐渐找到一些度量，它对提高安全是有好处的，比如安全功能强度，人力的部署和能力提升，过程控制的环节等等。
   
    信息流控制
   
    除了人、管理、网络系统外，信息安全的核心问题还是保证数据和信息的安全。信息流如何开放的网络系统环境中，如何在不可信、不安全的环境中构建可信的信息流动和控制机制是必须要解决的问题。因为数据和信息不可能像物理世界中永远被隔离和锁在保密柜中，它必须给该看到的人看到，就和货币要流通一样，安全必须找到自身的动态价值。
   
    抗攻击技术
   
    由于对手一直存在，破坏安全的外部因素不会消失。安全事故和事件时时都会产生，如何提高信息和系统抗攻击以及受攻击后降低损失的技术十分重要，以防范为主的安全技术将被抗攻击技术将逐步取代。
   
    内部安全
   
    安全技术也将从防范外部威胁为主， 转换到关注内部威胁为，构建内控技术和管理体系将会成为最热的市场机遇。在这里，与业务逻辑和网络行为相关安全分析成为技术难点。