谈论保证网络安全防范意识要加强

去年百度“攻击”8848网站的传闻目前又在网上开始了新的争论，真可谓炒得沸沸扬扬。我们姑且不去管它们的商业动机，但由这件事可以看出目前企业社会和互联网中的的许多安全隐患，以及行业规范尚须改善，更重要的是提高广大民众的安全防范意识和行业道德水准。有幸在安全领域从事多年的研究和开发工作，就安全防范意识和对安全防护产品的挑战发表自己的一些拙见。

安全隐患是个社会问题，不仅仅是安全人员和技术人员和管理人员的问题！就目前从网上掌握的资料来看，百度利用在搜索联盟的代码中添加iframe空窗口，即.造成每次访问百度搜索联盟的网站，就对8848造成两次网页连接，如果瞬间有大量的用户访问联盟，就会使8848的访问量大增，如果超过被访问服务器处理极限，就会宕机。当然正常处理大量的用户访问流量应该是靠添加服务器数量来解决。但对于突入奇来的大量访问（如DDoS攻击）则往往会带来破坏性。正是因为这个原因，8848网站瘫掉了。对于大多数中小网站，即渴望有大量访问量，又担心访问量太大把机器累瘫。在访问量这把双刃剑的折磨下，寻找一种平衡和冗余是理所当然。其实这个冗余度就是一家企业的商业秘密，如果被人获知就容易被别有用心的人利用。所以对企业自己服务器、网络结构和相关信息作好保密工作就是企业防护安全意识的当务之急。

反过来说，黑客要发动攻击，必然要对攻击目标做详细调查，如果被了解得越仔细，被攻击的方式和破坏性就越多越准。历史上最著名的黑客米特尼克就是通过电话获知关键人物的私人信息并猜到密码的。安全的隐患来自于商业利益的冲突，利用技术缺陷，在有意无意飘忽之间进行不正当竞争行为。这是互联网社会带给我们的考验，也是让我们提高安全意识的必要。

面对互联网如此繁多的商业行为，越来越多的技术被利用到互联网，同时更多的技术缺陷或系统漏洞也被黑客们利用，这给我们开发安全产品带来了新的挑战，所谓“明枪易躲，暗箭难防”，尽管象终结者等同类产品对防各种DDoS攻击有独到的防护能力，但对这种带有“正常连接”面纱的访问行为就很难判定。并且拿这次事件中如何判定该代码是善意或恶意嵌入也是交战的焦点？不管是黑客侵入还是内人所为。这实际上就是提供了对付中小网站的一种攻击手段。所以对越来越新的攻击方式，安全防护产品就必须有自我学习模式和简便的升级方式。

技术上的壁垒终规是有限的，更重要的是要建立更完善的行业规范，以弥补技术不足带来的安全瓶颈。这次事件中，搜索联盟的访问者在不知情的情况下就访问了8848网站，那么这种对访问者和被访问者之间不知情的操作行为就是一种不规范的行业行为。尽管实施行为者的本意是善还是恶还不知道，但提醒我们防范意识一定要加强，好事也能变成坏事。如果有立法规定，将是更好的制约工具。

安全的理念归根于管理，靠技术得以实现，关键是由人来执行。所以接受我们老祖宗的古训：“防人之心不可无，害人之心不可有”。我再加两句“安全隐患不可怕，防范意识尤为重。技术管理齐相抓，安全烦恼趋更少。”