安全技术不是万能药 人也是重要一环

Howard A. Schmidt 在6月6日加入即时消息管理软件公司IMlogic的顾问组。Schmidt的安全经验包括了总统关键基础设施保护委员会的主席和副主席、eBay的VP以及首席信息安全官和首席安全策略师,另外还担任过微软的首席安全官。他对记者讲述了自己关于电脑安全的意见。

记者:计算机安全正在好转还是越来越差呢?

SCHMIDT:这个问题非常有趣。"我们正在不断改善"可能是最正确的答案。但是我需要指出,不是故意破坏的家伙让我们的日子好过,而是我们对于安全更为重视,采取了更多的安全措施。另外为针对安全事务,工业界做出响应,他们所提出的解决方案比过去越来越快。

记者:用户教育对于在线安全来说是最重要的成分。而这个看上去是个棘手的问题。我们能够对用户更安全地使用计算机,并且使他们免受来自各种途径的计算机攻击保持乐观吗?

SCHMIDT:我想这是可能的。如果你现在留意一些电视广告,如果你仔细观察产品制造的方式--我在今天的早些时候曾经跟其他人提过,例如你去买一个无线接入点的话,或者你买一个cable调制解调器或者是路由,现在你可以看到有杀毒、内容过滤和垃圾邮件保护等内嵌功能,而这些功能是卖点之一。我们越来越多地得到终端用户的认知和理解,这些都是我们过去所没有的。我想这部分是因为工业界正在将安全作为一个卖点,将安全作为一个关键功能。例如,我想起了一些我们曾经在白宫做过的事情,我们制定国家安全策略,保护计算机空间的安全,我们在全国范围内召开州政府会议。之后,安全问题终于得到了认知,不只是那些私人部门以及商业机构,还有终端用户--PTA,职员等等。

记者:互联网软件和硬件的复杂性,使得用户必须花费很大地力气才能在互联网上不犯错误。供应商们在使得用户能够轻易安全使用电脑方面做出的努力足够吗?

SCHMIDT:他们的努力足够了。回头看看80年代,Michelangelo病毒以及其他病毒通过磁盘传播,而不是在网络上传播。为了对付这些病毒,你必须去安装一个病毒软件。而每隔一段时间你又必须去获取它的更新。之后我们看到了自动在线更新逐渐占据了上风。然后集成的安全套装软件,包含了个人防火墙和杀毒软件,这些东西都集成到一套解决方案中。所以很明显,对于终端用户来说要获得安全空间将更为容易。操作系统和应用程序发生着同样的改变。回头2001年我在微软的时候,当我们开始信任计算,安全成为了微软、思科、甲骨文以及Sun,还有其他大型的软件供应商的首要事务了。某些自动补丁工具在某些自动漏洞评价工具的帮助下变得更为简单。在安全事务上,大部分问题都变得简单起来。

记者:我最近跟一个密歇根州立大学的教授谈话,内容是新的信息发布规定,这个规定是由联邦交易委员会强制执行,目的是限制身份盗用。她对于IT能够减少身份盗用的能力表示怀疑。她的观点是,身份盗用一般来自于工作场所,虽然IT技术用了很多年的时间去保证数据的安全,但是这是一个跟人的因素有关的问题。你对于IT安全措施是否有更多的信心呢?

SCHMIDT:我必须要清晰地区分技术犯罪和普通犯罪。与IT专家谈话的时候,我们一般谈论其他的PPT,不是Powerpoint,是人,处理过程和技术。根据这些专家的观点,她的观点完全正确。技术不是万能药,但是显然是处理这些问题的关键要素。而人和专家也是这些问题的组成部分。

回顾那些犯罪案件,1986年我是Arizona州警察部门的计算机犯罪侦察官,我们有一群罪犯。他们都是诈骗犯,传统意义上的罪犯。在那个时候,我们还没有现在的交易信用报告法案和信用部门,所以基本上任何人都可以开一家假冒的旅游代理。然后他们就利用这家代理骗取信用记录--这些都发生在我们今天所知道的互联网世界之前--他们正是身份盗用(还有其他的诈骗)。现在,也仍然是同样的东西。仍然是诈骗案。正如历史上我们从来无法阻止人类的盗用一样,我们是没有办法阻止100%的诈骗案。……我们必须确保,有培训、处理流程以及策略,去帮助技术减低诈骗案发生以及身份盗用。
记者:在Minnesota的一个上诉法庭最近立法说加密软件的产生可以被看作是犯罪倾向的证据,你对此有什么看法呢?

SCHMIDT:我对于这个案件的细节不是很清楚,但是我曾经听说过这件事。这个很有趣,因为看到了加密的两个方面--我们可以回顾一下90年代初关于加密的很多争论--在安全公司的我们中的大多数人,都说加密的使用是非常必要的。作为一个例子,可以参见你在大学听到的事情,例如一个笔记本被盗窃,上面带有各种各样的信息。问题就是,为什么不加密呢?不需要加密的理由有很多,但是这些理由在今天的世界里面一点都行不通。事实是,安全专家推荐加密措施。我们使用IPSec,我们使用SSL,我们使用所有的加密技术去改进安全。

但是如果罪犯利用加密技术来进行犯罪活动--这就是加密技术的另外一面--我们已经看到了恐怖主义筹款、诈骗和儿童色情电影等。一般来说如果你看到那种情况,你已经有足够的证据指出他们有犯罪倾向,但是加密技术让他们能够进一步藏起罪证。很明显那些都是犯罪行为,他们应该因为这些行为受到指控。如果我们没有解密数据的技术,那么过去一段时间法律团体就自然会得到结论:使用加密技术去进行犯罪活动的话就是一种犯罪,而不是对于加密技术的纯粹使用将会在某种程度消灭犯罪的企图。

记者:州政府还有什么尚未采取的措施去改进计算机安全呢?

SCHMIDT:第一件而且是最重要的事情是,假设85%或者更多的重要基础设施是由私人企业所有,政府就必须确认国家安全策略以保证计算机安全,这也是我们一直在白宫所做的事情,同时还有通过推动这些策略的实施,让私营企业主知道他们还有很多的工作要做。NINAC(国家基础设施保障议会,总统的咨询机构之一)以及国家安全通信顾问委员会(也是总统的咨询机构之一)、贸易部信息安全以及隐私顾问委员会以及管理及预算办公室的建立,都给私营企业主一个提示,关于国家安全、公众安全以及经济可行性来说,安全是一个重要的问题。

从政府的角度看,政府已经做的非常好了,并确保在重要基础设施安全保护方面让人们意识到自己负有特殊的责任。

另外一个政府已经着手的方面就是某些与法案有关的事务,例如Gramm-Bliley以及Sarbanes-Oxley,这些事务一开始都是让人担心的。当然Sarbanes-Oxley并非为IT安全专门设计的。它是设计用于金融控制的。如果你没有好的IT安全,你就没有好的金融控制。所以IT安全是非常有用的。政府需要下功夫做的是继续理清他们的内部事务。在很长一段时间里面,政府官员,包括我都在说计算机安全必须要有一个模型。我想针对现在稍微有些散乱的状况,我们已经有初步的对策。

[1] [2] 下一页  

文章录入:csh    责任编辑:csh 
记者:你认为未来两三年的网络世界将是如何一种场景呢?

SCHMIDT:在未来,我们对于网络世界将会有更好的划分,这种划分非常类似于我们在物理世界中所看到的,你在里面能够做的事情跟你在实际世界中所能匿名从事的活动类似,这种跟那种需要实名制的活动相反,例如股票交易。我们将会有更好的粒度划分,更好地保护大家的隐私,因为我们将会更好地管理网络世界的身份验证。

上一页  [1] [2] 

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 安全技术不是万能药 人也是重要一环

    Howard A. Schmidt 在6月6日加入即时消息管理软件公司IMlogic的顾问组.Schmidt的安全经验包括了总统关键基础设施保护委员会的主席和副主席.eBay的VP以及首席信息安全官和首席安全策略师,另外还担任过微软的首席安全官.他对记者讲述了自己关于电脑安全的意见. 记者:计算机安全正在好转还是越来越差呢? SCHMIDT:这个问题非常有趣."我们正在不断改善"可能是最正确的答案.但是我需要指出,不是故意破坏的家伙让我们的日子好过,而是我们对于安全更为重视,采取了更多

  • 数据库索引并不是万能药

    目录 InnoDB是如何存储数据的? 聚簇索引和二级索引 考虑额外创建二级索引的代价 不是所有针对索引列的查询都能用上索引 数据库基于成本决定是否走索引 重点回顾 几乎所有的业务项目都会涉及数据存储,虽然当前各种NoSQL和文件系统大行其道,但MySQL等关系型数据库因为满足ACID.可靠性高.对开发友好等特点,仍然最常被用于存储重要数据.在关系型数据库中,索引是优化查询性能的重要手段. 为此,我经常看到一些同学一遇到查询性能问题,就盲目要求运维或DBA给数据表相关字段创建大量索引.显然,这种想

  • MySQL前缀索引导致的慢查询分析总结

    前端时间跟一个DB相关的项目,alanc反馈有一个查询,使用索引比不使用索引慢很多倍,有点毁三观.所以跟进了一下,用explain,看了看2个查询不同的结果. 不用索引的查询的时候结果如下,实际查询中速度比较块. 复制代码 代码如下: mysql> explain select * from rosterusers limit 10000,3 ; +----+-------------+-------------+------+---------------+------+---------+-

  • 学编程选什么语言好?是PHP、Python还是Ruby?

    简单地一句话总结: 1.假如你想帮他尽快找个活儿,赚到钱,推荐PHP. 2.假如你想让他成为一个高效工程师,推荐 Python. 3.假如你想让他爱上他的工作,推荐 Ruby. 语言的选择: 编程语言非常重要,不要认为他们都图灵等价,用起来都一样.实际上,好的语言,带给你的东西是超乎想像的. 下面是一些看法: 1.程序员的时间远比机器的时间宝贵:选择开发效率最高的语言吧,不要过于在乎运行性能,如果你开发不出东西,那么跑得多快也没用. 2.优雅的抽象胜于简单的堆砌: 这意味着你的代码是最简洁而又充

  • JavaScript面对国际化编程时的一些建议

    什么是国际化? 国际化(Internationalization的缩写是i18n--i,中间18个字符,n)是将软件处理的能让来自各种地方使用各种语言的用户更简单使用的一个过程.假定某个用户来自某个地方说某种语言,他可能不经意间就得到一些错误提示.尤其是你甚至都没有做这种假设. function formatDate(d) { // Everyone uses month/date/year...right? var month = d.getMonth() + 1; var date = d.

  • 木马静态变动态 DLL木马程序大揭秘

    相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的"DLL木马"为何物.什么是"DLL木马"呢?它与一般的木马有什么不同? 一.从DLL技术说起 要了解DLL木马,就必须知道这个"DLL"是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里.在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很

  • c++ 面向对象的类设计

    类的设计在于用恰到好处的信息来完整表达一个职责清晰的概念,恰到好处的意思是不多也不少,少了,就概念就不完整:多了,就显得冗余,累赘,当然特例下,允许少许的重复,但是,这里必须要有很好的理由.冗余往往就意味着包含了过多的信息,概念的表达不够精准,好比goto,指针,多继承这些货色,就是因为其过多的内涵,才要严格限制其使用.好像,more effective c++上说的,class的成员函数,应该是在完整的情况下保持最小化.但是,这里我们的出发点,是成员数据的完整最小化. 最小化的好处是可以保持概

  • 合理使用抗生素

    天啊!我的孩子得了肺炎,用了抗生素,他的身体受得了吗? 医生,抗生素吃太久会不会伤到肝及肾脏呢? 这些问题是很多父母都会遇到的,其实最重要的问题仍在于:生病了,到底该不该用抗生素呢? 其实,目前的抗生素绝大部分只能治疗细菌性的感染,对大部分病毒性感染几乎没有作用.象一般的发烧.喉咙痛.咳嗽.流鼻水,仍以病毒感染占大多数.即使小孩子流鼻涕,亦只是疾病的病症,此时若使用抗生素并无治疗之效,也无法缩短病程. 什么情况下需要使用抗生素?凡是有细菌性感染的冷热病,应使用抗生素.但感染开始时,由于症状不是很

  • 什么是Internet路由

    路由概述 路由的过程可以概述为一个节点找到通往每个可能目的地的路径.路由出现在从第一层到第七层的每一层中.人们所熟悉的路由是出现在第三层(网络层)的,因此我们也只讨论第三层的IP路由. 交换路由信息的协议联接世界上的许多路由器,尽管这些路由器并不同类,通过路由表还是可以提供它们共同的网络视图.路由表为路由器存储了到达网络上任一目的地所需要的一切必要的信息. 路由协议 各种各样的路由协议被用来填写网络中的路由表.象BGP,OSPF,RIP和ISIS这样的协议可以传输给所有的路由器一个正确和一致的网

  • Internet路由

    路由概述 路由的过程可以概述为一个节点找到通往每个可能目的地的路径.路由出现在从第一层到第七层的每一层中.人们所熟悉的路由是出现在第三层(网络层)的,因此我们也只讨论第三层的IP路由. 交换路由信息的协议联接世界上的许多路由器,尽管这些路由器并不同类,通过路由表还是可以提供它们共同的网络视图.路由表为路由器存储了到达网络上任一目的地所需要的一切必要的信息. 路由协议 各种各样的路由协议被用来填写网络中的路由表.象BGP,OSPF,RIP和ISIS这样的协议可以传输给所有的路由器一个正确和一致的网

随机推荐