美國大片《恐怖地帶》中有這樣的鏡頭：代表“埃博拉”病毒的紅色區域在幾天之內覆蓋了整個美國版圖，速度之快令人怵然。最近在NAI公司北京的辦公室里，筆者竟然又看到了類同的畫面，只是這次蔓延的是計算機病毒，傳播速度已經要以秒和分鐘來計算，而受病毒侵害區域的版圖也在瞬間擴展到了全球范圍。這是McAFee反病毒緊急響應組總監VincentGullotto先生給我們演示的真實案例。

——病毒或惡意攻擊行為通過網絡以“光”的速度襲來，須臾不能脫離網絡的你，如何確保自己的數據是安全的？

——“911事件”震驚全球，IT界再次開始反思安全問題。網絡無辜地成為罪惡孳生的溫床！

——調查結果證實，給公司帶來損失最大的不是來自于外部的攻擊，而是源于內部的管理不善。所謂禍起于蕭墻之內，千里長堤，毀于蟻穴！

向病毒“學習”反病毒

網絡安全成為重要課題，防治病毒首當其沖。病毒與反病毒的魔道之爭沒完沒了，沒有一個用戶敢確認自己具有金剛不壞之身，也沒有一個反病毒廠商敢斷言自己的產品是金鐘罩鐵布衫。

隨著病毒技術（不得不承認病毒的確是一種技術）的發展，人們對病毒概念的認識又進一步--“具有自我傳播能力的就可稱為病毒”。過去病毒是指一個病毒傳染到另一外文件的傳染過程，而現在通過網絡傳播，病毒不光傳染宿主，病毒已經不是單純的傳染文件，也破壞附著體、感染計算機；在網上從這臺計算機傳播到另外一臺計算機，具有自動傳播能力的就可稱為病毒，我們常聽說的網絡蠕蟲(Internet Worm)就是這樣的病毒。

面對病毒氣勢洶洶的來犯，我們應當如何應對呢？反病毒專家VincentGullotto先生談了他的看法。

從1998年以來，病毒數目大規模增長，目前能夠監測的病毒共有6萬多種。從現在的發展趨勢來看，病毒每年成2至3倍的速度增長。目前，一般的防病毒軟件可以監測到大部分病毒。原來宏病毒占的比例很大，現在增長最快的是運行程序病毒。病毒的發展變化與網絡建設息息相關，90年代初，Internet應用還不廣泛，病毒多為手動傳染；1995年至1999年，隨著互聯網的發展，共享文件增多，宏病毒開始出現；現在，電子郵件在工作中占有越來越重要的地位，基于電子郵件、破壞力十足的病毒也越來越多。像“我愛你”、“梅麗莎”、“紅色代碼”及“尼姆達”等病毒就是通過電子郵件以空前的速度迅速蔓延開來的。病毒通過網絡傳播，隨著用戶帶寬的不斷增加，被病毒所占用的資源也會越來越多，防御病毒是最根本的解決辦法。防御病毒需從各個方面入手，對于廠商而言，通過對病毒特性的研究，生產出防御病毒的最新產品，讓這些產品具有最佳的易用性，實際這只是防病毒廠商全部工作的一個部分。教育用戶，讓他們意識到防御病毒的重要性才是最關鍵的。隨著一波高過一波的病毒侵襲，企業用戶防病毒的意識在近年已大大加強，并能夠制定出適合自己的反病毒策略。相對于企業用戶，個人用戶的防病毒意識還十分淡薄，無可否認，互聯網為我們的工作帶來方便與快捷，但互聯網對用戶而言并不是百利而無一害，當用戶從互聯網上瀏覽的時候，已經受到病毒的威脅。很多個人用戶因為尚未遇到病毒，便無視病毒的存在，實際上潛在的危險早已經存在，只是還未爆發而已。

對于目前許多廠家熱心推出的硬件殺毒技術，Vincent先生談到：事實上，硬件殺毒同樣離不開軟件的支持。所謂的硬件殺毒技術其實只是為用戶提供了一個比較方便簡單的一體化解決方案。當用戶依靠軟件產品來實現對網絡的保護時，必須購買多個產品，而硬件殺毒為用戶提供的則是一個經濟易用的單一產品。做為一個實用工具，硬件產品本身即代表了一個出色解決方案。通過它，大中型企業能夠保護其網絡免遭外來病毒威脅，同時又免除了從不同的銷售商那里尋找、購買與集成硬件、操作系統與軟件部件的諸多繁瑣工作。易管理性是硬件殺毒產品獲得成功的關鍵。

安全（殺毒）與管理之間的關系非常密切，Vincent先生認為，購買和安裝防病毒軟件并不是防御病毒的全部工作。事實上，很多時候，我們是不需要防病毒軟件的。用戶購買越來越多的防病毒軟件，希望能夠快速有效地防止病毒。其實，企業首要的任務是制定防病毒策略，明確規定哪種類型的文件可以運行，哪種文件不可以運行，在此基礎上，然后再運行防病毒軟件產品。例如，宏病毒是在微軟Word中產生的，但是有80%的人在使用Word時，無需運行宏，也不知道宏的存在，其實只要你對宏有所了解，運用一些簡單的設置就可以將其阻擋。此外，也無需將所有文件存成Word文檔，如果你運用RTF格式，由于它是不支持宏的，也無法傳播宏。防御病毒，除了防病毒軟件外，制定相關策略是至關重要的。此外，防病毒廠商為用戶提供的咨詢服務也是有效的方式之一，向不同的公司征求意見，暫時的花費也許會很高，但從長遠發展角度考慮，投資是必要的。

從安全漏洞“學習”管理之道

黑客攻擊“秘技”中最狠的一招叫做社會工程學--這是美國一個著名黑客最早提出來的--他一旦決定攻破某個網站，如果技術上實現不了，他就要開始社會工程學行動了。他到這個辦公樓里翻垃圾，到那里去找線索，翻一段時間后，從一些廢紙上就對這個公司的情況了如指掌了。可以很輕易地得到或誘騙到密碼。比如打電話說我是**，我密碼忘了云云，公司的情況一清二楚，由不得你不上當。另外還有這種情況，你解雇了公司的網絡管理員，而內部東西他都知道，而且密碼系統是他設的，一旦他進行某些有危害性的操作，造成的后果不是安全公司所能負責的。三分技術七分管理，管理是重中之重。

就如Vincent先生所說的，防范病毒重在內部管理機制，保衛網絡安全同樣如此。網絡使全球一體化的概念變得直觀和現實，不僅要防范黑客和病毒的入侵，還包括隱私保護、信息安全的調和、如何使設備及網絡工作更穩定等范圍更廣的常態研究。目前國內應用安全產品主要是以安全軟件為主，包括一些殺毒軟件、防火墻、授權認證。加密等等。2000年是企業上網年，2001年是網絡安全年。據統計在北京IDC（互聯網數據中心）就有30多家，IDC的基礎業務是接入服務和主機托管，上千臺的服務器托管在IDC中心，他們的發展對網絡安全帶來一些更為嚴峻的課題，網絡發展越大，網絡安全存在的問題就越突出。

網絡安全產品的應用為用戶提供了更多的安全策略和安全手段，是保障網絡不可或缺的部分。目前安全產品國外的有美國ISS漏洞掃描和入侵檢測系統、美國NAI的防火墻和Macfee防病毒以及Sniffer、美國趨勢科技防病毒、NETSCREEN防火墻、CA安全認證等安全產品。國內的有天網防火墻、東大阿爾派防火墻NETEYE、天融信防火墻、安絡公司的網絡安全在線評估系統NSOAS和網警入侵檢測系統、江民公司KV3000、瑞星防病毒產品等。事實上，安裝放火墻的網絡也不一定確保安全。防火墻的原理是防外但是不可以防內，據統計很多網絡受到攻擊造成損失50%以上是來自于內部，防火墻可以把屏蔽外部一些入侵，而內部人想出去就很難管理到，IDS入侵檢測系統可以彌補了防火墻的不足之處，它和防火墻配合在一起使用，能夠進一步提高網絡的安全。

安全認證的產品，比如微軟的數字簽名產品、CA公司的認證，實際上解決的是端到端的安全問題，這種端到端應用在金融業、網上銀行最為實際，因此也最為廣泛。

安全普查是評估的一種方式，安全的普查目前在國內外上基本上都采用軟件進行漏洞掃描，如果掃描到存在漏洞的話就要把這個漏洞補好。現在國內很多公司的網絡安全都存在這樣或那樣的問題，安全意識比較淡泊，雖然有些專業網站應用了一套或幾套防火墻，實際上防火墻只相當于一棟房子的門，門關好了，而窗戶大敞，很多威脅都可以從窗戶輕易進來，因此說網絡是很不安全的并非危言聳聽。
有一個這樣的案例，某公司網絡被攻擊了，原因很簡單，公司的網管利用服務器發送了一個郵件，結果服務器的IP上了黑名單，短期內就被國際上的黑客組織捕捉到了。他們雖然加了防火墻，但并沒有逃過黑客的攻擊。從這個角度來講，網絡存在漏洞是受到攻擊的基本條件，實際上網上安全普查對于發現和修補漏洞非常關鍵。

企業應用好的安全產品，只說明企業具有了先進的技術，而人和管理才是薄弱的環節，如果處理不好，會使安全產品和安全技術形同虛設。許多國外的優秀安全產品在國內企業應用起來沒有起到相應的作用也與此有關。他們的產品技術比較先進，但在應用上對使用者的素質要求較高，而有些企業的人員在安全意識上達不到要求。從事網絡管理的人安全意識淡泊，這是非常嚴峻的問題。
在國內這種形勢下，借他人之手筑自身安全也是值得考慮的安全管理途徑之一。實際上，網絡安全管理服務供應商在美國已經不是概念而是一個實在的迅速增長的市場。但在中國，由于文化觀念上的不同，企業將數據與安全交給別的公司來運作，就好像將自己家保險柜的鑰匙交給不相干的人保管一樣，還不是能讓人習慣的做法。

但是，隨著中小企業信息化程度的不斷提高，隨著網絡安全應用的需求不斷上升，相信安全管理服務這一觀念也將會很快為人們所接受，就像現在越來越多的人開始使用銀行保險箱一樣，不久的將來，會有越來越多的企業會擁有自己的網絡安全管理服務供應商。

尋找“黑客”中的管理員

網絡需要安全、穩定，而穩定的網絡并不是一個安全的網絡。網絡只要開放，就要與外界取得聯系，那么就埋藏了遭受黑客攻擊的隱患。誰也不能保證100%的安全，就像坐飛機，誰又能保證飛機不會出意外？唯一的解決辦法只能是選擇信用良好、安全飛行時間較長的航線。從網絡安全攻防角度來講，對攻擊沒有任何研究的人來做網絡安全工作恐怕是難以勝任的。僅僅是算法專家（可能已經從事了幾十年的數學基礎研究）或者只知道講網絡安全重要性并不足以擔當起安全管理的重任。信息安全在研究開發、產業發展、安全認證，尤其是人才培養方面的問題已經迫在眉睫。

信息安全不可能用錢購買，培養和聘請安全管理人才也不可能是一日之功。日前，有關部門在檢查某單位網站和內網的安全性時很有感觸：他們配置了高檔的CISCO PIX硬件防火墻，但WEB服務器的administrator和數據庫的SA居然沒有設置口令！這個例子很直觀的說明：人的因素是信息安全的關鍵環節。網絡信息安全沒有資金投入好比赤膊上陣，但再先進的安全軟件和硬件離開了一定的使用水平和安全意識也是毫無意義。

目前在國內許多企業中，并沒有設置安全管理工作的專門崗位，往往由網絡管理員兼任安全管理員的角色。身為網管，工作都很繁忙，任何一點的疏忽漏洞就會導致整個系統的全面崩潰。安全和管理實際上成為一對矛盾：作為網管管100臺機器，則不可能每臺服務器一個密碼，因為要涉及到流量問題、對帶寬效率的影響問題等；而為安全考慮，則必須安裝防火墻、設置密碼等，可是由于種種原因，國外使用的千兆防火墻目前在國內還沒有普遍應用。

目前，在民間活躍著一大批具備網絡安全知識和管理知識的人才,而他們往往披著“黑客”或所謂“紅客”的面紗活躍在網絡中，影響著人們的網絡生活。

“從黑客中尋找安全管理人才，向黑客學習安全管理之道。”這并不是什么丟人的事，許多國外大公司已經在這么做，畢竟有過黑客經歷的人更加了解網絡的薄弱環節和應該加強的地方。

這些事實都昭示我們，安全已經不是一個技術范疇的問題，而是延伸到管理學、社會學、心理學等等中間，并進一步影響著我們的工作和生活。從安全的反面來學習打造安全壁壘，從攻擊的角度學習防守，從黑客的心理學來研究管理員策略，這是我們不應忽視的途徑。