创建可信绿色网络空间

宁家骏

随着信息化建设的迅速进展，信息安全再次成为了人们关注的焦点。现代信息革命给社会和经济发展带来的不仅是巨大的推动作用，同时也造就了现代社会空前的脆弱性。还要看到，信息安全的脆弱既暴露出了信息安全产业的软肋，也在为我国和全球新一轮的产业变革酝酿着巨大的机遇和新的挑战。 

信息技术的脆弱性给信息安全蒙上了阴影

回看近十年来的发展，一方面随着基础网络和重要信息系统建设的迅猛发展，上网的民众是越来越多，各行各业对信息化依赖的程度越来越高；但另一方面，由于信息技术脆弱而引发的信息安全事件层出不穷，信息安全的状况难以令人感到满意。例如，以程序溢出方式的攻击是越来越多了；围绕着服务的漏洞进行蠕虫传播是越来越快了；代码量越来越大功能越来越多的操作系统是越来越脆弱了……，人们不禁要问，信息安全状况是不是越来越差了呢？

我们可以简要回顾一些由于技术脆弱而引发的安全事件：1995年Sendmail 5.x无效MAIL/RCPT命令远程执行任意命令漏洞。5.x版本的Sendmail在处理无效的MAIL/RCPT命令时存在输入验证漏洞，Sendmail会不加检查地把用户输入的命令重定向到另一个程序执行，远程攻击者可能利用此漏洞在主机上以root用户的权限执行任意命令。作为当时首屈一指的Mail Server，这个漏洞的出现，让许多主机的root权限都被获取，进而被放置了木马/后门等。

1996年Microsoft PWS被发现远程目录遍历漏洞。导致了允许远程攻击者通过在URL中插入特殊请求访问WEB上级目录的文件，造成目录遍历，以进行非授权访问和有权查看隐藏文件。

1999年，Microsoft的IIS 4.0和Linux/FreeBSD爆出多个漏洞和缓冲溢出错误。给程序本身受到攻击提供了方便之门，能够跳转到有效目录进行更大的破坏活动。至于2000年微软Windows 2000输入法漏洞，导致登录验证可被绕过。方法之简，足以让我们汗颜，使得攻击成为在想不到的角落里被捅上一刀的致命风险。

之后从2001年开始，一个接一个的蠕虫攻击，使得我们防范格外吃力和被动；由于IIS的unicode漏洞，导致该病毒能够不断地感染/再传播装有iis的机器，通过主动感染，通过Web页被动感染等多种方式进行的攻击，已经模糊了病毒/木马的界限。2003年年初SQL蠕虫扩散，导致中毒的机器数量剧增。由于灾情严重，当时的感觉就是“互联网挂掉了”；之后当冲击波蠕虫来袭击时，其传播速度之快，范围之广，更令用户吃尽了苦头。这使得我们不得不得到一个结论：软件的功能并不是越强大越好，一些周边的功能或许正是带来非安全因素的根源。因此出于信息安全保障的理由，必须从IT技术设计的总体上加以把握，才能使得BUG有可能减少，发现漏洞的能力增强，“打补丁”的速度加快，事件处置的效率更高，而不是仅仅单纯从工程实现的角度考虑。

解决信息安全问题关键在于加强管理

必须看到，现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，常常是其中一些环节，甚至连系统的设计者、实现者都容易忽略的。因此，不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。

我们面临的信息安全问题还不仅在于IT技术的脆弱性更在于不同价值观的挑战，在于不法之徒或敌对势力集团的威胁，因此加剧了信息安全事件发生的可能性。必须看到这些安全事件不仅给我们各行各业的业务可能带来损害，还会给国家安全、经济与社会安全带来极大的损害，也会给公民特别是未成年人的隐私权受到侵犯。因此必须高度关注信息安全问题的解决。

在当今信息化环境中，随着信息的重要性被广泛接受许多组织对信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。目前安全管理工作中管理不到位的主要问题包括：措施不到位、信息安全人手不足、安全策略不一致与不持续以及缺乏系统而持久的信息安全的培训等。

解决这些安全问题，关键在于加强管理。要通过信息安全管理体系的建立和完善，通过各级领导和部门、单位的高层领导统一认识，确立信息安全发展战略，培养全社会信息安全意识和企业、组织与个人的自律意识。我们相信，通过信息安全保障体系的建设，能够逐步提升业务的连续性保证，提高虚拟空间的信任度，抑制不轨行为，依法保护公民隐私，有效打击计算机犯罪，创建更加“洁净”的可信绿色网络空间，提升人们的生活质量，为和谐社会的建设做出更大的贡献。

（来源：《计算机安全》2005年第4期）