“这些均是是涉密文件！，必须存放在你用的这台完全独立的计算机硬盘里，这台机器绝对不能联接到互联网上，否则泄露了涉密文件，我们都要承担法律责任。”在某政府机构的计算机机房里，顾科长对新来的操作员小许说。小许注意到，新分配给他的这台涉密计算机的USB接口已经被破坏，这意味着本机无法应用USB设备。
　　
　　上面这个场景在很多政府信息中心里都有上演，很多人会觉得奇怪，政府不是已经花了巨额资金采购杀毒软件、防火墙等安全系统，为什么还要靠破坏USB接口这种笨拙的方法保护信息安全呢？
　　
　　根据记者的了解，顾科长的小心是有道理的。由于网络攻击手段层出不穷、终端用户安全意识薄弱、安全防护措施不到位、内部管控不严等原因，计算机终端已成为信息安全的薄弱环节，失窃密事件时有发生，政府信息安全面临严峻挑战。2008年9月27日,江西省警方破获一个网络犯罪团伙，他们竟然有能力侵入省卫生厅的系统，然后通过篡改数据库内容的方法，制作虚假《医师资格证书》牟利。
　　
　　为什么严密设防的计算机会成为不设防的城市呢？很多用户的目光都投向了微软，因为绝大部分的受攻击计算机都采用的微软的操作系统，是否操作系统本身存在问题呢？难道Windows是个不安全的系统？记者为此采访了微软中国战略安全顾问裔云天。
　　
　　第三方软件成为安全漏洞
　　
　　裔云天告诉记者，之所以用户的计算机容易受到攻击，一个很大的原因是犯罪分子的手段有所提高。很多网络犯罪分子已经学会了针对软件本身的漏洞进行攻击，而这种攻击，一般的杀毒软件和防火墙是无法进行防御的。
　　
　　但是和很多用户想象的不同，漏洞不出在操作系统上，而出在应用软件方面。目前第三方应用软件已成为恶意软件的主要攻击目标，2008年下半年发现的漏洞中有90%涉及到应用软件，这已成为计算机安全的主要威胁，而计算机设备的丢失和被盗仍然是造成数据破坏的最主要原因。
　　
　　可信网络需要联手打造
　　
　　在当前的网络形势下，依靠任何一个企业和机构都无法独立保证信息安全，因此需要多方面的合作，尤其是企业和政府的合作。微软与政府和业界有很多安全方面的合作，政府安全计划源代码协议（GSP）就是其中一个。根据这个协议，中国信息安全产品测评认证中心和相关被授权机构将可以在线即时查看包括Windows Vista、Windows XP、Windows Server 2003、Windows 2000和Windows嵌入式CE 6.0、5.0版、4.2版的专业版源代码包（“PSK”）以及Microsoft Office 专业版2003、Microsoft Office系统中的任何附加产品等在内的微软产品的绝大部分现有版本源代码和相关技术信息。
　　
　　此外，我国将启动针对政府终端安全的专项保护计划。该项目由国家信息中心发起，最终目标是实现全国政府办公网络终端安全防护系统的统一规划、统一管理。
　　
　　这个计划的一个最重要的工作是给所有政府终端提供可信的windows操作系统需要的补丁。裔云天透露，在过去很长一段时间，由于政府网络与互联网的物理隔离，很多政府机构的终端不能及时接收补丁更新，而现在在微软和国家信息中心合作的“政府终端安全护理”项目中，国家信息中心安全护理平台会将检测过的Windows系统补丁和更新，及时地分发给政府机构的各个终端计算机，确保其系统的安全可靠。
　　
　　此前，国家信息中心已经在安徽、四川进行了试点示范，建设终端安全护理平台地方节点，未来还会推广到其他省份。
　　
　　软件采购当注重安全因素
　　
　　由于应用软件存在的安全漏洞已经成为网络安全新的威胁。因此，应用软件在开发过程中应更加关注安全因素。
　　
　　“在网络时代，软件开发商的观念有必要进行更新。”裔云天说， 传统的软件开发流程中，全部围绕着产品功能，完全没有安全方面的考虑。因此，无法开发出安全的软件。微软自身的软件开发流程，就是一个很好的例子。它可以造就功能上相对完善的软件，如Windows的早期版本，但是无法满足在安全上的需。但是在2002年之后微软逐渐将安全变成软件开发的一个要素，微软提出的从安全角度指导软件开发过程的管理模式。即安全开发周期，这种管理模式在软件开发的每一个阶段都贯彻安全理念，从安全教育、安全设计、到安全响应、一步步地将安全性深植入软件的“DNA”，有效地降低了安全漏洞和隐私问题的数量，以及残留漏洞的严重性。而且，软件安全生命周期作为独立于微软Windows平台的安全方法论，同样适用于Linux等开源系统，可以满足各种平台软件开发者的安全需求。
　　
　　裔云天还透露，微软新的操作系统Windows 7就是以这种管理模式研发的，因此有比较强的安全功能。比如，如果用户不慎浏览到了一个有木马的网站，木马虽然会被下载下来，但是无法感染到核心系统。
　　
　　对于软件安全开发的意义，中国政府安全领域的专家们也深有体会。中国信息安全测评中心常务副主任王贵驷说，“中国信息安全测评中心这些年主要基于国际标准对信息技术产品、系统进行测试评估，我们感到目前国内软件安全开发水平与国际还是有很大差距，迫切需要安全开发方面的知识。此外中心自2002年起开展了注册信息安全专业人员培训（CISP），积累了较丰富的经验和基础，感觉在信息安全专业人员培训课程中十分有必要增加安全开发方法。在4月，我们接受了微软软件安全生命周期的培训，我们认为这套方法论会有效的保证和提高整个软件的安全性，值得在整个业界推广。这会是对整个行业都是一件非常好的事情，广大用户也会由此得到更好的用户体验。”
　　
　　王主任建议，在未来政府采购应用软件的时候，也不应该只关注它的具体业务功能，而要将软件开发时是否有遵循安全开发的理念作为一个评分的因素。
　　　　
　

　更多精彩内容请进入IT频道