可信互联网 软件安全开发成金钥匙

紧迫的信息安全形势已发出警示：对于用户大量使用的商用软件，国家应加强安全方面的审查力度，应整合社会力量，建立信息产品安全评测体系，对每个影响力大的软件、重要的补丁进行安全评估，尽可能地做到防患于未然，保证信息社会的安全。

一家互联网公司的程序漏洞，导致全国多个省份断网。从5月19日21时50分开始，江苏、安徽、广西、海南、甘肃、浙江六省区诸多用户向中国电信客服报告：访问网站速度变慢或无法访问。这次断网事件被业界称之为“暴风门”事件，这是继2006年12月27日我国台湾地区地震导致海底光缆中断以来，我国最严重的一次网络事故。

6月1日，北京暴风网际科技公司举行对5月19日断网事件的说明会，称对5月19日江苏等六省区断网事件负责，自当日起将对旧版的暴风影音播放软件进行召回，其官方网站将删除此前所有旧版本的下载，并于6月19日推出新版本。

一个影音播放软件的设计缺陷竟导致我国多个省区互联网访问受限的窘境，这对于那些一直持互联网即将崩溃观点的专家们来说，似乎又多了一个例证。在他们看来，互联网的先天缺陷导致其极易受到攻击，而且在面对一些恶行的时候，几乎没有还手之力。尽管业内很多专家对此表示了不同的观点，但此次多省区大规模网络故障再次向世人敲响了互联网安全的警钟，软件安全开发对互联网安全的意义引起各方的空前重视。

提升互联网安全环境

“暴风门”事件爆发后，工业和信息化部和电信部门随后均称，由于暴风影音客户端软件存在缺陷，在暴风影音域名授权服务器工作异常的情况下，导致安装该软件的上网终端频繁发起域名解析请求，引发DNS拥塞，造成大量用户访问网站慢或网页打不开。

据悉，这种DOS攻击在我国并不少见，近几年甚至呈现泛滥趋势，有专家认为DOS攻击已经成为制约我国互联网发展的严重安全隐患之一。DOS攻击即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。绿盟科技的网络安全专家李钠表示，防止DOS攻击首先需要互联网应用服务商提高自身应用程序的安全性。安全是一个有投入才能有回报的行业，运营商需要在平时的工作中不断加强网络安全建设，以备不时之需。防止DOS攻击最根本的解决办法是不断提升互联网整体安全环境。一方面， 有关部门要积极引导，严厉打击恶意攻击者，引导产业在安全方面加强投入；另一方面，产业链各个层面，从运营商到个人用户都要提高安全意识，这样才能有效避免DOS攻击的频繁发生。

紧迫的信息安全形势同时在提出警示：对于用户大量使用的商用软件，国家应加强安全方面的审查力度。事实上，由于信息技术发展较快，软件的更新换代不仅非常频繁，而且难以监管。在现实的互联网环境中，软件商的数据包一般通过互联网直达用户，中间缺少必要的审查环节。这个被封闭好的数据包是“功能利剑”还是“杀人凶器”，普通用户根本无法知晓，这就要求政府相关部门拿出足够的精力与资源，整合社会力量，建立信息产品安全评测体系，对每个影响力大的软件、重要的补丁进行安全评估，尽可能地做到防患于未然，保证信息社会的安全。

可喜的是，为规范通信业互联网网络安全信息通报工作，促进网络安全信息共享，提高网络安全预警、防范和应急水平，6月1日，工业和信息化部正式实施《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测与处置机制》，这也是工业和信息化部首次针对目前互联网出现的网络安全问题提出的具体应对政策。

软件安全开发是关键

如今，互联网用户面临的安全威胁正在发生前所未有的变化。首先是计算机病毒加壳，其次是“流氓”网站的大量出现，第三是以应用软件为主体的新的“漏洞王”不断涌现。据了解，以往人们印象中Windows系统经常爆出漏洞，但从2007年开始，百度搜霸、暴风影音、RealPlayer等流行软件的漏洞开始成为计算机病毒广为利用的新对象，2008年新出现的网页木马中利用百度搜霸漏洞的占据总体比例的39%。另外，记者从微软公司最近发布的第六期微软安全研究报告中发现，随着软件公司不断改善操作系统的安全性，目前第三方应用软件已成为恶意软件的主要攻击目标，2008年下半年发现的漏洞中有90%涉及到应用软件。

历史上，微软曾因软件中存在安全漏洞而备受用户质疑谴责。为此，2002年微软发布了可信赖计算计划，将安全提到最高日程，在设计和开发产品时不忘安全问题。6年过去了，微软的转变显而易见：从Windows XP升级到Windows Vista的过程中，安全缺陷下降近一半；从SQL Server 2000升级到SQL Server 2005的过程中，安全缺陷下降了90%。

然而，环境也发生了改变。随着计算机的应用重心日益向网络转移，网络应用不断蚕食桌面应用。微软(中国)有限公司战略安全架构师裔云天表示，根据软件厂商统计的漏洞数据，80%以上的新安全缺陷都发生在网络应用中，只有14%的安全缺陷来自全球前五大IT厂商，包括微软、IBM、思科、甲骨文和苹果公司。在有安全缺陷的软件厂商中，微软所占的安全缺陷比例为2.5%，大部分安全缺陷来自于急于将产品推向市场的创业公司。因此，微软试图将其他厂商也转变到自己制定的目标上来，向外部开发人员提供免费工具，用于评估其软件开发安全测试、分析其软件设计，查找安全弱项和威胁。2008年11月，微软允许用户免费下载其SDL优化模式和SDL威胁模式工具3.0，还组建了由9家安全咨询公司组成的SDL Pro Network，帮助开发人员完成SDL。

“通过帮助其他厂商创建更加安全的软件，尤其是那些在微软平台上开发软件的公司，将使互联网更值得信赖。”微软公司负责可信计算的副总裁斯科特·查尼表示，创建更可信的互联网主要要从3个方面努力：首先是创建一个可信架构，在这个架构下，安全植根于硬件，而且架构内部的组件可以在恰当的条件下互相验证；其次是管理验证身份的请求；第三是结合技术、社会和经济方面的力量来取得实质性进展。