|
||
|
||
| 这是一个朋友发给我的信,我觉得应该拿出来和大家分享,对于安全我们确实需要做很多的工作,不仅仅是那些安全产品的堆积,也希望大家和我一起对安全事业做出自己的努力。 我本身从事信息安全方面的技术工作,出于爱国之心。想对信息安全方面发表一些自己的看法,希望您能够给出您的一些意见。因为我发现在blogchina上讨论信息安全的真知灼见不多,大都是通信/电子等方面,然而安全实为重中之重。 随着国家从近两年来对于信息安全方面的政策一步步的制订/修订/完善的过程中,我很欣喜的发现国家对于信息安全尤其得重视,并且正在加大各方面的力度。去年,国家颁布了文件,明确提出了对于 涉密计算机网络 信息安全的 保护措施必要要达到相应的标准,其中包括 安全审计类产品、身份认证类产品、访问控制类产品等等;今年3月,公安部又再次颁发反垃圾电子邮件/全面整顿垃圾电子邮件的通知;今年5月,国防科工委又在对武器、装备、通信等一级保密认证单位的检查中下发了相应的通知明确了对于信息安全保密检查工作的细则共16大则,上百小则;最近国家联合几个部委又在大力整治黄色站点,大快人心;信息产业部组织了专家组专门制订其从2005-2020年的战略规划,这一规划中关于计算机网络分为两组,一组是集中于ERP/CAD等的高端“应用组”,另一组则为专门的信息安全组;公安部同时还在制订全新的信息安全等级保护政策。 “等级保护实施的关键问题是要落实责任制,层层都要有人管,从中央领导到各部门都有责任。” 公安部某处长说。(难道我们就不该对信息安全有些责任么?) 第一,系统安全管理,其中包括系统资源的管理和信息资源分级分类管理。“从目前来看,在很多大型系统中,很多人可能并不清楚,里面究竟有哪些软件、硬件设备?有没有人插进来一个设备或者是删除一个设备?究竟是哪个关键部件出了毛病?等等。这些问题可能没有人知道。” 某领导说,“此外,信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样,在系统中进入不同的设备、进入不同的操作也要进行区分。” 第二,用户管理。在自己的系统上所注册的合法用户究竟有哪些?他们各自的权限在哪儿?这些问题必须搞清楚,因此,对密码的配制要进行管理。 第三,对安全事件的管理。对网上发生的任何安全事件或者是犯罪案件都要进行管理。这个管理过程可以用PDRR模型进行控制,即在一个信息系统大网络环境下,实现三点一线的管理:一点是局域网的安全环境,二点是安全终端系统,三点是网络安全控制平台。对这三点之间的安全特性进行有效管理,就可形成对系统安全等级的有效管理和控制。 由此可见,2004是中国的信息安全年。 而根据CCID、IDG以及互联网实验室的一些相关调查报告数据表明,今后7年之内信息安全市场年复合增长率高达35%,而3A挂历产品/安全中间件的增长率更是远高于此。所以信息安全大势所趋,所以我们一定要帮助国家走好这一步。 然而,中国目前的网络安全市场现状如何呢? 1、国内的防火墙厂商数家独大,百家争鸣 以天融信/上海华堂等为首的国内最早的一批防火墙厂商至今无论是在全国范围内或者是局部地区(华东)都有着明显的市场优势。当然,无可否认的是,他们的研发在国内是最早的,也是应该摘取果实的。但是从90年代到现在,近10年间,国内仍然有超过200家厂商/公司风生水起的涌入这个曾经方兴未艾的防火墙市场,于是一时间,早期的安全老大们受到了咄咄逼人的挑战。价格以及市场的竞争迫使他们缩小了自己的市场份额,后起之秀们(东大系东软,清华系同方/紫光/比威等,浙大系网新/易尚等,南京苏富特,广州天网,交大系捷普,北京中网等数百厂商涌入。这个市场真的有那么好么? 如果真的有那么好的话,那么为何很多防火墙厂商都已经销声匿迹了呢?价格的混战/质量的层次不齐/管理的混乱等等各种因素导致了这一切的发生,但如果仅仅是此可能我们的政府/我们的涉密部门/我们的安全产品的使用者们可能要感觉欣慰的多了。 因为连年的混战/各种媒体的攻势已经将一个观念树立在了中国目前大大小小的CSO/CIO心中——安全=防火墙。 十分之可悲的这种观点,这就和 一滴水 自呼自己为 我是一片海一样。防火墙仅仅是一种边界的安全设备,而且仅仅是能够进行简单的访问控制而已。尽管更多的新一代防火墙集成了IDS功能/DDOS功能等等,但是你可以设想你本来一只手可以抓一只皮球用力的扔出去,现在要求你抓上3-4个皮球,你能打中目标么。 2、国内的IDS入侵检测系统厂商十年砺剑,今也蹉跎 理想情况下,防火墙保护了我们的网络边界,于是我们放心大胆的让貌似合法的人都进来了。这些人却做了不齿的事情你能允许么。于是探照灯应运而生。随着北京启明星辰公司/上海金诺网安公司/成都30卫士通公司/中联绿盟公司的IDS陆续的进入市场,并经过了市场的磨练与推广,各家都拥有了自己的市场份额,也正在激烈的争斗中。然而IDS这样的一个被动的检测产品就在这样无休止的争斗中走向了自己夕阳之路。 IDS基于统计/异常检测的模式自从被设计出来之后,很少发生大的变化,而众所周知的IDS的漏报率/误报率已经成为批评IDS人所提及的最大弊病。然而,仅此而已么? 3、杀毒软件厂商口水战四起,核心技术无人热衷 从老牌的杀毒软件厂商到新生的杀毒新贵无一不热衷于对对手的诋毁与诽谤之中。 不成熟的过渡性产品被接连推上市场,造成了客户机器的频繁死机;伪造的新病毒用以滥竽充数,难道这就是杀毒软件厂商对中国国家信息安全的态度么?商业利益是必要的,也是我们所认同的,但是首先你要为国家负责/为老百姓负责。因为你的利润来自这些方面。如果不是国家的政策性大采购,你能风风光光的摇摆在股市上么? 4、新安全产品的介入,如雨后春笋般,尚缺磨难 国家政策的倾向性,催生了很多的信息安全产品,无论是身份认证类产品/审计类产品/终端控制类产品/内容过滤类产品都突现出来,这是一件好的事情。无可否认,毕竟中国还有热衷于信息安全的人们,来守卫国家信息领域的疆土安全。但是这些厂商一则新兴,二则实力过小,三则后劲不足,四则市场由不得他们。所以只有走一步看一步了。毕竟他们对国家的信息安全,尤其是近两年的信息安全起到了强有力的兴奋剂作用,毕竟这也让那些大的安全厂商意识到了一些方向上转变,催使他们转变方向,研发新的产品。 说到此处,国内目前的信息安全现状您大概可以了解我对其的认识是怎样的了。以我在美国读书时候所了解到的美国的信息安全技术发展比起来,中国还远远落后。具体可从以下得以了解。 1、在中国 谈及信息安全 2000年前就是防火墙,今年就是IDS,今年就是身份认证。安全怎么可能让其中的一个环节代替其整体的作用呢。在美国2000年前做的是彩虹标准,国防部的标准早就规划了安全的各个等级。甚至对于操作系统,也有非常严格划分。WindowsNT也不过是C2级别而已,Ibm AIX5目达到了次高一级。美国的交换机厂商CISCO公司早就夺取了互联网的半壁江山,如今他们更推出 自防御网络 的概念,将防火墙/IDS彻底与交换机/路由器集成在一起。瑞典爱立信公司在其下一代的万兆路由器的背板设计中,多槽的复用结构设计,使得你在背板上插一块卡就能有防火墙/杀病毒/VPN功能等等。如果是这样,国内这些所谓的防火墙厂商(且不说其好坏),这些IDS厂商怎么生存。也就是说,单个的安全产品绝对不能越级代表其整体的安全体系说话了。尤其是最终用户们,更不能将放一个防火墙在那里一边当着摆设,一边洋洋自得说“我是安全的,看我有防火墙”。 2、在中国 尤其是我所接触的太多政府机关/军工企业/保密科研机构,信息化建设投资的合理与否且不必说,安全投资原本是没有的;现在有了,为什么国家规定了某些单位信息化必须要给信息安全投资比例不低于15%。好了,这下有钱了,买吧。痛心的是,买回去的“几大件”呢?厂商的工程师跑去安初始化配置了一下,就放在那里了。我曾经检查过多家这样单位的安全产品,上一次的访问察看日志记录,竟然最长的是在两年以前。试问:你怎么能够及时地发现威胁与不安全的事件呢? 说到底,一是不能以偏概全,二是不能有效利用。 很多用户曾经跟我这样说,小李,你也知道我这里漏洞多的很,可我就是找不出来,我没有人手去管理;更者我的技术人员看不懂那些东西;我能找厂商支持两次,五次、八次呢?他们不愿意阿。用户还跟我这样说,我也想好好的管理起来,可是我网络大了,我哪里有精力啊。还有客户说,我网络里 防火墙有 三个牌子的,IDS有2个牌子的,杀病毒的还有好几个牌子的,你让我怎么管。…… 为什么用户对信息安全产生了如此多的问题? 前面提到了,百家齐鸣,参差不齐,注重产品,忽视管理等造成了目前的现状。 所以我们必须要在国家信息安全政策的指导下解决这些问题,一方面衍生新的安全产品,另一方面,更重要的利用起目前现有的数百种异构的信息安全产品,在有效利用的同时,将安全管理生命周期化/服务化/工程化,从而为信息安全的最终用户的真正安全做出一些信息安全保障。 下一篇 (T101) |
||
| :查看相关: | ||