新年伊始，说说今年的网络安全方向，由两大要素决定：2004年遗留的、迫切需要解决的重大问题；可能发生的重大突发安全事件，其影响不可预知。

　　内部威胁远大于外部

　　有一点很明确，在2004年，与外部对网络的威胁相比，内部对网络的安全威胁已经上升为主要矛盾，值得CSO们高度重视。原因是：一是这些年几乎所有的安全投资都在“防外”的措施上，总得有点效果；二是传统上，总是假设“内部是安全的，外部是不安全的”这么多年下来，这种认识导致的误区积累的问题已经到了爆发的时候；三是从结构上来讲，内部有更多的机会威胁企业的核心资料，而外部的机会要少得多，而且，有时候具有很大的盲目性。

　　关键词：病毒、漏洞、管理

　　对2004年进行总结，可以发现下列趋势：病毒依然是主要威胁，病毒传播的主要途径是垃圾邮件，已经有人估计，邮件占病毒传播途径的九成以上。要解决垃圾邮件传播病毒问题，当然要阻止病毒通过电子邮件与附件入侵，防病毒网关当然需要，但仅有防病毒网关是不够的，还必须假设最坏的情况发生，即无法完全杜绝内部的主机不感染病毒的情况下，内部网络的病毒防治机制，这是典型的内部治理问题。对用户行为进行控制，并设立突发病毒的紧急处理机制十分必要。

　　除病毒外，木马、间谍软件和恶意代码也是目前内部网络混乱的重要原因。漏洞是不可避免的，从公布漏洞到利用漏洞的恶意代码出现所用的时间将会进一步缩短，从理论上趋向于零，而且，一定是短于修补漏洞所需要的时间。由于黑客转向对经济利益的追求，问题会变得越来越严重。从2004年的情况来看，企图消灭这些恶意代码是不可能的，现在的问题是，内部网络设计如何才能经得起这些木马、间谍软件和恶意代码的破坏。

　　内部网络没有管理也是一大问题。如果一个单位不知道汇总员工的姓名或联络方式等信息，肯定是一种不正常的状况，可是，现在的内部网络很多都不知道，用户的主机名称、IP地址、MAC地址、所在位置以及部门……关键问题在于内部网络没有管理。

　　内容安全大于网络安全

　　2004年的经验教训还有，网络安全不是信息安全的全部问题，内容安全是相当重要的部分，未来，内容安全的重要性要大于网络安全。内容安全地难点在于要区别真伪。如果不能区别真伪，信息安全就无法保障。现在，垃圾邮件引发出的“网络钓鱼”、“信用卡欺骗”等安全威胁，都是这类问题。但是，我们不能要求用户不上当、不受骗，因为，用户无法区别真伪。但是，这类问题的结果往往相当严重，甚至祸及全球。

　　严格意义上讲，垃圾邮件、病毒、木马、间谍软件和网络钓鱼等都属于内容安全的范畴。企图从网络上解决内容安全的问题，要么破坏了网络的可用性，要么无法保证网络内容的可控性。如果你不接受邮件，邮件垃圾也就没有了；如果你接受正常的邮件，由于无法准确判断，垃圾邮件和正常邮件，漏报和误报也是不可避免的。因此，内容安全无法通过网络安全的对抗性措施来解决。要解决内容安全问题，主要是区别真伪，你无法要求别人不要在网上设置陷阱，因此，要解决内容安全主要还是在内部网络来解决，加强内网的内容安全建设十分必要。

　　安全策略 攘外必先安内

　　既然外部的网络安全威胁已经不是主要矛盾，那么，信息安全的重点就应该转移到内部网络安全的建设上来，这是2005年的安全主线。信息安全矛盾的主要方面在于内容安全，而不再是网络安全，2005的信息安全建设重点应该是狠抓内网的用户管理、行为管理、内容控制和应用管理。