网络安全对软件开发提出更高要求

gs_xxin

  我们来做一个简单的算术题：用目前使用的不同的硬件平台数乘以有一定用户数量的操作系统数，减去硬件平台、操作系统不能搭伙儿的数量，然后将所得到的结果乘以在企业、学术界、互联网上使用的 应用软件、数据库、服务器的种类。
的确，这是一个很无聊的算术题，但其要点就在于即使剔除不可能在相同的时间和地点使用的软件组件，也会有无数种软件组合，它们必须实现安全的互操作，即使在拒绝服务攻击、病毒、蠕虫和其它恶意软件泛滥的情况下保持洁身自好。
事实上，软件、硬件种类的不断增加意味着兼容性和安全问题必须在几个层次上得到解决。首先是要保证技术能够在各种可能的配置下可靠地协作。企业开发的供内部使用的应用软件能够很容易地做到这一点，但商业性软件和开放源代码软件呢？
各种可能的配置
多年来，多媒体开发人员一直受到这一问题的困扰。作为多媒体内容的创作人员，泰对这一问题深有感慨，他说，即使是装备很好的开发人员要对计算机硬件、软件、第三方插件各种可能的组合进行测试也是非常困难的。
在缺陷查找方面也有同样的问题。现在，多媒体内容已经扩展到了互联网上，一些被广泛使用的多媒体播放软件一直被发现包含有能够传输恶意代码的缺陷。泰的警告也得到了Aberdeen集团副总裁哈利的认同，他说，一家厂商对产品被黑的所有后果进行测试几乎是不可能的。
团队努力
那么我们应当采取什么样的措施呢？我们能够一直背着不安全的罪名吗？答案可能在于软件的开发方式。英国电信公司的前IT顾问戴维表示，这一问题的部分根源在于开发应用软件和操作系统的大规模团队。他说，我们一直在建立标准和中间体，努力减少产品的多样性，但我们从来都没有真正了减少了产品的多样性。在使用Windows时，我们就能够发现这一点，同一件事会以不同的形态在不同的地方发生。他指出，这一部分的部分根源不在于庞大的代码，而在于系统设计理念本身存在的错误。
戴维表示表示，这种杂乱和不标准的开发环境不大可能会改变，原因是这是企业的需求。他说，与一致性相对立的实现财务目标所需要的。我认为这一问题永远得不到解决。
安全尚方宝剑
我们总是希望能够得到“尚方宝剑”━━能够大幅度改变安全局面的解决方案，但在近期我们不大可能得到它，但这并不意味着我们将无所作为。mi2g公司情报部门的执行主席马太表示，配置管理是尤其重要的。在黑客成功发动攻击的90%的时间里，配置管理不恰当都是元凶。对于任何服务器、操作系统、应用程序中的安全缺陷，我们都应当安装合适的安全缺陷。如果没有被使用，缺省的配置和在系统上运行的服务都应当被关闭。
给计算机上一道箍
马太还表示，保证系统安全还需要严格的手段。我认为未来将会发生三件事，其一是向更高组别的认证转移，其中包括生物认证、智能卡；其二，目前存储在用户计算机上的复杂数据将“向上移动”，由与银行相似的机构确保它们的安全；第三是在全世界的国家和地区建立与驾照相似的制度，它们在计算机销售时限制计算机的运算能力，或要求用户演示在自己的计算机受到攻击时抵御攻击的能力。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/37787/showart_310186.html