后IT时代的安全攻略
2005-04-13 09:15:44 来源:
A-
A+
电力18讯: 来源:软件世界 本刊记者 娄奕娟 祁金华
这是一个机遇与挑战的年代,
同时也是一个危机四伏的年代;
这是一个信息资源极度丰富的年代,
同时也是一个安全意识和策略严重匮乏的年代。
IT时代经过多年的发展,T(Technology,技术)的含量已经得到了极大的提升和普及,而日积月累之后,就形成了大量的R(Resource,资源)。随着信息资源(Information Resourse,IR)在社会中占据越来越重要的位置,我们将走出以应用信息技术为主的IT时代,向应用信息资源的IR时代快速进发。
然而,对于信息资源,无论是其作用还是其安全,至今不曾有一个社会性的共识。就好像弱水三千,眼前只有一瓢,全然不见其他,更不知道如何才能够安全地、有效率地利用它。
同时,在这个系统漏洞和网络欺骗四处横行的年代,传统的网络结构已经无法满足安全需要,传统的三防(防病毒、防火墙、入侵检测)和3A(管理、认证、授权)手段也无法实现足够的安全防御。
安全,必须超越现有的一切手段,来创造一个可以信赖的网络空间。安全,必须全体动员,从接入终端到传输网络,直到服务器,每一个信息使用、传输和存储的环节,都必须建立在值得信任的基础之上。
我们不得不承认,在后IT时代,安全攻略将发生极大的变革。
尽管普及计算至今还没有成为现实,而安全保障必须无处不在。探寻这个时代的威胁所在,觅得这个时代特定的安全攻略,将是包括安全企业在内所有信息资源消费者的重任――因为安全早已经不是某一个软件或者产品就已经能够解决的问题,甚至不可能出现所谓的一揽子解决方案来保证安全。
以信息资源(IR)应用为中心,建立全新的安全体系,将是后IT时代的安全攻略。
从主机时代、PC时代、局域网时代、互联网+时代到将来的IR时代,随着系统复杂性每一步的增加,要获得相当的安全性,总是需要付出越来越多的代价。
就如矛与盾从来都是共生的一样,对于信息系统而言,安全的问题永远都会存在,永远也都是一个不必隐晦的话题。只是,随着社会信息化进程的发展,攻防的转换和升级也在持续地进行着……
威胁高一尺
在信息资源渐成这个时代的主角之后,信息利用的任何一个环节都不应该忽略安全,安全必须成为一种全民性的行为。
在这个对安全的需求必定会继续大幅增长的2005,如何准确地把握安全攻略?
首先,我们需要重新认识目前所处时代的安全特性。
在过去的一年中,信息资源的利用得到了热烈探讨,也加深了人们对它的认识。
中共中央办公厅和国务院办公厅在去年年末发布了《关于加强信息资源开发利用工作的若干意见》(以下简称:意见)认为“信息资源作为生产要素、无形资产和社会财富,与能源、材料资源同等重要,在经济社会资源结构中具有不可替代的地位,已成为经济全球化背景下国际竞争的一个重点。”
可以说,在信息基础建设大规模完成之后,该“意见”的发布,标志着我国后IT时代已经到来。必须利用信息资源创造出更多的价值,将信息化建设的成果推向前进。甚至可以说,一个新的产业,“信息资源产业”已然形成,这个产业将区别于以往所有的产业形态。它的发展将推动传统产业的改造,也将会推动我国的经济结构的变革与优化,甚至推动IR时代的到来。
该“意见”同时也指出“信息安全保障体系不够健全”,必须“加强信息安全保障工作”,这应该被看成是所有信息资源消费者的共同责任。
因此,如何保护信息资源,如何为信息资源创造出一种完备的安全策略,如何使得信息资源既有足够的安全性,又有必须的可用性,就成为了当下最需要解决的问题。
浙江电力的施永益先生说:“安全与信息资源还是有一定差距,涉及企业生产、经营、管理、服务等信息资产已经积累达十年以上。而企业真正实施信息资源安全防护只是近两年的事情。”
因此,我们必须借助包括政府、专家、企业等各方面的力量,找到在IR时代的新型安全攻略,以保障信息化建设的成果,并将信息化建设和信息资源的利用推向新的、更高的阶段。
如同所有其他的资源一样,不可能采用相同的手段来保护所有信息资源的安全。
也正如沈昌祥院士所说,对于信息资源,要坚持管理与技术并重,不能一刀切,不能对全部信息系统规定统一的安全要求,各类信息系统要有灵活多样的信息安全解决方案。
危险,不止于攻击
往日的破坏和攻击行为,在后IT时代,已经演变为对信息资源的非法利用,以便获得非法的经济利益,必须针对这种行为进行遏制。
在后IT时代,安全已经远远超越了原有的攻与防的概念。
企业要在激烈的市场竞争中存活,就要保护好自己的信息资源。否则,也许在一瞬间,企业就将随着信息资源的损毁而灰飞烟灭。CA公司产品市场经理谢春颖认为,现在信息资源已经成为了企业决策的依据,并且会嵌套在业务流程之中。对于企业来说,最大的危险已演变成了“信息资源不能够进行自动流程处理”。由于信息资源利用和业务流程的结合,安全的边界逐渐变得模糊,在可能的攻击之外,保证这种结合上的完整性和顺畅性,将是企业工作的重点所在。
今天的非法信息资源消费者的攻击目标已经从破坏和篡改数据以获得成就感,演变成了对信息资源实现非法利用而达成其追求经济利益目标的目的。必须采取措施,阻止这种非法行为的发生,保护企业的利益。东软安全事业部总经理曹斌认为:“最重要的是要监控网络中信息资源消费者的行为,要从以往的行为中分析特征,对于非法行为,要能够迅速采取安全措施。”
对于信息资源的安全要求,更重要的一点趋势就是需要保证其实时性安全。信息系统总会有漏洞和一些代码缺陷,而主要的软件厂商也会在每年发布超过75000个补丁。企业如果不及时打上补丁,就很有可能使得信息资源发生意想不到的变化。靠人工肯定不能完全解决,必须找到有效的安全应急措施,也必须发展第三方的安全支持服务。
当信息化成为企业日常运营的支撑、信息资源成为企业无形财富,而信息流占据企业运转的中心地位时,安全就成为信息资源的收集、传输、存储和利用的保障。
各个行业、各个企业对于信息的保密程度和信息流动的持续性有着不同的要求,因此对其安全性也有着不同的要求。但整个系统的可视、可控是摆在每个CIO面前急待解决的问题:资产在哪里?它们是否在可控之中?它们曾经遭遇到怎样的安全问题?如何保障以后它们不出事……
有威胁,就必须有应对措施。在传统的安全体系结构中,向来是“兵来将挡,水来土掩”,在攻击和威胁手段出现之后,才会采取相应的补救和防范措施。
然而,往日这种“头疼医头,脚痛医脚”的安全策略已经不再能够满足现在的需要,必须发展和应用新型的安全体系,保证信息资源的安全。
同时,对于很多企业而言,并不一定要求安全万无一失。它们需要在一定的范围内权衡,以便保证最佳的投资回报率。
安全高一丈
出于对ROI的控制,企业不可能无限制地提升安全性。只能尽可能地权衡利弊,重在管理而非纯粹通过技术达到安全需要。
“银行挂牌不能收电费的事件时有发生,用户无法通过银行及时缴纳电费,导致企业资金回笼放慢,还造成了社会影响的受损。”作为全国电力行业率先制定信息安全考核办法的企业,浙江电力现已把信息安全提到了较高的地位,“一旦电网实时调度系统或者存储系统出了故障导致电网的不可调度和操作造成停电,会对社会各行业将造成巨大的损失。因此公司领导提高了对这方面的重视程度,把信息安全从生产安全提升到了经济安全和政治安全的高度。” 浙江电力施永益介绍说。
通过网络从事破坏行为或者是涉及不健康行为的事件在网络时代时有发生,国家有关部门加大了对此类不法行为的查处力度,浙江电力在配合查处这方面的工作却做得不错。除了制度组织以及人力的保证外,技术支持功不可没,它配合管理措施的落实,还起到了一定的威慑力―在保障运营正常进行的同时,也为审计分析和事件的调查提供帮助。施永益介绍说,目前浙江电力把网络安全工作分五部分:全网统一防病毒、在网络关键节点布设起到防护作用的防火墙、有关微软平台的补丁自动升级、数据保护(统一的数据备份系统,其中所有防火墙所有的进出和链接日志做统一的保留,在磁带上保存6个月)、以及目前正在进行中的全网的IP地址授权。但施永益同时承认,要让安全做到无懈可击,就要在传输层、网络层、应用层和管理等方面都加以保障,但目前浙江电力在应用层较为薄弱,而现有的一些安全事件往往产生于此。
尽管已经认识到安全的重要性,但是大多数企业还是将安全的级别定义在一个狭窄的范围之内。很多企业依然将安全定位在网络基础设施的安全之上,因而以购买三防产品作为保障企业安全,依然是他们的主要措施。
赛迪顾问的数据显示,2004年第三季度,中国网络安全产品的销售总额达9.9亿元,同比增长55.3%,比上一季增长35.4%,在细分市场中,防火墙增长率仍在三大类主要产品中居于首位。而在目前国内行业用户的信息安全产品应用和需求状况的调查中,在信息化程度较高的金融行业,防火墙和防病毒软件是用户信息安全系统时的首选,其需求比例分别达到50%和47.1%;其次是入侵检测产品,其需求比例为32.4%。加密软件和3A产品还没有成为需求主流。
“安全是大投入的工程,截至到2004年年底我们目前在安全方面的投入约占信息化投资的10%左右,与同类型的企业相比只是它们的20~30%。我们没有做CA统一认证和加密, 100%防病毒覆盖率加上防火墙已经解决了我们网络中80%的安全问题。”施永益认为,“我认为有效的管理才是最重要的,‘三分技术,七分管理’不为过。”对于银根较紧的CIO们来说,大部分人选择只要把灾难承受能力控制在在可忍受的范围内就行的保守态度。
“CIO们最关心的不是安全,而是其应用服务如何不中断,系统在任何情况下都处于可用状态。”赛门铁克郭训平总结了自己与客户多次打交道的经验。从构建安全的解决方案来看,在投资与安全风险中寻找平衡点是如今中国CIO们较能接受的做法。
跳出三防、3A外
传统的三防、3A已经成为安全的基础设施,必须将企业所有基础设施整合,以求安全。
防守者在明处,攻击者在暗处,安全市场上似乎总是“魔高一丈,道高一尺”。如今,互联网的安全面临着更具攻击性的混合式威胁,而利用应用层的漏洞进行攻击使防御阵线变得更长更脆弱,内容安全正成为安全信息的主角。安全的重点正逐步转移到内部网络安全的建设上来,用户管理、行为管理、内容控制和应用管理将成为未来的安全工作重点。
在这种情形下,原有的三防、3A已不再是有效的“金钟罩”。“三防、3A只能算是基础配置。要保证如今的企业安全,就需要建立一个统一的安全管理及其配置平台,需要有相关人员以及相关的服务支持体系。”曹斌说。
信息资源安全管理的重要性已经倍受关注。曹斌认为:“安全管理不再是管理安全设备,而是管理与安全有关的事件及其需求。监控、分析与防范信息系统中的‘行为’将是安全机制未来的发展方向。路由器是否通畅这类静态的部件管理会发展到对信息资产的动态管理,信息的迁移等行为才是要管的对象,其基础则是审计‘行为’。”
企业的基础架构不可能会有大的改变,不同的产品存储有越来越多的信息。因此,信息基础设施的整合是大势所趋。郭训平认为:“从安全产品线的发展来说,集成的安全产品更具优势。把网关、防病毒、防火墙等都集成到一个产品中,无论从投资还是管理、利用的效果来看,都会比较有竞争优势。”
虽然赛门特克购买VERITAS公司证明了“安全存储不分家”的道理,但CA在整合理念和产品上先行一步。CA新近推出了EIM(企业基础架构管理)的管理方法,紧密地集成传统上各不相同的运行、存储、安全、生命周期以及服务管理等领域,以优化企业IT 环境的性能、可靠性以及效率。通过跨多种应用,执行重用功能的软件组件形成一个提供企业所有方面统一视图以及它们与业务活动和需求关联情况的集中的管理数据库,并创建完整、集中的资产清单。将这个清单与已知的漏洞进行比较,并自动分发补丁以修复这些漏洞。通过简化、理顺、自动执行以及集成管理任务,管理员就能够端到端地管理整个过程。
“使用安全产品是为了支持业务的顺畅进行,但管理本身也会有个流程。未来,管理流程与业务流程的目标将会趋于一致,其业务流程的优先级将影响到管理流程的优先级,而后台管理人员必须明确企业业务目标并给予有力支持。”谢春颖说。如今在应急上最大的缺陷就是手工操作,虽然很多企业已经制定较为完善的应急步骤,但仍然需要人来手工操作。如果流程自动化之后,由软件自动生成应对措施,不仅会节省用户精力,还能保证业务流程与管理流程的同步进行。
“如今,CA要做的就是把这些不同存储部分的信息加以集中,便于管理和利用。其实这种演变与ERP的演进过程一样,从财务软件、人事到进销存,各模块越来越多,最后整合到一个ERP中。”谢春颖说,“这是CA未来十年要做的事情。”
对于中国用户来说,这个跨功能IT自动化实现的过程虽然显得有些遥远,但他们毕竟可以觉察到到安全市场的变化:后IT时代和将来的IR时代里,安全与信息资源如影随形,一荣俱荣,一损俱损。
结束语:
从来没有一个时代,像今天这样能够如此有效地利用信息资源;也从来没有一个时代,像今天这样,更需要重视信息资源的安全。
IT一路走来,已渐渐如大家所期待的那样,与企业的业务融汇贯通,成为了一种辅助的工具。与此同时,企业需要保证的安全也扩展了其范围,从保护有形的资产,涵盖到了无形的信息资源。
安全,显然将伴随着信息技术的发展和对信息资源的利用继续前行!
安全 更需要信任
针对各种形式的网络诈骗,必须建立强有力的信任机制来保证安全。
当威胁来自于合法的伪装时,传统的安全系统已经无法保证信息资源的安全。如同人类社会所需要建立的信任机制一样,信息资源也需要建立强有力的信任机制来保证安全。
在这个时代,对于信息资源的分级和角色的定位乃至身份的确认,成为达成安全而必须采取的环环相扣的措施。如谢春颖所说“信息资源时代的安全管理必将会向角色管理过渡”。
另外,除了人员的角色管理之外,还必须采取措施来保证网络本身,包括网络设备的可信任度。
然而,这只是建立信任的初级阶段,更加高级的蓝图则由思科所倡导的NAC计划为我们描绘。思科系统中国公司首席技术官刘永春说:“在未来的网络安全当中,每一个装置都要参与网络安全方案,而且是全体总动员,有层次地参与进来。”
尽管从NAC计划的设想和模型来看,其设计安全级别与专用安全网络中的可信安全设备还有很大的差距。单是,毕竟影响我们绝大多数人的还是信息资源极度丰富的互联网。
因此,通过类似于NAC计划以及其他的安全组织所提出的标准,打造一个商用级别的可信计算的网络,保证信息资源的完整性,将是今后安全工作的重点。
瑞星和金山同时加入思科所倡导的NAC(网络准入控制)计划,以研发集成化的企业安全解决方案,全面提高企业安全级别和防御威胁的能力。还有之前的IBM、趋势科技、McAfee、赛门铁克、CA等国际软件厂商的先后加盟,表明:安全已经超出了传统的信息技术范畴,而且上升到指导信息资源利用、开发和保障的企业战略层次。
相关链接:迎接IR时代
信息资源的急速扩展,数字化生存已然成为事实。在全国性、甚至是全球性的人口数据库建立完成之后,每个人将对应于相关的数据。或许,将来不久能证明每个人存在的只是服务器中那一定的数据空间。
安全和攻防转换的本质决定了在安全领域一定不会出现“长治久安”。从建设基础信息设施,从IT时代进入IR时代,这其中的跨越,不仅是有对信息资源的利用,更需要注意的是信息资源的安全。
IT时代给予我们的最多的财富是信息,可惜目前大多数还都是以信息孤岛的形式存在,无法发挥其应有的作用,因此,现在的这个时代只能被称之为后IT时代。
要完成对信息的开发,使其真正成为信息资源,除了在开发上保证其互通性之外,当然还必须保证其安全性,如同专家所说的那样,保证“完整性”,以便实现信息资源的“可用性”。只有全社会的信息资源都能够保证“完整性”,实现“可用性”之后,IR时代才可以算是真正到来。
除了政府制定相应的安全法规政策之外,专家也需要尽量提出并且研究安全理念,厂商需要尽快地发展安全产品,用户需要培养安全的意识,只有在所有人的努力之下,信息资源才可能达到一个理想的境界,社会也才有可能走出后IT时代,进入真正的IR时代。
这是一个机遇与挑战的年代,
同时也是一个危机四伏的年代;
这是一个信息资源极度丰富的年代,
同时也是一个安全意识和策略严重匮乏的年代。
IT时代经过多年的发展,T(Technology,技术)的含量已经得到了极大的提升和普及,而日积月累之后,就形成了大量的R(Resource,资源)。随着信息资源(Information Resourse,IR)在社会中占据越来越重要的位置,我们将走出以应用信息技术为主的IT时代,向应用信息资源的IR时代快速进发。
然而,对于信息资源,无论是其作用还是其安全,至今不曾有一个社会性的共识。就好像弱水三千,眼前只有一瓢,全然不见其他,更不知道如何才能够安全地、有效率地利用它。
同时,在这个系统漏洞和网络欺骗四处横行的年代,传统的网络结构已经无法满足安全需要,传统的三防(防病毒、防火墙、入侵检测)和3A(管理、认证、授权)手段也无法实现足够的安全防御。
安全,必须超越现有的一切手段,来创造一个可以信赖的网络空间。安全,必须全体动员,从接入终端到传输网络,直到服务器,每一个信息使用、传输和存储的环节,都必须建立在值得信任的基础之上。
我们不得不承认,在后IT时代,安全攻略将发生极大的变革。
尽管普及计算至今还没有成为现实,而安全保障必须无处不在。探寻这个时代的威胁所在,觅得这个时代特定的安全攻略,将是包括安全企业在内所有信息资源消费者的重任――因为安全早已经不是某一个软件或者产品就已经能够解决的问题,甚至不可能出现所谓的一揽子解决方案来保证安全。
以信息资源(IR)应用为中心,建立全新的安全体系,将是后IT时代的安全攻略。
从主机时代、PC时代、局域网时代、互联网+时代到将来的IR时代,随着系统复杂性每一步的增加,要获得相当的安全性,总是需要付出越来越多的代价。
就如矛与盾从来都是共生的一样,对于信息系统而言,安全的问题永远都会存在,永远也都是一个不必隐晦的话题。只是,随着社会信息化进程的发展,攻防的转换和升级也在持续地进行着……
威胁高一尺
在信息资源渐成这个时代的主角之后,信息利用的任何一个环节都不应该忽略安全,安全必须成为一种全民性的行为。
在这个对安全的需求必定会继续大幅增长的2005,如何准确地把握安全攻略?
首先,我们需要重新认识目前所处时代的安全特性。
在过去的一年中,信息资源的利用得到了热烈探讨,也加深了人们对它的认识。
中共中央办公厅和国务院办公厅在去年年末发布了《关于加强信息资源开发利用工作的若干意见》(以下简称:意见)认为“信息资源作为生产要素、无形资产和社会财富,与能源、材料资源同等重要,在经济社会资源结构中具有不可替代的地位,已成为经济全球化背景下国际竞争的一个重点。”
可以说,在信息基础建设大规模完成之后,该“意见”的发布,标志着我国后IT时代已经到来。必须利用信息资源创造出更多的价值,将信息化建设的成果推向前进。甚至可以说,一个新的产业,“信息资源产业”已然形成,这个产业将区别于以往所有的产业形态。它的发展将推动传统产业的改造,也将会推动我国的经济结构的变革与优化,甚至推动IR时代的到来。
该“意见”同时也指出“信息安全保障体系不够健全”,必须“加强信息安全保障工作”,这应该被看成是所有信息资源消费者的共同责任。
因此,如何保护信息资源,如何为信息资源创造出一种完备的安全策略,如何使得信息资源既有足够的安全性,又有必须的可用性,就成为了当下最需要解决的问题。
浙江电力的施永益先生说:“安全与信息资源还是有一定差距,涉及企业生产、经营、管理、服务等信息资产已经积累达十年以上。而企业真正实施信息资源安全防护只是近两年的事情。”
因此,我们必须借助包括政府、专家、企业等各方面的力量,找到在IR时代的新型安全攻略,以保障信息化建设的成果,并将信息化建设和信息资源的利用推向新的、更高的阶段。
如同所有其他的资源一样,不可能采用相同的手段来保护所有信息资源的安全。
也正如沈昌祥院士所说,对于信息资源,要坚持管理与技术并重,不能一刀切,不能对全部信息系统规定统一的安全要求,各类信息系统要有灵活多样的信息安全解决方案。
危险,不止于攻击
往日的破坏和攻击行为,在后IT时代,已经演变为对信息资源的非法利用,以便获得非法的经济利益,必须针对这种行为进行遏制。
在后IT时代,安全已经远远超越了原有的攻与防的概念。
企业要在激烈的市场竞争中存活,就要保护好自己的信息资源。否则,也许在一瞬间,企业就将随着信息资源的损毁而灰飞烟灭。CA公司产品市场经理谢春颖认为,现在信息资源已经成为了企业决策的依据,并且会嵌套在业务流程之中。对于企业来说,最大的危险已演变成了“信息资源不能够进行自动流程处理”。由于信息资源利用和业务流程的结合,安全的边界逐渐变得模糊,在可能的攻击之外,保证这种结合上的完整性和顺畅性,将是企业工作的重点所在。
今天的非法信息资源消费者的攻击目标已经从破坏和篡改数据以获得成就感,演变成了对信息资源实现非法利用而达成其追求经济利益目标的目的。必须采取措施,阻止这种非法行为的发生,保护企业的利益。东软安全事业部总经理曹斌认为:“最重要的是要监控网络中信息资源消费者的行为,要从以往的行为中分析特征,对于非法行为,要能够迅速采取安全措施。”
对于信息资源的安全要求,更重要的一点趋势就是需要保证其实时性安全。信息系统总会有漏洞和一些代码缺陷,而主要的软件厂商也会在每年发布超过75000个补丁。企业如果不及时打上补丁,就很有可能使得信息资源发生意想不到的变化。靠人工肯定不能完全解决,必须找到有效的安全应急措施,也必须发展第三方的安全支持服务。
当信息化成为企业日常运营的支撑、信息资源成为企业无形财富,而信息流占据企业运转的中心地位时,安全就成为信息资源的收集、传输、存储和利用的保障。
各个行业、各个企业对于信息的保密程度和信息流动的持续性有着不同的要求,因此对其安全性也有着不同的要求。但整个系统的可视、可控是摆在每个CIO面前急待解决的问题:资产在哪里?它们是否在可控之中?它们曾经遭遇到怎样的安全问题?如何保障以后它们不出事……
有威胁,就必须有应对措施。在传统的安全体系结构中,向来是“兵来将挡,水来土掩”,在攻击和威胁手段出现之后,才会采取相应的补救和防范措施。
然而,往日这种“头疼医头,脚痛医脚”的安全策略已经不再能够满足现在的需要,必须发展和应用新型的安全体系,保证信息资源的安全。
同时,对于很多企业而言,并不一定要求安全万无一失。它们需要在一定的范围内权衡,以便保证最佳的投资回报率。
安全高一丈
出于对ROI的控制,企业不可能无限制地提升安全性。只能尽可能地权衡利弊,重在管理而非纯粹通过技术达到安全需要。
“银行挂牌不能收电费的事件时有发生,用户无法通过银行及时缴纳电费,导致企业资金回笼放慢,还造成了社会影响的受损。”作为全国电力行业率先制定信息安全考核办法的企业,浙江电力现已把信息安全提到了较高的地位,“一旦电网实时调度系统或者存储系统出了故障导致电网的不可调度和操作造成停电,会对社会各行业将造成巨大的损失。因此公司领导提高了对这方面的重视程度,把信息安全从生产安全提升到了经济安全和政治安全的高度。” 浙江电力施永益介绍说。
通过网络从事破坏行为或者是涉及不健康行为的事件在网络时代时有发生,国家有关部门加大了对此类不法行为的查处力度,浙江电力在配合查处这方面的工作却做得不错。除了制度组织以及人力的保证外,技术支持功不可没,它配合管理措施的落实,还起到了一定的威慑力―在保障运营正常进行的同时,也为审计分析和事件的调查提供帮助。施永益介绍说,目前浙江电力把网络安全工作分五部分:全网统一防病毒、在网络关键节点布设起到防护作用的防火墙、有关微软平台的补丁自动升级、数据保护(统一的数据备份系统,其中所有防火墙所有的进出和链接日志做统一的保留,在磁带上保存6个月)、以及目前正在进行中的全网的IP地址授权。但施永益同时承认,要让安全做到无懈可击,就要在传输层、网络层、应用层和管理等方面都加以保障,但目前浙江电力在应用层较为薄弱,而现有的一些安全事件往往产生于此。
尽管已经认识到安全的重要性,但是大多数企业还是将安全的级别定义在一个狭窄的范围之内。很多企业依然将安全定位在网络基础设施的安全之上,因而以购买三防产品作为保障企业安全,依然是他们的主要措施。
赛迪顾问的数据显示,2004年第三季度,中国网络安全产品的销售总额达9.9亿元,同比增长55.3%,比上一季增长35.4%,在细分市场中,防火墙增长率仍在三大类主要产品中居于首位。而在目前国内行业用户的信息安全产品应用和需求状况的调查中,在信息化程度较高的金融行业,防火墙和防病毒软件是用户信息安全系统时的首选,其需求比例分别达到50%和47.1%;其次是入侵检测产品,其需求比例为32.4%。加密软件和3A产品还没有成为需求主流。
“安全是大投入的工程,截至到2004年年底我们目前在安全方面的投入约占信息化投资的10%左右,与同类型的企业相比只是它们的20~30%。我们没有做CA统一认证和加密, 100%防病毒覆盖率加上防火墙已经解决了我们网络中80%的安全问题。”施永益认为,“我认为有效的管理才是最重要的,‘三分技术,七分管理’不为过。”对于银根较紧的CIO们来说,大部分人选择只要把灾难承受能力控制在在可忍受的范围内就行的保守态度。
“CIO们最关心的不是安全,而是其应用服务如何不中断,系统在任何情况下都处于可用状态。”赛门铁克郭训平总结了自己与客户多次打交道的经验。从构建安全的解决方案来看,在投资与安全风险中寻找平衡点是如今中国CIO们较能接受的做法。
跳出三防、3A外
传统的三防、3A已经成为安全的基础设施,必须将企业所有基础设施整合,以求安全。
防守者在明处,攻击者在暗处,安全市场上似乎总是“魔高一丈,道高一尺”。如今,互联网的安全面临着更具攻击性的混合式威胁,而利用应用层的漏洞进行攻击使防御阵线变得更长更脆弱,内容安全正成为安全信息的主角。安全的重点正逐步转移到内部网络安全的建设上来,用户管理、行为管理、内容控制和应用管理将成为未来的安全工作重点。
在这种情形下,原有的三防、3A已不再是有效的“金钟罩”。“三防、3A只能算是基础配置。要保证如今的企业安全,就需要建立一个统一的安全管理及其配置平台,需要有相关人员以及相关的服务支持体系。”曹斌说。
信息资源安全管理的重要性已经倍受关注。曹斌认为:“安全管理不再是管理安全设备,而是管理与安全有关的事件及其需求。监控、分析与防范信息系统中的‘行为’将是安全机制未来的发展方向。路由器是否通畅这类静态的部件管理会发展到对信息资产的动态管理,信息的迁移等行为才是要管的对象,其基础则是审计‘行为’。”
企业的基础架构不可能会有大的改变,不同的产品存储有越来越多的信息。因此,信息基础设施的整合是大势所趋。郭训平认为:“从安全产品线的发展来说,集成的安全产品更具优势。把网关、防病毒、防火墙等都集成到一个产品中,无论从投资还是管理、利用的效果来看,都会比较有竞争优势。”
虽然赛门特克购买VERITAS公司证明了“安全存储不分家”的道理,但CA在整合理念和产品上先行一步。CA新近推出了EIM(企业基础架构管理)的管理方法,紧密地集成传统上各不相同的运行、存储、安全、生命周期以及服务管理等领域,以优化企业IT 环境的性能、可靠性以及效率。通过跨多种应用,执行重用功能的软件组件形成一个提供企业所有方面统一视图以及它们与业务活动和需求关联情况的集中的管理数据库,并创建完整、集中的资产清单。将这个清单与已知的漏洞进行比较,并自动分发补丁以修复这些漏洞。通过简化、理顺、自动执行以及集成管理任务,管理员就能够端到端地管理整个过程。
“使用安全产品是为了支持业务的顺畅进行,但管理本身也会有个流程。未来,管理流程与业务流程的目标将会趋于一致,其业务流程的优先级将影响到管理流程的优先级,而后台管理人员必须明确企业业务目标并给予有力支持。”谢春颖说。如今在应急上最大的缺陷就是手工操作,虽然很多企业已经制定较为完善的应急步骤,但仍然需要人来手工操作。如果流程自动化之后,由软件自动生成应对措施,不仅会节省用户精力,还能保证业务流程与管理流程的同步进行。
“如今,CA要做的就是把这些不同存储部分的信息加以集中,便于管理和利用。其实这种演变与ERP的演进过程一样,从财务软件、人事到进销存,各模块越来越多,最后整合到一个ERP中。”谢春颖说,“这是CA未来十年要做的事情。”
对于中国用户来说,这个跨功能IT自动化实现的过程虽然显得有些遥远,但他们毕竟可以觉察到到安全市场的变化:后IT时代和将来的IR时代里,安全与信息资源如影随形,一荣俱荣,一损俱损。
结束语:
从来没有一个时代,像今天这样能够如此有效地利用信息资源;也从来没有一个时代,像今天这样,更需要重视信息资源的安全。
IT一路走来,已渐渐如大家所期待的那样,与企业的业务融汇贯通,成为了一种辅助的工具。与此同时,企业需要保证的安全也扩展了其范围,从保护有形的资产,涵盖到了无形的信息资源。
安全,显然将伴随着信息技术的发展和对信息资源的利用继续前行!
安全 更需要信任
针对各种形式的网络诈骗,必须建立强有力的信任机制来保证安全。
当威胁来自于合法的伪装时,传统的安全系统已经无法保证信息资源的安全。如同人类社会所需要建立的信任机制一样,信息资源也需要建立强有力的信任机制来保证安全。
在这个时代,对于信息资源的分级和角色的定位乃至身份的确认,成为达成安全而必须采取的环环相扣的措施。如谢春颖所说“信息资源时代的安全管理必将会向角色管理过渡”。
另外,除了人员的角色管理之外,还必须采取措施来保证网络本身,包括网络设备的可信任度。
然而,这只是建立信任的初级阶段,更加高级的蓝图则由思科所倡导的NAC计划为我们描绘。思科系统中国公司首席技术官刘永春说:“在未来的网络安全当中,每一个装置都要参与网络安全方案,而且是全体总动员,有层次地参与进来。”
尽管从NAC计划的设想和模型来看,其设计安全级别与专用安全网络中的可信安全设备还有很大的差距。单是,毕竟影响我们绝大多数人的还是信息资源极度丰富的互联网。
因此,通过类似于NAC计划以及其他的安全组织所提出的标准,打造一个商用级别的可信计算的网络,保证信息资源的完整性,将是今后安全工作的重点。
瑞星和金山同时加入思科所倡导的NAC(网络准入控制)计划,以研发集成化的企业安全解决方案,全面提高企业安全级别和防御威胁的能力。还有之前的IBM、趋势科技、McAfee、赛门铁克、CA等国际软件厂商的先后加盟,表明:安全已经超出了传统的信息技术范畴,而且上升到指导信息资源利用、开发和保障的企业战略层次。
相关链接:迎接IR时代
信息资源的急速扩展,数字化生存已然成为事实。在全国性、甚至是全球性的人口数据库建立完成之后,每个人将对应于相关的数据。或许,将来不久能证明每个人存在的只是服务器中那一定的数据空间。
安全和攻防转换的本质决定了在安全领域一定不会出现“长治久安”。从建设基础信息设施,从IT时代进入IR时代,这其中的跨越,不仅是有对信息资源的利用,更需要注意的是信息资源的安全。
IT时代给予我们的最多的财富是信息,可惜目前大多数还都是以信息孤岛的形式存在,无法发挥其应有的作用,因此,现在的这个时代只能被称之为后IT时代。
要完成对信息的开发,使其真正成为信息资源,除了在开发上保证其互通性之外,当然还必须保证其安全性,如同专家所说的那样,保证“完整性”,以便实现信息资源的“可用性”。只有全社会的信息资源都能够保证“完整性”,实现“可用性”之后,IR时代才可以算是真正到来。
除了政府制定相应的安全法规政策之外,专家也需要尽量提出并且研究安全理念,厂商需要尽快地发展安全产品,用户需要培养安全的意识,只有在所有人的努力之下,信息资源才可能达到一个理想的境界,社会也才有可能走出后IT时代,进入真正的IR时代。
评论
最新评论(0)
相关新闻:
-
无相关信息
编辑推荐
热点排行
推荐阅读