计算机安全系列报道之一高技术难保数码安全

原编者按  数码安全曾经是技术怪才的领地，现在却是人人关心的问题。专家们说，这个问题或其解决办法的内容远远超越了单纯的技术
【英国《经济学家》周刊文章】题：对浮云的安全措施
当世界上最大的富翁决定，现在是其公司改变方向的时候了，人们不禁想问个为什么。比尔·盖茨很少给微软公司的几千名雇员发送电子邮件备忘录。1995年12月，他遐迩闻名的举措是发送了一份备忘录，提出微软公司必须成为因特网的“铁杆力量”。今年1月，盖茨先生发送了另外一份邮件，其主题是电脑安全的重要性。
直到最近，大多数人要么没有意识到电脑安全的重要性，要么认为它无足轻重。这在以前大体属实，除了在少数专业领域———如银行业、航空航天和军事领域。但是现在，全世界的消费者、公司和政府都警觉起来，加以注意。为什么呢？
明显的答案看来是，去年在美国发生的恐怖袭击加深了人们对所有形式的安全的忧虑。更深一层的原因是，一种长期的文化变迁正在发生。几年来，数码安全的重要性不断提高，工商业和个人生活越来越多的方面已经依赖电脑。一言以蔽之，计算机技术正处于从一种可以选择的工具向着一种无处不在的公用设备的转变之中。公用设备是这样一种服务，它十分可靠，以至于只有在它失灵的时候，人们才会注意到它。电话服务、电力、煤气和自来水都符合这一定义。计算机技术显然不符合，起码目前是这样。
电脑技术要想成为一种公用设备，先决条件之一就是要有充分的安全保障。把您的公司、您的个人信息或者实际上是您的生命委托给一个充满了安全漏洞的系统，那会是很危险的。因此保障电脑与网络的安全问题已经引起比以前普遍得多的关注。
电脑越来越成为人们所依赖的物品；多亏了因特网，电脑之间的联系也越来越紧密。在一个统一、浮云一般的全球网络之中，把千百万台电脑连接在一起，所带来的是成本和便利方面的巨大好处。
开放性的代价
然而，轻而易举的四通八达和远程接入，其不利的一面是安全措施被挫败的风险加重。安全专家施奈尔指出，当你在大街上开设一家商店的时候，顾客和小偷都能走进来。他说：“你不可能只要顾客，而又没有小偷。因特网上的情况也是如此。”太阳微系统公司安全技术专家迪菲说，由于音乐、电影、纳税申报单、照片和电话现在通常采取数字形式，所以从传统形式到数码形式的转变已经达到一个临界点。“我们再也不能在没有基本安全保障情况下继续这种迁徙了。”
“9·11”恐怖袭击肯定促使各公司反思自己对网络的依赖以及网络的脆弱性，注重灾难后的恢复和备份系统。袭击过后，摩根—斯坦利公司对信息技术经理和首席信息官们进行了一项调查，结果发现，安全软件已经从排在第五位或者更低的位置上升到首要的重点位置。
引起轰动的、安全保障被破坏的事件的增加突出显示了改善安全状况的必要性。随着因特网的扩展，向卡内基梅隆大学的电脑应急反应小组报告的事件数量，包括病毒的爆发和不速之客对系统的闯入，近年来也急剧上升。“爱虫”病毒在2000年5月发动袭击时，一跃成为头条新闻。
从那时以来，已经有一些破坏性越来越大的病毒感染了成千上万台电脑。最新一种叫做“妖怪”，是9月才发作的。病毒仅仅是比较明显的安全问题中的一种，但是鉴于其所能够造成的破坏及其所引起的范围广泛的传媒报道，这种发作促使人们更加认真地对待安全问题。
错误观念种种
据分析家克莱恩说，与上年相比，2001年用于安全技术的开支增加了28%。他预测，今后几年这一开支的增加将继续保持强劲势头，从2001年的60亿美元左右增加到2005年的130亿美元。
尽管安全开支正在增加，但它仍然是从一个很低的基数起步。调查发现，大多数公司把技术预算的不到3%用于安全。而技术预算一般被规定在公司收益的3%左右。3%乘以3%是0·09%，所以大多数公司花在咖啡上的钱都比用于电脑安全的要多。
期望使用新奇的技术来解决网络安全问题是有关数码安全的几个危险的错误观念之一。改善安全意味着实施适当的政策、去除不力的激励措施，以及对风险加以管理，而不仅仅是购买巧妙的硬件和软件。不存在一蹴而就的解决办法。安全保障的实施不仅是一个技术问题，而且是管理问题。
与此相关的一个错误观念是，安全可以留给专家们来搞。实际上却不能。它要求高级管理层的合作与支持，决定哪些资产需要最好的保护，以及如何适当地兼顾成本和风险。此外，安全几乎不可避免地牵扯到其所带来的不便。没有从高层传来的明确信号，使用者往往会把安全措施看作讨厌的、碍手碍脚的麻烦，会想方设法地回避。
第三个常见的错误看法涉及这种威胁的性质。甚至意识到这一问题的高级管理者，其所担心的事情也往往不得要领，如病毒发作和黑客。他们忽略了更大的问题：心怀不满的前雇员、笔记本电脑被盗以及雇员所建立的不安全的无线接驳点。这并非出乎意料：病毒和黑客往往引起公众的极大注意，而内部安全被破坏却被掩盖起来。
最后一个，也是比较次要的错误观念是，电脑安全十分令人厌烦。实际上，它是基础行业比较有趣的方面之一。安全咨询人员和电脑犯罪专家所讲述的正义与邪恶之间的战争，要比有关顾客关系管理系统利弊的讨论有趣得多。因此，实际上没有任何借口来回避这一问题。任何还没有这样做的人都应当对电脑安全产生兴趣。