我们需要的已经不再仅仅是某些前端的安全或子网的安全,而是整个网络的安全。
在目前的安全市场上,从用户角度来说的“买的安全”和从厂商角度来说的“卖的安全”没有作到有效的对接,“于是就形成了这样一种现状,厂商和用户都肯定了市场的潜力,却都不满意对方的表现。”
问题的症结在于,厂商所谓的“整体安全”也好,“全网安全”也好,在很大程度上仍然是一种孤立的“产品安全”,与用户对“安全的网络”的心理期望值相差甚远。于是我们看到,虽然在大多数的网络系统上都安装有各种各样的防病毒产品或者防火墙产品,但今年以来仍然有各种病毒传播、网络攻击、垃圾邮件等恶性事件的肆意泛滥。给我们的感觉仿佛是,安全产品越来越多,但网络却变得越来越脆弱了。
不能否认,有一些厂商的安全解决方案做得确实不错,对于保障某个机构或企业的网络安全来说的确起到了重要的作用。但是让我们最好把眼光放得再远一些,如果我们跳出企业或者机构的小网络,那么我们就会发现,即使某些企业的网络防范工作做得再好,对于全球化的网络来说它们也依然只是一些孤立的节点。而我们现在需要的已经不再仅仅是某些前端的安全或子网的安全,而是整个网络的安全。套用一句“全国一盘棋”的政治行话,我们现在需要的就是全网一盘棋。
这个全网从大了说可以是指全球的网络,从小了说就是全中国的网络。当然,这并非我一个人的看法。前一周,我参加了一个由东方龙马和梵拓兰数字科技共同举办的主题为“2003中国网络安全预警与应急响应反思”的专家与用户研讨会,上述观点基本上已成为专家和用户们的共识。
2001年,在“红色代码”和“尼姆达”病毒肆虐之后,信息产业部就专门成立了互联网应急处理协调办公室,并组织协调国内十大骨干互联网运营部门的互联网安全事件应急响应小组,共同应对各种网络安全事件。
两年以来,CNCERT与其下辖的国家计算机网络入侵防范中心,还有全国各企事业单位的CERT中心和信息安全企业的CERT中心一道,在共同筹划全国性的网络安全应急机制。这一机制会逐渐成熟并且完善。
同时,我们还在会上听到了一些颇令人振奋的消息。政府部门专门负责信息安全的一位官员透露,政府目前正在草拟有关网络安全的应急响应法规和网络安全市场的技术标准规范,今后所有拥有网络的企业都必须根据自身的规模、实力具备相应的网络安全等级,并且必须及时准确地上报各类计算机疫情。到了那个时候,网络社会应该不用再为了安全而提心吊胆了。
