2006年网络安全—没有结束感的一年

　　为什么没有结束感？

　　“安全木桶原理”是每位安全人士学习的第一堂基础课，这里我们不必重复。可以说，在2006年中，我们都在寻找网络中的“短板”，但很多人都非常迷茫，不约而同的诉说“我们的短板怎么那么多？”这是因为我们管理的这个木桶变大了，因为它里面盛的水（网络应用）越来越多，所以组成木桶的木板也越来越多，“短板现象”的出现自然会频繁的发生在你的身边。如果在2007年，我们还是用一两个网络管理人员的安全防护技能去应对猛烈和突变的安全事件，这绝对不是将他们的效能最大化，而是一种自大的表现。2006年当中，很多企业和组织就意识到了这种危机的存在。再者，安全产品、服务商也表现出一定的成熟度，加上等级保护、萨班斯( SOX )法案这些来自企业外部的政策力量，都为2006年网络安全服务行业创造了大环境，人们开始以一种务实的态度去应对网络安全管理。

　　但是，在我们如此倾注心血去呵护网络的时候，却从来没有杜绝过网络攻击。排除诸多技术因素的影响，我们也在思考着一种解决问题的办法，这让我们回到了网络安全的起点。J. P. Anderson于1972年针对计算机的安全功能的设计，提出了一个较为具体的想法，建立可信系统 (Trusted System) ，这是计算机诞生以后，人们首次具体思考、规划与设计计算机的安全功能的开始。回到今天，WEB应用体系的可信度越来越低，这才是导致电脑数据被盗、身份滥用和信息系统被控制等安全事发生的直接因素。但是，可信网络离我们到底有多远呢？就像大家都清楚“可变陌生访问限制（Variable Strange Visiting Limit）可以有效预防垃圾邮件一样，但实施起来的困难异常巨大。这种信用机制的有效性由VSVL邮件用户对垃圾邮件的投诉率决定，如果投诉率太低会使信用控制就会失灵。公众参与程度低下，是我们遇到的最大难题，这种难题和压力的存在都让我们失去了2006的结束感，可信网络的实现只能还是一个梦。虽然此刻我们一起努力向这个梦想进发，可终究还是要回到现实中来。