| 出版日期:2004-7-05 总期号:575 本年期号:25 |
|
 |
无根之木 何以立足
本期视点索引: 微软、安全、人才 万涛 近日不断从各方传来关于微软打算涉足系统安全行业的新闻,众多媒体也纷纷表示关注并做了较大篇幅的报道,对此很感兴趣的本报编辑部随即就联系上了国内知名黑客团体“中国鹰派联盟”的创始人万涛先生,请其就这一问题做了比较系统的剖析,期望能让我们在这“乱花渐欲迷人眼”的安全现状中“拨云见日出”。 最近几年,随着信息安全意识的加强和安全知识的普及,包括微软本身对其产品安全问题的日益重视,我们对微软平台安全与否的心理承受能力已经在病毒、黑客等一系列问题的千锤百炼下大幅度提高。然而正是这个不是新话题的话题,所带来的忧虑却一直是我国软件产业的热门话题,最近又有风传“补丁不断”的软件巨人微软公司打算涉足安全市场。 微软成就“黑客” 还是黑客成就“微软”? 目前我国的Web站点还是以微软平台居多,这和微软系统的越来越“豪华”及其市场的产品优势(包括相关联的人才优势)有着必然的关系,几乎是实现了“千秋万代,一统江湖”。由于微软事实上的产品优势,以及其以短期销售目标为核心的中国市场政策,决定了数年来直到今天,微软在其安全性问题上一直是比较被动的应对,甚至从某方面讲似乎还有借机挺进安全行业的迹象。不能不说,从这点上讲,“游戏规则”的破坏者——黑客似乎成就了“巨人”微软。 正如我们最近所了解到的,造成主要网络安全隐患的来源——系统平台本身以及集成的一些重要服务程序相继发现重大安全漏洞,特别是Windows系统本身接连几个月内被披露了几个严重漏洞以后,紧接着就是利用这些漏洞的蠕虫程序的爆发和大范围流行。而这一切都发生在2003年初微软曾对外号称暂缓开发,专门加强其产品安全性之后! 微软来袭 浅谈微软的“安全之路” 笔者1998年起就通过微软中国的核心合作伙伴观察微软,目睹了从吴士宏、高群耀、唐俊到今天的陈永正如走马灯般的变局。通过微软的人事更迭、政策变化等充分了体会到微软文化和对待安全问题的功利性,本身完成了个人从崇拜、欣赏到同情和冷眼的转变。 按其内部说法,微软的主要产品分为三个产品池,即:操作系统(主要是桌面操作系统,如Windows XP、Windows 98等)、应用软件(如Office、Visio等)和服务器软件(如Windows 2003 Server、SQL、Exchange等)。微软的销售模式主要是授权许可和COEM(与随机预装有区别)两种,就实际情况来说微软最大的销售产品还是Office系列。面对竞争对手已经经营多年而利润丰厚的高端市场,微软一直以其在桌面系统的优势而虎视眈眈。而对于影响其形象、声誉和销售的系统安全问题,微软的自身企业文化决定了微软随即又找到了新的盈利点——安全市场。 目前我国的信息安全市场已经初具规模,杀毒软件、防火墙、入侵检测等产品的市场已经形成。而微软在其号称高度重视安全的2003年,在中国所开展的微软课堂安全培训、金牌安全合作伙伴计划等活动,实质都是围绕着其防火墙产品ISA SERVER的销售战略来开展的。而真正在向其广大操作系统、应用软件用户的安全资讯上则依然不够积极主动,由于其渠道合作伙伴大多为软件店之类的销售流通企业,所以实际落实到用户的安全资讯少得可怜。 作为操作系统事实上的“垄断者”,微软无论做什么都会引起整个软件行业的关注。其实,微软进军信息安全领域的战略从去年就开始启动了,去年6月微软收购了罗马尼亚的一家杀毒软件公司就很强烈地暗示了这一战略意图。此后,欧洲最大的杀病毒软件企业熊猫软件公司表示,支持微软的“可信赖计算计划”,并认为微软进入杀毒软件市场以后,该市场将迅速增长,熊猫软件公司也将得到同步发展。有了合作伙伴,又收购了杀毒公司,看来微软已经到了重拳出击信息安全市场的关键时刻。最近又风传微软将收购其防病毒合作伙伴Macfee,更是让人怀疑微软的安全之路剑指何方? 面对微软 我们真的“毫无惧色”? 分析认为,微软的“项庄舞剑”,实则“意在沛公”。就整体软件产业来说,信息安全产业虽然前景诱人,但其整个市场这块大蛋糕相对还不够规模。而且本产业的前提是网络、系统不安全,尤其是微软这个庞然大物自身的不安全性所带来的贡献,就为这个行业的发展创造了诸多机会。如果这个前提都不存在,那么“皮之不存,毛将焉附?” 由于目前微软在信息安全领域的具体做法还不明确,其新系统的信息安全内容具体包括哪些也还不清楚,因此众多国内本领域的厂商纷纷采取了对于微软的做法不应作出过早的评价,等微软的新系统问世后再看这样类似的做法。以上理论的依据似乎是国产的安全软件已经占据了国内的绝大部分市场份额,并有非常忠实稳固的客户源,所以没有必要为此事过早的担心。 但事实果真如此吗?首先在大型企业级别的网络防病毒系统中,“一统天下”的还是Symantec、趋势、Macfee等国际化厂商;而防火墙市场上的优势,也仅仅是因为电子政务等相关领域的特殊性,天融信等国产品牌才能处于相对优势的地位。所以笔者认为国内信息安全产业如果说自己“毫无惧色”,难免有考虑不周之嫌。 人才之争 千军易得,一将难求 就现状来看,目前信息安全产业的重中之重是需要从战略上重视,从长远规划上大力加强信息安全人才的培育和储备是当务之急。正如我们了解到的那样,目前很多的厂商都表示,非常缺乏安全人才,尤其是研发人员。要知道任何软件产业的本质都是人才的竞争,缺乏后继者意味着可持续发展的动力不足。 目前的现状是有数以万计的广大安全爱好者徘徊在其门外,因为缺乏机遇和深造环境不得其门而入,如何适时适当地解决这个问题,在未来将是我们整个信息安全战略的重点。值得欣慰的是,目前已经有不少高等学府开设了相关专业,能让这些未来的天之骄子们学到自己所喜好的东西。我们有理由相信,在不远的将来,在这个领域的人才储备上,我们一定能走到国际的前列。 综上所述,笔者认为单说“微软来袭”而我们仍能“毫无惧色”,显然是考虑欠周全的,硬说微软对系统安全行业这个大蛋糕没有任何企图似乎也过于乐观。比较中肯的讲,国内相关行业似乎应该借这一契机把安全这块蛋糕做大、做好,并为了明天,充分利用天时、地利、人和等有利因素做好人才培养工作,那时我们也许就真能做到“宠辱不惊,闲看庭前花开花落;去留无意,漫看天外云卷云舒”了。 |
||||||||||||||||||||
