作者: techrepublic.com.com
据Jonathan Yarden声称:我们已经不可能隐藏重要资料了,这对于核心网络安全是件可怕的事情。这种情况已经无法挽救了吗?还存在安全网络的可能性吗?Jonathan对过去的情况进行了深入的调查研究,目的是弄清楚我们是怎样陷入这一不可挽救的地步。
使用不了解内在原理的物品就意味着你要承担一定的风险,这是一种常识。而计算机用户不可能详细了解他们所使用软件的各个方面,他们也不可能指望自己动手编写软件,所以他们在使用网络中软件过程中,就必须承担一定的风险。
但是安全风险是累积性的。当世界各地电脑都采用TCP/IP协议时,我认为当前网络安全性已经达到一种不可能隐藏重要资料的程度,这是一个非常恐怖的问题。
然而,如果想要弄明白如何产生今天这种状况,我们还得追溯到过去。这是不是表明现在重新部署网络安全问题就已经来不及了呢?让大家来看看我的观点。
过去状况
十多年前,发现Sendmail存在多种安全隐患之后,此后我决定自己编写关键网络应用程序。当然,由于需要编程的任务太大,我不能如愿以偿。
我掌握了一些编写代码的技术,但是这项工作要求付出的努力远远超乎了我的想象。此外,我必须自己编写程序。那时在我的同事中,还没有人精通C语言或者C++编程语言,我只能完全依靠自己一个人来完成这项工作。
我努力编写一些专业的POP3用于收发邮件的后台程序,那时这一程序的运行相当安全,因为这一程序的运行不要求使用超级用户权限。不幸地是,我没有意识到POP3服务器会成为黑客注意的对象。
然而我完成一部分工作之后发现,这项工作对我所使用的网络安全并没有任何重大影响。我修补了一些还没有出现的安全隐患,但为排除安全隐患所花费的时间远超过所带来的利益。
1991年,绝大多数的人们还不知道和使用网络来处理日常事物。当安全问题出现时,这些问题不会影响到普通的网络用户,因此也没有太多的人重视这些安全问题。
近年状况
最近几年,我们目睹了网络发生的巨大变革。现在数百万网民进行网上冲浪,而谁也不会忽视网络的安全问题。
在我看来,主导网络发展的公司,尤其是像思科和微软的软件大公司,长期以来都没有意识到网络的安全问题。例如,在安全问题显然对微软操作系统的霸权地位产生威胁之前,微软一直都忽视网络的安全问题。
微软最终建立自己的网络程序以解决安全问题,其重心为开发具有竞争力的产品,而不是开发更具安全的产品,而且这一模式还在延续着。这些公司只是简单地维持现状,而不是以设计并试图重新编写网络的关键程序和重新设置网络协议的方式来保证网络安全。
但是,受到指责的不仅仅只有思科和微软。其它成千上万家生产网络产品的公司更为关心他们自己的销售量,而不关心开发功能更好更安全的产品。而更多的用户更希望网络公司关心他们的安全问题。
当前状况
所有这些因素都促使我们必须关心目前网络的安全问题。用户每天都要面临病毒、垃圾邮件、间谍邮件、网页仿冒及域欺骗(pharming)等方式的威胁,而且这样的威胁方式越来越多。我看到一则新闻,最近有75%以上的病毒和5%电子邮件是由某种电子邮件的蠕虫病毒(Sober病毒的变异体)引起的,这则新闻其实一点也不值得惊讶。
如果像微软或者思科这样的大公司能够开发和应用开源代码来代替SMIP,我敢保证,这种电子邮件蠕虫病毒就根本不可能存在。但即使是这样,也会有一些别的病毒将使网络出现问题。
将来会如何?
谈到计算机和技术时,我们将建立一种“便利文化(culture of convenience)”,强调的是随时可用随时享受。我们生产的软件和用于网络中的技术不要求用户掌握其原理,也不要求用户掌握处理安全方面的问题。
但是,我认为这可能会导致整个网络的毁灭。虽然网络本身不会终止其功能。我估计,对大多数人来说,用于维护网络安全的费用最终将超过其创造的价值。
在我看来,我们接近网络灭绝程度的时候,我们只有两种选择。第一选择方法是改变网络文化,这似乎是不可能的。第二种方法是从上到下彻底地改善网络的安全问题。但这种办法似乎也不太可能,但我认为这是长远解决方案中唯一可行的办法。
作者简介
Jonathan Yarden是UNIX系统高级管理员,网络安全经理和一家地区性ISP的高级软件架构师。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=2245557
[2005-07-12] 精灵鼠小弟
[2005-07-12] 第二章 我被撞一跟头(33)再见韩露
[2005-07-12] 见闻七
[2005-07-12] 人民币升值该如何“出其不意”
[2005-07-12] 郑和下西洋600周年