2007年网典杂志

警惕热门技术的安全隐患

警惕热门技术的安全隐患


从智能手机到JavaScript,再到虚拟化,这些都是你需要考虑的技术。但是,同时你也得了解部署这些技术有可能带来的风险才成。

很多企业目前对于虚拟化、企业搜索和智能手机等技术都非常热衷。但是,这些技术会给企业带来怎样的安全隐患,似乎还没有引起大家足够的重视。希望本文列出的安全问题,对于首席信息官(CIO)们而言,能够起到积极的警示作用。

智能手机:风险不断加大

从没有人因为使用黑莓(BlackBerry)手机而遭到解雇。这一说法无疑是空洞无物的承诺。尽管你不会因使用了具有安全风险的智能手机而被公司炒鱿鱼,但每位专业人士对于智能手机的需求不可能完全一致,可以想见企业的烦恼肯定不少。即使你的企业还没有遇到过这方面的麻烦,也不妨看看以下智能手机陷阱的分析和应对技巧。

  1. 产品周期与消费电子更新换代的速度一致。
    “很多公司在将智能手机项目部署到一半时发现,那款产品已停产了。” 负责提供移动设备管理服务的Movero科技公司(Movero Technology,下称Movero)首席执行官(CEO)布鲁斯•弗雷德曼(Bruce Friedman)表示。高端手机和智能手机更新很快,以致习惯3~5年IT更新周期的公司,在测试、采购并部署新设备时,总有落伍之感。解决这种问题的方法虽然简单,但做起来并不容易:也就是要设法缩短产品采购审批和测试过程,比如,确保新应用软件和升级软件不会对手机、操作系统和网络连接有害。在选用智能手机时,将产品周期定在6~12个月,并依此周期更新。
  2. 应用软件控制。
    智能手机的威力在于能运行多类应用软件,而某些员工会因此想当然地根据自己的喜好随意下载软件。企业可禁止使用所有未经许可的软件,但是人的本性决定了,商业用户总会想方设法违反这些规定。更合理的做法是:利用基于Symbian操作系统的 Platform Security或者Windows Mobile的Application Security等安全协议,为应用软件分配“信用等级”,并且只给那些事先经过批准的应用赋予访问操作系统的权限。
  3. 出租车因素。
    与笔记本电脑相比,智能手机更易丢失、被窃以及损坏。所以,应准备好进行实时修复、擦除关键数据并更换其他设备。Movero或Mformation公司等“管理移动服务”厂商此时正好派上用场:如果需要部署大量设备,他们几乎无一例外地总是能为你节省资金。

——文/Richard Martin

虚拟化:潜在的威胁之源


如果企业一味扩大服务器虚拟化,而对虚拟机与物理服务器的本质区别熟视无睹的话,那么他们迟早会给入侵者开辟新的方便之门,使之顺利进入到数据中心。我们目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过。但是过去两年中,任何对上述事实感到欣慰的公司肯定从未关注过信息安全。

VMware公司和开源厂商XenSource公司开发的虚拟机管理软件,是数据中心中新一层特权软件的代表,这些软件与操作系统类似,可全权访问其他软件资源;但他们却没有像操作系统一样,经过多年的测试与评估。高德纳公司(Gartner)预计,从现在到2009年,60%的虚拟机安全性会低于物理服务器。而且如果存在安全漏洞的话,入侵者一旦获取一台虚拟化服务器管理程序的访问权限,必将能够在该软件辖下的所有虚拟机中来去自由,如入无人之境。

许多组织将保护物理服务器的手段如法炮制到虚拟服务器上。迄今只出现了少数几个专业化工具,能用来监测并保护VMware的ESX虚拟机管理程序,比如Reflex安全公司(Reflex Security)的VSA和Blue Lane科技公司(Blue Lane Technologies,下称Blue Lane)的VirtualShield。目前尚未有成熟的用于保护XenSource产品的安全工具。

VMware强调说,银行和美国军方都使用ESX Server,这说明该软件是个安全的平台。但是运行虚拟机管理软件,有别于在物理服务器上运行操作系统。VMware的VMotion工具可发现、转移、并在另一台物理服务器上启动该虚拟机管理软件,而将其原来的安全环境弃之不顾,Blue Lane高级副总裁奥尔韦恩•西奎拉(Allwyn Sequeira)指出。“在部署虚拟化之前,防火墙、路由器以及服务器上都需安装一个相对静态的安全架构。”西奎拉表示。因此,安全策略通常是以某个既定的TCP/IP为核心。当VMotion将虚拟机转移到新服务器上,并给出新的TCP/IP地址时,新旧两套安全策略应该保持同步;但实际上,这一点往往难以实现,西奎拉进一步分析道。

因此,要想对所有虚拟机进行追踪,并始终将之控制在视野之内,实属不易。Blue Lane的一名客户就曾忘记过一台虚拟机的存在,直到在检测时才发现,该虚拟机已于6个月前即已启动了。如果入侵者刚好于此时趁虚而入,那后果不堪设想,因为没有管理员对此虚拟机的行为进行追踪,西奎拉补充说。

BMC公司、CA公司以及惠普公司(HP)等系统管理厂商,已纷纷着手在各自的产品中增加虚拟机管理特性。尽管如此,要想溜出管理员的视野之外,还是易如反掌。

——文/Charles Babcock

企业搜索:如何掌控合适的度

企业搜索看似完美无缺:员工借助它,无需在FTP站点和怪异的文件名之间反复搜寻,就能方便地找到自己的所需文件和文档,从而提高了生产力。人们对企业搜索的这种良好印象会一直持续下去,直到有一天他们开始发现本来并不需要的东西为止。实际上搜索很可能成为安全和合规的噩梦。

搜索厂商Autonomy公司美国区CEO斯托弗•艾根(Stouffer Egan)介绍说,一家国防承包商曾将机密信息网与绝密信息网隔离开来,但是机密网络上的员工仍然能搜索到本该在绝密网络上的内容。真是糟透了。

合理的搜索标准必须是,如果你用不同的方法都不能在网络上访问某些信息,那么即使通过搜索,你仍然无法找到这些内容。富国银行(Wells Fargo)在进行一项实验,尝试着让公司主管与客户和员工在网络日志上进行交谈,该银行甚至还建立了自己的虚拟世界。但是,由于身份认证的复杂性,该银行还是对企业搜索设定了限度,以限制员工在数据库中的搜索能力。此外,富国银行还将其应用开发和部署时间的80%用于授权和认证等安全环节。

即使信息和特定应用层都有口令保护,也并不意味着这些层已被准确地分类。某家公司发现,其搜索系统可以在极少被访问的那部分文件系统中,发现敏感的员工工资信息,费雷斯特市场研究公司(Forrester Research,下称费雷斯特)分析师马特•布朗(Matt Brown)介绍说。所谓的“含糊的安全性”,其实就是伺机而发的事故的代名词。

企业搜索的最后一个风险在于,如果索引资料不充足,以致无法体现搜索的价值,或者必须给出精确的搜索关键词才行,那么员工会干脆放弃使用搜索。《InformationWeek》对250名商业科技专业人士进行的调研表明,约25%的受访公司虽然部署了集成搜索系统,但却极少使用。

——文/J. Nicholas Hoover

NAC 首字母的迷失

现在最热的安全名词是NAC,至于它的含义到底是什么,不同的供应商有不同的理解。抛开宣传内容不谈,没有哪家NAC厂商能提供全面的产品,安全保障自然大打折扣。

先说说网络接入控制(Network Admission Control),这是思科系统公司(Cisco,下称思科)的产物,对接入网络的设备进行检查和控制就是它的使命。设备是否遭受病毒感染?安全设置是否最新?如果不是,隔离。而网络访问控制[Network Access Control,微软公司(Microsoft,下称微软)称其为网络访问保护Network Access Protection]解决的,则是设备接入了网络之后的事情——对照目录服务器或者访问控制服务器的授权,检查PC或者打印机的配置文件。但目前尚无厂商同时提供两种服务,而厂商之间的合作也刚刚起步。

因此,如果放言要部署一个完整的网络接入和访问控制系统,肯定是自吹自擂而已。这个神秘的IT产物,还不大可能揭下面纱,露出真面目——除非思科、微软、可信赖计算联盟(Trusted Computing Group,TCG)以及互联网工程工作小组(Internet Engineering Task Force,IETF)的一个工作组就NAC部署标准的简化达成一致。

不过,对愿意等待的人来说,还是值得期盼的,毕竟工作已经展开了。费雷斯特分析师罗伯特•怀特利(Robert Whiteley)表示,虽然一年内产品还未能面世,但思科、微软、迈克菲公司(McAfee)和赛门铁克公司(Symantec)都已在即将面世的产品中构建端点风险管理程序。

NAC概念适得其所——使用反恶意软件、访问控制以及身份验证和配置管理工具,一起拦截流氓设备连接网络或搞小动作的企图。但现在,恶意行为从一系列服务器上抽取数据,使防范工作日益复杂。所以,NAC概念短期之内还不大可能发展成为一个独立产品,免得希望越大,失望越大。

——文/Larry Greenemeier

还没那么统一

统一通信仍是混沌一片,它会随着不同技术的汇集而逐渐成形。这就意味着要把这个工具放在最合适的业务流程中:无论是在程序中嵌入点击呼叫功能模块,综合语音、电邮和图像技术,还是在即时通信和视频会议之间自如切换等。然而,若想倚仗一家供货商来部署一套统一通信系统,还为时尚早。因此,建议企业要做好思想准备,将来会有大量的整合工作要做,还得边学边用。

假设你拥有一个北电网络公司(Nortel,下称北电)的IP PBX,国际商业机器公司(IBM)的统一即时通信软件,思科的局域网设备,还有甲骨文公司(Oracle)的企业应用程序,那就把他们统统列入统一通信项目里。但是,如何整合这些产品,进行实时通信,之前并无太多实践经验。例如,微软-北电联盟联合开发的统一通信产品才刚刚起步,而且把目光瞄准到了未来的4年。同时,微软还对产品进行了强化,提高了与思科、亚美亚通讯设备有限公司(Avaya)和西门子公司(Siemens)等产品的协作性能。

企业首先必须确定统一通信系统会有益于业务流程,而选择厂商还在其次。协助企业规划统一通信系统的先锋通信公司(Vanguard Communications)总裁唐•范伯伦(Don Van Doren)说,如果选择了一家不能满足你业务要求的厂商,“你也将身陷困境”。同时,企业也不应认为,他们必须完全转换到IP协议才能部署统一通信系统。“对某些程序和商业问题而言,统一通信系统能与遗留系统和睦相处。”他说。

工业设备供应商Ultrasonic Precisions公司首席信息官(CIO)史蒂文•费希曼(Steven Fishman)说,基于微软的软件产品和思科的硬件设备,把网络会议系统、视频会议系统和Outlook邮件与联系人系统合而为一,从这个过程中公司看到了巨大的产能突破。但部署工作需要诸多测试,还得要跟众多供货商紧密合作。因此,公司只好采取折衷的办法,舍弃非微软的应用程序,因为它们跟SharePoint、Exchange 2007和Microsoft Dynamics GP10等产品难以融合。

——文/Elena Malykhina

SOA = 行动规范化

服务导向架构(SOA)的本意在于,让技术的基础架构变得更为灵活、运转更迅速。但是,如果没有足够的管理能力,网络服务则可能会失控,从而导致出现得不偿失的局面。

伯顿集团(Burton Group)分析师安妮-T-梅恩斯(Anne Thomas Manes)说,就最初的一批Web服务而言,管理工作可能一帆风顺——对它们进行性能跟踪管理的工作极少,它们的生产流程无非就是众多开发人员分头进行迅速转换升级,其间几乎不使用自动化监测工具,但现在“必须严肃考虑对整个生命周期进行正当管理的办法。”

这就意味着,要确保新创建的服务归到注册表并存储于知识库之中。应该通过中央控制系统进行管理,要么禁止使用不同版本的服务,要么应该仔细地予以说明。而且新服务需要进行测试,这样才能满足其他程序的要求。如再次使用,它必须同更多的系统协作,而不仅仅是最初的开发人员所中意的那些系统。而且还要考察新服务的使用达到了怎样的程度,在什么样的环境下使用,对于性能降低的地方要指出来并加以解决。

毕博咨询公司(BearingPoint)咨询师皮特•麦考伊(Pete McEvoy)最近在一份金融服务行业SOA使用报告中,得出了一个类似的结论:“尽管SOA已有7年历史,但又能怎么样?”服务创建团队的IT专业人士“必须像产品经理那样做事,”麦考伊写到,因为如需更新服务,就必须有人担负起责任来,“几乎没有哪家公司会通盘考虑这些操作层面的问题。”

ZapThink分析师罗纳德•施米勒(Ron Schmelzer)说,SOA的本意在于,通过松散的联系,严格定义的服务,创建灵活架构,优化程序的再利用。“人们认为SOA和Web服务是同样的事情,(而实际上)Web服务仅仅是访问方式的改变,SOA则是做事方式的改变。”

——文/Charles Babcock

警惕大众使用商业智能


随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众,企业应当警惕普通用户在使用BI工具时可能出现的“最差实践”。

如果你让客户使用原始数据从零开始生成一份分析报告,他们很可能会被误导,因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但公司又必须向那些希望深入学习和探索的员工提供培训“课程”,来自惠普信息管理实施部门的高级主管乔纳森•吴(Jonathan Wu)表示,否则“你将无法培养自己的高级用户。”

业务部门的经理们应该与本公司或外包的BI分析师一起,确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。乔纳森•吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作,对财务部门来说,CRM里的“客户”就意味着滚滚财源,而对市场部门来说这些也是潜在的客户。

使用了BI的人都会期待有某种工具,如仪表盘,因此IT团队应该先列明BI项目里具体包括什么。“让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要。” 乔纳森•吴表示。

大多数公司的灾难恢复计划中,几乎都不把BI列为关键性应用,即使员工需要依赖那些工具做出关键性决策。乔纳森•吴在过去几周里就看到了好几起案例,都是因为一些事故而使BI应用停顿了数周之久。

IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统,他们就不会了解可以拿它来做什么。“如果他们没有问,他们很可能就没有在用。”乔纳森•吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。

——文/Mary Hayes Weier,Chris Murphy

SaaS的短板


你当然可以快速地部署软件作为服务(SaaS)的应用,它们能为公司省钱,使IT部门省心,但它们适合你吗?

可定制性差是SaaS几乎从一开始就面临的责难。因为与许多用于客户端部署(On-Premises)的应用不同,你完全无法修改SaaS应用的代码。

一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克•贝里奇(Eric Berridge)表示,另一方面SaaS应用的一大优点是像Salesforce.com这样的厂商隔段时间就会增加新功能,而用户马上就能用上这些新功能。对用户客户端部署的软件,只有到正式发布时才有新功能,而客户一般都不耐烦等到那个时候,所以干脆不升级。

因为新功能在SaaS里的频繁添加,对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能,这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说,这意味着他们得首先了解这些变化,再和用户沟通,使他们愿意接受这些变化和能够适应变化。

当然太激烈的变化也不好。贝里奇指出,如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上,你最好还是采用部署在本地(In-House)的软件。

SaaS的另一个缺点是:企业用户对于安全和隐私问题全无概念,特别是对于刚刚出现并且还在不断变化的SaaS安全标准更是不甚了了,费雷斯特分析师丽兹•赫伯特(Liz Herbert)如是说。尽管现在SaaS供应里还没有发现重大的安全漏洞,“但人们对此仍持怀疑态度。”赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;“你一般不会想让纽约的销售代表看到新泽西销售代表的数据。”除非设置了规则,他说,“所有人都可以看到所有东西。”

另外,当向SaaS 迁移时,公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)里的规定。贝里奇指出,一旦法律上出现问题,就会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。

为实现数据整合,有第三方公司的软件包(包括Bluewolf的)能把SaaS 软件和思爱普软件系统公司(SAP)和Oracle等的客户端软件连接起来。但当数据交换的速度要求至关重要,如金融交易,这样的链接可能会引起麻烦,贝里奇警告说。

——文/Marianne Kolbasuk McGee

令人不安的JavaScript

Web2.0广泛采用JavaScript动态语言,通过Ajax编程,JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。

一年前,Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞,使病毒在互联网上迅速传播开来,并把用户地址本里的邮件地址都发转给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容,发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。

为了评估未来的JavaScript风险可考虑使用Jikto,这是SPI Dynamics 的首席研究员比利•霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。

JavaScript有一套内建的安全模式,叫“同一来源”,即JavaScript只能访问或操作与其来源同一站点上的页面内容,不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制,它首先把网页内容发送到一个代理站点,如谷歌翻译(Google Translate),这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容,进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面,一个网站接一个网站地扫描漏洞,同时避开JavaScript安全模型的防护。

JavaScript脚本千变万化,甚至自己就能改变自己,因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传,但它可以被恶意利用,因为雅虎(Yahoo)的代码没有检查文件是否确实是个图片。网站上遍布着许多这样的后门。

自从公布了Jikto的风险,霍夫曼就收到不少来自黑客们的邮件,内容大体是“你这下可把我们的乐子全毁了”。企业要做好思想准备,应对黑客们的挑战。

——文/Charles Babcock

从庞大的自动售货机中将日产汽车公司(Nissan,下称日产)的Sentra车拖出来倒不在话下,可要开着它立体绕个360度的圈简直难得近乎登天。但是,这个吸引力实在太大了,我无法抗拒。

于是,我不断地跳进车里,一遍又一遍地试着。但每次的结果都一样:最后总是得匆忙跃身“飞”到车外,当车七扭八歪地悬在半空中时再伸手抓住它。那么,我折腾了这一整天的收获又是什么呢?在上坡时加足马力,攒足速度,才是致胜的关键。因为你需要强大的动力,才能驱动汽车通过那180度的垂直弯道。

欢迎来到我的“第二生命”(Second Life)空间。Havok物理软件引擎将我们带入这一在线三维虚拟世界,我在其中学到了不少东西,甚至非常留恋——因为后来我又试了一回。

绝大多数人想到菩提树实验室(Linden Lab)的“第二生命”等虚拟世界时,都认为那不过是游戏而矣。然而,这些在线空间已经成功地超越了娱乐和空想的范畴,即将进入“三维网络”的世界。事实上,由于品牌知名度和销量迅速提升,这些软件每天都吸引着像日产这样的来自现实世界的企业的眼球。

上世纪90年代,互联网以迅雷不及掩耳之势催生出无数新兴产业,而商业应用、商业以及信息流也随之经历了脱胎换骨的改变;这一个10年,“第二生命”的虚拟世界呈现给我们的是一个微观世界,其中蕴含着无限的业务、商业、营销和学习潜力。

“第二生命”始自2003年,在这个虚拟社会世界中,众多“玩家”以名为“化身”的数字角色实现互动。这样的虚拟世界约有30个。传统游戏中,玩家需在有限的空间内分出输赢,而虚拟社会世界的规则虽与之近似,但游戏空间则漫无边际。从社会化、协作和创新的角度而言,这种游戏的诱惑力是传统游戏难以匹敌的。正是这些独树一帜的拟真元素(Immersive Element),促成了高达3,500亿美元的大型多人在线游戏(MMOG)市场,同时也是“第二生命”居民现在每月以20%的速度递增的背后原因。

并非出于巧合,这些社会因素同时也是我们实现空前的技术和社会转型的核心所在,而后者影响着现实世界中企业与消费者之间的互动关系。与Web2.0技术先前所为如出一辙,源于消费世界的拟真虚拟世界应用软件,已开始悄悄步入企业环境。

思科公司(Cisco)是在去年12月进驻“第二生命”的。思科技术中心企业部高级经理克里斯汀•罗纳德(Christian Renaud)表示:“我们希望跟顾客在“第二生命”里进行交流和互动,来扩大产品的覆盖面。我发现,这种互动特别有效。”罗纳德还提到了自己的一次经历。今年年初的某个早晨,他所在的爱荷华州某地被暴风雪袭击,该地区与外界中断了一整天的联系。无所事事的他于是到“第二生命”中逛了逛,结果有两名顾客从他化身头上的标志认出了他,然后就思科的产品问题和他进入了深入探讨。罗纳德说,这样的谈话简直太有价值了。“假如我走在山景城,不可能被人认出来。而且很可能就失去了这样的反馈机会。”罗纳德说道。

目前,思科在虚拟园区尝试着举行行政会议、提供技术支持和产品培训等。思科现在开放了两个虚拟学院,一个是向整个“第二生命”社区开放,让玩家来听思科的产品和服务介绍,同时玩家也可以给思科提出各种建议,这个学院也是一个可以供大型活动使用的圆形建筑。第二个学院是供思科的社区、客户、员工以及思科的技术人员、高管更紧密地彼此交流。Carbon项目是思科今年很重要的一个项目,主要是减少出差以保护环境,而这个虚拟大学是这个项目的重要部分。该虚拟大学为思科的合作伙伴提供培训和教育机会、高管简报以及技术支持。

太阳计算机系统公司(Sun)首席研究员约翰•盖奇(John Gage)这样描述上述现象:“第二生命”是完全群策群力性的社区。在Sun,尽管这一技术仍处于实验阶段,但我们已全然跃入“‘第二生命’之中,因为我们看到了在线世界无限的协作潜力,从社会问题到Java技术开发,它无所不能。”

思科、Sun和日产不过是开始探索虚拟世界的商业可能性并尝试吸引虚拟消费者的几十家公司中的几家。仕达屋酒店集团(Starwood Hotels)是这方面的先行者,该集团率先在网上实现了未来酒店的原型设计;而国际商业机器公司(IBM)和Sun等IT企业,私下里也已经将“第二生命”和其他虚拟世界视为下一代操作系统的基础模块;美国服饰公司(American Apparel)等零售商更是在将虚拟世界中的销售人员和现实世界中的同等角色进行比较的同时,不经意间将二者融合起来。

潜力无限的新世界

尽管“第二生命”的活力取决于开发工具及其在线参与的便捷性,但企业、媒体和营销人员之所以视之为淘金新热土,则是看中了这一虚拟空间中雨后春笋般增长的人口和每天超过55万美元的虚拟货币消费支出。

举例来说,“第二生命”虚拟空间中的“居民”,已经分享并私自“占有”了其中的空间。他们利用内部脚本语言和三维多媒体编辑工具(Authoring Tools),建造居所、夜总会、聚会场所以及商店——用于存放并销售其他“化身”居民需要的东西。另外,他们还设置课程、播放电影、举办音乐会。这些虚拟空间中的居民彼此间以林登元(Linden Dollar)结算,与现实世界一样,这种货币也有市场价格,并能在LindeX(官方货币交换平台)上对之进行追踪和交易,其总值相当于12亿美元。

也许倍受折磨的企业主管会视“第二生命”为次文化,但外面世界中的滚滚信息流经过简洁的多媒体编辑工具和社会网络的涤荡,已然脱胎换骨,面目全非了。网络日志(Blog)、Wiki以及照片和视频共享类网站等Web工具,已经将消费者变成了信息制作者。成形于这些媒体和Bebo、Cyworld以及MySpace等专业二维虚拟聚会场所的在线社会网络,如今正生机勃勃地成长着。在这些网络中,用户可以创建无所不包的内容,拥有丰富的体验,还能建立个性化的在线环境,正是凭借所有这一切,社会网络因而充满活力和魅力。全球性大公司顺应这一潮流,只是迟早的事。

“第二生命”等拟真虚拟世界,开始将今天的Web从扁平、二维的社会网络带向一个崭新的平台。这个平台上,所有内容几乎都出自虚拟世界的原住民之手,是他们依据自己的亲身体验创建的,也是三维的。

这30个左右的虚拟空间,每个都独具特色,但吸引开发人员、投资商和企业的,却是其共性。在客户服务、产品开发、培训或营销等部门应用这些特性时,就会面临如下问题;甚至在给“真实的”一词下定义时也是如此。

空间容量
由于用户需要通过三维拟真内容得以生存并互动,因此界面得是可视的、可听的、并且有空间感。

互动性
用户彼此间以及与物体间实时互动,并且他们手中有工具,既可以用于创建定制化内容,并加载到现有环境中,也可用于修改内容,还能开发脚本语言,令内容栩栩如生。

持续性
在虚拟世界中创建的内容以及“化身”的身份在离线后,都能保持下来。也正是因为具有持续性,才能随着时间的推移而改变。

社区
在鼓励社区活动方面,存在着正式的和非正式的社会结构。用户可以创建小组、俱乐部、住宅小区、团队,或者就是简单地组织个非正式聚会。

哈佛大学心理学教授丹尼尔•吉尔伯特(Daniel Gilbert)(诺夫出版社2006年出版了他的著作《遭遇幸福》)指出,人类大脑的额前叶有种特别的能力,我们因而能在现实世界中体验新事物之前,先在精神上过把瘾。三维虚拟环境正是利用了人类的这一能力,建立了人类意识的终极剧院。这些三维空间开辟了广阔的应用良机,在培训、学习、娱乐以及搭建原型等领域,都可在降低这些项目的相关成本的同时,成倍地获利。

比如,疾病控制中心投资筹建了一个项目,将“第二生命”用于灾难预备训练。在此项目中,响应人员可以亲身体验疏散人群、转移设备的整个过程。通过练习,降低了现实生活中的实际响应次数。

虚拟生意机会翩然而至

IBM也投资了1,000万美元,挤入“第二生命”领域,寻求建立三维互联网和虚拟企业的潜在机会。这与.com时代IBM郑重推出其电子商务战略,有着惊人的相像之处。

上百名IBM员工目前正紧锣密鼓地进行试验,借助“第二生命”建立虚拟世界应用。在虚拟世界中,除了设计IBM团队和客户所用的会议中心以及2个研究中心之外,蓝色巨人还与北京的故宫博物院合作,打算将紫禁城也“挪”到其虚拟空间中。与此同时,IBM与BigWorld科技公司(BigWorld Technology)、Multiverse公司以及开源平台Universe.org的合作也都在进行之中。

与此同时,博彩业也在马不停蹄地依据传统媒体模式建立相应的虚拟世界,并凭之招蜂引蝶,成功吸引了大量的广告客户。MTV网络集团利用There.com平台,将其电视节目《拉古那海滩》(Laguna Beach)搬到了虚拟世界中。

通过虚拟的《拉古那海滩》,玩家能够“亲临”电视节目中的地点,“亲历”节目中发生的事件,同时电视节目的广告客户,如百事可乐(Pepsi-Cola),也在其虚拟世界中拥有一席之地。MTV承诺,将会依据更多的电视节目建立虚拟世界。紧步MTV后尘,荷兰电视制作公司恩德摩尔(Endemol)最近也赋予其电视节目《老大哥》(Big Brother) “第二条生命”,为期一个月。也许,虚拟世界不失为电视业的一个未来发展方向。

2006年年中,当美国服饰公司(American Apparel)初步在虚拟世界安营扎寨,建立虚拟商店时,大好的销售良机也随之从天而降到现实世界。该公司的本意是要建立一家虚拟商店,并试着向虚拟世界的居民们销售虚拟服装,但消费者和评论家几乎立刻就对此做出了反应,他们自然而然地将这家虚拟商店和现实生活中的购买行为结合了起来。美国服饰也顺水推舟,决定对于虚拟服装的买家,当其购买货真价实的服装时,给予相应的折扣。

美国服饰所销售的绝大多数虚拟服装售价不足一美元,大约相当于270林登元。负责领导该项目的公司Web总监拉兹•施恩宁(Raz Schionning)介绍说,目前已销售了大约4,000件虚拟衣物。但美国服饰表示,在了解清楚虚拟商店的潜力和局限之前,他们无法确定这项业务的投资回报率(ROI)。

即使如此,这一领域确实潜藏着经济机会。“第二生命”世界中的虚拟地产大王张安西(Anshe Chung)最近宣称,她正是利用手中的虚拟地皮摇身一变,成了现实生活中的百万富翁。

“第二生命”世界的居民塔伯莎•黑格尔(Tabatha Hegel)和雨果•戴尔格雷施(Hugo Dalgleish)开发了Life2Life项目,以此将“第二生命”融入亚玛逊公司(Amazon)的Web服务之中。在虚拟世界的各地,开始涌现大量零售商亭,虚拟世界的居民们[black]可以在这些商亭中搜索并购买现实世界中的亚玛逊产品。亚玛逊当前采取的策略是,为虚拟世界居民提供创建虚拟应用的工具。

与开源社区一样,以用户创建内容为主的社区能只以很小的成本支出,就能收入大笔进项;如今,无论是用户还是企业都已开始获利。商业应用和新内容分类包括:

迅捷且廉价的原型设计
利用三维协作模型工具,可以迅速地搭建和管理虚拟世界,而不致像现实世界一样,因为设计错误而付出惨痛代价。克里夫兰的住宅设计公司克里桑多设计公司(Crescendo Design)的做法是,先在“第二生命”空间中实现房屋的原型设计,从而使客户获得直观的印象,并能以居民的身份“占有”,进而在虚拟空间中提出设计改进建议,这在二维设计中是无法办到的。

培训与学习
目前已有75所大学和学习机构开始探索在三维空间中提供学习和图书馆服务。

全球合作
由于在虚拟三维空间中可以实现实时文本聊天翻译、语音集成、以及对象和身份保持,因而有望实现实时性全球协作。

营销与慈善事业
虚拟空间也以其难以扼制的上升之势及其众多居民,正在吸引着营销者和社会慈善团体。比如,联合国“千年运动”组织即在“第二生命”空间中发起了消灭贫困的项目。

媒体
出版商企鹅公司(Penguin)和新闻机构CNet以及路透社(Reuters)目前在积极探索为虚拟受众提供内容和有价值的建议。

技术开发
在为拟真空间环境提供支持时,需要增加新的硬件、软件、浏览器和协议。随着虚拟世界的势力范围不断扩充,富媒体和三维搜索解决方案的重要性将日渐凸显。

菩提树实验室首席执行官(CEO)菲利普•罗塞达尔(PHILIP ROSEDALE)表示,音乐就像星星之火,“点燃”了他的虚拟社会世界。一股清新的音乐之流缓缓地从网络流入了他那与世隔绝的花园——游戏网格,刹那间,现实社会好像不复存在了。人们在虚拟世界中建造酒吧、一起打发时间、甚至举行虚拟婚礼,然后紧接着,娱乐媒体鱼贯而入,与这一世界的原住民们融为一体。

罗塞达尔充分地利用了社会网络的爆炸性增长之势,不仅为用户提供三维多媒体编辑工具,还将知识产权转让给他们,从而确保了他自己的虚拟世界的迅速成长。但是,以简单的音乐流媒体为例,在建造虚拟世界的过程中引入XML编程语言,决定了“第二生命”最终必然会步Web后尘。随着RSS种子、流视频、甚至一些受限的Web页先后被引入虚拟世界,罗塞达尔最初建造的那道与世隔绝的高墙也即将被推倒。用户充分发挥创造力和协作精神,将虚拟世界应用推向了崭新的阶段,实现了货真价实的Web互操作。

显而易见,拟真三维世界中正在进行的这场你追我赶的竞赛,旨在抓住技术和市场良机,进而建立三维网络。这一过程中,开放标准是关键。在虚拟世界与现有开放Web标准之间建立深入的集成,于其中起着至关重要的作用。

人们在虚拟世界和社会网络中相聚,按其所好和所需创建内容,互相交流,其乐融融,而挑战也随之而生,那就是互操作性。在三维世界中,人们拥有不变的身份,可以搜索内容,并且不受任何限制。只有当之与二维空间彼此实现真正的互操作,我们也才有可能建立梦寐以求的三维网络。

网络日志、维基等主流社会网络的用户迅速接纳虚拟世界并成为其中的居民,其效果也一目了然:节约了成本,提高了生产力,产生了可观的运营效益。这一切促使大企业必须从现代化的视角,重新认识Web技术,这一领域早已不是最初令郎当少年着迷的MySpace那么简单,而已然是羽翼丰满的商业解决方案了。

当大企业奋力应对二维网络用户向三维虚拟世界的这种大面积迁徙时,这些用户却已携手阔步挺进原始的三维网络世界,而将反应迟缓的企业远远甩在了后面。在那个世界中,人们应用各种协作技术建立了拟真环境,他们的工作和娱乐都在其中进行。依据摩尔定律,虚拟世界的数量会在2年内翻番。

专有的基础设施正在被以Web为基础的协作应用所取代。IT主管们必须考虑将社会网络模式引入企业级解决方案,并且开始探索在虚拟世界中建立企业,尽管这听起来有点儿吓人,他们可先成为虚拟世界的居民,在里面到处逛逛。在这个世界中,模拟现实的虚拟内容越来越多,向现实世界宣告着它的存在。

虚拟世界所颠覆的不仅仅是日产的Sentra那么简单。

联系我们