尽管很热闹,但安全还是一个年轻的产业,有着自身的阵痛和迷惘:商业公司掌握着信息安全的最前沿技术,可往往只注重商业竞争,而忽略了安全管理;另一方面,从企业的认识来看,安全就是产品的不断升级,而对于整个产业来说,安全产品无论如何升级都只能起到缩小边界的作用,并不能彻底杜绝安全隐患……
问渠哪得清如许,为有源头活水来。安全很重要,安全产业的健康发展更重要。
随着信息应用范围的不断扩大,在历经2005“井喷”之年后,信息安全也在自我“修身”,产业发展焦点从一般性信息安全保护向特定领域的应用安全保护位移。在此之间,企业对深度安全的关注使得安全建设回归到理性,即从最初的“重信息化建设,轻安全体系构建”发展到“安全意识的形成,并且希望在企业内部实现安全”。
与此同时,个人用户也不再仅仅满足于基础安全建设,转而更加追求安全实效。城头变换大王旗,你方唱罢我登场。来自信息技术领域的安全威胁天天在变,用户对于安全的需求也日新月异。那么,如何确保年轻的安全产业走上安全稳妥的发展之路?
4月20日,以“应用安全、服务创新”为主题的中国第七届信息安全大会规模空前,可容纳五六百人的会场不仅座无虚席,还另有两百多名听众站着听完全天的大会。二十几家国内外的安全龙头企业汇集一堂,安全界的重量级专家也悉数到场。在现场我们得到这样的信息:从追求安全建设转为追求安全实效;从关注安全技术转为关注技术背后的人;从单打独斗转为构筑安全联盟的长城……应用安全、资源整合、服务创新已经成为安全产业的发展趋势和必要条件。
大会的会刊《安全‘世界杯’》从四个方面对企业的信息安全工作提出了建议。
管理安全才安全
从企业重视安全、自发建设到自觉执行安全策略,安全产业愈显理性、成熟,日益形成了在技术、产品、市场以及应用发展层面的完整产业效果。安全产业中,安全管理正在成为新的热点。
作为信息的承载者,互联网最大的缺陷就是开放性和不可管理,导致企业连入互联网后,企业的内部系统便处于无处不在的安全攻击威胁中。P2P、IM等网络新型应用的出现,也要求企业作答日益广泛的随之而来的安全防范问题。网络安全本身已不单单是一个安全问题,而是置身于更为广大的网络通讯系统环境中。如何防止病毒和不安全信息的扩散,这是安全厂商面对的考题。
提到这些问题就必然要提到安全管理。管理分为不同的层面,站在产业高度,安全领域的管理和技术不可或缺。实际上,管理和技术是密不可分的有机组成,且两者的权重无形中左右着信息安全的走向,但管控乏力也是目前信息安全发展中暴露出的不争事实。面对高度复杂的信息网络环境,管理问题特别需要人们的加倍重视。千头万绪中,统一的管理机制、强化的法律威慑,应得到优先提高和加强。对这一点,与会者达成了共识。
面对越发频繁和花样翻新的安全特色威胁,技术基础、政策导向以及用户认知是缺一不可的三大元素。要使每一个产品都将其功能发挥到极至,必须明确部署前期的安全策略。
会上,微软(中国)有限公司首席技术执行官李志霄向听众分享了他对安全管理策略的理解:“安全的产品必须有共通的设计原则,必须包含安全源代码、安全默认值,落实安全部署和加强安全认知。目前,所有IT系统都具备软、硬平台,要保证其基本安全性,须保证互联网保护模式,用户身份访问控制,以及灵活方便的身份认证系统。数字保护手段强调四大策略:系统设计符合安全守则、开发人员统一培训机制、安全工具简单适用、需要保障平台安全性。”
确保应用更安全
2005年欧洲工商管理学院的两位教授联合编写了一本名为《蓝海战略》的书,一经出版就在企业界引起轰动。书中谈到企业在市场上取得成功的新导向,即超越产业竞争开创全新市场。李志霄在分析信息安全发展趋势时指出,如今黑客攻击已经从网络层进入到了应用级别。与之相对应的是用户安全意识的转变,从一开始目光就聚焦在基础安全,从防病毒,防火墙等转入到现在越来越关注不同网络层次、应用层次、传输层次的深度安全。
在产业需求转变的前提下,安全企业应当及时从技术的自我陶醉中抽身出来,放眼到用户的感受和需求。与此同时,联想网御技术总监马虔借用“蓝海”这一话题引出了安全领域的处女地——应用安全。他说:“在传统的红海战略里面到处充满了竞争,最后很多企业发现,自己总是在关注如何挫败市场里的竞争对手,而不是为客户提供需求,解决客户问题,这样企业会离客户越来越远。不可否认竞争总是存在的,但是只有超越竞争,真正为客户创造价值,才能够实现企业和客户的双赢。”
记者在会场得到这样一则信息:就目前的安全现状来说,每个安全厂商都是基于自己的安全产品来制订产品应用方案,即使号称能够提供全套解决方案的厂商,也都是基于自己的产品而对安全问题进行的假设,这种产品本位的安全思想具有很大的局限性,它严重阻碍了企业的安全进程。而事实上,每个行业都有不同的业务流,因此对安全有更加个性化的需求,从而滋生以应用为主要目的应用安全。
就产品本身而言,由于没有很好的集成,也严重影响到了应用的实效。目前我们安全产品的集成属于产品的叠加,产品之间没有统一标准的通信接口,和统一的整体解决方案以及互动联合协作,导致用户在选择产品的过程中只能繁琐地进行重复建设。
对此,国家信息化专家咨询委员会委员曲成义指出:要确保应用安全,安全厂商应当真正摆脱产品本位的思想,深入到行业内部、对一些典型应用进行深入的调查和研究,从而提出以应用为主的新型安全解决方案。
携手标准“固”安全
“一流厂商卖标准,二流厂商卖技术,三流厂商卖产品。”这句业界传播甚广的流行语凸显了标准的重要性。标准是技术演进的产物,技术积累与产品成熟更加强了安全产业对标准的诉求。
会上,国务院信息化工作办公室吕诚昭副司长强调了标准的重要性。制定安全业自己的标准是稳固中国在国际舞台发言权的重要筹码,也是推动产业联盟的重要环节。据思科系统网络技术有限公司安全顾问卢佐华介绍,不久前举行的RSA大会上的一个热点话题就是建立一个安全的开放式架构。目前,在既有的安全标准中已有一些现有模式,如可信计算组织TCG最早的思路,就是在硬件设备中集成安全芯片,通过提供安全属性来保证设备终端安全。另外,还有一个著名组织IETF,即互联网工程任务组。
除了这两个组织一直致力于安全标准的开放联合合作之外,现在各个公司也在致力于这方面的工作,目的是在网上建立一个开放标准的验证模式,以便更好地在各个产品当中无缝集成和应用,解决网上交易以及相关认证方面出现的问题。
“安全是一个生态环境,是一个供应链,不可能只靠硬件厂商,也不可能只靠软件厂商来完成,必须要靠整个供应链,整个生态环境里面各个角色来完成。”构筑一条安全产业联盟战线也是参会企业代表的共同声音。在安全的生态圈中,任何角色都不会单一存在,厂商间的互动交流合作,才能构筑保障信息安全的新长城。
(详细报道请见第七届中国信息安全大会特刊)
大会声音
国务院信息化工作办公室副司长 吕诚昭
现在高新技术产业的利润仅仅为1.9%。如果知识产权不能得到保护,利润率可能更低。因此,我们必须在国际形成核心计算标准的时候,也拥有自己的专利。我的观点是做标准研究,国内目前唯一能做到就是TPM。因而我呼吁我们的企业也要加入这方面的研究工作.
中国工程院院士 方滨兴
我们对信息安全属性提高结果没有一个量化,目前的一些指标体系没有直接的反映。就好比我们在比较一个设备,比较一个防火墙,更多比较的是自身的属性,没有一个直接对应,不能确定加了这个属性提高了什么样的量化。我们都缺少这方面的具体实践。
国家信息中心首席工程师 宁家骏
信息化不可能一步跨越,要明确需求,强化应用。反思信息化的特点我们可以看到,信息化建设和造一座桥梁不一样,这是一个软工程,属于行动工程。在这种情况下,我们更要强调协调性。
中国电子信息产业发展研究院院长 刘烈宏
短短数年间,安全产业已经成为一个新兴产业。业界对于安全产业的重视已经提到新的高度。同时我们也需要看到,信息安全产业在发展过程中面临一些新的挑战和问题,这将更有助于产业自身的修复和合理发展。举办信息安全大会就是促进各方交流,增进共识,形成良好的产业气候的机会。
微软(中国)有限公司首席技术执行官 李志霄
微软推出下一代操作系统Windwos Vista是遵循于一个原则,就是将很多安全元素加入其中。另外,从可信预算开始,微软作为表率,在TWC之前和之后的产品的安全上都有了显著进展。同时,微软有大量的安全工具,上千万的安全工具已经下载到各个PC里面去了。在安全方面,微软一直在努力。
思科系统(中国)网络技术有限公司安全顾问 卢佐华
当前信息安全发展的呼声和趋势在于开放的架构。所以我们要呼吁各个厂商互联合作,提供整体的安全。这需要各个公司、政府共同参与。这种隔离的多种标准会造成协作的冲突,以及为维护各自的市场付出更大的代价。
中国惠普有限公司企业计算及专业服务集团解决方案部高级顾问 李丹
我们的客户通常会说“外面的世界很精彩,但是我不会遇到安全问题,因为我防范得非常好。”但事实上,任何一个系统要进行互联互通的时候都可能面临各种各样的威胁。就像我们人身体上有很多器官,复杂程度很高,一旦其中一个器官发生问题,就会引起其他器官的问题。
锐捷网络安全高级技术顾问 杨红飞
我们发现在一个网络里真正把安全工具用好是非常困难的事情,原因是各个厂商开发了不同的平台。另外有一个最为严峻的问题,就是目前很多安全体系能够帮助我们对现有的安全体系进行有效访问,但是将来的事情应该怎么做呢?将来的事情是不一定能预料到的。
Juniper Networks中国区市场经理 陶欣
如果十几年前互联网只是计算机互联系统,那么现在则是一个通信的平台,这个平台跟传统电话系统最大的不同就是它是一个开放性的平台。所以说互联网在承载着更多业务的同时,其实也成为承载网络攻击的平台,这是为什么今天安全越来越获得关注的原因,因为网络上有很多不可控因素。
上海艾泰科技有限公司产品部经理 范旺成
网络出了问题怎么办?我希望知道网络内部哪个机器感染了病毒,哪些机器访问了非法网站,每个用户的带宽利用率,以及网速变慢的原因。我怎么发现他们?这就要求网络的设备提供强大的管理功能,提供每台机器使用的带宽监控,以及查看NAT转换成功等。