摘自：计算机世界

网络安全——全球IT业的世纪尴尬
---- 在传统意义上的信息安全层次划分中，信息产品的物理屏蔽与数据保护殊为重要，但以交互为特征的网络时代，还要增添在线业务的顺利运行和防范邮件病毒的迅速传播，这是来自 2000年的深刻教训。

----恶意的黑客使用DDoS(分布式拒绝服务)攻击，用大量的垃圾数据堵塞网络，使服务器瘫痪，这对于将主营业务放置网上，一天24小时不停运转的网络服务商来说，无疑是致命的，其危害甚至比对数据的破坏还有过之而无不及。

----追根溯源，1998年9月发生的“蠕虫”事件可以说是 DoS(拒绝服务)攻击的最早表现形式之一；1999年7月，某些知名的黑客站点开始对此进行理论探讨；2000年2月，Yahoo、亚马逊、CNN因遭受DoS攻击而陷入瘫痪则使DDoS 名声大噪，业界为之动容。

----其实，DDoS的技术实现并不复杂，攻击者在被他控制的节点上部署攻击程序，自动高速地向被攻击目标发送大量数据包，致使目标服务器因不能响应如此多的请求而瘫痪。这种结构使入侵者远离攻击的目标，隐藏了入侵者的具体位置。而入侵者之所以能轻松地控制很多节点，乃是充分利用了Internet本身的弱点及Internet总体上的不安全性。从某种程度上可以断言，DoS攻击永远不会消失，而且目前从技术上没有根本的解决之道，唯一的手段就是防患于未然。但是，这种依赖于“各人自扫门前雪”的防范模式也不保险，尤其是在DDoS技术非常普及且工具众多的今天。真正的解决方法恐怕是从最底层的设计理念开始，重写互联网的既有架构，这样的想法，是否痴人说梦？

----而随着电子邮件成为互联网上的第一应用，邮件及其附件也迅速成为计算机病毒的主要传播载体，2000年每一次邮件病毒的大爆发，都带来全球巨大的商业损失。因为邮件病毒的恶劣之处在于它以几何级数增长的方式传播。例如，今年臭名昭著的“爱虫”病毒在发作后的一星期内，就扩散到数千万的用户邮箱中，所造成的损失高达数百亿美元。

----网络安全重在防范，目前我们最缺乏的是安全意识。以我国为例，众多政府网站、商务网站甚至ISP的网站都没有采取必要的防范措施，几近敞开大门任由黑客出入，这样的薄弱实在令人不寒而栗。呼唤意识的苏醒，借助专家的帮助，为自家网站做出切合实际的安全工程建设评估，是绝大多数中国网站早就应该补上的一课！

----所幸的是，今年的安全事件使人们对互联网的安全有了足够的重视。从软件到硬件，再到提供网络安全服务，各种网络安全厂商层出不穷。从科学院研究所到IT产品制造商，再到大大小小的防病毒厂商，它们已经在过去的一年中为保证信息安全做出了积极的努力。

----作为国家级的研究机构，中国科学院计算技术研究所正在积极采取措施，加大对包括网络安全在内的“信息安全”问题的研究。通过建立信息安全实验室，对信息安全技术及其应用、信息安全与系统安全的策略和实施方案等领域展开了深入前瞻的研究。

----浪潮、长城等IT产品制造商，推出了各自的安全PC，形成内外隔离的PC存储及网络接入结构，亦是一种积极的安全尝试。

----安氏互联网安全系统（中国）有限公司的“防黑、反黑” 产品在黑客攻击猖獗的2000年受到人们广泛的关注；诺方信业的“安全邮件服务”、“数字水印”方案为企业建立了一个安全的电子通道；东方龙马、正有网络、绿盟、格方、高阳等一大批国内软件和服务公司将自身定位于信息安全解决方案提供商；东大阿尔派、海信等公司则在关注其他领域的同时，也将信息安全产品作为其拳头产品推向市场；防病毒厂商则更是不断推出新产品，瑞星公司还宣布采取软件产品与ASP服务相结合的方式，为企业提供防病毒安全解决方案。

----此外，国外最著名的安全厂商在今年都纷纷进入中国市场，RSA、CheckPoint、ISS、熊猫卫士都以不同的方式切入中国的信息安全市场，甚至日本、韩国的信息安全厂商也把一支脚踏进来了。

----当然，最值得注意的是，信息安全问题已经被国家有关部门当成头等大事来抓。公安部在制定了防病毒产品的测试准则、管理规范之后，又对国内市场上销售的防病毒产品进行了公开测试；国家密码管理委员会也制定了密码产品的管理规定；银行、电信、海关、证券等行业也开始着手建立自己的信息安全体制。保障信息安全已经成为国人的共识。

PKI技术——电子商务的护航人
----电子商务无疑是互联网带来的最具颠覆性的经济革命，但迄今为止的电子商务实践只能算初露峥嵘，勇敢的先行者尚在险恶的征途中跋涉，大量后继人还在盘算能否支撑到光明的到来。除却经济环境、消费习惯、网络设施普及程度这些社会性因素外，技术环节上缺乏有效的身份验证和加密保护是制约电子商务走向繁荣的关键性因素。

----2000年6月30日，美国总统克林顿正式签署美国《全球及全国商业电子签名法》，给予电子签名、数字证书以法律上的保护，这一决定使电子认证问题迅速成为各国政府关注的热点。相信在不久的将来，电子认证就会走入人们的生活，从而使得网上炒股、网上购物、政府网上采购等大宗交易都可以通过电子签名迅速安全地完成，推动电子商务的发展。

----在这样的氛围中，信息安全技术的核心PKI（Public Key Infrastructure，公钥基础设施）成为业界竞相涉足的话题与领域。

----简单地讲，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。一个实用的PKI体系应该是安全、易用、灵活和经济的，它所包含的认证机构、注册机构、策略管理、密钥与证书管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。

----PKI的核心是信任关系的管理。CA则是确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。RA是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。

----在美国，随着电子商务的日益兴旺，电子签名、数字证书已经在实际中得到了相当程度的应用，甚至某些法院都已开始接受电子签名档案。较有影响力的国外PKI公司有 Baltimore和Entrust，其产品如Entrust/PKI 5.0，已经能较好地满足商业企业的实际需求。

----在中国，中科院信息安全国家重点实验室早就在开展对 PKI技术的深入研究，一些国内的信息安全厂商也已经推出了以PKI技术为基础的安全电子邮件解决方案和电子签名认证方案。而作为PKI应用领域之一的虚拟专用网（VPN，Virtual Private Network）市场也随着B2B电子商务的发展而迅速膨胀。据 Infonetics Research的调查和估计，VPN市场由1997年的2.05亿美元开始以100％的增长率增长，预计到2001年将达到119亿美元。

信息安全——中国如何应对？
----信息安全问题很大，中国的问题更大！多年来IT技术与产品研发能力的滞后，造成大量核心技术与产品都是舶来的洋品，而在引进时根本没有也无力进行必要的安全检测；此外，多年来，有些企业和政府部门在进行内部信息系统规划时，并没有把安全问题放在首位，结果是，尽管经过多年的信息化建设，但无论是政府部门还是企业的信息系统，安全依然是最薄弱的环节之一。因此，如何应对Internet普及带来的日益增长的信息安全问题，是中国政府和企业必须面临的紧迫问题。

----在2000年，从政府到企业甚至到个人，对信息安全的重要性都已经有相当的认识，研究院所、软件开发商纷纷加强了对核心安全技术的研究；国家有关部门也制定了相应的法律、法规；一些对信息安全要求较高的政府部门、企事业单位都加强了对安全的投入。数据库加密、CA认证、网络安全保护、防病毒等领域都有了长足的进步。以《计算机世界》报为代表的主流IT媒体纷纷举办信息安全研讨会，从产品、技术、观念、体制等方面探讨如何应对信息社会带来的安全挑战。年底火爆京城的“国际信息安全技术与产品展”也从一个侧面表现出中国整体安全意识的觉醒。

----其实，安全问题主要有三方面：观念、管理与技术。首先，“没有规矩，不成方圆”，相关法规的制定是实施有效管理的基础，在这方面需要国家有关部门的主动参与；其次，建立正确的安全观是我们要解决的第二个问题；第三在信息技术领域，从硬件芯片、操作系统、网络协议到很多安全产品都直接来自国外，我们自己缺乏对核心技术的了解，因而在某些领域受制于人。不过值得欣慰的是，国内对操作系统、防火墙、数据加密、传输安全、CA认证、防病毒等领域核心技术的研究已经开展起来，相信在不久的将来，我们就会有更多具有自主知识产权的信息安全产品。

推荐本文给好友 我要投稿>> 进入信息化BBS论坛