绿盟安全月刊->第39期->专题报道 2002年信息安全行业综述及2003年展望

作者：CAOZ
日期：2003-03-03

2002年信息安全行业综述及2003年展望

引子：每逢年底，照例要总结和预测一番，过去的事情评价一番，未来的事情憧憬一番，对自己，对大众，都是一种交待。只是写的多了，难免落入俗套，把陈年的冷饭热炒一番，就又端上台来，抑或东拼西凑，把道听途说的也一股脑弄进来，来个什锦大杂烩对付那些还没来得及消化年夜大餐的胃口，总是有的。本文也不能免俗，杂七杂八的也拼成了一道五味拼盘，至于中不中看，好不好吃，就要看各位读者的胃口如何了。

第一味：安全技术
第二味：安全人才
第三味：安全市场
第四味：黑客动向
第五味：安全体系

第一味 安全技术

2001年以Nimda为代表的病毒开始将黑客入侵技术引入病毒，2002年这一技术得到了更大的发展，更多病毒（求职信、熊熊虫等本年度国内外的最流行病毒几乎都在此类）采用了传统病毒传播方式与网络入侵、木马隐藏等方式结合的手段，从而造成了更大的混乱和破坏，与之相关的防病毒技术也饱受考验，传统的防病毒软件开始披上了防黑客、查补系统漏洞的外衣。病毒技术与黑客技术的结合，在未来几年将会继续不断发展，杀毒厂商也将不得不在这场较量中继续努力。

无线网络的发展为网络安全带来了新的问题，因为无线网络本身不能实现物理隔断，传统的物理隔断类型的安全防护手段将无法继续采用，因此无线网络安全所带来的技术课题也就显得分外重要。诺基亚，摩托罗拉已经着手研究和开发无线安全设备。而国内的绿盟科技与Webmaster技术学院携手创建了国内第一个无线网络安全研究小组，也正是这一趋势的体现。在未来几年里，随着3G的运行和普及，无线网络应用将越来越走进人们的日常生活，无线网络安全技术的发展能否跟的上应用的脚步，很大程度上也会影响到无线网络应用的顺利普及。

微软公司破天荒的拿出几个月的时间心无旁骛专心解决系统的所有安全问题，并为超过7000名技术工程师提供全面安全培训，尽管这之后依然有数不清的安全麻烦等着他们，但是微软的努力毕竟得到了一定的效果，至少在美国某个咨询公司的调研报告上，2002年微软所遇到的安全麻烦终于第一次少于以linux为代表的庞大共享软件群，多年来微软终于可以在这个饱受诟病的话题上歇一口气，缓缓神。而oracle公司则没那么好运，埃里克森的大嘴刚吹嘘完自己的新系统完美无缺，牢不可破，就有好事的安全研究机构（美国CERT/CC）接连捅了两个大漏洞出来，看来任谁有多大的技术能耐，也最好不要在安全的话题上说得太满。

2002年的IDS技术依然饱受争议，其实有关IDS实用性的话题在2001年就已经开始被很多业内人士提了出来，但是到2002年持怀疑和否定的人似乎格外多起来，这也提醒了很多相关厂商，如果不能在一些联动技术、分析技术和减少误报、漏报问题的技术上更上一层楼，这碗饭也许就不那么好吃了。

2002年是宽带应用逐步普及的一年，宽带下的安全问题也就格外引人注意，继千兆防火墙逐渐普及以后，上海金诺、启明星辰、绿盟科技、东软在2002年先后推出了千兆IDS，但是基于传统的软件算法的千兆解决方案到这里基本上已经走到了尽头，可以说在更后面的几千兆、乃至几十千兆的网络安全防护领域，硬件化的安全设备、基于电子线路和芯片组设计的安全技术将成为新的热点。

拒绝服务攻击（DoS）在2002年尘嚣直上，这个有着多年历史的无赖攻击方式借助宽带的力量焕发了新的生命。国际根域名服务器短短几月内两度遭受大规模报文洪水的攻击。难怪IDC大胆做出预测，说2003年拒绝服务攻击会让全世界的人感受到它可怕的危害。国内有关问题也是层出不穷：7月23日－24日，湖北教育网受到了一个落榜女生的哥哥的拒绝服务攻击，造成28万考生无法查阅高考分数纪录，引起了国内各大媒体的关注。至于那些未被曝光的拒绝服务攻击事件，则几乎每天都在国内外各个角落里重复着，要说拒绝服务攻击并不是2002年的专利，早从2000年Yahoo、Ebay、白宫等遭受攻击的事件起就已经赚足了全世界的眼球，但是两年过去了，这么一种简单的攻击方式依然畅行无阻四处得逞，也难免让全球的安全专家们有些面上无光。防护拒绝服务攻击的方案网络上搜一搜就是成百上千，可是一到事情发生了才发现居然没一个真正顶用。年底国内的绿盟科技终于推出了一款专门防护拒绝服务攻击的产品－黑洞，总算让饱受攻击困扰的企业和网站多了一份安心，可是说到彻底杜绝拒绝服务攻击，依然任重道远，有专家说到了ipv6协议层不会有那么多缺陷像现在这样容易被黑客欺骗和利用了，但是所谓道高一尺，魔高一丈，到时候指不定又有人研究出什么新鲜玩意出来消遣大家，所以新的一年里，安全专家们还是不得不想破头皮去琢磨对策。

以破解加密术而著称的Distributed.net在2002年10月7日，历时四年，终于通过散布于全球数十万电脑的分布处理程序，成功破解了美国RSA数据安全实验室开发的64位密匙—RC5-64密匙，尽管这一成就真正的可操作性并不值得一提，但是网络分布式计算也的确给加密解密技术提供了新的空间和挑战。目前，动态口令技术日渐成熟，加密算法的技术基本上满足了当前网络安全认证的需要，但是有关加密、认证、身份识别的技术发展，依然不会因此而停歇。

垃圾邮件的困扰已经成为全球公害，美国Brightmail还专门推出2002年10大垃圾邮件排名，而英国的一家Email过滤公司MessageLabs更是发表了一份令人沮丧的报告：该报告称垃圾邮件在今年下半年呈大幅增长的趋势，照此下去，明年垃圾邮件的数量可能会超过合法的电子邮件。这些消息还不是最要命的：2002年的病毒邮件比2001年增加了80%，也许以后人们对电子邮件的恐惧会让电子邮件彻底失去使用性。2002年，由中国互联网协会、新浪网、263网络集团共同发起的“反垃圾邮件协调小组”在北京正式成立，国内20多家邮件服务商首批参加了该协调小组，官方的组织终于成立了，但是彻底的解决邮件问题的技术方案依然还是空缺。前几年北大曾经研究出一套所谓先进的宽带邮件传输协议mail2G，据说可以解决这些数不清的麻烦，但是两年过去了，这项技术的发展却音信皆无，于是大家只好耐心的继续等待。


第二味  安全人才

专业的安全培训和安全认证已经成为技术人员的流行追求，各大高校也开始开辟有关网络安全的专业课程，但是即便如此，无论国内还是海外，对高素质安全技术人员的缺口依然很大，2003年这个趋势依然不会有任何减弱。据悉，西安电子科技大学、解放军信息工程学院、北京邮电大学已拥有了密码学博士点和硕士点，2000年西安电子科技大学开始招收信息对抗专业本科生，全国第一个信息安全本科专业去年在武汉大学创建，今年又有18所高等学校建立了信息安全本科专业。希望他们毕业的时候，这个行业依然景气。

计算技术产业协会(CompTIA)今年12月发表的声明称，由美国政府、业界领先的高科技公司的代表组成的一个组织已经发布了新的安全专业人士认证标准, 旨在为培训和评估信息技术专业人士的能力提供标准的方法。相信这一标准贯彻的时候，新的一轮安全专家认证考试将会热遍全球，不过不知道什么时候，国内有公司能够参与制定这样的标准。

一些黑客犯罪事件的不断涌现依然暴露着教育体系的缺憾，技能教育和道德教育的脱节使这些有一技之长的年轻人未能在正确的岗位上做出贡献，反而走向了犯罪的不归路。有关犯罪行为的数量之多，当真触目惊心。国家培养的高技术人才如果没有好的道德素质作为基础，几乎等同于养虎为患。于是我们有了另外一个成就，中国的黑客活动频繁程度，在2002年已经达到了世界第三位，仅低于美国和韩国，在日本之上，对于这一“辉煌”成果，我们不知道是应该高兴还是沮丧。

不过今年一个好的现象是国内一些民间安全组织开始专心于基础技术研究，而不是像以往那样以摆弄工具和炫耀技巧为主要目的，其中Aka小组组织了一些安全沙龙，而年底由另一民间组织发起和筹办的安全焦点峰会也将历来民间安全组织聚会的技术底蕴提升了一个档次，从议题组织和技术深度已经完全达到了国际最前沿的安全研究领域，这在以往是罕见的。在2003年，相信这些经过洗礼的安全专家会通过各种形式，在民间组织更多的深入技术交流和技术讨论，各种专业人才也会在这样的氛围中彼此学习，共同成长。

第三味  安全市场

说到信息安全行业的市场活动，今年最有看头的是杀毒厂商的四国大战，金山一个蓝色革命率先掀起了价格战的号角，刚推出新产品，还没来得及缓一口气的交大铭泰只好硬着头皮紧跟着，江民公司随后拿出49元的价格针锋相对，瑞星面子上着实坚挺了一阵子，暗地里也偷偷把门市价格降到了70多元。后来大家琢磨过来，如果技术上不去，光靠价格战迟早都要饿死，于是瑞星江民不约而同的挺进企业级市场，然后又不约而同的选日本作为往海外推广的跳板。与杀毒软件类似的是防火墙的市场，由于价格大战，目前市面上用二三折就可以买到标价十几万的防火墙产品，缺乏核心技术竞争力，缺乏准入门槛，同质化严重是防火墙市场大部分企业的共同特征，拚价格也就是他们所能生存的唯一一招，相信今年，相当部分缺乏竞争力的厂商将会被迫转型或倒闭。

与瑞星、江民努力拓展海外业务走相对应的是：赛门铁克、趋势、熊猫、CA纷纷加大了进入中国安全市场的力度。可以预见，今年的安全市场竞争格局，将会更加惨烈，向企业高端转型，拓展海外市场都是规避风险的明智选择，那些没有实力跟进的企业，极有可能在2003年内外交困，逐步淡出大众的视线。

今年信息安全市场另外不得不提一个重头戏是产品评测、认证的频繁，赛迪网、中国计算机用户协会等先后举办了多次安全产品评测，国家也加大了有关产品认证的力度，并且对安全厂商的资质进行了严格的标定，应该说，有证可循是市场秩序规范化的表现，用户在选择厂商、选择产品的时候有了相对公正和可信的参考。不过国内的安全评测目前也存在一定的问题，比如三家杀毒厂商先后宣布自己是公安部评测的第一或唯一，让人搞不清楚公安部评测的葫芦里卖的什么药，至于铭泰年底实在不满足于去宣称自己是第四个国内第一，于是把吉尼斯找过来弄了一个世界第一，到也可以看作是对国内安全认证的一个反讽。另外一些安全产品评测所采用的样例和方法，也让不少参评厂家颇有微词。新的一年里，各媒体、各安全机构评测和认证工作依然有很大的改善空间，评测方法的透明化，评测数据的公开化，评测机构的专业化，评测标准的公正化，都是丞需不断努力和完善。用户采购时所需要的不仅仅是一个评测结果，更应当是一个具有公信力的评测结果，如果丧失了公信力，评测也就失去了任何意义。

今年国内安全公司走出去的步伐开始比以往更加明显，前文提到了瑞星和江民的动态，同时作为企业级网络安全产品的领先者－绿盟科技也正式为美国某知名IDS厂商提供技术支持服务，尽管项目并不算很大，但是中国网络安全技术毕竟已经得到了国外同行的认可和肯定。相信2003年，更多的网络安全公司会走出去，而现在已经走出去的也肯定会有更大的动作，当然，就好比姚明入选NBA一样，就算你在CBA是MVP，到了人家的地盘还是要从菜鸟开始练起，这也是这些国内安全厂商跨出国门所必须经历的。

2002年起，电子政务的市场开始越发诱人起来，不少安全公司都颇分到了一杯羹，限于国家安全和政府保密性的需要，这个市场国内企业目前占据着比较优势的态势，2003年相信电子政务依然是整个安全行业所努力争取的最大蛋糕。除了要求一定的背景之外，技术实力的因素依然不容忽视。




第四味  黑客动向

前文提到了，今年的黑客攻击行为似乎格外的多，但是更可怕的是，不但攻击行为的数量呈现增长外，质量也大幅度提升，这里所谓的质量，是指黑客攻击的意图和破坏力。

最早的黑客行为通常是对新技术的好奇者发起的，他们破坏系统的目的往往是满足自己的好奇心，所以没有固定的目标和对象，也不会有什么经济企图。
到了2000年，以扬名立万，炫耀技术为目的的黑客多了起来，他们开始站出来说“看，哪个哪个站点是我们干掉的”，这种人往往以轰动效应为目标，并热衷于称为新闻追踪的热点。今年的情况有所不同，许多网络攻击行为显得“实际”了很多，大部分都带有如下三种色彩：

窃取不正当经济利益；
携私报复；
以及不正当商业竞争；

黑客攻击的这一动向是因为网络攻击的技术，各种攻击工具已经泛滥化，并不局限在极少数技术专业人才的手上，小网吧业主利用下载的攻击工具去攻击街对面的竞争者，这样的事情在几乎每个城市发生着。全民的网络安全都在受到威胁，是这些年网络发展的一个趋势。

以下是部分案例
2002年1月，盛大网会员账号资料被盗，并被转卖牟利。
2002年3月，北京某大学生肆意利用盗窃账号密码上网并广泛传播，造成该服务商费用损失达10万元。
2002年4月，浙江某电信技术人员利用网络下载的扫描器和跳板工具，进入原工作单位，某地方电信网络，删除大量计费数据，造成该地方电信重大经济损失。
2002年5月，苏州某重点中学计算机教师居然侵入该地方教育网，篡改删除计算机等级考试试卷，当真让人难以想象。
2002年8月，江苏常州某大型企业离职员工不满原单位，伙同某黑客侵入原单位网络，大肆进行数据破坏，造成该集团业务往来受到重大冲击。
2002年8月，湖北某大学生因妹妹高考落榜，通过拒绝服务攻击致使教育厅站点崩溃，导致２８万考生无法使用该系统查阅分数。
2002年10月，３名上海人侵入银行电脑网络，非法提取10多万现金挥霍。
2002年12月，南京发生团伙伪造信用卡案，作案人非法提取超过100万元。

另外，政治信仰也越发成为黑客攻击的主要起因，印度是对巴基斯坦发动的网络攻击到现在也没有停歇，7月份更有2000名黑客齐聚纽约，扬言要与所有进行网络管制和数据监控的国家作战，其中中国赫然在他们的作战目标中，幸好扬言到现在并没有兑现成行动。

2003年，IDC预测将会有影响全球的重大的网络安全事件发生，甚至言之凿凿的说明，极有可能就是臭名昭著的拒绝服务攻击再度重来，像2000年一样让全世界的网络用户大吃一惊。

网络信息化与电子政务的不断发展，网络的不断普及，以及宽带的不断扩展，2003年的网络安全依然要面对太多的问题，未雨绸缪也好，亡羊补牢也好，网络安全专家，注定依然是这一年度里最繁忙的人群。

第五味  安全体系

安全工作不只是安全专家和黑客的较量，政府的关注、法律的震慑、相关机构的管理办法，都是网络安全行业所需要的必要补充，可以说，网络安全是一项社会工程，任何一个环节都不容忽视。

全球化的网络犯罪愈演愈烈，所谓乱世用重典，在网络安全行业就显得格外重要了。2002年７月，美国众议院通过决议，将电脑犯罪的最高处罚提高到终身监禁，相信会对很多黑客会产生极大的心理震慑。2002年11月，美国众议院再出大手笔，通过法案同意拨款10亿美金用于网络安全的研究和发展，形成规模化的安全专家培育体系，并将安全技术研究纳入政府的管理范畴。另外，美国Gartner和美国海军战争大学还在2002年７月举行了一次网络反恐怖袭击的演习，借以考验面对可能出现的网络恐怖行为，所能采取的应对策略和响应能力，并评估防护体系的其脆弱性。

中国政府也非常重视网络安全研究和相关问题的防范，除了在人才培养问题上，国家也开始建立与国际接轨的安全企业资质审核制度，并建立了有关管理机构和官方的认证评测机构，中国虽然在1998年就已经建立了信息安全产品测评体系，但是真正的实施信息安全企业资质认证，2002年才是刚刚开始。尽管在有关网络安全的立法上，我们和美国相比还是落后一拍，但相信在新的一年里，相关的工作会有条不紊的进行。

未来几年，由政府牵头，建立涵盖政府管理机构、科研机构、大专院校、商业安全公司、民间技术组织的全国性安全技术保障体系，应该是国家信息安全的切实需要。只有这样，当发生异常的网络恐怖袭击和重大安全事件的时候，才有可能协调一致，迅速响应。这一体系搭建的好坏，将直接影响到整个国家信息化发展的成败，2002年尽管已经有不少工作开始运作了，但是离理想的目标依然还有很长的距离，全社会的信息化建设，不能没有全社会的安全保障体系，这也是我们对当前网络安全整体发展的最大期望。