互联网黑客无处不在 安全电脑是否真的安全
6月17日,由于与万事达卡合作的一家“信用卡第三方支付机构”的电脑系统被黑客入侵,包括master、visa、美国运通银行等机构在内的约4000余万信用卡用户的数据资料被窃。
在此事件发生之前,国内PC厂商——联想、同方、长城等虽然相继推出“安全PC”,并把“安全芯片”的概念炒热,但他们都普遍缺乏向客户解释“电脑安全”重要性的有效案例。
而作为用户,国家民政部信息处的一位人士则认为:“国内企业追求同质化的态度越来越坚决。”他认为,今年PC市场缺乏亮点,安全PC只是迎合需要一个兴奋点。
别抱太大幻想
“要做到绝对的安全是不可能的。”国家煤炭安全监管局信息处处长韩宇峰认为,没有任何一个产品是绝对安全的,“绝对安全就意味着这是一堆废物。”
然而,厂商们在对用户作出的宣传中,却有意无意的传递着“采用我的电脑就万无一失”的信息。计世资讯副总经理费悦明认为,信息安全本身是一个系统工程,跟安全产业的各个环节都有关系。
2002年,StorageTek公司第一次提出信息生命周期管理(Information Lifecycle Man agement, 简称ILM)——信息是有生命的,处于不同阶段的信息为企业提供不同的价值。在信息出现之后,存在“产生、传输、处理、存储、消亡、再利用”六个阶段,而以前的安全理念都是针对信息在这个六个过程作出针对性地措施。
根据这种周期,IT产业中的“安全”理念在过去的几年中一直是体现在网络安全上——也就是以信息在传递过程中的安全为主。从查杀毒到防火墙,从加密认证到身份认证再到入侵检测。费认为:“目前终端也需要加强安全。”
互联网应用的普及化大大增加了PC机本身的不安全性。以前,安全的责任主要由网络来承担,但现在,PC的环节也开始主动承担安全责任。
联想中国商用台式机事业部总经理刘旦认为:“安全问题永远是道高一尺,魔高一丈。”不管是“查杀毒”还是“主动防御”,对用户来说,都是被迫行为。
4月11日,联想推出了安全芯片“恒智”。这款被称为自主知识产权的安全芯片在推出之后就被挠韬裢V埃匦陌踩娜嗣腔崽教帧昂诵募际跽莆赵诠馄笠凳种校泄薹ɑ竦冒踩钡穆厶猓獯危坪跤辛私饩鱿M?/p>
“100%的自主知识产权和安全不是一个概念。”清华同方计算机系统本部副总经理马江伟认为:“关键是核心的东西是否是可控的。”
费悦明认为,安全永远是有限的。总是有各种不同的安全隐患出现:“这也是安全市场愈来愈热的原因。”
IBM 公司的技术专家说:“我们有很多客户认为重新格式化硬盘可以清除数据,这种想法是不对的。那样只是覆盖了分区或者数据扇区。只要有合适的工具,你就可以恢复这些数据。”
易拓科技总裁助理邓德新介绍说,从硬盘的角度,易拓可以做到——普通用户把PC格式化七次,他仍然可以把之前存储在硬盘上的数据恢复。从这个角度上,用户认为的安全并不保险。
随着PC的应用越来越广、以及电子商务的扩展,PC本身受到的威胁越来越大,这也促成了“可信计算”开始成为IT技术的一个方向。安全PC的推出,只不过是加入“可信计算信任链”的一个环节。
浪潮北京公司PC事业部总经理黄刚认为:安全PC并不能代替杀病毒软件:“从这个角度而言,不要对安全PC的市场抱太大幻想。”
很迫切吗?
IDC的一组数据表明,配置信任平台模块(TPM)的电脑出货量今年将增长2.5倍,从800万台增长到2000万台。这一组数据也被厂商们广泛引用。
事实上,安全在过去的2004年中已经被格外重视。2004年,中国IT安全产品市场规模为2.65亿美元,比2003年增长了31.2%,预计未来五年年复合增长率仍高达28.3%。
“安全PC市场的启动还需要一段时间。”费悦明认为,这并不是因为用户不需要安全PC,而是因为“看上去,用户对它的需求还不是特别迫切。”
分析人士认为,在安全PC面对的市场中,长期以来形成了一个属于安全产品的特定属地。在这块倏地中,游戏规则是不同于普通产品的。清华同方的销售经理们发现,在他们进入安全市场之后发现,“这个圈子的人和游戏规则根本就不熟悉。”
在军队和政府等高安全领域,对于安全产品的采购有自己的标准和方法。而之前一直作为民用产品的PC产品,进入这个市场还需要一段时间。
黄刚认为,安全PC解决的只是跟PC相关的数据安全。在政府行业中,双网隔离一直是行之有效的安全解决方案,“安全PC并不能代替双网隔离。”
以联想和清华同方鼓吹的安全芯片为例。在对这个芯片能够实现的功能的描述中,“唯一主机平台身份识别”被特别强调。据称,预装安全芯片的PC将在芯片中存有唯一代表该PC终端的身份识别号,这将保证用户在进行网上交易、或者利用银行卡购物时,只有从这台电脑上发出的指令是有效的。
但分析人士也指出,安全芯片电脑的绑定PC与密码功能只是解决了电子交易中的一小部分问题,但是也能带来相关的安全问题,“如果窃贼倒去了这台机器,就很容易获取上面的交易数据。”
中国工商银行电子银行部副处长周永林认为说,我国的电子银行网站本身的技术是非常安全的,“目前的安全问题主要集中在客户使用的问题上。”周认为,现在解决电子银行安全的最有效办法就是客户证书。
本报在计算机世界网所做的针对“安全PC市场前景调查”中,在“你对安全PC市场看法”的问题上,虽然有36%的人选择了“市场很大”,但选择“纯粹是炒作”和“市场有,但仅限于特定行业”也各占了22%。剩下的则选择了“将来市场很大,现在不需要”。
分析人士认为,安全PC的前景很好,但似乎还不到那么迫切的时候。
生死关
在计算机世界网所作的调查中,一位被调查者谈到:“市场上有很多的安全PC概念,听了以后感觉乱糟糟的。”这位人士提出:PC是否安全,是否应该有一个机构来评定?
事实上,我国在针对特定行业的产品采购中,都有相关的安全标准。比如,依据《国家商用密码管理条例》规定,未经许可,擅自展览、生产、销售、进口商用密码产品的企业,将会受到国家密码管理机构、工商行政管理等相关部门的处罚。
这事实上是为保护国家安全而设置的屏障。世界各国都采用了不同安全设置办法,尤其是在军队这样的敏感区域。但在民用领域,对安全PC进行认证的机构尚没有出现。只有TCG组织在试图解决这个问题。
安全的内涵正在变复杂,这使得IDC也在2004年对“安全”重新作出了定义。IDC认为,“完整的安全应该覆盖‘物理安全’、‘信息安全’和‘业务连续性安全’三个方面。” 其中,“物理安全”包括物理监控与检测、生物识别、认证令牌和卡、报警装置、物理锁以及相关的咨询实施等服务。“信息安全”包括防火墙/VPN、入侵检测与漏洞评估、安全内容管理、安全3A(授权/认证/管理)、加密机及加密软件以及相关的咨询实施等服务。而“业务连续性安全”则包括高可获得性与容错计算、性能监视、RAID/SAN/NAS、负载均衡、备份与灾难恢复以及相关的咨询实施等服务。
在厂商们推出安全PC时,也都不约而同的提到,这款产品将主要针对特定行业市场。联想研究院院长贺志强认为,在联想的安全芯片的市场中,10%来自军队,40%来自政府,50%来自普通家庭和个人。“这注定它必须接受各个行业中不同标准和机构的检验。”
计世资讯副总经理费悦明认为,安全PC也会有一个从特种商品到商用产品的过程。在两年前,税控机就是一个特定行业的专供商品。“但现在,它的市场规模已经从小变大。”
费认为,安全PC的规模也有一个过程。“在这个市场存在的时候,确实需要理性发展,需要进行规范。”
一位被调查者认为,“有关部门应该对针对军队、政府、家庭的安全PC的安全级别进行划分,并有不同的机构对其进行认证”,“否则,安全PC的概念很容易被混淆。”
中国信息安全产品测评认证中心的一位人士透露,虽然市场上有很多安全PC,“但直到现在,没有接到任何要求进行安全测评的产品。”
而更大的问题,还出现在安全PC本身处在的矛盾中。而对这一点,厂商们自己其实心里有数。
国家审计署信息化建设办公室丁世平认为,安全PC的一些特定功能会为其的推广蒙上阴影。“PC的易用性本来就是用户们追求的一个目标,但某些安全功能如绑定机器与密码肯定会妨碍它的易用性。”
而没有采用安全芯片的厂商也针对这个问题提出质疑。长城电脑的一位人士指出,由于这个主机身份的唯一性,因此机主的一切网上活动都很容易被网络大盗监控、进而获得有效数据。
在上文中提到的万事达卡泄密事件中,本来应该直接把客户数据发送给万事达的第三方机构并未遵守双方协议,而是私自保留了部分客户数据。这成为泄密事件的发端。
2002年,美国FBI与Computer Security Institute作了一个针对计算机犯罪的联合调查。结果显示,超过80%的信息安全隐患来自内部,信息泄露事件占所有信息安全事件的30%~40%,信息泄露所造成的损失是被病毒破坏的18倍,是被黑客攻击所造成损失的36倍。3年过去了,这一问题并没有发生本质变化。
“安全问题最终还是制度问题。”分析人士认为,安全PC的意义,充其量只是提供了一种安全手段。而费悦明认为,在这个前提下,安全PC最终可能只是一种向特定行业按需定制的“特种PC”,“它本身市场有限,但特种PC市场的大幕才刚刚拉开。”
从这个角度而言,试图依靠安全大捞一把的公司,可能只能做一场春梦。
