安全技術(shù)不是萬(wàn)能藥 人也是重要一環(huán)
更新時(shí)間:2007年09月19日 10:22:07 作者:
Howard A. Schmidt 在6月6日加入即時(shí)消息管理軟件公司IMlogic的顧問(wèn)組。Schmidt的安全經(jīng)驗(yàn)包括了總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)的主席和副主席、eBay的VP以及首席信息安全官和首席安全策略師,另外還擔(dān)任過(guò)微軟的首席安全官。他對(duì)記者講述了自己關(guān)于電腦安全的意見(jiàn)。
記者:計(jì)算機(jī)安全正在好轉(zhuǎn)還是越來(lái)越差呢?
SCHMIDT:這個(gè)問(wèn)題非常有趣。"我們正在不斷改善"可能是最正確的答案。但是我需要指出,不是故意破壞的家伙讓我們的日子好過(guò),而是我們對(duì)于安全更為重視,采取了更多的安全措施。另外為針對(duì)安全事務(wù),工業(yè)界做出響應(yīng),他們所提出的解決方案比過(guò)去越來(lái)越快。
記者:用戶教育對(duì)于在線安全來(lái)說(shuō)是最重要的成分。而這個(gè)看上去是個(gè)棘手的問(wèn)題。我們能夠?qū)τ脩舾踩厥褂糜?jì)算機(jī),并且使他們免受來(lái)自各種途徑的計(jì)算機(jī)攻擊保持樂(lè)觀嗎?
SCHMIDT:我想這是可能的。如果你現(xiàn)在留意一些電視廣告,如果你仔細(xì)觀察產(chǎn)品制造的方式--我在今天的早些時(shí)候曾經(jīng)跟其他人提過(guò),例如你去買一個(gè)無(wú)線接入點(diǎn)的話,或者你買一個(gè)cable調(diào)制解調(diào)器或者是路由,現(xiàn)在你可以看到有殺毒、內(nèi)容過(guò)濾和垃圾郵件保護(hù)等內(nèi)嵌功能,而這些功能是賣點(diǎn)之一。我們?cè)絹?lái)越多地得到終端用戶的認(rèn)知和理解,這些都是我們過(guò)去所沒(méi)有的。我想這部分是因?yàn)楣I(yè)界正在將安全作為一個(gè)賣點(diǎn),將安全作為一個(gè)關(guān)鍵功能。例如,我想起了一些我們?cè)?jīng)在白宮做過(guò)的事情,我們制定國(guó)家安全策略,保護(hù)計(jì)算機(jī)空間的安全,我們?cè)谌珖?guó)范圍內(nèi)召開(kāi)州政府會(huì)議。之后,安全問(wèn)題終于得到了認(rèn)知,不只是那些私人部門(mén)以及商業(yè)機(jī)構(gòu),還有終端用戶--PTA,職員等等。
記者:互聯(lián)網(wǎng)軟件和硬件的復(fù)雜性,使得用戶必須花費(fèi)很大地力氣才能在互聯(lián)網(wǎng)上不犯錯(cuò)誤。供應(yīng)商們?cè)谑沟糜脩裟軌蜉p易安全使用電腦方面做出的努力足夠嗎?
SCHMIDT:他們的努力足夠了。回頭看看80年代,Michelangelo病毒以及其他病毒通過(guò)磁盤(pán)傳播,而不是在網(wǎng)絡(luò)上傳播。為了對(duì)付這些病毒,你必須去安裝一個(gè)病毒軟件。而每隔一段時(shí)間你又必須去獲取它的更新。之后我們看到了自動(dòng)在線更新逐漸占據(jù)了上風(fēng)。然后集成的安全套裝軟件,包含了個(gè)人防火墻和殺毒軟件,這些東西都集成到一套解決方案中。所以很明顯,對(duì)于終端用戶來(lái)說(shuō)要獲得安全空間將更為容易。操作系統(tǒng)和應(yīng)用程序發(fā)生著同樣的改變?;仡^2001年我在微軟的時(shí)候,當(dāng)我們開(kāi)始信任計(jì)算,安全成為了微軟、思科、甲骨文以及Sun,還有其他大型的軟件供應(yīng)商的首要事務(wù)了。某些自動(dòng)補(bǔ)丁工具在某些自動(dòng)漏洞評(píng)價(jià)工具的幫助下變得更為簡(jiǎn)單。在安全事務(wù)上,大部分問(wèn)題都變得簡(jiǎn)單起來(lái)。
記者:我最近跟一個(gè)密歇根州立大學(xué)的教授談話,內(nèi)容是新的信息發(fā)布規(guī)定,這個(gè)規(guī)定是由聯(lián)邦交易委員會(huì)強(qiáng)制執(zhí)行,目的是限制身份盜用。她對(duì)于IT能夠減少身份盜用的能力表示懷疑。她的觀點(diǎn)是,身份盜用一般來(lái)自于工作場(chǎng)所,雖然IT技術(shù)用了很多年的時(shí)間去保證數(shù)據(jù)的安全,但是這是一個(gè)跟人的因素有關(guān)的問(wèn)題。你對(duì)于IT安全措施是否有更多的信心呢?
SCHMIDT:我必須要清晰地區(qū)分技術(shù)犯罪和普通犯罪。與IT專家談話的時(shí)候,我們一般談?wù)撈渌腜PT,不是Powerpoint,是人,處理過(guò)程和技術(shù)。根據(jù)這些專家的觀點(diǎn),她的觀點(diǎn)完全正確。技術(shù)不是萬(wàn)能藥,但是顯然是處理這些問(wèn)題的關(guān)鍵要素。而人和專家也是這些問(wèn)題的組成部分。
回顧那些犯罪案件,1986年我是Arizona州警察部門(mén)的計(jì)算機(jī)犯罪偵察官,我們有一群罪犯。他們都是詐騙犯,傳統(tǒng)意義上的罪犯。在那個(gè)時(shí)候,我們還沒(méi)有現(xiàn)在的交易信用報(bào)告法案和信用部門(mén),所以基本上任何人都可以開(kāi)一家假冒的旅游代理。然后他們就利用這家代理騙取信用記錄--這些都發(fā)生在我們今天所知道的互聯(lián)網(wǎng)世界之前--他們正是身份盜用(還有其他的詐騙)?,F(xiàn)在,也仍然是同樣的東西。仍然是詐騙案。正如歷史上我們從來(lái)無(wú)法阻止人類的盜用一樣,我們是沒(méi)有辦法阻止100%的詐騙案?!覀儽仨毚_保,有培訓(xùn)、處理流程以及策略,去幫助技術(shù)減低詐騙案發(fā)生以及身份盜用。
記者:在Minnesota的一個(gè)上訴法庭最近立法說(shuō)加密軟件的產(chǎn)生可以被看作是犯罪傾向的證據(jù),你對(duì)此有什么看法呢?
SCHMIDT:我對(duì)于這個(gè)案件的細(xì)節(jié)不是很清楚,但是我曾經(jīng)聽(tīng)說(shuō)過(guò)這件事。這個(gè)很有趣,因?yàn)榭吹搅思用艿膬蓚€(gè)方面--我們可以回顧一下90年代初關(guān)于加密的很多爭(zhēng)論--在安全公司的我們中的大多數(shù)人,都說(shuō)加密的使用是非常必要的。作為一個(gè)例子,可以參見(jiàn)你在大學(xué)聽(tīng)到的事情,例如一個(gè)筆記本被盜竊,上面帶有各種各樣的信息。問(wèn)題就是,為什么不加密呢?不需要加密的理由有很多,但是這些理由在今天的世界里面一點(diǎn)都行不通。事實(shí)是,安全專家推薦加密措施。我們使用IPSec,我們使用SSL,我們使用所有的加密技術(shù)去改進(jìn)安全。
但是如果罪犯利用加密技術(shù)來(lái)進(jìn)行犯罪活動(dòng)--這就是加密技術(shù)的另外一面--我們已經(jīng)看到了恐怖主義籌款、詐騙和兒童色情電影等。一般來(lái)說(shuō)如果你看到那種情況,你已經(jīng)有足夠的證據(jù)指出他們有犯罪傾向,但是加密技術(shù)讓他們能夠進(jìn)一步藏起罪證。很明顯那些都是犯罪行為,他們應(yīng)該因?yàn)檫@些行為受到指控。如果我們沒(méi)有解密數(shù)據(jù)的技術(shù),那么過(guò)去一段時(shí)間法律團(tuán)體就自然會(huì)得到結(jié)論:使用加密技術(shù)去進(jìn)行犯罪活動(dòng)的話就是一種犯罪,而不是對(duì)于加密技術(shù)的純粹使用將會(huì)在某種程度消滅犯罪的企圖。
記者:州政府還有什么尚未采取的措施去改進(jìn)計(jì)算機(jī)安全呢?
SCHMIDT:第一件而且是最重要的事情是,假設(shè)85%或者更多的重要基礎(chǔ)設(shè)施是由私人企業(yè)所有,政府就必須確認(rèn)國(guó)家安全策略以保證計(jì)算機(jī)安全,這也是我們一直在白宮所做的事情,同時(shí)還有通過(guò)推動(dòng)這些策略的實(shí)施,讓私營(yíng)企業(yè)主知道他們還有很多的工作要做。NINAC(國(guó)家基礎(chǔ)設(shè)施保障議會(huì),總統(tǒng)的咨詢機(jī)構(gòu)之一)以及國(guó)家安全通信顧問(wèn)委員會(huì)(也是總統(tǒng)的咨詢機(jī)構(gòu)之一)、貿(mào)易部信息安全以及隱私顧問(wèn)委員會(huì)以及管理及預(yù)算辦公室的建立,都給私營(yíng)企業(yè)主一個(gè)提示,關(guān)于國(guó)家安全、公眾安全以及經(jīng)濟(jì)可行性來(lái)說(shuō),安全是一個(gè)重要的問(wèn)題。
從政府的角度看,政府已經(jīng)做的非常好了,并確保在重要基礎(chǔ)設(shè)施安全保護(hù)方面讓人們意識(shí)到自己負(fù)有特殊的責(zé)任。
另外一個(gè)政府已經(jīng)著手的方面就是某些與法案有關(guān)的事務(wù),例如Gramm-Bliley以及Sarbanes-Oxley,這些事務(wù)一開(kāi)始都是讓人擔(dān)心的。當(dāng)然Sarbanes-Oxley并非為IT安全專門(mén)設(shè)計(jì)的。它是設(shè)計(jì)用于金融控制的。如果你沒(méi)有好的IT安全,你就沒(méi)有好的金融控制。所以IT安全是非常有用的。政府需要下功夫做的是繼續(xù)理清他們的內(nèi)部事務(wù)。在很長(zhǎng)一段時(shí)間里面,政府官員,包括我都在說(shuō)計(jì)算機(jī)安全必須要有一個(gè)模型。我想針對(duì)現(xiàn)在稍微有些散亂的狀況,我們已經(jīng)有初步的對(duì)策。
記者:你認(rèn)為未來(lái)兩三年的網(wǎng)絡(luò)世界將是如何一種場(chǎng)景呢?
SCHMIDT:在未來(lái),我們對(duì)于網(wǎng)絡(luò)世界將會(huì)有更好的劃分,這種劃分非常類似于我們?cè)谖锢硎澜缰兴吹降?,你在里面能夠做的事情跟你在?shí)際世界中所能匿名從事的活動(dòng)類似,這種跟那種需要實(shí)名制的活動(dòng)相反,例如股票交易。我們將會(huì)有更好的粒度劃分,更好地保護(hù)大家的隱私,因?yàn)槲覀儗?huì)更好地管理網(wǎng)絡(luò)世界的身份驗(yàn)證。
記者:計(jì)算機(jī)安全正在好轉(zhuǎn)還是越來(lái)越差呢?
SCHMIDT:這個(gè)問(wèn)題非常有趣。"我們正在不斷改善"可能是最正確的答案。但是我需要指出,不是故意破壞的家伙讓我們的日子好過(guò),而是我們對(duì)于安全更為重視,采取了更多的安全措施。另外為針對(duì)安全事務(wù),工業(yè)界做出響應(yīng),他們所提出的解決方案比過(guò)去越來(lái)越快。
記者:用戶教育對(duì)于在線安全來(lái)說(shuō)是最重要的成分。而這個(gè)看上去是個(gè)棘手的問(wèn)題。我們能夠?qū)τ脩舾踩厥褂糜?jì)算機(jī),并且使他們免受來(lái)自各種途徑的計(jì)算機(jī)攻擊保持樂(lè)觀嗎?
SCHMIDT:我想這是可能的。如果你現(xiàn)在留意一些電視廣告,如果你仔細(xì)觀察產(chǎn)品制造的方式--我在今天的早些時(shí)候曾經(jīng)跟其他人提過(guò),例如你去買一個(gè)無(wú)線接入點(diǎn)的話,或者你買一個(gè)cable調(diào)制解調(diào)器或者是路由,現(xiàn)在你可以看到有殺毒、內(nèi)容過(guò)濾和垃圾郵件保護(hù)等內(nèi)嵌功能,而這些功能是賣點(diǎn)之一。我們?cè)絹?lái)越多地得到終端用戶的認(rèn)知和理解,這些都是我們過(guò)去所沒(méi)有的。我想這部分是因?yàn)楣I(yè)界正在將安全作為一個(gè)賣點(diǎn),將安全作為一個(gè)關(guān)鍵功能。例如,我想起了一些我們?cè)?jīng)在白宮做過(guò)的事情,我們制定國(guó)家安全策略,保護(hù)計(jì)算機(jī)空間的安全,我們?cè)谌珖?guó)范圍內(nèi)召開(kāi)州政府會(huì)議。之后,安全問(wèn)題終于得到了認(rèn)知,不只是那些私人部門(mén)以及商業(yè)機(jī)構(gòu),還有終端用戶--PTA,職員等等。
記者:互聯(lián)網(wǎng)軟件和硬件的復(fù)雜性,使得用戶必須花費(fèi)很大地力氣才能在互聯(lián)網(wǎng)上不犯錯(cuò)誤。供應(yīng)商們?cè)谑沟糜脩裟軌蜉p易安全使用電腦方面做出的努力足夠嗎?
SCHMIDT:他們的努力足夠了。回頭看看80年代,Michelangelo病毒以及其他病毒通過(guò)磁盤(pán)傳播,而不是在網(wǎng)絡(luò)上傳播。為了對(duì)付這些病毒,你必須去安裝一個(gè)病毒軟件。而每隔一段時(shí)間你又必須去獲取它的更新。之后我們看到了自動(dòng)在線更新逐漸占據(jù)了上風(fēng)。然后集成的安全套裝軟件,包含了個(gè)人防火墻和殺毒軟件,這些東西都集成到一套解決方案中。所以很明顯,對(duì)于終端用戶來(lái)說(shuō)要獲得安全空間將更為容易。操作系統(tǒng)和應(yīng)用程序發(fā)生著同樣的改變?;仡^2001年我在微軟的時(shí)候,當(dāng)我們開(kāi)始信任計(jì)算,安全成為了微軟、思科、甲骨文以及Sun,還有其他大型的軟件供應(yīng)商的首要事務(wù)了。某些自動(dòng)補(bǔ)丁工具在某些自動(dòng)漏洞評(píng)價(jià)工具的幫助下變得更為簡(jiǎn)單。在安全事務(wù)上,大部分問(wèn)題都變得簡(jiǎn)單起來(lái)。
記者:我最近跟一個(gè)密歇根州立大學(xué)的教授談話,內(nèi)容是新的信息發(fā)布規(guī)定,這個(gè)規(guī)定是由聯(lián)邦交易委員會(huì)強(qiáng)制執(zhí)行,目的是限制身份盜用。她對(duì)于IT能夠減少身份盜用的能力表示懷疑。她的觀點(diǎn)是,身份盜用一般來(lái)自于工作場(chǎng)所,雖然IT技術(shù)用了很多年的時(shí)間去保證數(shù)據(jù)的安全,但是這是一個(gè)跟人的因素有關(guān)的問(wèn)題。你對(duì)于IT安全措施是否有更多的信心呢?
SCHMIDT:我必須要清晰地區(qū)分技術(shù)犯罪和普通犯罪。與IT專家談話的時(shí)候,我們一般談?wù)撈渌腜PT,不是Powerpoint,是人,處理過(guò)程和技術(shù)。根據(jù)這些專家的觀點(diǎn),她的觀點(diǎn)完全正確。技術(shù)不是萬(wàn)能藥,但是顯然是處理這些問(wèn)題的關(guān)鍵要素。而人和專家也是這些問(wèn)題的組成部分。
回顧那些犯罪案件,1986年我是Arizona州警察部門(mén)的計(jì)算機(jī)犯罪偵察官,我們有一群罪犯。他們都是詐騙犯,傳統(tǒng)意義上的罪犯。在那個(gè)時(shí)候,我們還沒(méi)有現(xiàn)在的交易信用報(bào)告法案和信用部門(mén),所以基本上任何人都可以開(kāi)一家假冒的旅游代理。然后他們就利用這家代理騙取信用記錄--這些都發(fā)生在我們今天所知道的互聯(lián)網(wǎng)世界之前--他們正是身份盜用(還有其他的詐騙)?,F(xiàn)在,也仍然是同樣的東西。仍然是詐騙案。正如歷史上我們從來(lái)無(wú)法阻止人類的盜用一樣,我們是沒(méi)有辦法阻止100%的詐騙案?!覀儽仨毚_保,有培訓(xùn)、處理流程以及策略,去幫助技術(shù)減低詐騙案發(fā)生以及身份盜用。
記者:在Minnesota的一個(gè)上訴法庭最近立法說(shuō)加密軟件的產(chǎn)生可以被看作是犯罪傾向的證據(jù),你對(duì)此有什么看法呢?
SCHMIDT:我對(duì)于這個(gè)案件的細(xì)節(jié)不是很清楚,但是我曾經(jīng)聽(tīng)說(shuō)過(guò)這件事。這個(gè)很有趣,因?yàn)榭吹搅思用艿膬蓚€(gè)方面--我們可以回顧一下90年代初關(guān)于加密的很多爭(zhēng)論--在安全公司的我們中的大多數(shù)人,都說(shuō)加密的使用是非常必要的。作為一個(gè)例子,可以參見(jiàn)你在大學(xué)聽(tīng)到的事情,例如一個(gè)筆記本被盜竊,上面帶有各種各樣的信息。問(wèn)題就是,為什么不加密呢?不需要加密的理由有很多,但是這些理由在今天的世界里面一點(diǎn)都行不通。事實(shí)是,安全專家推薦加密措施。我們使用IPSec,我們使用SSL,我們使用所有的加密技術(shù)去改進(jìn)安全。
但是如果罪犯利用加密技術(shù)來(lái)進(jìn)行犯罪活動(dòng)--這就是加密技術(shù)的另外一面--我們已經(jīng)看到了恐怖主義籌款、詐騙和兒童色情電影等。一般來(lái)說(shuō)如果你看到那種情況,你已經(jīng)有足夠的證據(jù)指出他們有犯罪傾向,但是加密技術(shù)讓他們能夠進(jìn)一步藏起罪證。很明顯那些都是犯罪行為,他們應(yīng)該因?yàn)檫@些行為受到指控。如果我們沒(méi)有解密數(shù)據(jù)的技術(shù),那么過(guò)去一段時(shí)間法律團(tuán)體就自然會(huì)得到結(jié)論:使用加密技術(shù)去進(jìn)行犯罪活動(dòng)的話就是一種犯罪,而不是對(duì)于加密技術(shù)的純粹使用將會(huì)在某種程度消滅犯罪的企圖。
記者:州政府還有什么尚未采取的措施去改進(jìn)計(jì)算機(jī)安全呢?
SCHMIDT:第一件而且是最重要的事情是,假設(shè)85%或者更多的重要基礎(chǔ)設(shè)施是由私人企業(yè)所有,政府就必須確認(rèn)國(guó)家安全策略以保證計(jì)算機(jī)安全,這也是我們一直在白宮所做的事情,同時(shí)還有通過(guò)推動(dòng)這些策略的實(shí)施,讓私營(yíng)企業(yè)主知道他們還有很多的工作要做。NINAC(國(guó)家基礎(chǔ)設(shè)施保障議會(huì),總統(tǒng)的咨詢機(jī)構(gòu)之一)以及國(guó)家安全通信顧問(wèn)委員會(huì)(也是總統(tǒng)的咨詢機(jī)構(gòu)之一)、貿(mào)易部信息安全以及隱私顧問(wèn)委員會(huì)以及管理及預(yù)算辦公室的建立,都給私營(yíng)企業(yè)主一個(gè)提示,關(guān)于國(guó)家安全、公眾安全以及經(jīng)濟(jì)可行性來(lái)說(shuō),安全是一個(gè)重要的問(wèn)題。
從政府的角度看,政府已經(jīng)做的非常好了,并確保在重要基礎(chǔ)設(shè)施安全保護(hù)方面讓人們意識(shí)到自己負(fù)有特殊的責(zé)任。
另外一個(gè)政府已經(jīng)著手的方面就是某些與法案有關(guān)的事務(wù),例如Gramm-Bliley以及Sarbanes-Oxley,這些事務(wù)一開(kāi)始都是讓人擔(dān)心的。當(dāng)然Sarbanes-Oxley并非為IT安全專門(mén)設(shè)計(jì)的。它是設(shè)計(jì)用于金融控制的。如果你沒(méi)有好的IT安全,你就沒(méi)有好的金融控制。所以IT安全是非常有用的。政府需要下功夫做的是繼續(xù)理清他們的內(nèi)部事務(wù)。在很長(zhǎng)一段時(shí)間里面,政府官員,包括我都在說(shuō)計(jì)算機(jī)安全必須要有一個(gè)模型。我想針對(duì)現(xiàn)在稍微有些散亂的狀況,我們已經(jīng)有初步的對(duì)策。
[1] [2] 下一頁(yè)
文章錄入:csh 責(zé)任編輯:csh
記者:你認(rèn)為未來(lái)兩三年的網(wǎng)絡(luò)世界將是如何一種場(chǎng)景呢?
SCHMIDT:在未來(lái),我們對(duì)于網(wǎng)絡(luò)世界將會(huì)有更好的劃分,這種劃分非常類似于我們?cè)谖锢硎澜缰兴吹降?,你在里面能夠做的事情跟你在?shí)際世界中所能匿名從事的活動(dòng)類似,這種跟那種需要實(shí)名制的活動(dòng)相反,例如股票交易。我們將會(huì)有更好的粒度劃分,更好地保護(hù)大家的隱私,因?yàn)槲覀儗?huì)更好地管理網(wǎng)絡(luò)世界的身份驗(yàn)證。
上一頁(yè) [1] [2]
文章錄入:csh 責(zé)任編輯:csh相關(guān)文章
CIT--在物理層和數(shù)據(jù)鏈路由解決問(wèn)題
CIT--在物理層和數(shù)據(jù)鏈路由解決問(wèn)題...2007-09-09解決采用多路由協(xié)議的網(wǎng)絡(luò)問(wèn)題
解決采用多路由協(xié)議的網(wǎng)絡(luò)問(wèn)題...2007-09-09比Ghost更強(qiáng) 給系統(tǒng)做一個(gè)“影子分身術(shù)”
比Ghost更強(qiáng) 給系統(tǒng)做一個(gè)“影子分身術(shù)”...2007-09-09