一、IT驚魂 

1、不斷發現操作系統新的安全漏洞 

IT安全威脅的社會根源是利益的爭戰；IT安全威脅的技術根源是信息資源的分布性、網絡的開放性和基礎軟硬件中的安全脆弱性。單就操作系統而言，近年來發現其中的安全漏洞越來越多，請見表1。1994年9月《科學的美國人》中“軟件的慢性危機”一文說，C語言和C＋＋語言中平均每55行程序便出現一個錯誤；IBM專家在1999年“事件響應和安全小組論壇”（FIRST）第11屆年會上指出，在人們編寫的程序中，平均每一千行程序語句就可能存在一個BUG；而在FIRST 12屆年會上，著名密碼學者布魯斯•斯奈爾則特別指出，平均每一千行程序語句可能存在的BUG多達5～15個之多。人們知道，Windows2000有3500萬至5000萬行語句，按照斯奈爾的說法，則Windows2000客觀上至少存在70萬個編程錯誤。令人擔心的是，每個編程錯誤都有可能被用來入侵信息系統。負責美國軍政密級和非密但敏感信息安全的國家安全局NSA認為，對美國國防部系統的成功攻擊90%以上是利用了已知的漏洞。表2列出了美國國防部信息網絡的歷年遭侵數。這兩個表的數字以及這些數字的“發展”趨勢，是否有點兒觸目驚心？ 

業內還應嚴重關注下列利用操作系統固有安全漏洞來達成攻擊的事實：一是攻擊變得容易――幾乎不用或很少用到技術上的技巧就能攻擊70％的脆弱性；二是攻擊節奏加快――以前對某一漏洞的攻擊一般是發生在公布該漏洞之后的半年左右，但在2004年上半年的攻擊卻是發生在公布漏洞的平均5.8天之后，而Witty蠕蟲的攻擊更在去年公布該漏洞之后的48小時之內發生；三是攻擊烈度加劇――Symantec公司認為，招致大破壞性的脆弱性以每年50％的速度增長。 

美國聯邦調查局FBI對美國信息安全事件做了統計分析，得出的結論是： 80% 攻擊源于內部，只有 20% 攻擊才來自外部；而NSA認為，50% 最具破壞性的攻擊來自內部。“堡壘最容易從內部攻破”的這種事實，讓安全責任者寢食不安、膽顫心驚。 

2、因特網上暗箭齊發 

（1）據Peakis公司分析，全球約共有技術高超的黑客200萬，他們能夠編寫病毒和木馬程序，網上每天出現病毒多于萬種（注：不一定都是新品種）就跟他們有關。 
（2）垃圾信息不僅使全球每年損失500億美元（其中美國失170億，即占1/3），而且還從因特網向手機大規模轉移――2004年全世界手機短信中有18％為垃圾信息，而當前美國的手機短信中43％是垃圾信息。 
（3）據美國聯邦貿易委員會估計，2004年美國有930萬人身份被盜。有調查數據表明，去年美國因身份被盜而損失了526億美元。 
（4）投資詐騙已成一大害：2004年11月美國破獲了欺騙60個國家共1.5萬人的網上詐騙案，非法斂財達5800萬美元； 
（5）根據2004年11月成立的反網絡釣魚組織 APWG的最新統計指出，約有70.8％的網絡欺詐沖著金融機構而來，而最常被仿冒的前三家公司為：Citibank、eBay和Paypal。“網絡釣魚”（Phishing）式欺詐活動明顯增多，網頁（站）篡改事件上升。中國占全球域名被仿冒總數的12％，2004年，我國共查處20多起此類案件。而美國被“釣”的網站更多，迫使美國司法部與聯邦調查局（FBI）與國家白領犯罪中心于今年（2005）5月8日成立的“網絡欺詐投訴中心”網站（the Internet Fraud Complaint Center， IFCC）忙得不亦樂乎。 

二、啟示若干 

1、我國是信息大國卻遠非信息技術強國 

2005年信息產業確定的宏觀發展目標是：電子信息產業銷售收入3．4萬億元，增長28．3％，信息產業增加值1．145萬億元，其中軟件與系統集成銷售額2900億元，增長31．8％；利稅總額1680億元，增長12％；出口總額2400億美元，增長20％。固定電話主線普及率和移動電話普及率分別達到27．6％和30％； 

然而從安全角度上說，國產的CPU雖多，但仍不足于撼動Intel把持國內CPU市場霸主的地位，尤其是高端CPU；我國雖也有國產的“紅旗”、“中標普華”、“共創”、“新華”、“拓林思”等版本的Linux操作系統，但國人的認可、推廣和樂于應用仍是個大問題，因此當前還是改變不了微軟操作系統占據國內90％市場的局面。使用別人的基礎軟硬件到底不放心。所以說，我國是信息的生產和消費大國但不是信息技術強國，故還應大力發展和推廣具有自主知識產權的安全核心技術。 

2、讓“安全”元帥升帳 

“9.11”事件以后，信息安全的地位在國際交往上，尤其是在各國、各軍的安全中均有所“升格”。讓安全“元帥”升帳，不僅體現與時俱進，而且于國于民于軍都有裨益。那種“先建信息系統，后嵌安全保密”的做法再也不應出現了。應認真落實國家/軍隊網絡特別是其中關鍵信息基礎設施的既互聯又隔離的措施，要提防別人卡死我國的因特網（全球共有13臺頂級域名服務器，東京、倫敦和斯德哥爾摩各有一臺，其余均在美國。僅2004年11月國外就完全屏蔽了我180個IP地址段）。一有風吹草動，你能預料境外域名注冊機構會干什么嗎？安全元帥升帳，頂層設計，全國統調，兵來將擋、水來土掩，不致臨事束手無策，可保我數字化環境祥和安康。 

3、認清“職責” 

（1）“保密性”當然仍是保障信息安全的原始動力，但它不應是惟一的關注點； 
（2）突破只重點保護“用戶信息”安全保密的慣常思維定勢，應從“信息戰”的視角，更多地注意保護“控制信息”和“管理信息”的安全和保密； 
（3）立足國情、軍情，不迷信盲從，惟實、比較、創新、提高，努力從信息安全保密中得到高回報； 
（4）殫精竭慮保護好軍政用涉密信息系統的安全。為此，在投入上也應體現“元帥”升帳后的“氣派”――有的放矢、比較徹底/嚴密地做好軍政用涉密信息系統中一兩件關鍵的安全大事（不像以前那樣因錢少只好對各個安全保密項目“撒撒胡椒面”）。為資比較，請參見表3 美國信息安全的逐年投入。 

4、安全設計應針對反安全能力 

安全總是相對的。對于全文盲來說，寫成文字的書信就有保密作用。然而我們的安全保密設計，無疑應考慮到敵對勢力具有豐富的計算資源和破譯經驗。信息安全保障的難處在于：一是雖然做了“縱深防御”，而“攻易防難”的客觀事實可能使防御方吃力不討好，卻又不得不防；二是很難了解到別人的反安全能力――別人就是破譯了你的密碼也不會聲張，而想從你源源不斷的“加密”信息傳輸中獲得不中斷的情報源。一方面，我們的安全設計，卻又應該針對著反安全能力，以便能夠經濟地設計出“最小必需”的安全；然而另一方面，防火墻、入侵檢測、安全監控等等安全設備雖一樣不缺，密碼算法強度挺高，密鑰管理設計也很周密完善，但如果敵方斷了你電源、有效干擾了你的系統，或是干脆毀了你的系統，你那些安全保密部件又有什么用？不要以為這不干安全設計的事，一旦戰事起，敵人什么事情干不出來？ 

三、未來發展 

1、理論 

（1）后信息保障時代 

當前，各國都在忙著“信息保障”IA建設，美國家安全局“信息保障”主任丹尼爾在2005年2月的RSA年會上發言認為：今天的“信息保障”將向明天的“確有安全保障的共享”（Assured Sharing）邁進。 

“信息保障”IA已經迫使各國、各軍忙得筋疲力盡，而未來的“確有安全保障的共享”AS將會驅動全球創新地增強各自的信息安全保密堤防，它尤其將會體現在未來全球網格應用的“保險安全”之中。 

（2）攻防兼備的安全保障體系 

早在2000年11月，美國當時負責網絡攻防的美國航天司令部就宣稱制定了詳盡的網絡防務“第3600號作戰計劃”，其中列有“周密的計算機網絡攻擊策略”，以應對未來的網絡戰。而2005年5月才成立的 “全球網絡戰聯合特遣部隊”(JTF-GNO，受戰略司令部管轄) 業已展開全球作戰籌謀。據傳，美空8軍已開發出能在8秒之內攻擊世界任何敵網的攻擊算法。總統布什于2003年1月已下令擬定針對敵方計算機系統的網絡戰指南。所以，一國及其軍隊的信息系統若不是能攻善守，就將被毀。優勝劣汰的結果，生存下來的信息系統必將兼備攻防功能。 

2、技術 

根據走向，下列信息安全保密技術將會受寵： 
①可信計算； 
②免疫技術； 
③容錯/容侵技術； 
④應急容災技術； 
⑤新型密碼，如量子密碼、DNA密碼技術等； 
⑥入侵預警技術； 
⑦高級綜合自防護技術，等等。 

3、應用 

（1）全球網格的安全保密應用 

2004年11月，美國國防部已經批準了JTF-GNO遞交的有關“全球信息柵格”GIG的運行和防護計劃，2005年5月JTF-GNO參與了修訂美軍關于管理軍用網絡的指導方針。 

今后，全球網絡將走向大網格（Great Global Grid ），人類就在其上開展電子社交、電子商務和一定范圍/一定程度的電子政務及電子軍務活動，因此全球網格的安全保密應用將會長時間地集中消耗世界信息安全保密工作者的大量聰明才智。 

（2）“網絡中心戰”將牽引安全保密技術的長期發展 

“網絡中心戰”NCW是遂行基于“能力”戰爭的手段，是取得未來戰爭勝利的法寶之一。GIG則是美軍遂行“網絡中心戰”的理想的全球傳輸平臺，美國家安全局NSA已為GIG-BE（全球信息網格帶寬擴展）計劃發展了“高保障IP加密”（HAIPE）技術，速率1Gbps 的加密設備已于2005年2月通過了認證，而2005年11月將要完成對10Gpbs的同類加密設備認證；在未來15～20年內，美軍將替換79％現役加密設備，共約要替換160余萬部；NSA還將被美國防部指定為“軟件保障”執行機構，負責研發適合美軍用于NCW的安全工具和技術，為此要向工業部門提供有關安全體系開發及其最優方法的指導；它還開發出“高保障因特網協議互通標準”(HAIPIS)，以便能將海陸空天的傳感器網、指揮控制網和火力打擊網連結起來，順利遂行“網絡中心戰”。 

軍機自古不可泄，且軍事技術歷來崇尚“競爭”。在動蕩不安的現實世界里，弱國中誰不想保住自己軍機的秘密，進而籍以捍衛本國安全？而強國中的好戰者也十分害怕自己的軍機不密，因為他們比誰都更清楚信息攻防的不對稱性――攻易防難，因而不管是強國還是弱國，都會長期圍繞“網絡中心戰”而大搞本國、本軍的信息安全保密建設。 

四、任重道遠 

雖然我國國民經濟和社會信息化進程繼續保持高速發展，公共電信網、廣電傳輸網、互聯網等基礎信息網絡和銀行、鐵路、民航、稅務、海關、證券、電力等關系國計民生的重要信息系統建設規模穩步擴大，管理水平有所提高，也頒布了《電子簽名法》，起草了《信息安全條例》，全面開展了有關信息安全的風險評估、等級保護、基于密碼技術的信息保護、網絡信任體系、應急處理和通報機制等保障體系的基礎建設，而且根據專家估計，2004～2008年我國網絡安全產品市場將以31.7％的年均復合增長率攀升，市場規模從2003年的23.57億元增至2008年的93.2億元。但是，了解到下述事實之后，我們理應倍加努力： 

先讓我們來看看美軍信息系統基礎的提升情況吧――計算機每隔5～8年速度提高10倍，體積減90％，價格降90％，這種狀況業已持續了10年且勢頭不減；存儲器容量每隔一年半增一倍，價格每兩年降一半，這種狀況也已持續了25年；最令人吃驚的是軍用帶寬的無休止的增長――每9個月竟增一倍！ 

顯然，我們不但要跟上IT技術的發展，而且還要與IT應用同步，因此，在信息安全保密問題上，我們不但有近憂，更有遠慮。 

近憂是：我國信息安全當前有不少的棘手問題，例如基礎電信網去年就發生重大事故17起，廣電網2004年共發生9起不明信號干擾我衛星廣播電視的事件、兩起“法輪功”邪教組織無線插播事件，互聯網上去年共截獲各類病毒2.7萬個，超過138萬個IP地址的主機感染“振蕩波”系列蠕蟲，公安機關共辦理各類網絡違法犯罪案件1.3萬余起，而間諜程序、僵尸網絡（BotNet）、網絡釣魚、網上木馬、惡意網站等“舶來品”的“漢化率”也越來越高等等。 

遠慮則是：在我國文化安全的建設中，在捍衛國家/軍隊信息安全保密的戰線上，亟待發布國家信息安全法和國家信息安全管理法；需要推出國家信息安全戰略與實施大綱；還要建設并健全全國/全軍信息安全的保障體系、應急體系、威懾體系以及完善它們的管理體系等；為對付手段高強的信息敵手而發展我們行之有效的信息御敵技術和手段，特別要發展其中的信息“殺手锏”。為全國信息網絡設置入侵檢測傳感網和建立有效的信息反制機制，仍是我們今后艱巨的任務。上述這些大事，各都包含有許許多多的過細工作要做。 

總而言之，在信息安全保密的戰線上，我們的前途光明，任重道遠。