信息安全是个老生常谈的话题，但今年1月25日爆发的攻击微软SQL Server数据库的“2003蠕虫王”病毒却为这个话题带来了不少的新意。

    “2003蠕虫王”爆发后的情形已被媒体报道得淋漓尽致，而有关“2003蠕虫王”的背景知识应有助于这个话题的探讨。去年7月，微软发布了有关这个漏洞的安全公告，并在网上提供“补丁程序”；8月，英国安全专家、NGS公司创始人之一David Litchfield在《黑帽子简报》上公布了他的演示这个漏洞的程序，现已查明，“2003蠕虫王”病毒的核心代码正是源自Litchfield的这段程序。

    从技术层面探讨信息安全问题，应该关注软件质量、相关厂商的作为以及用户的行为，立法固然重要，但目前这一问题在全球范围内还是悬而未决的。

    以软件工程学的观点来看，当软件达到一定的复杂程度时，其中的Bug是不可除尽的，因此，软件质量只有优劣之分，而不可能做到完美无瑕。尽管软件厂商都在努力完善其产品的质量，但因产品质量带来的安全问题始终是相伴软件应用之“痛”。Oracle公司2月中旬在NGS发现其最新的数据库软件6个安全漏洞后在网上公布了相应的补丁程序，就又是一例。

    人们固然要关心“软件厂商在提高自己产品质量和保障正版用户信息安全上负有不可推卸的责任”，但也不应忽视“2003蠕虫王”在漏洞公布机制和应急机制方面带来的新启示。

    由于用户在信息安全的知识上与病毒制造者和黑客存在着非常大的落差，因此，软件厂商在公布软件漏洞时对漏洞特征的描述有可能对病毒制造者帮助更大。在2月20日国内某权威安全网站首页上，其最新安全公告“AIX的libIM存在缓冲溢出缺陷 (AIX,补丁)[2003-2-17]”，在列出漏洞的类型和补丁程序下载的链接地址之外，还列出了有关漏洞的详细描述，并在攻击方法中给出了攻击代码。在“2003蠕虫王”上，Litchfield的行为则将这个问题推到了极致，不管他是出于逞能、炫耀还是其他目的，在客观上起到了助纣为虐的作用。

    “2003蠕虫王”病毒不仅攻击了SQL Server的漏洞，还“发现”了我们应急机制上的“漏洞”。“2003蠕虫王”首次攻击时间是1月25日13:30左右，让我们从媒体报道中看看各方的响应时间：知名的安全软件厂商NAI的中国区产品经理也是在预浏览新浪网时发现网络异常后，才在公司紧急响应中心网站上找到了数小时前总部已经公布的“2003蠕虫王”攻击消息；26日凌晨，中国计算机网络应急处理协调中心发布紧急通告，并提供补丁程序下载；26日下午，中新社刊发了中国互联网协会谴责攻击、呼吁用户下载补丁的通告。相形于“2003蠕虫王”在首次攻击后十几分钟就达到高峰的“作案”速度，上述反应多少有些“骑牛而行”。

    除漏洞公布机制和应急机制外，还应该健全信息安全的预警机制，预警机制应该包括发现漏洞和修复漏洞两方面。

    现在市面上有不少漏洞扫描工具，安全软件厂商也极力推荐用户使用。但笔者却认为，这种做法不妥当:漏洞扫描工具是个既可为用户所用也可为病毒和黑客所用的“双刃剑”，由于双方在信息安全知识结构上的差距，加之用户的疏忽，这把“双刃剑”往往会变成指向用户的“单刃刀”。扫描工具的使用是必须的，但应当受到严格的限制，应该由具有公信力的第三方非营利机构行使对企业级用户信息系统的漏洞扫描职责，费用可强制性地从软件企业相关软件销售收入中扣除。

    “2003蠕虫王”爆发后，微软中国公司表示以解决问题为重，免费为所有（包括盗版使用者）提供补丁光盘，但这多少有些亡羊补牢，如果微软在漏洞公布后就为正版企业级用户提供这种服务，“2003蠕虫王”可能就不会这么肆意地为非作歹了。当然，其他软件公司也面临着同样的问题，更有甚者，还将漏洞的修复包含在企业级用户购买的技术服务中。因此，笔者不揣冒昧地建议——能否强制地要求所有在国内销售企业级软件的厂商必须在漏洞补丁公布后，限期为正版用户提供免费的补丁服务。

    这是一个本可避免的互联网灾难，值得庆幸的是，“2003蠕虫王”只是阻塞了网络（其影响只是波及到依托网络提供的服务），而数据没有遭受灭顶之灾。从这个意义上来讲，我们应该把“2003蠕虫王”视作一种警告，但愿所有的人都能因之而警醒。