2006年网络安全回顾—没有结束感的一年

2006.12.27  来自：51CTO

在2006年我们拖着疲惫的身躯，在期待中迎来了诸如Windows Vista 、Internet Explorer 7 等最新版本的软件，它们虽然被打上了安全的烙印，但也有很多漏洞以最快的时间被披露出来。
   在2006年中，我们看到了身边网络安全人士正逐步走向成熟，同时也看到了网络安全市场向多元化发展的趋势，以及安全厂商同质化现象的渐露端倪。可以说，我们拖着疲惫的身躯，在期待中迎来了诸如Windows Vista 、Internet Explorer 7 等最新版本的软件，它们虽然被打上了安全的烙印，但也有很多漏洞以最快的时间被披露出来。病毒和木马的制造者正向有组织性的团队发展，个人黑客网站增多，导致网络入侵平民化……这些年终的遗憾，都让我觉得2006年是最没有结束感的一年。

    2006年是“流氓”的天下
   “流氓软件”，这个中国网络发展的害虫，这个将间谍软件( Spyware )、恶意共享软件( Malicious Shareware )、恶意广告软件( Adware )集于一身的杀手，扰乱了我们的思绪。2006年中，它们也算得上是一位功臣，因为人们的关注，它也就促成了网络信用与法律碰撞，网民中也流传着“流氓软件天天见”的问候语。作为一种能在电脑使用者不知情的情况下，在用户电脑上安装“后门程序”的软件，从实际行为上和理论基础上都已经和木马类病毒没有区别了，利用“后门程序”捕获用户的隐私数据和重要信息，将这些信息将被发送给互联网另一端的操纵者（插件的制作者），这都造成了“僵尸网络”有增无减的古怪现象。
    与流氓软件的制作者一样，另外一个值得我们关注的现象就是“经济利益型病毒”的大规模出现，比如：流量作弊型的浏览器插件、盗号用的蠕虫病毒、共享软件投放木马等。年终岁末，我们需要为这些病毒的编写者和2006年的经济型黑客重新定义他们的名字，可找不到恰当的词汇，所以我还是统称他们为“流氓”吧。大家都知道，早期黑客的定义是“喜欢探索软件程序奥秘，并从中增长了个人才干的人，它们能使更多的网络完善和安全化，以保护网络为目的，以不正当侵入手段找出网络漏洞，并且做出修复”。而现今的网络威胁主要以获取经济利益为第一目的，一个醒目的结论摆在我们面前：“网络因经济利益而发展，同时又有经济利益变得起伏不断、凹凸不平、漏洞百出。”

   为什么没有结束感？
   “安全木桶原理”是每位安全人士学习的第一堂基础课，这里我们不必重复。可以说，在2006年中，我们都在寻找网络中的“短板”，但很多人都非常迷茫，不约而同的诉说“我们的短板怎么那么多？”这是因为我们管理的这个木桶变大了，因为它里面盛的水（网络应用）越来越多，所以组成木桶的木板也越来越多，“短板现象”的出现自然会频繁的发生在你的身边。如果在2007年，我们还是用一两个网络管理人员的安全防护技能去应对猛烈和突变的安全事件，这绝对不是将他们的效能最大化，而是一种自大的表现。2006年当中，很多企业和组织就意识到了这种危机的存在。再者，安全产品、服务商也表现出一定的成熟度，加上等级保护、萨班斯( SOX )法案这些来自企业外部的政策力量，都为2006年网络安全服务行业创造了大环境，人们开始以一种务实的态度去应对网络安全管理。
    但是，在我们如此倾注心血去呵护网络的时候，却从来没有杜绝过网络攻击。排除诸多技术因素的影响，我们也在思考着一种解决问题的办法，这让我们回到了网络安全的起点。J. P. Anderson于1972年针对计算机的安全功能的设计，提出了一个较为具体的想法，建立可信系统 (Trusted System) ，这是计算机诞生以后，人们首次具体思考、规划与设计计算机的安全功能的开始。回到今天，WEB应用体系的可信度越来越低，这才是导致电脑数据被盗、身份滥用和信息系统被控制等安全事发生的直接因素。但是，可信网络离我们到底有多远呢？就像大家都清楚“可变陌生访问限制（Variable Strange Visiting Limit）可以有效预防垃圾邮件一样，但实施起来的困难异常巨大。这种信用机制的有效性由VSVL邮件用户对垃圾邮件的投诉率决定，如果投诉率太低会使信用控制就会失灵。公众参与程度低下，是我们遇到的最大难题，这种难题和压力的存在都让我们失去了2006的结束感，可信网络的实现只能还是一个梦。虽然此刻我们一起努力向这个梦想进发，可终究还是要回到现实中来。

评论