随着网络迅速地走进人们的生活,网络信息安全问题也不断出现。不久前的海信事件再一次使网络信息安全成为人们关注的热点。
据调查,目前国内80%的网站存在安全隐患,20%的网站有严重的安全问题。一位“黑客”甚至说如果他敲键的速度足够快的话,一天可以黑掉100个网站,寻找网站的安全漏洞简直成了体力活!
为什么网站的安全系数会如此低呢?许多从事网络信息安全研究的人员认为主要是没有安全意识。编写过网络系统扫描工具的小榕曾经发现一些网站存在安全漏洞,并给网络管理员发Email指出补救办法,可半个月后,他却发现这些漏洞仍然存在。而专业从事信息安全服务的北京中联绿盟公司副总经理高永安的遭遇则更有代表性:他与一些网站谈业务时,许多网站拒绝的理由都是“我们的公司还小,不会像雅虎、亚马逊那样成为黑客攻击的目标,并且我们的数据都有备份,即使被黑,也不会有什么损失。”对信息安全如此漠视,网站的信息安全系数自然是无法提高了。
增强安全意识并不是要进行物理隔离,企业在安全问题上也不能过分强调国产化。事实上许多国产的安全产品,如防火墙,其核心技术还是国外的。某部队研究所的高峰说:“在计算机核心技术和系统软件方面,国内产品的性能还不能达到应用要求,因此只能在国外产品的基础上进行改进和加密。”而对计算机系统进行物理隔离,则跟害怕出事故而拒绝使用汽车一样幼稚。这些都是缺乏正确认识,对网络安全过分担忧造成的结果。
北京高阳信安信息技术有限公司的韩涛认为,信息安全来自三个方面:技术、管理和学习,加强信息安全不能光做技术,还要重视内部管理和人员培养。南京补天和瑞公司总经理陆扬进一步解释说:“网络信息安全关键在人,即使你的安全措施再严密,甚至进行了物理隔离,但如果内部人员被人收买了,同样没有安全可言。”正如天极网CEO李志高所说:“网络安全是一项浩大的工程,也是一个渐进的过程,任何一个技术人员、一家厂商都不可能独自建立起最高性能的产品,只有大家联合起来,共同参与这项工程的建设,才有可能筑起Internet的铜墙铁壁!”
不管是国内还是国外的信息安全公司,其创始人原来一般都是信息安全爱好者。作为信息安全爱好者,他们都是技术完美主义者,在个人品质上也可圈可点,但是一旦面对商业利益,再正直的“完美主义者”也难保不失节。在美国,网络公司对信息安全的投入占公司总支出的的15—20%,按照这一比例,我国信息安全市场容量将达到1000亿元。正是看到了这一巨大蛋糕,今年2-3月份,我国有12家上市公司在信息安全领域进行了投资,从事信息安全服务的公司超过一百家,但是目前我国信息安全市场却相当混乱。据透露,有些安全公司为了获得业务,刻意地寻找甚至制造一些网络公司的系统漏洞,然后以此为筹码与网络公司谈判。天极网网管王成刚说:“我们不会轻易将安全业务外包给安全公司去做,因为目前安全公司的信誉不高,这样做风险太大。”雅宝的系统工程师苏冰也有相同的看法,并且认为目前国内的安全公司技术水平较低,作为网管,他更多的是从国外安全网站上获取信息对系统安全进行维护。
另外,国内一些安全厂商往往不注重修炼内功,却不断进行商业炒作,甚至动不动就扛起民族的大旗。虽然从商业角度来说,一定限度的炒作也无可厚非,但我们必须正视我国信息安全产业的落后性。我们应该重视并发展民族安全产业,但如果举着民族的大旗卖低劣的产品,这显然是不能接受的。
那么应该如何规范信息安全行为呢?肖新光认为:“必须从政策、法律和道德三个方面加以规范。”但目前国内这三个方面都比较薄弱,政策和法律有一定的滞后性,而道德在商业利益面前往往又不太可靠,并且规范的权威性需要国家来树立,因此,国家必须在规范信息安全方面发挥更大的作用。
应该说,今年2月以来媒体关于信息安全的报道无疑对提高人们的安全意识起到了一定的作用,但也不可否认,当前不管是企业还是媒体,对信息安全都有炒作之嫌。
一些媒体片面追求轰动效应,往往利用人们的猎奇心理炒作黑客事件。肖新光说:“媒体报道黑客事件时有两个错误倾向,一是玄化,将信息安全和黑客说得神乎其神;二是过分美化,将黑客塑造成英雄和偶像来崇拜。”前一段时间一些媒体大规模报道了一个17岁就身兼三家公司CEO的“网络安全神童”,据说他三天时间里写出了20万字的信息安全专著,但据知情人士介绍,所谓的“网络神童”其实是一个“剽窃专家”,其专著也不过是抄袭之作而已。很显然,这样的炒作只能误导信息安全的发展。
随着计算机普及,在我国新一代青少年中很有可能产生像凯文·米特尼克那样的超级黑客,据最近在广州进行的一次调查显示,4%的小学生希望成为黑客。因此媒体必须加强引导,不要盲目地炒作黑客行为,更不能鼓吹黑客的破坏性。
然而,更为可怕的是有些企业甚至抱着“我被黑我光荣”的态度炒作自己的安全漏洞,把网站被“黑”当作一次难得的企业宣传机会,甚至网站尚未开张,就先指责竞争对手搞破坏。事实上,这种炒作行为可能比安全漏洞本身还要危险。
天极网CEO李志高认为,目前国内对信息安全在认识上有很多误区,人们的安全意识相当淡薄,媒体在信息安全问题上应该起到正确的引导作用,让更多的人来关注信息安全问题,而不能盲目的炒作。媒体也应该对信息安全负责,通过宣传来提高大众的信息安全意识,真正提高我国的信息安全水平。