春节同家人一起看了电影《天下无贼》，大家纷纷议论认为：现实世界“天下无贼”是不可能的，但老人的一句话“为什么五六十年代贼很少，没有什么东西可偷唉！”启发了笔者作为一个信息安全工作者的思路 -- 网络虚拟世界“天下无贼”是完全可能的 -- 只要网络上也“没有什么东西可偷”！

    但是，现在什么应用都已经网络化，怎么可能实现“ 网络上没有什么东西可偷”呢？ 据信用卡维萨 (Visa) 日前公布的调查报告称，消费者对信息安全的担心已经超越环境问题和恐怖袭击，黑客活动已成为最令世界各国消费者担心的问题。而有媒体称，现在的网络安全技术 ( 如防火墙、 IDS 、 IPS 、防毒杀毒、防间谍软件等等 ) 已经无法应对日益增长的各种安全威胁。之所以各种网络犯罪和威胁日益猖獗，正是由于网络上可偷的东西太多，并且有许多非常有价值的东西就“放在大马路上根本没有人看管”。

    我们必须彻底改变目前疲于防范的思路，目前采用的防火墙、 IDS 、 IPS 、防毒杀毒、防间谍软件等等都是为了防“贼”，但往往是防不胜防。笔者受到的启发是：如果能真正实现“ 网络上没有什么东西可偷”，那我们还需要 防“贼”吗？这才是网络安全和信息安全的根本解决之道！

    但我们不可能回到没有网络的“ 五六十年代”，现在已经是各种重要应用都放在网络上，黑客为什么要“偷”美国 Card Systems 公司的信用卡资料，试想一下，如果 Card Systems 公司的信用卡资料是使用用户的单位数字证书来加密存储在数据库中的话，黑客“偷”回去根本就打不开，毫无用处就没有“偷”的价值了。也就是说：如果我们把各种有价值的信息都使用数字证书加密存储在数据库中的话，则就失去了“偷”的价值，就等于 “ 网络上没有什么东西可偷”了，这就是笔者受到的启发，是网络安全和信息安全的彻底解决新思路。

    而目前的网络安全解决思路是从现实世界发展来的，在现实世界里，往往是把一个重要的有价值的宝贝 ( 如藏宝图 ) 锁在保险柜中，再把保险柜放在一个安全的房子里 ( 安装了各种安全保卫设备 ) 。而网络虚拟世界也是这样，安装 防火墙、 IDS 、 IPS 、防毒杀毒、防间谍软件等等各种 安全保卫软硬件设备来保护机密数据。而笔者提出的新思路是把这些宝贝 ( 如藏宝图 ) 使用数字证书加密保存，这样加密后的“藏宝图”就算放在“大马路”上也没人拿，因为“拿回去看不懂还是废纸一张”。

    请注意：目前大家为服务器部署 SSL 数字证书只是保证了从用户浏览器到服务器之间的机密信息传输是加密传输的，是不可能在传输过程中被非法窃取和篡改的。但是，如果黑客直接攻击服务器，就有可能拿到服务器上的机密信息，这才有了防火墙等。而如果我们使用每个用户的单位数字证书的公钥来加密该用户的机密信息，则此机密信息只要用户本人使用其个人证书的私钥才能打开阅读，而黑客是不可能得到用户的单位数字证书，特别是使用 USB Key 方式来存储单位数字证书的话。这样的话，网络犯罪分子 ( “贼” ) 也就不会攻击服务器了，也就不会搞什么间谍软件了，这样，网络虚拟世界就真正实现“天下无贼”了，大家都可以放心地使用网络带来的工作和生活便利了。

    总之，要实现网络虚拟世界“天下无贼”，必须： (1) 为服务器部署 SSL 数字证书； (2) 使用客户端单位数字证书实现身份认证； (3) 使用客户端单位数字证书加密用户的机密信息后再存储在服务器中。这就是网络安全和信息安全的新思路，只有这样，才能因为 “ 网络上没有什么东西可偷”而“无贼”；否则，还是只能象现在这样，永无止境的以“亡羊补牢”的方式应付不断出现的各种网络安全威胁。