出版日期：2000-10-01　总期号：164　本年期号：10

本期导读 新闻专递 方案设计 应用篇 技术篇 产品篇

安全是个多大的目的？ 安全理念与安全市场的变化（下） 阿清 　　在本文的上篇中，笔者已经对近期安全市场发生的一些变化作了大致的介绍，而在这些变化中，我想最重要的一点就是网络安全正在上升到整个安全体系的首要位置。 　　近一段时间，各个媒体都以相当的篇幅对网络安全进行了报道和评述，它们给世人造成了网络充满危险的印象，这对于安全意识的普及和提高固然有意义，但同时也对网络服务业的发展和用户心理造成了一定的压力。 　　在触及网络安全这个课题之初，可以说我对网络安全的了解也只限于厂商的宣传材料，以及其他媒体的相关报道。无需作更多的说明，大家也知道它们一般是较为片面或主观的，而我想深入了解的是下面这些问题： 　　1． 网络安全问题是否真的很严重？它是否被有意无意地夸大了？ 　　2． 网络安全市场是如何出现并兴旺起来的？ 　　3． 安全产品的核心是什么？ 　　4． 除安全产品之外，解决的途径还有哪些？ 　　5． 安全产品在多大程度上解决了问题？ 　　6． 安全产品本身安全吗？ 　　7． 安全是网络永远难以消除的痼疾吗？ 　　8． 这个市场的发展空间有多大？ 　　9． 国内安全市场的现状是怎样的？ 　　10． 国内外厂商在竞争上分别处于什么样的位置？ 　　11． 国内安全市场存在着哪些问题？ 　　12． 如何提高国内厂商的竞争力？ 　　在我的采访过程中，新浪网的严援朝总工程师最先回答了我的疑问。他从网络服务商角度对这个问题的一些看法已经记录在上一篇文章中，而真正使我感到有些意外的是，他认为国内网络的安全状况不像人们预想的那么严重，所谓的安全隐患或许真的存在，但是有被无限夸大的嫌疑。 　　接下来的被采访者，是一位年轻的“黑客”。看上去只有20出头的周帅现在是北京一家安全信息网站的网管，他的另一个身份是黑客组织“绿色兵团”的成员。他很坦诚地为我解答了几个较为“初级”的问题，即“目前网络安全产品中起决定性作用的是防火墙，其他都是次要的”，“国内外产品在设计性能和性能的实现上的确存在着一定差距”，以及“不安全因素首先是由于网络协议本身的缺陷，因此安全问题的出现是必然的，并且将长期存在”。 　　记者获悉，国内最大的软件企业—中国计算机软件及技术服务总公司新近成立了专门从事网络安全业务的中软华泰信息技术有限责任公司，该公司以极快的速度开发出自主产品—“HuaTech-2000复合型防火墙”，并已推向市场。通过E-mail这条似乎越来越危险的通道，记者与中软华泰的俞桓总经理进行了交流。 　　俞桓先生首先指出，“网络安全是涵盖于信息安全内的一个重要方面。”他说：“网络建设注重的是信息、资源共享。拿Internet来说，就是一个典型的世界性、无国界的、透明的广域网，其信息含量巨大，涵盖了社会生活的各个方面。但网络建设从最初起就忽略了一个致命的问题，那就是网络安全。近来年，网络攻击、网络犯罪不断发生。随着网络的发展，网上交易、网上银行等类似产业的不断发展，可以断言，今后的经济犯罪，最主要的一个方面就是网络犯罪。尤其是军事的、政治的重要机密被窃取，造成的后果是不堪设想的。所以网络安全近来越来越引起各行各业的重视，在我国，网络安全已经成为一个产业列入国家的发展计划。” 　　对于记者“网络安全市场发展空间”的疑问，俞桓显得很有信心，他说：“网络安全的重要性决定了网络产品的应用十分广泛。只要有网络连接的部门今后都将考虑网络安全。无论是政府部门、军队或是经济领域都将成为网络安全产品的重要的用户。安全产品的需求量是巨大的，所产生的经济效益也是相当可观的。” 　　出于这样的认识，并根据自身的技术力量等因素考虑，中软华泰及中软的另一个机构—中软信息安全实验室建立了一支以博士后、博士、硕士为主的研发队伍，技术上由国内安全界知名院士沈昌祥担任指导。将市场拓展的目标定在从操作系统安全加固到安全操作系统、从底层开发到应用层开发的全系列产品，并可为用户提供8个方面的安全服务： 　　1．各种网络安全整体解决方案，承接方案的设计及工程建设； 　　2．安全操作系统和操作系统安全的安全增强工具（Windows/Unix）； 　　3．操作系统及其网络安全保密平台; 　　4．防火墙、安全网关及IPSEC系列产品； 　　5．系统漏洞扫描系统（Scanner）及实时网络安全监控系统； 　　6．电子商务安全和信息对抗安全产品； 　　7．操作系统应用产品开发； 　　8．安全咨询和培训。 　　谈及国内安全市场存在的问题，俞桓认为，“目前国内市场存在着杂乱现象。一方面，一些IT大企业纷纷投入安全领域，安全产业成为继网络产业后又一被业内人士看好的产业。另一方面，目前从事安全产品开发的公司大多数技术含量不高，有的公司只有一小部分或者根本没有从事过安全产品研发的技术人员。这些公司的成立大致有几种形式：一是上市集团收购或注资，显而易见，其目的在于增加题材，推动自身股价；一种是匆匆上马，靠购买别人的技术拥有几个产品，希望经过几年的运作被人收购。” 　　他进而指出，“这样的安全公司的建立十分令人担忧，因为网络安全产品不同于其他产品，它本身是以防攻击、防漏洞为己任的产品，从安全产品本身来说应是十分严谨的，安全产品开发研究工作是一种长期的、不断积累的、高深的研发行为。由此可以想象，上面所提到的公司的产品是不能满足安全产品的特性的，这样的产品投入市场无疑会造成不可想象的后果。” 　　俞桓谈到的另一个问题，是法规建设滞后和监督机制不力。“目前的安全产品往往在宣传上大做文章，而从技术上、安全性上往往是一带而过。国家的法规建设还远远达不到，出台的一些法规也没有很好地被执行，监督的力度不够。我们在市场上经常可以看到一些未经过检测、未得到销售许可的产品在作宣传，在进行推销。安全产品要真正起到防止网络犯罪的目的，必须要有国家法规的约束，并建立起相应的监督机制。” 　　俞桓并不讳言自己是一家新成立的公司，技术及产品的成熟度上与国外同行相比还有一定的差距，这种差距其实也是国内网络安全厂商都要面对的一个问题，这也是它们在市场开发上面临的一个不利因素。但对安全产品而言，技术原因不是决定市场的唯一因素，更重要的一点是安全产品本身的安全。俞桓特别说明了这一点的重要意义，“经过研究，我们发现国外安全产品本身存在着情报机构埋伏安全‘后门’的可能。所以安全产品的研发及应用还要以国内为主，国外的技术可以参考，但不能完全照搬。我们认为安全产品一定要用国产的，尤其是密码产品。这一点我们是与国家有关部门有共识的。所以，从竞争的角度看，国外产品存在‘后门’这一明显‘漏洞’，是我们产品得以发展的契机。” 　　浪潮电子信息产业集团是国内另一家IT名牌企业，也是国内安全市场上的一支重要力量。在接受记者的采访时，浪潮服务器市场推进部的彭振先生表示了近乎相同的看法。他说：“近两年，随着人们网络认识的普及和网络应用的深入，人们开始忧虑在自由、开放的网络环境中如何保障自己的网络信息不被非法窃听、盗用，如何保障网络中的经济活动、社会活动的隐私不被侵犯。实际上网络安全已经成为让网络融合进我们目前的经济生活、社会生活的一把关键钥匙。虽然B-C、B-B、ASP热潮下诞生了一拨又一拨的网络公司，虽然各种网络经济概念、网上银行、虚拟公司被炒得热火朝天，但是在没有建立切实可行的网络安全管控机制之前，网络经济注定只能是游离在现实经济之外的泡沫。” 　　他对市场发展前景的看法是：“网络安全产品作为网络经济、网络生活存在的基本保障，其市场前景是非常广阔的。网上招聘、交友、网上银行、网上购物、ERP、ASP、B-B、政府信息发布……，可以说，任何涉及到个人隐私、经济活动、社会活动的网上信息传输都必须用到网络安全产品，可以想见，这个市场有多么大。” 　　与中软有所不同的是，浪潮是国内老牌的计算机硬件厂商，其服务器产品在国内有较高的知名度，这使得它们有机会较早进入安全领域，而这个“早”也不过是在两年以前。“浪潮很早就看到安全产品的发展前景，从1998年开始在这个领域投入资源，和一些科研院校共同进行网络安全底层产品的开发工作，在2000年，浪潮推出了基于TCP/IP信道加密的浪潮网泰系列安全服务器系统。” 　　对于技术差距问题，彭振的看法也与俞桓基本相似，但他认为，“国内在安全方面开展的研究其实也很早，比如（原电子工业部）56所、51所，总参等单位，是国家安全产品研究的国家队，他们技术实力雄厚，研究工作基本上和国际水平同步，但由于网络安全产品的特殊性，从一开始我国的安全产品就是基于军用研究，虽然有很多研究成果，在部分领域有等同国际先进水平的产品，但是在商用领域，成型的产品不多，并且多数上是用于特殊应用市场的，可以说在商用网络安全产品上，过去几年国内整体上落后国外，先期的网络安全产品市场基本上是国外代理产品占领一般商用市场，国产产品占领特殊应用市场的局面。”此外，他认为“由于安全产品的特殊政治性，国外对我国采取了一系列的信息封锁、产品封锁政策，因此我国的安全产品开发从整体上看，不如国外，尤其在网络安全的整体解决方案和产品方面，但是在部分产品，比如防火墙、加密机、算法等方面，国内有很好的产品。” 　　在今年3月刚刚组建的北京清华紫光顺风信息安全有限公司里，负责技术开发的陈建副总经理讲述了他对网络的一些看法。他认为，“网络安全虽然目前‘炒’得很热，但在技术和产品上都还不够成熟。”我想他说的这种“不成熟”应该是把国内外所有的产品都包含在其中，因为他接着说道：“目前炒作的焦点是互联网安全，而用户真正关心的是内部网。金融业、银行业的内部调查显示，70%~80%的犯罪来自于内部。” 　　通过交谈我了解到，紫光顺风的前身“四川顺风”早在1996年即已进入安全领域，其早期的产品也是面向互联网的信道加密机，并在这个领域形成了全系列的产品。用陈建的话说就是：“凡是中国电信所提供的信道服务，我们（的产品）都能支持。” 　　由于有这样深厚的背景，我请他就网络（互联网）安全产品的“不成熟”作更详细的解释。他说：“首先，互联网是基于一种开放的技术来构建的，也因此得到了迅速的普及，但当其发展到一定程度的时候，发现安全成了问题。现在的安全技术基本上都是在TCP/IP协议上打补丁、堵漏洞，然而先天不足，单靠打补丁是怎么也解决不好的，随便你怎么搞。现在一提起网络安全就联系到防火墙，我认为是比较片面的，防火墙只能在网络（IP）层起一些防护作用，但实际上很多问题不能靠它解决，（比如）它对应用就没办法。” 　　陈建所说的“应用”，我想应该理解为局域网内部的应用环境，防火墙对此实在是力所不及。紫光顺风现在的开发思路，就是瞄准内部网的安全下功夫。他们选择的区域是金融业，众所周知，这里一直就是安全市场的一块黄金宝地。或许就是看到了这个市场的巨大潜力吧，在紫光的盛情邀约下，双方一拍即合，公司名称改了，总部也由四川迁到了北京。 　　紫光顺风的技术特点是采用密码学的加密方法，在这个方面，国内既有一定的技术积累和优势，同时又受到国家的重点保护，外国公司及产品不得进入。虽然如此，国内同行间的竞争依然较为激烈，据陈建估计，他的竞争对手最少有十几个。 　　记者曾经看到的一篇文章中说，国内网络安全市场在一二年内将会发展至1000亿元（人民币）以上。记者就此问题请教陈建，得到的是肯定的回答。“人民银行规定（金融业）要将信息化投资的10%~15%用于安全，此外还有电信、民航、交通、海关，税务、公安等部门，这些部门都要建CA，而一个CA的费用就是几个亿，1000亿元这个数字其实是较为谨慎的。” 　　记者继续提出国内外安全产品差距的问题，陈建认为双方在技术上其实没有什么差距，“根本的一点，在于我们（国内厂商）无法深入数据库和操作系统，国内没有自己的数据库和操作系统，而外国的这些产品的源代码不对我们开放，差距就产生了。” 　　我的最后一个采访对象，是从事网络安全服务的北京中联绿盟信息技术公司。该公司也是于今年刚刚成立的，但其背景却非同一般，它的前身是国内最大的“黑客”组织—“绿色兵团”。如今虽然身份变了，但还保持着“绿色”的标识。 　　由颇具神秘色彩的黑客转而作网络安全，似乎是一种让人较难理解的变化，但中联绿盟的常务副总经理高永安先生却不这样认为。他说：“黑客作安全，是国际安全业的一项惯例，目前世界上的几大安全公司—NAI、ISS等—都是由黑客转变而来的。”他认为，“不懂得攻击，就不懂得防守，如果不具备攻击的知识和方法，作为安全专家也名实不符，而只能是个理论家。” 　　据高永安介绍，中联绿盟目前的定位是网络安全系统集成商，所从事的业务主要包括两个方面：1. 向客户提供安全产品；2. 对不想购买产品的客户，为其提供系统安全检测和漏洞的修补。 　　我所关心的一个问题是，他们在为客户做安全检测时，是否能够看到客户的机密信息。对此，高永安先是予以否认，然后才承认如果“成心”的话也能看到。他作的注解是：“安全服务要讲求信誉，这一点十分重要。就像银行和保安公司一样，客户是出于信誉的保证才向你公开他的秘密，所以我们必须在企业内部的作业流程上，以及对法律法规的掌握上要相当的准确。”他同时说明，对一些关键性的重要部门，国家规定绝不允许由（像中联绿盟这样的）民营企业为其提供安全服务—它们有自己的网络安全机构，并严格实行重要信息的物理隔离，但是一般的“政府上网”网站对此没有太多的限制。 　　目前，中联绿盟的客户包括8848、中公网、中华网、新浪网、脉搏网和中华英才网等大型ICP。我对客户名单上有“新浪”和“脉搏”颇感兴趣，因为前者的严援朝总工程师曾亲自对我说，他决不会允许安全公司对其网站进行检测，而后者是一家来自南非的公司。高永安解释说，他们为新浪提供的服务是对其网管进行培训。至于脉搏网，则是因为安全服务必须做到本地化和实时化。 　　谈及现今市场上的安全产品，高永安对“防火墙”的盛行显得不屑一顾。“防火墙并不管用，”他说，“防火墙只能屏蔽一些不想让别人看到的东西，过滤一些内容，但是HTTP端口总是要打开的，否则别人无法看到网站的内容。但这个端口一开，网上运行的那些应用程序中如果有漏洞，别人完全可以通过页面更改或下载网站的数据库，窃取用户的密码和资料。”他认为，这些漏洞是“逐渐的、不断的被发现的，任何安全产品都跟不上漏洞（发现）的脚步。所以，安全产品是辅助，而精确的安全性，要靠我们这样的安全服务商来保证—我们不仅能发现漏洞，而且能在第一时间通知网站进行修补。” 　　他所说的“发现漏洞”，指的是不久前他们的一个安全小组发现了Windows 2000中存在的十几个漏洞，此事已经为各大媒体所报道。“在安全领域，要判断一家企业有没有实力，你只要问他一句话就可以了—‘你们发现过什么系统的漏洞吗？’”高永安这样提示我。 　　接下来，高永安解答了我一直很关心的一个问题—“安全产品之外的防护”。他说：“操作系统本身就具有很强的防范功能，只不过在缺省安装情况下，以及一般的操作员手下没有发挥出来而已。像我们的网络就没有安装防火墙。” 　　通过上述一系列的采访，我的问题大部分都得到了解答，简单地说，就是我开始明白，一切“都是网络惹的祸”，网络安全问题的根源在于网络本身，它将长期存在，而且将是网络经济以至整个网络社会越来越难以承受的重负。根本的解决的办法不是没有—如使IP地址不能变更的IPV6协议—只是涉及网络用户的隐私，其结果可能是在保护了一方的同时，损害了另一方的权益。 　　长此的僵持下去，网络只会变得更加不安全，而当网络处处危机四伏，或者个人权益不得不受到损害的时候，我们真的应该怀疑：这一切都是为了什么？