Web 2.0安全系列报道之四：守卫敏感数据信息

　　CNET科技资讯网6月29日国际报道网络，无论好坏，毫无疑问已成为一种巨大的公共机构。它是用户信息与服务的仓库，内藏最敏感，最重要的数据，从医疗记录到金融投资信息，不一而足。

　　基于网络的服务正在以一种令人炫目的速度取代传统的桌面软件，大量的个人数据信息在这一过程中被处理。无限的电子邮件存储与Web 2.0风格的初创企业将使这种趋势加速发展。

　　然而，通往这些巨大，不可或缺资源的门口，往往是一些大型，以牟利为驱动力的企业守门人。微软，Google，雅虎，美国在线等公司，他们建立起我们每天都要依赖的服务，有效的守卫这些敏感的数据成为一种必要。

　　问题在于，让这些企业守卫我们的信息是否是一个好主意？如果历史经验能提供一些参考的话，最令人烦心的答案是，我们可能没有多少选择。

　　很多方面都令人担忧，其中最主要的原因是，IT行业对网络安全采取修修补补的态度。就像微软，Google以及雅虎官员说的那样，这些企业一般采用桌面软件安全的标准用于新的网络程序。有时，这能够奏效，有时不会。

　　SPI Dynamics网络安全专家Billy Hoffman说：“数据现在存在于网络中。这是一个巨大的目标。”

　　Hoffman工作是了解网络安全的漏洞所在。他认为，三大巨头公司在网络程序安全方面所做的工作相对较好。

　　CSC等数据显示，从1999年以来，超过90%的文件已经用数字化的形式出现，美国的比例为42%。互联网用户已经有网络银行服务，每天，有1600亿封电子邮件被发送。

　　随着数据量的增长，服务器至桌面网络应用程序之间的安全性变得越来越困难，加上大量的Web2.0以及“共享、重组、再造”(mashup)技术的出现更增加了安全的难度。同时，攻击的数量正在增长。

　　我们正在进入一个全新的领域，这里有规模空前的用户在依赖着相对较新的程序，其中一些程序利用正在完善的技术建造而成，这些程序处理了数量巨大的个人数据。呼唤一种独立于企业控制的安全关照是必然的。

　　Hoffman说：“我们在这方面已有安全方面的实践，但我们尚未有一个中间机构去规范Web 2.0等程序的开发。非营利性等组织会公布相关的标准吗？可能吧。”

　　甚至一些负责网络安全的企业官员也表示，需要进行更多的行业协作。

　　雅虎Arturo Bejar说：“安全是整个行业的共同利益。我们正在考虑分享知识或者工具给社区的方式。”

　　缺乏政府的干预可能会让这种协作又陷入过去的怪圈，即要么拉帮结派，一片混乱，要么某家公司独大，控制一切。

　　Windows就是这样。十多年过去了，无数的官司打了，数不清的纳税人的钱财花了，但微软控制90%以上的操作系统市场的局面仍然没有多少改变。

　　在网络发展的初期，“万维网组织”(W3C)成立，这个组织认为，所有利益组织应该合作，尽可能的塑造一个良好的媒体。这个组织在定义网络标准方面做了不少工作。

　　但，W3C可能不是负责掌控网络安全的最佳组织，因为它基本上是定义工具的组织，而安全一般涉及到这些技术如何被使用的问题，而不是工具的本身。

　　Hoffman说：“标准组织应该将精力放在制定清晰的标准之上。世界上最糟的事情就是一种标准含混不清，目前有许多的标准都不太清晰。”

　　其它组织，比如“网络程序安全组织”(WASC)正在试图制定出开发网络程序最安全的规范。另外，网络程序开发员们正在逐渐通过XSSed.org这样的网站采用“最佳”的安全开发规范，这个网站要公布最新的跨站脚本漏洞以及补丁方法。

　　但这些努力还不够。尽管存在安全问题，网络巨头们多年来仍然开发出了他们自己的服务，几乎每天，这些服务当中都被发现存在有臭虫。

　　例如微软，进入网络安全领域的时间较晚，90年代中期，微软的安全努力主要针对Windows，没有考虑多少网络安全方面的设计。

　　但是，一旦微软意识到网络安全的重要性，就拿出了数十亿美金在客户端与服务器软件的安全上。当微软进入“Live”网络服务时代，安全努力也相应的进入了网络安全领域。

　　微软这样做毫不奇怪。它不仅仅是世界上最大的软件公司，而且微软很多老员工过去都谈到了安全的重要性。只不过，当时他们叫桌面安全。

　　MSN与Windows Live安全部门高级主管Pete Boden代表了微软管理层多年来的一种观点，他认为，很多程序的安全问题都来自同样一个基本源头：这就是数据输入，也就是人们输入到程序中的东西是什么。严密控制数据输入的成败直接影响着安全的效果。

　　他说：“如果你对你安全漏洞进行分类，你就会发现，这些漏洞都与某种形式的输入方面有联系，我认为，我们见到的80%的漏洞都和输入错误有关。”

　　因此，Boden认为微软在网络安全的竞争中具有优势，它能够很快学习网络安全，因为微软有很长的软件历史以及“可信赖计算”的经验。

　　和主要对手一样，微软开发出了能帮助程序员们查找漏洞以及测试代码质量的工具，比如能发现跨站脚本漏洞的Anti-XSS扫描工具。

　　Boden说：“这里的情况不令人畏惧。我们有学习的过程，但我认为这种学习非常快，因为公司之前就投入了很多钱来提高我们的安全水平。”

　　但疑问仍然存在。毕竟，这是一家误判了90年代中期互联网重要性以及后来低估了互联网搜索与数字音乐价值的公司。

　　微软会在网络安全方面做得很好吗？机会很大，原因很简单，微软在行业中的份量很重，另外，无论微软自身的安全努力如何，无数的用户以及开发人员将给公司的漏洞修补工作保持压力。

　　Google在网络安全方面的形势没有这么乐观。这家公司要开拓海外市场，因此他们可能还没有意识到有“地雷”的存在。

　　Google工程副总裁Douglas Merrill说，在搞不清环境状况的条件下保持不动可能是最佳方法。Merrill相信Google的服务比自己办公室的苹果电脑，更能保护好自己的私人信息，因为Google围绕数据中心建立起了多重安全防护体系。

　　他说：“我们已经投入了大量资源保卫用户的信息安全。”

　　但是，没有固若金汤的系统存在。Google，微软和雅虎都表示，自己的服务器曾经经历过严重的攻击，电子邮件病毒，钓鱼攻击等更是家常便饭了。

　　因此，雅虎的Bejar认为，需要更多的进行行业协作。

　　他认为，不仅仅是网站以及网络程序需要提高安全系数，浏览器等因素也会给网络安全带来不同。

　　唯一的问题是，雅虎并没有浏览器软件，Bejar说：“因此，我们需要合作。”

　　为了提高浏览器的安全，Google收购了一些技术。微软则在IE 7浏览器当中开发出了“网站信任”功能。

　　所有这些都是一个好的开端，但这还不够。三大巨头公司的安全官员称，需要在软件开发的源头进一步提高安全性，需要在大学教学时给学生们培养安全意识。

　　大学应该提供更多的课程，弥补什么是程序应该做的，什么是程序能够做的之间的差距，今天的学生并没有学多少这方面的知识。

　　简而言之，Bejar说：“我们需要同步。”