论文部分内容阅读
美丽的严望佳女士,领航信息安全,十年风雨兼程,悟出一个道理——“人能弘道,非道宏人”。《论语》中的这句话,包涵着国学中的“自力更生”、“自强不息”的人文精神,也体现出“道可道,非常道”、“上下相倾,有无相成”的辩证法精髓。时下,网络黑客甚嚣尘上,计算机病毒无孔不入,更应该坚信“人能弘道”的创业理念。
人类自己是计算机病毒的始作俑者
计算机病毒俗称“电脑病毒”。其主要危害是:攻击硬盘,使硬盘上的信息丢失;删除软盘、硬盘或网络上的可执行文件或数据,使文件蒸发;占用磁盘空间,鹊巢鸠占;影响CPU运行,效率低下;破坏主板BIOS内容,“坏你没商量”;影响屏幕显示和键盘输入,鬼画符等。
據记载:1983年11月,美国首先提出了“计算机病毒”的概念。1987年,第一个真正意义上的病毒C-BRAIN出现了,它是公认的真正具备完整特征的计算机病毒鼻祖。这个病毒程序由巴基斯坦的巴斯特和阿姆捷特兄弟编写。他们在当地经营一家贩卖个人计算机的商店,只要有人复制他们的软件,C-BRAIN就会发作,将盗版者的硬盘剩余空间吃掉。后来有人以C-BRAIN为基础制作新的病毒,造成巨大的破坏力。1988年前后,“石头病毒”和“小球病毒”跟随软盘,通过香港和美国,进入中国大陆,其中“小球病毒”是我国发现的第一个计算机病毒。
目前,信息安全已经成为人类生活中不可或缺的组成部分。如果我们不加防范,诸如“熊猫烧香”、“仇英”、“性感烤鸭”、“灰鸽子”等层出不穷的电脑病毒和“木马”、“黑客”肆无忌惮地攻击,将会成为我们生活中比“霍乱”、“鼠疫”、“非典”更可怕的灾难。只不过一个是“天灾”,一个是“人祸”。
全方位立体防御应对电脑病毒威胁
比尔•盖茨在“RSA-Conference-2007”大会上主题演讲时说,“在因特网出现之前,我们为什么是安全的?因为我们的数据都是放在隔离的数据中心里,按照这种思维,就建立了网络边界。似乎这是一种合理的方法,但实际上,在因特网出现后,更多的合作伙伴和客户将要访问公司的网络,这种边界是不合适的,已经开始阻碍业务的发展。”因之,“网路威胁无处不在”!
微软的另一位网络专家王健先生又说,“全世界受黑客、病毒、垃圾邮件干扰的企业和组织是哪个?不是微软,是美国国防部;微软是第二个。针对微软的系统,每天有超过4500次的攻击。在全球范围内,有几万名微软员工在互联网上协同工作,但微软的企业系统、邮件系统、工作系统没有瘫痪过。这个现象值得深入探询,如何利用最新的IT技术,如何利用微软的技术保障企业的稳定运行?……”虽然这是似嫌带有“广而告之”意味的表白,却也提出一个值得人们关注的问题——“开拓网络应用安全之道”,当是各个国家都必须重视的“生死存亡”的大问题。日前举行的“第八届中国信息安全大会”,提出的“立体防御应对安全威胁”,就是一种痛定思痛的信息安全新理念。
从政策层面看,我国已经明确地把网络安全提到高端议事日程。胡锦涛总书记在中共中央政治局第38次集体学习时强调指出:“要坚持依法管理、科学管理、有效管理,综合运用法律、行政、经济、技术、思想教育、行业自律等手段,加快形成依法监管、行业自律、社会监督、规范有序的互联网信息传播秩序,切实维护国家文化信息安全。”
从技术研发讲,IT业界的防范已经“从核心安全向边缘过渡”。以往“计算机安全”多从“核心安全”着眼设防,诸如用“加密”、“防火墙”等措施来保护信息安全。在大型系统或处理金融、国防、政要等系统中,计算机要求有专门的监督设施。计算机数据的完整性可通过保护措施来维护,诸如:将文件加上“口令”;将文件标识“只读”以防被修改;对硬盘进行物理加锁;将重要信息存储在移动设备里,并保存在安全的地方;安装专用的防病毒程序、设置“防火墙”等等。在多人访问的计算机上,维护安全的方法是要求有关人员使用口令及只允许合法人员进入使用。
然而,“道高一尺,魔高一丈”。计算机的问世,使地球“缩小”为“村庄”,给善良的人们带来极大的方便;同时也为“小人”和窃贼提供了犯罪的机会。一些不法之徒挖空心思地“潜入”网络,窃取他人的机密资料和个人信息,恶意破坏他人的电脑。据专家分析,我国75%的网站是不安全的,35%的网站可以轻易入侵。于是,经常发生:计算机中的信息被删除,数据库中的资料被修改,不知何故突然“死机”……。“木马”、“黑客”、“病毒”、“垃圾邮件”、“不良信息”、“网络犯罪”等,简直就像生活中的“幽灵”,看不见,摸不着,给世界造成破坏,给人类带来烦恼。
“全方位立体防御应对安全威胁”重在观念的转变。昔日,人们强调安全产品的技术细节;今天,人们更需要对信息安全的理念、安全的构架及信息的安全技术等,进行更高层次的重新考量。“保护数据本身比建一堵‘防火墙’更为重要,也更有实效”。“我们不仅要对自己的信息系统安全负责,更要对网络连接的客户、合作伙伴的信息系统安全负责”。业界的专家已从“事后诸葛”的思路变为“未雨绸缪”的理念,这是一大进步。信息安全要融技术、策略、管理、教育于一体。从信息安全策略来看,分为“物理网络”、“操作系统”、“应用系统”和“规章制度”等四个层面。最为薄弱的环节是,时下的信息安全产品对信息内容的“监控”、“过滤”、“保护”,以及“有效合法的使用”,基本上无能为力。专家们认为,“从构筑安全的办公平台开始,从安全信息保障开始,从贯策‘应用安全’的理念开始,信息安全才能奠定信息系统成功应用的基础。”
“信息安全”是一场打不完的战争
“信息安全”在20世纪的“主机时代”,最初的涵义是指信息的保密性。随着互联网的飞快发展,人与计算机的关系发生了“质”的变化。计算机不再是数据、设备、网络、环境等物的因素,更重要的是要面向使用者——人。“成也在人,败也在人”。因之,目前的信息安全已经不可避免地涉及到“攻击”、“防范”、“监测”、“控制”、“管理”、“评估”等多方面的基础理论和实施技术。
“绝对安全可靠的信息系统并不存在”。一位业界专家解读说,“所谓的安全系统实际上就是使入侵者为了闯入不得不花费不可接受的时间和金钱,并且承受很高的风险。”在“网络悄悄改变我们生活”的同时,人们对“潘多拉的盒子是‘天使’还是‘魔鬼’”提出了质疑,并进行沉重的思考。答案是明确的——“天使”和“魔鬼”共存;“魔鬼”就在我们身边;“猖獗的恐怖活动”甚嚣尘上;国家安全面临“黑客”骚扰。人类必须进行反思——斩断黑手靠技术还是法律?是对“黑客‘招安’”还是“严惩不殆”?于是,“黑客伦理学”应运而生。“隐私”公开了,“信息垃圾”充斥空间,“黄尘”滚滚毒害“人之子”的灵魂,更可怕的是国与国之间的“信息战争”必不可免。垄断信息资源和控制信息传播手段比挥舞“核大棒”更可怕。网络犯罪日趋“国际化”、“技术专业化”、“动机复杂化”,更令人不安的是犯罪者“年轻化”。
“信息安全”是一场打不完的战争!目前的态势仅仅是开始,绝非危言耸听。我国古代的军事家孙子曰,“上兵伐谋,其次伐交,其次伐兵,其下攻城。”另一位军事家明人刘伯温也有言,“凡用兵之道,以计为首。”窃以为,网络犯罪和信息战争,只要有人类,就不可避免,我们就必须及早地制定“应对策略”。“凡事预则立,不预则废”。预什么?答曰:一是“技术产业层面”必须高屋建瓴和掌握先进;二是“法律法规层面”要有法可依和执法必严;三是“管理层面”重在监督和制定标准;四是“教育层面”要转变观念加强安全引导;五是“培养人才”“要从娃娃抓起。
我们笃信“人能弘道,非道弘人”的理念,人类将在战胜各种“病毒”中前进!