发帖
雷达卡
闵应骅
http://www.51xuewen.com/blog/B_ashow.aspx?blog=ymin&id=21343
近日,许多网站发布消息称:“国家计算机网络入侵防范中心、国家计算机病毒应急处理中心和计算机网络与信息安全教育部重点实验室27日签署联盟协议书,共同建设“国家安全漏洞库”和“国家安全漏洞论坛”。”我看了这条消息,让我吓了一跳。国家安全主要指国家主权和领土完整,有几百万陆、海、空三军为我们保卫,有漏洞吗?把目光盯着国家安全漏洞,目的何在?意欲何为?这可是一个很严肃的问题。我知道,这几家单位是搞信息安全的,那就该叫“国家信息安全漏洞库”。两字之差,意思就差远去了。这也说明,当下,学风浮躁,忽悠随处可见。搞学问可要认真呀!
就说“国家信息安全漏洞库”。首先,谈到信息安全,不能光谈国家信息安全,还要谈企业信息安全、个人信息安全。三者都不能缺。其次,信息安全漏洞可能有许多,但是,没有受到攻击以前,你是不知道的。如果你知道了,你就会设法堵住它了。如果规定一些空洞的条条,说它就是安全漏洞,这就成为无法实现、无法检查的一纸空文,没有意义。再次,如果信息安全漏洞是指已碰到的安全缺陷的话,那么,就需要对已知的安全缺陷进行模型化,进行分类。一个完全的、不相交叉的分类模型也许是一个很好的研究课题。在没有滤清思路以前,不要急于去开发工具和数据库。否则,你能拿来一大批经费,却出不了可用的成果。出一个数据库就交账。这样的例子还少吗?
有朋友告诉我:把这个数据库叫“网络信息安全漏洞库”也许更好。因为党和国家的机密信息安全,他们并不负责,事实上也不可能负责,只是关心网络信息安全。
京公网安备 11010802022788号
