IT技术日新月异，企业IT系统越来越来越复杂。安全威胁无处不在，“信息新安全”已经成为当今社会关注的重要问题之一，硬件要安全，软件要安全，无处不在的接入网络也要安全……信息安全产业迎来了自己的需求“井喷”时代。“信息社会，安全基石”。对于众多安全企业而言，在看到巨大市场前景的同时，如何协助行业部署新一代信息安全的“马其诺防线”……无限商机的背后，一场没有硝烟的战争已经打响。

1、不可避免的安全危胁

写一段没有任何运行错误的程序代码对于一个程序员来说很容易，但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够，问题出在程序员身上么？要知道，即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞，这早已不是什么新鲜的事情。计算机世界的霸主微软公司的程序员可都是一流的精英，先不说过去Windows、Office系统中至今还补不过来的千疮百孔，往前看其新一代的号称最安全的操作系统Vista，公开的Bug已达2万个，问题代码更是多达几十万行，发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的，可在一个0和1的数字世界里，复杂才意味着技术的前进、使用的便利、功能的强大，如今许多人早已明白:没有任何问题的代码只能是没有任何功能的代码。除了程序代码设计本身的问题，安全漏洞还存在于通讯协议、网络架构、交互模式、电子辐射、信号外泄，甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方，漏洞也不可避免，而只要漏洞存在，那么威胁永远存在。

2、触目惊心的信息安全事件

2004年10月至2005年1月，某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站，致使该公司蒙受重大经济损失，这是我国首例如此大规模的“僵尸网络”攻击案;2005年4月11日，全国超过二十个城市的互联网出现群发性故障;同年7月12日，北京20万ADSL用户断网;2005年10月，网易计算机系统公司发现与北京市网通合作项目中，价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张，总价值155万余元;2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库，盗窃了价值380万元的充值卡密码……

公安部公共信息网络安全监察局主持的2006年全国信息网络信息安全状况与计算机病毒疫情调查报告中显示，在被调查的一万三千多家单位中，54％的被调查单位发生过信息网络安全事件。同时，最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示，89%的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13％，名列全球第二位，而仅在2004年，公安部侦破的网络诈骗案件就达1350起。对此，国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下，发起成立公益性的“中反网络钓鱼联盟”。今年8月，广东首次公开处罚垃圾邮件发送者，这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。

3、安全法规需进一步完善

从1989年《中华人民共和国保守国家秘密法》伊始，到2005年《电子签名法》的实施，我国目前现行的与信息安全直接相关的法律、规章和制度有65部，“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”，可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）通过后，电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台，不仅规范了信息安全市场，还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用，同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。尽管如此，现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前，我国还没有一部严格意义上基于信息安全的基本法，同时这为信息安全标准与政策的制定与落实带来了一定的难度。

4、层出不穷的攻击手段

目前流行的攻击手段有很多，除了病毒、蠕虫、口令破解等传统方法，木马、网络钓鱼、SQL注入等较为新型的攻击方法，其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及，应对起来容易些。值得特别注意的是以下三种攻击形式，分布式拒绝服务攻击、零日攻击和社会工程学攻击。分布式拒绝服务攻击至今还没有特别有效的防范方法，其具备攻击方法简单和攻击源无法确定的特点，上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机——“僵尸网络”，通常借助即使通讯工具或电子邮件来植入木马，并通过新的系统漏洞的出现而达到顶峰。

零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击，这种攻击最为致命和可怕，因为任何人都很难对未知的情况做出正确的反应，此种攻击成功率高、隐蔽性强，往往针对某个既定目标，是今后信息安全防范工作的最大隐患之一。最后一种是社会工程学，实际上它是一种非技术手段的攻击，它的直接攻击对象不是数据库也不是防火墙，而是能够出入这些敏感地带的人。技术再高也是由人来操作的，安全防范做得再好，得到授权的人也是可以出入的。世界著名黑客凯文·米特尼克在《欺骗的艺术》一书中写到:“安全不是技术问题，它是人和管理的问题……”，“由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难……”，“精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险，然而却没有解决最大的漏洞——人为因素。”因此，在如今信息安全技术已经趋于成熟的环境下，正确的安全防范意识无比重要。目前，仍然还有许多人普遍缺乏信息安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……，这样的安全事件几乎天天都在发生，其关健原因在于信息安全管理和意识的匮乏。对于被动的防范来说，意识要重于技术，甚至会超越技术。

5、安全技术任重道远

广义上的信息安全包括了众多内容，信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化，是信息安全技术发展的重要趋势。目前主流安全技术不外几种。

（1）主动防御：虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上，目前的主流产品还是在遵循“病毒产生——研究特征码——升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。

（2）生物识别：从用户名加口令到加密锁，再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术，可目前最为广泛应用的还是最初的用户名加口令身份认证技术，简单易用，且能够保障基本的安全需求。但不可否认，生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。

（3）可信计算：严格的说，可信计算并不能算一项新兴技术，早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后，国家将其列入“十一五”规划重点支持项目，相关企业也成功的生产出TPM的安全芯片，但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。

（4）灾难恢复：实际上，灾难恢复主要不是技术问题，而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来，银行、电信，海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环——灾难恢复的管理和实施带来了强有力的促进和重大指导作用。