產業觀察:解剖安全產業之“安全”(轉)

ba發表於2007-08-15
產業觀察:解剖安全產業之“安全”(轉)[@more@]儘管很熱鬧,但安全還是一個尚年輕的產業,有著自身的陣痛和迷惘:商業公司掌握著資訊保安的最前沿技術,可往往只注重商業競爭,而忽略了安全管理;另一方面,從企業的認識來看,安全就是產品的不斷升級,而對於整個產業來說,安全產品無論如何升級都只能起到縮小邊界的作用,並不能徹底杜絕安全隱患……

問渠哪得清如許,為有源頭活水來。安全很重要,安全產業的健康發展更重要。

隨著資訊應用範圍的不斷擴大,在歷經2005“井噴”之年後,資訊保安也在自我“修身”,產業發展焦點從一般性資訊保安保護向特定領域的應用安全保護位移。在此之間,企業對深度安全的關注使得安全建設迴歸到理性,即從最初的“重資訊化建設,輕安全體系構建”發展到“安全意識的形成,並且希望在企業內部實現安全”。

與此同時,個人使用者也不再僅僅滿足於基礎安全建設,轉而更加追求安全實效。城頭變換大王旗,你方唱罷我登場。來自資訊科技領域的安全威脅天天在變,使用者對於安全的需求也日新月異。那麼,如何確保年輕的安全產業走上安全穩妥的發展之路?

4 月20日,以“應用安全、服務創新”為主題的中國第七屆資訊保安大會規模空前,可容納五六百人的會場不僅座無虛席,還另有兩百多名聽眾站著聽完全天的大會。二十幾家國內外的安全龍頭企業彙集一堂,安全界的重量級專家也悉數到場。在現場我們得到這樣的資訊:從追求安全建設轉為追求安全實效;從關注安全技術轉為關注技術背後的人;從單打獨鬥轉為構築安全聯盟的長城……應用安全、資源整合、服務創新已經成為安全產業的發展趨勢和必要條件。

大會的會刊《安全‘世界盃’》從四個方面對企業的資訊保安工作提出了建議。

管理安全才安全

從企業重視安全、自發建設到自覺執行安全策略,安全產業愈顯理性、成熟,日益形成了在技術、產品、市場以及應用發展層面的完整產業效果。安全產業中,安全管理正在成為新的熱點。

作為資訊的承載者,網際網路最大的缺陷就是開放性和不可管理,導致企業連入網際網路後,企業的內部系統便處於無處不在的安全攻擊威脅中。P2P、IM等網路新型應用的出現,也要求企業作答日益廣泛的隨之而來的安全防範問題。網路安全本身已不單單是一個安全問題,而是置身於更為廣大的網路通訊系統環境中。如何防止病毒和不安全資訊的擴散,這是安全廠商面對的考題。

提到這些問題就必然要提到安全管理。管理分為不同的層面,站在產業高度,安全領域的管理和技術不可或缺。實際上,管理和技術是密不可分的有機組成,且兩者的權重無形中左右著資訊保安的走向,但管控乏力也是目前資訊保安發展中暴露出的不爭事實。面對高度複雜的資訊網路環境,管理問題特別需要人們的加倍重視。千頭萬緒中,統一的管理機制、強化的法律威懾,應得到優先提高和加強。對這一點,與會者達成了共識。

面對越發頻繁和花樣翻新的安全特色威脅,技術基礎、政策導向以及使用者認知是缺一不可的三大元素。要使每一個產品都將其功能發揮到極至,必須明確部署前期的安全策略。

會上,微軟(中國)有限公司首席技術執行官李志霄向聽眾分享了他對安全管理策略的理解:“安全的產品必須有共通的設計原則,必須包含安全原始碼、安全預設值,落實安全部署和加強安全認知。目前,所有IT系統都具備軟、硬平臺,要保證其基本安全性,須保證網際網路保護模式,使用者身份訪問控制,以及靈活方便的身份認證系統。數字保護手段強調四大策略:系統設計符合安全守則、開發人員統一培訓機制、安全工具簡單適用、需要保障平臺安全性。”

確保應用更安全

2005 年歐洲工商管理學院的兩位教授聯合編寫了一本名為《藍海戰略》的書,一經出版就在企業界引起轟動。書中談到企業在市場上取得成功的新導向,即超越產業競爭開創全新市場。李志霄在分析資訊保安發展趨勢時指出,如今駭客攻擊已經從網路層進入到了應用級別。與之相對應的是使用者安全意識的轉變,從一開始目光就聚焦在基礎安全,從防病毒,防火牆等轉入到現在越來越關注不同網路層次、應用層次、傳輸層次的深度安全。

在產業需求轉變的前提下,安全企業應當及時從技術的自我陶醉中抽身出來,放眼到使用者的感受和需求。與此同時,聯想網禦技術總監馬虔借用“藍海”這一話題引出了安全領域的處女地——應用安全。他說:“在傳統的紅海戰略裡面到處充滿了競爭,最後很多企業發現,自己總是在關注如何挫敗市場裡的競爭對手,而不是為客戶提供需求,解決客戶問題,這樣企業會離客戶越來越遠。不可否認競爭總是存在的,但是隻有超越競爭,真正為客戶創造價值,才能夠實現企業和客戶的雙贏。”

記者在會場得到這樣一則資訊:就目前的安全現狀來說,每個安全廠商都是基於自己的安全產品來制訂產品應用方案,即使號稱能夠提供全套解決方案的廠商,也都是基於自己的產品而對安全問題進行的假設,這種產品本位的安全思想具有很大的侷限性,它嚴重阻礙了企業的安全程式。而事實上,每個行業都有不同的業務流,因此對安全有更加個性化的需求,從而滋生以應用為主要目的應用安全。

就產品本身而言,由於沒有很好的整合,也嚴重影響到了應用的實效。目前我們安全產品的整合屬於產品的疊加,產品之間沒有統一標準的通訊介面,和統一的整體解決方案以及互動聯合協作,導致使用者在選擇產品的過程中只能繁瑣地進行重複建設。

對此,國家資訊化專家諮詢委員會委員曲成義指出:要確保應用安全,安全廠商應當真正擺脫產品本位的思想,深入到行業內部、對一些典型應用進行深入的調查和研究,從而提出以應用為主的新型安全解決方案。

攜手標準“固”安全

“一流廠商賣標準,二流廠商賣技術,三流廠商賣產品。”這句業界傳播甚廣的流行語凸顯了標準的重要性。標準是技術演進的產物,技術積累與產品成熟更加強了安全產業對標準的訴求。

會上,國務院資訊化工作辦公室呂誠昭副司長強調了標準的重要性。制定安全業自己的標準是穩固中國在國際舞臺發言權的重要籌碼,也是推動產業聯盟的重要環節。據思科系統網路技術有限公司安全顧問盧佐華介紹,不久前舉行的RSA大會上的一個熱點話題就是建立一個安全的開放式架構。目前,在既有的安全標準中已有一些現有模式,如可信計算組織TCG最早的思路,就是在硬體裝置中整合安全晶片,透過提供安全屬性來保證裝置終端安全。另外,還有一個著名組織IETF,即網際網路工程任務組。

除了這兩個組織一直致力於安全標準的開放聯合合作之外,現在各個公司也在致力於這方面的工作,目的是在網上建立一個開放標準的驗證模式,以便更好地在各個產品當中無縫整合和應用,解決網上交易以及相關認證方面出現的問題。

“安全是一個生態環境,是一個供應鏈,不可能只靠硬體廠商,也不可能只靠軟體廠商來完成,必須要靠整個供應鏈,整個生態環境裡面各個角色來完成。”構築一條安全產業聯盟戰線也是參會企業代表的共同聲音。在安全的生態圈中,任何角色都不會單一存在,廠商間的互動交流合作,才能構築保障資訊保安的新長城。

(詳細報導請見第七屆中國資訊保安大會特刊)

大會聲音

國務院資訊化工作辦公室副司長 呂誠昭

現在高新技術產業的利潤僅僅為1.9%。如果智慧財產權不能得到保護,利潤率可能更低。因此,我們必須在國際形成核心計算標準的時候,也擁有自己的專利。我的觀點是做標準研究,國內目前唯一能做到就是TPM。因而我呼籲我們的企業也要加入這方面的研究工作.

中國工程院院士 方濱興

我們對資訊保安屬性提高結果沒有一個量化,目前的一些指標體系沒有直接的反映。就好比我們在比較一個裝置,比較一個防火牆,更多比較的是自身的屬性,沒有一個直接對應,不能確定加了這個屬性提高了什麼樣的量化。我們都缺少這方面的具體實踐。

國家資訊中心首席工程師 寧家駿

資訊化不可能一步跨越,要明確需求,強化應用。反思資訊化的特點我們可以看到,資訊化建設和造一座橋樑不一樣,這是一個軟工程,屬於行動工程。在這種情況下,我們更要強調協調性。

中國電子資訊產業發展研究院院長 劉烈宏

短短數年間,安全產業已經成為一個新興產業。業界對於安全產業的重視已經提到新的高度。同時我們也需要看到,資訊保安產業在發展過程中面臨一些新的挑戰和問題,這將更有助於產業自身的修復和合理髮展。舉辦資訊保安大會就是促進各方交流,增進共識,形成良好的產業氣候的機會。

微軟(中國)有限公司首席技術執行官 李志霄

微軟推出下一代作業系統Windwos Vista是遵循於一個原則,就是將很多安全元素加入其中。另外,從可信預算開始,微軟作為表率,在TWC之前和之後的產品的安全上都有了顯著進展。同時,微軟有大量的安全工具,上千萬的安全工具已經下載到各個PC裡面去了。在安全方面,微軟一直在努力。

思科系統(中國)網路技術

有限公司安全顧問 盧佐華

當前資訊保安發展的呼聲和趨勢在於開放的架構。所以我們要呼籲各個廠商互聯合作,提供整體的安全。這需要各個公司、政府共同參與。這種隔離的多種標準會造成協作的衝突,以及為維護各自的市場付出更大的代價。

中國惠普有限公司企業計算及專業服務集團解決方案部高階顧問 李丹

我們的客戶通常會說“外面的世界很精彩,但是我不會遇到安全問題,因為我防範得非常好。”但事實上,任何一個系統要進行互聯互通的時候都可能面臨各種各樣的威脅。就像我們人身體上有很多器官,複雜程度很高,一旦其中一個器官發生問題,就會引起其他器官的問題。?

銳捷網路安全高階技術顧問 楊紅飛

我們發現在一個網路裡真正把安全工具用好是非常困難的事情,原因是各個廠商開發了不同的平臺。另外有一個最為嚴峻的問題,就是目前很多安全體系能夠幫助我們對現有的安全體系進行有效訪問,但是將來的事情應該怎麼做呢?將來的事情是不一定能預料到的。

Juniper Networks中國區市場經理 陶欣

如果十幾年前網際網路只是計算機互聯絡統,那麼現在則是一個通訊的平臺,這個平臺跟傳統電話系統最大的不同就是它是一個開放性的平臺。所以說網際網路在承載著更多業務的同時,其實也成為承載網路攻擊的平臺,這是為什麼今天安全越來越獲得關注的原因,因為網路上有很多不可控因素。

上海艾泰科技有限公司產品部經理 範旺成

網路出了問題怎麼辦?我希望知道網路內部哪個機器感染了病毒,哪些機器訪問了非法網站,每個使用者的頻寬利用率,以及網速變慢的原因。我怎麼發現他們?這就要求網路的裝置提供強大的管理功能,提供每臺機器使用的頻寬監控,以及檢視NAT轉換成功等。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-958744/,如需轉載,請註明出處,否則將追究法律責任。

相關文章