Howard A. Schmidt 在6月6日加入即時(shí)消息管理軟件公司IMlogic的顧問(wèn)組。Schmidt的安全經(jīng)驗(yàn)包括了總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)的主席和副主席、eBay的VP以及首席信息安全官和首席安全策略師，另外還擔(dān)任過(guò)微軟的首席安全官。他對(duì)記者講述了自己關(guān)于電腦安全的意見(jiàn)。

記者：計(jì)算機(jī)安全正在好轉(zhuǎn)還是越來(lái)越差呢？

SCHMIDT：這個(gè)問(wèn)題非常有趣。"我們正在不斷改善"可能是最正確的答案。但是我需要指出，不是故意破壞的家伙讓我們的日子好過(guò)，而是我們對(duì)于安全更為重視，采取了更多的安全措施。另外為針對(duì)安全事務(wù)，工業(yè)界做出響應(yīng)，他們所提出的解決方案比過(guò)去越來(lái)越快。

記者：用戶教育對(duì)于在線安全來(lái)說(shuō)是最重要的成分。而這個(gè)看上去是個(gè)棘手的問(wèn)題。我們能夠?qū)τ脩舾踩厥褂糜?jì)算機(jī)，并且使他們免受來(lái)自各種途徑的計(jì)算機(jī)攻擊保持樂(lè)觀嗎？

SCHMIDT：我想這是可能的。如果你現(xiàn)在留意一些電視廣告，如果你仔細(xì)觀察產(chǎn)品制造的方式--我在今天的早些時(shí)候曾經(jīng)跟其他人提過(guò)，例如你去買一個(gè)無(wú)線接入點(diǎn)的話，或者你買一個(gè)cable調(diào)制解調(diào)器或者是路由，現(xiàn)在你可以看到有殺毒、內(nèi)容過(guò)濾和垃圾郵件保護(hù)等內(nèi)嵌功能，而這些功能是賣點(diǎn)之一。我們?cè)絹?lái)越多地得到終端用戶的認(rèn)知和理解，這些都是我們過(guò)去所沒(méi)有的。我想這部分是因?yàn)楣I(yè)界正在將安全作為一個(gè)賣點(diǎn)，將安全作為一個(gè)關(guān)鍵功能。例如，我想起了一些我們?cè)?jīng)在白宮做過(guò)的事情，我們制定國(guó)家安全策略，保護(hù)計(jì)算機(jī)空間的安全，我們?cè)谌珖?guó)范圍內(nèi)召開(kāi)州政府會(huì)議。之后，安全問(wèn)題終于得到了認(rèn)知，不只是那些私人部門(mén)以及商業(yè)機(jī)構(gòu)，還有終端用戶--PTA，職員等等。

記者：互聯(lián)網(wǎng)軟件和硬件的復(fù)雜性，使得用戶必須花費(fèi)很大地力氣才能在互聯(lián)網(wǎng)上不犯錯(cuò)誤。供應(yīng)商們?cè)谑沟糜脩裟軌蜉p易安全使用電腦方面做出的努力足夠嗎？

SCHMIDT：他們的努力足夠了。回頭看看80年代，Michelangelo病毒以及其他病毒通過(guò)磁盤(pán)傳播，而不是在網(wǎng)絡(luò)上傳播。為了對(duì)付這些病毒，你必須去安裝一個(gè)病毒軟件。而每隔一段時(shí)間你又必須去獲取它的更新。之后我們看到了自動(dòng)在線更新逐漸占據(jù)了上風(fēng)。然后集成的安全套裝軟件，包含了個(gè)人防火墻和殺毒軟件，這些東西都集成到一套解決方案中。所以很明顯，對(duì)于終端用戶來(lái)說(shuō)要獲得安全空間將更為容易。操作系統(tǒng)和應(yīng)用程序發(fā)生著同樣的改變?；仡^2001年我在微軟的時(shí)候，當(dāng)我們開(kāi)始信任計(jì)算，安全成為了微軟、思科、甲骨文以及Sun，還有其他大型的軟件供應(yīng)商的首要事務(wù)了。某些自動(dòng)補(bǔ)丁工具在某些自動(dòng)漏洞評(píng)價(jià)工具的幫助下變得更為簡(jiǎn)單。在安全事務(wù)上，大部分問(wèn)題都變得簡(jiǎn)單起來(lái)。

記者：我最近跟一個(gè)密歇根州立大學(xué)的教授談話，內(nèi)容是新的信息發(fā)布規(guī)定，這個(gè)規(guī)定是由聯(lián)邦交易委員會(huì)強(qiáng)制執(zhí)行，目的是限制身份盜用。她對(duì)于IT能夠減少身份盜用的能力表示懷疑。她的觀點(diǎn)是，身份盜用一般來(lái)自于工作場(chǎng)所，雖然IT技術(shù)用了很多年的時(shí)間去保證數(shù)據(jù)的安全，但是這是一個(gè)跟人的因素有關(guān)的問(wèn)題。你對(duì)于IT安全措施是否有更多的信心呢？

SCHMIDT：我必須要清晰地區(qū)分技術(shù)犯罪和普通犯罪。與IT專家談話的時(shí)候，我們一般談?wù)撈渌腜PT，不是Powerpoint，是人，處理過(guò)程和技術(shù)。根據(jù)這些專家的觀點(diǎn)，她的觀點(diǎn)完全正確。技術(shù)不是萬(wàn)能藥，但是顯然是處理這些問(wèn)題的關(guān)鍵要素。而人和專家也是這些問(wèn)題的組成部分。

回顧那些犯罪案件，1986年我是Arizona州警察部門(mén)的計(jì)算機(jī)犯罪偵察官，我們有一群罪犯。他們都是詐騙犯，傳統(tǒng)意義上的罪犯。在那個(gè)時(shí)候，我們還沒(méi)有現(xiàn)在的交易信用報(bào)告法案和信用部門(mén)，所以基本上任何人都可以開(kāi)一家假冒的旅游代理。然后他們就利用這家代理騙取信用記錄--這些都發(fā)生在我們今天所知道的互聯(lián)網(wǎng)世界之前--他們正是身份盜用（還有其他的詐騙）?，F(xiàn)在，也仍然是同樣的東西。仍然是詐騙案。正如歷史上我們從來(lái)無(wú)法阻止人類的盜用一樣，我們是沒(méi)有辦法阻止100％的詐騙案?！覀儽仨毚_保，有培訓(xùn)、處理流程以及策略，去幫助技術(shù)減低詐騙案發(fā)生以及身份盜用。
記者：在Minnesota的一個(gè)上訴法庭最近立法說(shuō)加密軟件的產(chǎn)生可以被看作是犯罪傾向的證據(jù)，你對(duì)此有什么看法呢？

SCHMIDT：我對(duì)于這個(gè)案件的細(xì)節(jié)不是很清楚，但是我曾經(jīng)聽(tīng)說(shuō)過(guò)這件事。這個(gè)很有趣，因?yàn)榭吹搅思用艿膬蓚€(gè)方面--我們可以回顧一下90年代初關(guān)于加密的很多爭(zhēng)論--在安全公司的我們中的大多數(shù)人，都說(shuō)加密的使用是非常必要的。作為一個(gè)例子，可以參見(jiàn)你在大學(xué)聽(tīng)到的事情，例如一個(gè)筆記本被盜竊，上面帶有各種各樣的信息。問(wèn)題就是，為什么不加密呢？不需要加密的理由有很多，但是這些理由在今天的世界里面一點(diǎn)都行不通。事實(shí)是，安全專家推薦加密措施。我們使用IPSec，我們使用SSL，我們使用所有的加密技術(shù)去改進(jìn)安全。

但是如果罪犯利用加密技術(shù)來(lái)進(jìn)行犯罪活動(dòng)--這就是加密技術(shù)的另外一面--我們已經(jīng)看到了恐怖主義籌款、詐騙和兒童色情電影等。一般來(lái)說(shuō)如果你看到那種情況，你已經(jīng)有足夠的證據(jù)指出他們有犯罪傾向，但是加密技術(shù)讓他們能夠進(jìn)一步藏起罪證。很明顯那些都是犯罪行為，他們應(yīng)該因?yàn)檫@些行為受到指控。如果我們沒(méi)有解密數(shù)據(jù)的技術(shù)，那么過(guò)去一段時(shí)間法律團(tuán)體就自然會(huì)得到結(jié)論：使用加密技術(shù)去進(jìn)行犯罪活動(dòng)的話就是一種犯罪，而不是對(duì)于加密技術(shù)的純粹使用將會(huì)在某種程度消滅犯罪的企圖。

記者：州政府還有什么尚未采取的措施去改進(jìn)計(jì)算機(jī)安全呢？

SCHMIDT：第一件而且是最重要的事情是，假設(shè)85％或者更多的重要基礎(chǔ)設(shè)施是由私人企業(yè)所有，政府就必須確認(rèn)國(guó)家安全策略以保證計(jì)算機(jī)安全，這也是我們一直在白宮所做的事情，同時(shí)還有通過(guò)推動(dòng)這些策略的實(shí)施，讓私營(yíng)企業(yè)主知道他們還有很多的工作要做。NINAC（國(guó)家基礎(chǔ)設(shè)施保障議會(huì)，總統(tǒng)的咨詢機(jī)構(gòu)之一）以及國(guó)家安全通信顧問(wèn)委員會(huì)（也是總統(tǒng)的咨詢機(jī)構(gòu)之一）、貿(mào)易部信息安全以及隱私顧問(wèn)委員會(huì)以及管理及預(yù)算辦公室的建立，都給私營(yíng)企業(yè)主一個(gè)提示，關(guān)于國(guó)家安全、公眾安全以及經(jīng)濟(jì)可行性來(lái)說(shuō)，安全是一個(gè)重要的問(wèn)題。

從政府的角度看，政府已經(jīng)做的非常好了，并確保在重要基礎(chǔ)設(shè)施安全保護(hù)方面讓人們意識(shí)到自己負(fù)有特殊的責(zé)任。

另外一個(gè)政府已經(jīng)著手的方面就是某些與法案有關(guān)的事務(wù)，例如Gramm-Bliley以及Sarbanes-Oxley，這些事務(wù)一開(kāi)始都是讓人擔(dān)心的。當(dāng)然Sarbanes-Oxley并非為IT安全專門(mén)設(shè)計(jì)的。它是設(shè)計(jì)用于金融控制的。如果你沒(méi)有好的IT安全，你就沒(méi)有好的金融控制。所以IT安全是非常有用的。政府需要下功夫做的是繼續(xù)理清他們的內(nèi)部事務(wù)。在很長(zhǎng)一段時(shí)間里面，政府官員，包括我都在說(shuō)計(jì)算機(jī)安全必須要有一個(gè)模型。我想針對(duì)現(xiàn)在稍微有些散亂的狀況，我們已經(jīng)有初步的對(duì)策。

[1] [2] 下一頁(yè)  

文章錄入：csh    責(zé)任編輯：csh 

記者：你認(rèn)為未來(lái)兩三年的網(wǎng)絡(luò)世界將是如何一種場(chǎng)景呢？

SCHMIDT：在未來(lái)，我們對(duì)于網(wǎng)絡(luò)世界將會(huì)有更好的劃分，這種劃分非常類似于我們?cè)谖锢硎澜缰兴吹降?，你在里面能夠做的事情跟你在?shí)際世界中所能匿名從事的活動(dòng)類似，這種跟那種需要實(shí)名制的活動(dòng)相反，例如股票交易。我們將會(huì)有更好的粒度劃分，更好地保護(hù)大家的隱私，因?yàn)槲覀儗?huì)更好地管理網(wǎng)絡(luò)世界的身份驗(yàn)證。

上一頁(yè)  [1] [2] 

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論