| 出版日期:2001-11-01 总期号:1068 本年期号:83 |
|
 |
美国给我们的启示
我国在网络安全方面的研究起步较晚,在研究和产品的水平上与国外相比还有一定的差距,必须加大研究和开发力度,才能赶超世界先进水平。为此,了解国外,尤其是美国网络安全研究和开发的现状是十分必要的。 从公开的材料看,美国的网络安全也不容乐观。据报道,每年有恶意的软件、系统攻击和其他计算机犯罪事件正在以100%以上的速度增长,造成的损失高达100亿美元以上。但是人们关注的只是更高的速度和更低的价格,对于相应的安全性、可靠性考虑得较少。很多项目中,软硬件系统的设计是最主要的,管理人员缺乏安全培训,系统也缺乏安全性测试。 Spafford是普渡大学教授,著名计算机安全专家,就美国的网络安全研发现状,他特别提出以下几个方面: 首先,来自政府或者其他机构的经费大多只关注短期的研究项目或者非常狭小的领域,而很少对长期的研究项目提供支持,而后者是解决信息安全问题所必须的。尤其近年经费缩减,促使很多基金的代理人更加关注短期研究而非基础性研究。大量的研究不是思考如何设计新系统来抵抗攻击,而是不断在千疮百孔的老系统上打补丁,根本解决不了信息安全中的重大问题,也无助于研究机构进行更深入的研究,因为他们需要经费来不断更新设备,保证足够的空间和人员。 第二,大多数政府官员和企业负责人都担心敏感数据泄漏,不愿意向研究者提供相关系统或者网络的原始数据供研究,但这是研究工作正常进行所必须的,因为不分析实际问题就不可能构建正确的模型。 第三,企业相信依靠解决方案就可以解决某种安全问题,只关心如何把产品快速推向市场以及降低产品价格,导致很多产品设计上考虑不周,测试也很简略,最后问题很多。企业只承担版权声明中相应的责任,其他一概不管。 第四,存在大量保护知识产权的法律,给研究人员开展研究工作带来很多障碍,在很多情况下,比如入侵取证等,研究人员会遇到法律障碍而不得不暂缓或者停止工作。 从美国的网络安全现状可以看出:无论是信息工程建设、信息网络安全研究、产品开发,需要解决的问题还有很多,而且涉及到方方面面,包括立法、经费支持等。我国也有很多类似的问题存在,有关人员不知能否引起高度重视,前车之鉴,后事之师,如何防患于未然是我们需要思考的问题。 |
||||||||
