我国信息安全存漏洞专家指出电脑软肋

　　2003年1月，美国一专为军事人员提供保健服务公司的数台笔记本电脑和一些台式电脑的硬盘被盗，50多万份军人医疗保健档案泄露，失窃资料包含有军人的社会安全号和信用卡账号，给被盗人的精神和财产方面造成了巨大的危害，对美国的社会和国土安全也构成威胁。这只不过是日益频繁出现的电脑信息安全事故中的一个小事件。根据2002年美国协调中心统计，过去2年中计算机信息安全事故已增加2倍。而据美国《信息周刊》报道，全球2002年计算机犯罪造成的商业损失达1万5千亿美元。

　　在信息技术相对领先的美国尚且如此，那我国的电脑信息安全又是怎样一种状况呢？

　　记者日前走访了清华大学电子政务实验室的信息技术总监——高宏博士后，听到一个令人极为不安的说法：我们面临的电脑信息安全问题可能比发达国家更为严重。计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散的特性，导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。

　　在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存。但是现在人们将各种重要的信息（如国家机密、商业秘密、个人隐私等）存放在没有安全防范措施的计算机中，这就象用不上锁的文件柜来存放机密文件，很容易受到内部窃贼、计算机病毒和网络黑客的攻击，具有极大的危险性。一旦发生重大国际冲突，后果不堪设想。

　　目前，我国计算机安全防护能力处于发展的初级阶段，许多计算机基本上处于不设防状态，在安全存储方面，无论是防范意识还是核心技术、安全产品，几乎是一片空白。每年各种重要数据、文件的滥用、泄露、丢失、被盗给国家、企业和个人造成的损失数以亿计。这还不包括那些还没有暴露出来的深层次的问题！计算机安全问题解决不好，不仅会造成巨大的经济损失，甚至会危及国家的安全和社会的稳定。

　　防火墙防得了吗

　　与我国在信息化建设方面取得的巨大成就相比，目前信息安全环节显得比较薄弱。在世界范围内，中国网络安全水平被排在等级最低的“第四类”，与某些非洲国家为伍！

　　提起信息安全，人们自然就会想到病毒破坏和黑客攻击。但高教授告诉我们，美国联邦调查局和中国国家信息安全评测认证中心的调查结果均显示，政府和企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失，超过70%以上的安全威胁来自泄密和内部人员犯罪，而非病毒和外来黑客引起。

　　目前我国的信息安全产业存在着应用需求不明的严重问题，安全产品针对的对象是：病毒、黑客和有害数据侵入三大危险目标，因此安全产品高度集中在防火墙和加密机等有限的几类产品上，使众多厂商在这一狭小的领域内恶性竞争，无法解决国内的实际信息安全问题。

　　美国Computer Security Institute公布的一项调查结果表明，1999年57%的企业曾经发生过笔记本电脑被盗事件。统计表明，在2001年全球约有60万台笔记本电脑被盗窃，即便是职业特工也经常未能幸免于难（英国国防部承认在过去3年内丢失了67台笔记本电脑）。有消息报道说：在电脑市场的二手硬盘里能轻松找到信用卡号、日记、财务账目等个人隐私和公司机密。报道中称：在41个用来试验的二手硬盘中，有29个硬盘都不同程度地保留着原来储存的信息。实际上，二手硬盘泄密问题不过是暴露出来的冰山一角。

　　计算机信息安全问题实际上包括三个部分，除了前面提到的网络安全，还包括身份认证和安全存储。有一个不是很恰当的比喻：如果把网络安全看作是在街道上巡逻的警察和联防，那么身份认证就象是家里的防盗门，而安全存储则是家里的保险箱！安全存储是信息最直接、最有效的保护。网络保护和身份认证只有与安全存储结合使用时，才可真正发挥信息安全保护作用。就象防范系统再严密，机密文件仍需要坚固的保险柜来存储。

　　防火墙、入侵检测、隔离装置等网络安全保护对于阻止网络病毒的入侵有着不可替代的作用，但网络安全产品并非万能，只能对来自外部的非法攻击起到保护作用，而真正有目的盗取或破坏信息的黑客还是占少数。与存储安全的被忽视相反，网络攻击的危害性可能被夸大了。

　　最大的漏洞在内部

　　被大多数人忽视的计算机本身竞是发生信息安全事故最多的环节！

　　中国国家信息安全测评认证中心提供的调查结果显示，现实的威胁主要为信息泄露和内部人员犯罪，而非病毒和外来黑客引起。据公安部最新统计，70％的泄密犯罪来自于内部；电脑应用单位80％未设立相应的安全管理；58％无严格的调存管理制度。

　　一个能进入办公室的普通人比一个技术一流的网上黑客的潜在威胁要大的多。

　　高教授认为，造成对存储安全疏忽主要有三个方面的原因：第一，对计算机信息安全的三层保护系统认识不足，有些用户甚至没有安全存储的概念。第二，缺乏应有的重视，尤其是对信息泄露和内部人员犯罪的认识和重视。在国外，安全投入占企业基础投入的5-20%，而在中国却很少超过2%。第三，市场上缺少合适的桌面电脑信息安全产品。

　　目前国内大量的研究工作、产品开发和实际应用都集中在网络安全问题上，另有一部分是针对计算机病毒，对计算机桌面信息安全的技术研究和实际应用要少得多，很多所谓“桌面信息安全产品”也仅局限于对数据的口令/密码保护。虽然许多IT厂商提出了多种安全电脑解决方案，但是大多因硬件解决方案成本过高和软件解决方案不安全等原因，只限于小范围内的应用，没有得到普及。

　　掌握金库的钥匙

　　可以说一直到不久之前，先进的加密技术和产品还几乎被以美国为主的先进国家所垄断。这些产品由于有战略价值和可能危害国家安全，所以不允许自由销售到国际市场，而中国则被列为第五类严格控制出口国家。

　　不过这一政策目前似乎有所松动，2002年底，IBM个人电脑事业部发布了嵌入式安全子系统（ESS），ESS利用基于硬件和软件的技术为计算机提供更高级别的安全保护，这一系统已经应用在IBM的部分机型中，并逐步进入中国市场。微软公司也在2003年披露了一个内部秘密计划，将在PC机硬件中增加安全芯片，在Windows操作系统核心中增加新的安全处理组件，构建出与今天PC相对而言的“安全PC”。

　　从另一方面讲，我国对安全产品的进口也有严格的控制。英特尔的CPU序列号、传闻中的系统软件后门，每一次都引起了包括我国政府在内的各国政府的高度重视，对于微软的这项安全PC计划也不乏反对之声，毕竟，没有谁会把关系到生死存亡的信息安全交付到别人手上。

　　同时，对于国内厂商来说，研发和生产安全电脑产品还有一定的技术门槛。几方面的原因，造成了目前市场上安全电脑产品的空缺。

　　值得庆幸的是，国内用户已逐步开始意识到安全电脑的重要性。而我国在安全技术和产品上也取得了实质性的进展，清华紫光已经率先开发出了用于计算机信息安全保护的可与国外同类产品媲美的安全产品——紫光S锁。紫光S锁通过USB安全子系统和安全COS（芯片操作系统）给计算机配置了一个封闭、安全的运行环境，从硬件级上解决了计算机的身份认证和文件保密等安全问题。S锁可将普通PC轻松升级为安全电脑：只要在电脑的USB接口插上S锁，用户就可将任意文件夹设置成“文件保险箱”。S锁对保存到“文件保险箱”中的文件自动进行加密。S锁对访问“文件保险箱”的用户进行口令和硬件双重身份认证，没有S锁和正确的密码，任何人休想打开文件保险箱。即使非法使用者将硬盘取出，安装在其他电脑中，也无法读取数据。

　　高教授最后强调说：“提高计算机终端信息安全防护能力，堵住信息安全的漏洞，除了需要有关厂商增加对技术创新、产品定制、解决方案、专业化服务等方面加大投入外，政府和职能部门也应该通过多种手段，加强对全社会存储安全意识的引导和教育。”

　　“信息化带动工业化”是我国的战略国策。解决计算机终端信息安全问题事关重大，刻不容缓！

　　高宏： 43岁，博士后，清华大学副教授，研究生导师，清华大学电子政务实验室信息技术总监。

　　曾获得1项国家科技成果、1项国家发明专利和4项清华大学科技成果，发表学术论文100余篇；获1项国家教委科技进步二等奖，1项北京市科技进步三等奖，1993年获国家教委做出重大贡献个人荣誉称号。