Web 2.0当道 Google开拓安全新方向

Douglas Merrill才开始学习网络安全是在青少年时期的阿肯色州。作为一个自学成才的电脑怪才，每周星期六他都与自己的父亲，一位物理学教授一起组装电脑。

在探索新兴的网络空间的年少时期，他碰到了种族主义团体主办的BBS。由于吃惊于那些帖子的内容，Merrill 开始想办法戏弄BBS 上的成员，表达与他们不同的立场。

他说：“我的目标是找阿肯色州所有白人至上主义者的麻烦。阿肯色是一个相对偏远的州。它非常漂亮。对小孩子来说是一个难以置信的地方。

但那时，这里也存在一些不合时宜的东西，我强烈的反对那些政治观点。“

这一经历加上他的固执性格让他明白，社会中存在着技术的力量。这段经历也成为塑造他日后专业准则的开始。

作为Google工程副总裁，Merrill 站在Web 2.0 技术数字时代的最前沿，这个时代对网络安全提出了前所未有的挑战。由于Google是一家首屈一指的公司，也是今日开放的社交网络化的支持者，公司处于这一革命性变革的核心。

Google以快速的步伐创建了网络服务，它也是第一批采用Web 2.0 编程技术的公司之一，由于其交互性的特质，这种编程技术让安全变得复杂。

Google也给黑客们提供了大量的靶子：Gmail，AdWords，Google桌面程序等已经被发现漏洞。

提高安全性对Google来说是秘而不宣的事情，这家公司在业界是仅次于苹果对公司信息保持严密控制的企业。2005年夏天，为了报复CNET新闻网站对它搜索引擎以及隐私的一篇报道，Google公布不再接受其记者的采访。然而，几个月以后，Google结束了它的制裁。

由于意识到了自己在网络安全中的重要地位，Google向CNET新闻网站提供了独家的安全努力情况。由于它独一无二的地位（三月份，Google吸引的访问者比其它公司都多），Google致力于技术安全的努力产生了指数级的重要影响，也对整个网络的安全性产生了广泛的影响。

Merrill说：“我们还没有发现有什么东西能够突破这些有趣，令人兴奋，时新以及高度交互性的网络应用程序。我们相信，自己处于一门新科学的前沿。我们不得不开启网络安全的新方向。”

这一目标的异常重要性体被掩盖在了公司大楼的内部。安全部门只占据了Google加州山景城总部大楼的一小块区域，它与秘密堡垒相差甚远，让人很难与一个执行要害任务的安全部门联系起来。

Merrill办公室里面有一个狗窝，这是为它的达尔马提亚狗预备的，办公室的墙上满是这只狗狗的照片。房间内还有沙发，一台Mac 电脑及两台宽屏显示器。

几个房间外，是安全专家们的办公室，这里竖立着星球大战电影中黑武士达斯维德的全身模型。这儿的人开玩笑说，黑武士是Google安全部门的“友善之脸”。（此模型是一次聚会后的遗留物。）

核心成员大约有50人，但安全的重要性意味着，Google全部参与产品开发的员工都有责任保证其技术的安全。

Merrill说：“Google做事的方式是，获得真正聪明的人，让他们很轻易的干正确的事情，让他们很难做错误的事情。我们在所有级别的岗位都布置真正有才的工程师，利用一种非凡的编程方式，我们让大学毕业生尽快的锻炼成为非常高级的人才。”

高速的网络发展速度假如说Google提高安全性的方法是独特的，或许原因就是它是唯一一家在Web 2.0 时代成长起来的公司，Google创始之初便奉行开放与分享的精神，这种精神使得它能够不断扩展网站的边界，同时也能够保护其自身。

现在，网络空间的发展速度是高速的，不仅仅是企业雇用的研发人员在改变桌面电脑时代的数字安全概念。比如，微软，这家1975年成立的桌面软件开发公司已经领教到了安全方面教训。

Merrill说：“客户端程序的开发已有很长的历史，利用这种历史和实践，这门科学变得更好。我们的网络程序开发要远胜于传统的桌面程序开发。”

网络安全开发建立在已有的应用程序设计与开发的计算法则之上，比如输入确认，最小特权原则等等。但是，由于Web 2.0空前的交互性以及开发的新奇性的特点，其安全并不是一目了然的，有时候，确保安全确实很轻易。

网络程序比传统PC或者服务器应用程序更好的一个地方在于，打补丁相当的轻易。补丁不需要为多个操作系统版本测试，因为Google对它的架构非常了解。

Merrill说，Google从早期开始就已经确立了安全流程。当Google成长，服务变多，电子邮件，广告业务，网络支付，地图等等出现之时，这种重点并没有发生改变。

Merrill说：“安全性从一开始就被植入了我们的代码当中，这主要是因为我们意识到，用户的搜索数据对他们而言是相当隐私的东西，安全性从一开始已经成为我们的DNA ，尤其是我们开始从事广告工作，我们要处理广告客户的信用卡等重要数据的时候，安全性就更显重要。”

Google有多种流程确保产品的安全性。所有的程序员都要学习Google的代码样式，这些东西当中就包括很多的安全准则。全部的代码要交由别的开发员进行检查，并在正式提交最终样式之前，要通过代号“柠檬”的测试工具的考验。

非凡敏感的代码，比如支付程序，需要非凡的加以开发。一名开发员不得为新的程序开发新的支付代码。

即便如此，Google大部分的安全人员的时间仍然花在了处理程序的漏洞上面，这些程序臭虫很大程度上依靠网络来发现。一旦发现了漏洞，Google就会处理，Google已经建立起了处理外部臭虫捕捉者报告的系统。

Google是唯一一家专门设有安全漏洞报告网页的网络公司。漏洞发现一个消灭一个；假如是新问题，Google会将漏洞特征添加到“柠檬”测试工具当中，以保证未来不会再犯同样的错误。

Merrill 说“我们将发现所有的问题，但这需要片刻时间。当发现所有的问题，新的臭虫又将出现。但只要我们携手工作，我们就能够应对这些臭虫造成的损害。”

文章地址:   http://www.xinasp.com/html/yejiexinwen/xinxianquan/20070626/1542.shtml
tag： 安全 方向 开拓