有关国家信息安全的思考(2) 安全技术-电脑技术

有关国家信息安全的思考(2)-安全技术

有关国家信息安全的思考(2)

接上一篇
    写起来竟然一发而不可收，我就结合我现在的工作以及一些前一段在计算机世界第28/29期写有关安全风险评估工作所了解到的一些资料继续说说。我希望，您能够抽出时间来组织一个信息安全方面的专题，关注安全所带来的真正价值，如何去创造真正的安全。

    对我们信息安全工作者而言，所面临的挑战有三个方面：1.帮助客户了解跟踪各种可用的安全技术；2.始终熟知如何将安全性集成到按指数增长的IT设备、系统、应用程序和基础设施的排列组合中；3.广泛影响人们的意识和行为，以便与利用人性弱点的威胁（如使用易于记忆的密码，因而被潜在的攻击者轻易获取）进行抗争。

    的确，国内目前信息安全收到了广泛的关注，但这不是信息安全科技本身魅力，而是Internet飞速发展和它日益受到的安全威胁对我们工作和生活带来的巨大影响。仔细观察一下我们周围的信息环境，许多都缺乏有效的安全机制，也许有种种的原因，但有一个因素是关键的，甚至是肯定的，部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的，因为安全是一项工程，需要不断的实践和变化，而且安全技术永远滞后于应用技术的发展。

    大多数的技术学科都有理论家和实施者，信息安全也不例外，正所谓，我们认识问题要从宏观着眼，但是我们解决问题又需要从微观着手。宏观对于微观有一种指导的作用，微观又保障宏观能不能落到实处。很多安全专业人员理解信息安全的背景理论，但是除非安全系统能够置于应用程序（例如数据的传输、存储和处理）中的正确位置，否则他们的解决方案就不会起作用。另外，如果所用的安全解决方案没有在正确的过程中进行适当的管理（如：变更管理、事件管理、升级），那么所提供的安全级别就会随着时间而降低，直至所用的控制完全失效。

    就国内的环境而言，信息安全技术的开发不够开放，缺乏统一的标准，对核心技术的基础研究还处在概念的阶段，并且商业操作的成分太多，缺乏实事求是的精神。信息安全产业无论是从规模和发展水平来看，都远不及应用软件产业，虽然两者都落后于世界先进水平。信息安全产业目前没有形成清晰完整的产业价值链，还处在从单一的安全技术向安全集成、安全管理、安全服务的过渡时期。

    作为专业的信息安全人员，我们的使命是提供某种机制帮助客户建立有效的、灵活的安全体系结构，并保护其复杂的应用和资源，而我们又不得不面临不断变化的业务环境、应用程序的开发技术、计算平台、网络环境对安全提出的挑战。

    “安全永远滞后于应用！”，深究其原因，我们很容易得到答案，因为在用户的眼中“安全“不是目的，“业务应用”才是，“安全”只是保障其“业务应用”的一种手段，但我们更希望强调的是“好的安全”同时也是促进“业务应用”的手段。正因为这样，作为安全专业人员，我们需要为用户构造一个最适合目前业务活动的“安全体系结构”。

    例如：人们通常认为集中计算模型更可靠、更安全，管理更方便。而现在，很多公司已经将计算机资源广泛分布于企业内部或者企业以外很远的地点，再由中心进行虚拟管理，可见企业对IT的选择是方便“业务应用”驱动的，而不是安全驱动的。

    信息安全的概念也是与时俱进的，过去是通信保密（COMSEC），昨天是信息安全（INFOSEC），而今天以至于今后是信息保障（IA- Information Assurance）。美国国家安全局（NSA）在IATFV3.1中提出了深度防御（Defense-in-Deepth）的概念，把信息安全上升到信息保障的高度，并提出了人（People）、技术（Technology）、操作（Operation）三方面并举的核心策略，基于这个核心，IATF定义了各种环境下的安全需求和技术方案的框架，对现有的信息安全技术提出了许多新的挑战。

    三个因素：人、技术和操作，它们是有层次关系的，人是打底座的，是根本的；技术是顶端的东西，但是技术是要通过人，通过相应的政策和策略去操作这个技术的。

    在信息保障的概念下，把信息安全保障分出了四个环节，而不只是三个环节了，它们是PDRR，即保护（P）检测（D）、反应（R）、恢复（R）。认为这些是信息保障必须的环节。

    安氏中国互联网安全公司正是以这种PDR2的模型来实施他们的安全工程。

    除了信息保障的概念以外，纵观目前各大安全技术公司的新技术和新产品，无不体现了“智能、整合、管理”这几个趋势。

发展方向	技术/产品	公司
智能	Deep Inspector	NetScreen
智能	Application Intelligence	Checkpoint
整合	实时事件关联、处理	OpenService
	Tivoli SecureWay	IBM
	天玥网络安全审计系统	启明星辰
管理	Enterprise Security Manager 5.5	Symantec
	VigilEnt Security Manager Suit	NetIQ
	企业安全计划 ESP	绿盟科技

表X：体现发展趋势的新产品/技术
    三个趋势中尤其以“管理”最为突出，如果说以业务应用为中心的安全体现结构就像机器，那么安全管理就像油，机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题，那么安全体现结构提供的安全也将收到损失。而且，安全体系结构的管理与维护相比与其设计、部署要困难的多，因为设计和部署都有明确的开始和完成的时间，而安全管理，则是一个没有真正完成时间的过程，它伴随整个业务应用的生命周期。

    而真正的安全概括起来必然

    安全要以业务和相关的应用为中心

    安全涉及到人/技术/操作三个方面

    安全资源具有分布性/动态性/异构性

    防御不仅仅在边界而应是多层次的

    安全需要不断的实践和有效的管理

    安全的发展更需要标准化

    我和我的团队伙伴们，用自己的精力/用自己的思考/用自己的努力力图为中国国家信息安全增加力量。

    我们对于安全的价值观是：

    以业务应用为中心，让安全更简单、更个性，让安全体系结构的设计开发技术更加开放！

    用开放铸造价值让服务无所不在

    我们希望从安全产品/安全服务/安全集成/业务应用多个角度去消除异构产品之间的差别，将他们一视同仁，通过软件技术进而合理而有效的利用起来，提高客户的真正的信息安全保障水准。

    这里提出一些自己的意见，希望能够得到你的意见。

    总结一下，安全终归是要走向开放之路的，这个“开放”不仅仅是消灭同一产品不同品牌之间的差别，也要消灭不同产品之间的逻辑差别，进而大家和谐的共处于一个安全空间中；这个空间是智能的/可管理的/具有动态可调整特性的一个生命空间。我们人类不正是有了地球大气层这个空间才得以生存如此之久么。然而雨雪霜之间从本质上是没有差别的。不是么？至于各色人种之间不也没有本质的差别么。安全同样如是。
(T101)

上一篇教程：基于“5C理念”的安全网络架构

下一篇教程：有关国家信息安全的一些思考(1)

:查看相关: