最近，有許多對(duì)日復(fù)一日的系統(tǒng)與軟件修補(bǔ)更新感到厭倦的信息安全工作者及IT系統(tǒng)管理員都詢問我，新的操作系統(tǒng)（例如Google Chrome）是否能夠動(dòng)搖Microsoft在微機(jī)操作系統(tǒng)的獨(dú)霸地位，而信息安全的問題在五年之后是否會(huì)有所改善？

事實(shí)上，這是一個(gè)很難回答的問題。五年之后，IT產(chǎn)業(yè)當(dāng)然會(huì)出現(xiàn)更多突破性的技術(shù)。因此，回答這類問題最保險(xiǎn)的方式就是，回顧一下當(dāng)前的現(xiàn)況。

很清楚地，我們正在進(jìn)行一場(chǎng)網(wǎng)絡(luò)大戰(zhàn)。攻擊的一方是透過惡意程序、破解手法以及其他惡意活動(dòng)獲取暴利而不斷壯大的網(wǎng)絡(luò)犯罪者。這些人之所以能夠得逞，就是因?yàn)槲C(jī)基本上是由單一操作系統(tǒng)所壟斷。如果您是一位黑客，您只要專門鎖定Microsoft的平臺(tái)，就能找到足夠的受害者，讓您口袋滿滿。這是很單純的經(jīng)濟(jì)規(guī)模效應(yīng)。隨著其他操作系統(tǒng)（如 Mac OS）開始受到歡迎、市占率逐漸成長(zhǎng)，其對(duì)應(yīng)的惡意程序也開始隨之成長(zhǎng)。這一點(diǎn)也不令人訝異。

但是，如果是非常小的操作系統(tǒng)，而且采用開放原始碼呢？如果將所有的資料和應(yīng)用程序都儲(chǔ)存在云，就像Chrome操作系統(tǒng)作法呢？這樣會(huì)不會(huì)比較安全？

理論上，會(huì)。當(dāng)操作系統(tǒng)小一點(diǎn)，軟件錯(cuò)誤（俗稱臭蟲）自然就會(huì)少一點(diǎn)（因?yàn)榭赡艹鲥e(cuò)的程序碼變少），此外，由于操作系統(tǒng)不像現(xiàn)在這么強(qiáng)大，因此，像目前這樣用途廣泛的惡意程序很可能就無法存在。我個(gè)人并不認(rèn)為，開放原始碼就會(huì)讓黑客更容易找出系統(tǒng)的弱點(diǎn)因而更加危險(xiǎn)（這一點(diǎn)是我們經(jīng)常聽到的說詞）。透過隱瞞的方式來提高安全性，從來就不太有用！

即使如此，有些攻擊策略或許還是可行：

掌控到云的連線。只要稍微對(duì)操作系統(tǒng)動(dòng)一點(diǎn)手腳，例如修改一下DNS記錄，就能讓使用者在連上網(wǎng)頁應(yīng)用程序時(shí)，先轉(zhuǎn)往地下惡意網(wǎng)站，然后才到達(dá)自己的網(wǎng)頁應(yīng)用程序頁面。只要是無法完全封鎖通訊管道，使用者的資料就可能完全曝光。即使有IP V6、加密、憑證等保護(hù)措施，這還是一個(gè)可能的攻擊方式。

攻擊云本身。如果云式應(yīng)用程序以及云操作系統(tǒng)成為主流，那么99.999%的可用性有多重要？非常重要：如果無法存取主機(jī)上的信息和應(yīng)用程序，您的電腦就等于廢物。如果攻擊者利用標(biāo)準(zhǔn)的Bot網(wǎng)絡(luò)（未來十年之內(nèi)應(yīng)該還會(huì)看到采用多用途標(biāo)準(zhǔn)操作系統(tǒng)的Bot感染電腦）來讓云基礎(chǔ)架構(gòu)上的主機(jī)超載而癱瘓呢？若是黑客要求業(yè)者必須給予小額“樂捐“才能讓已經(jīng)癱瘓的云主機(jī)恢復(fù)營運(yùn)呢？對(duì)黑客來說，想必這是一樁利潤(rùn)豐厚的生意。聽起來有點(diǎn)像科幻小說？一點(diǎn)也不！這樣的情況事實(shí)上已經(jīng)發(fā)生，只是規(guī)模不大而已。但是，一旦黑客目前的手法（先讓微機(jī)感染惡意程序然后再用于非法用途） 經(jīng)濟(jì)誘因不再（無法再找到足夠的受害者），自然會(huì)有另外一種取而代之的方法出現(xiàn)。

直接從云（因?yàn)橘Y料已經(jīng)移到云）擷取有價(jià)值的資料，例如：信用卡、身分證號(hào)碼、登入帳號(hào)等等。云服務(wù)業(yè)者必須確保資料不會(huì)遭到非法存取，不會(huì)輕易讓黑客復(fù)制數(shù)百萬筆使用者資料、登入帳號(hào)密碼、網(wǎng)絡(luò)銀行資料、帳務(wù)資料、交易記錄等等。簡(jiǎn)單的說，就是必須防止資料外泄，針對(duì)這一點(diǎn)，我抱持著懷疑的態(tài)度。

總歸一句話，我不想去揣測(cè)Chrome操作系統(tǒng)是否會(huì)成功，我不希望預(yù)測(cè)未來五年之后哪一個(gè)操作系統(tǒng)將成為主流。不過，有一件事情是確定的，那就是：信息安全產(chǎn)業(yè)不會(huì)因此消失，而是會(huì)針對(duì)新的攻擊方式發(fā)展出新的防御方法。

到時(shí)候可能再也不必在本機(jī)上安裝龐大的病毒碼文件，而是仰賴云的網(wǎng)頁、電子郵件與文件信譽(yù)評(píng)等服務(wù)。此外，當(dāng)然也需要漏洞評(píng)估、防護(hù)、加密等完整的防護(hù)措施來確保數(shù)位信息交換的安全性。
 

【編輯推薦】

1. Chrome OS將通過瀏覽器登錄
2. 搜狗云輸入法“乘云” 絕配Chrome OS
3. Chrome OS能給未來手機(jī)帶來什么驚喜