随着国家从近两年来对于信息安全方面的政策一步步的制订/修订/完善的过程中,我很欣喜的发现国家对于信息安全尤其得重视,并且正在加大各方面的力度。去年,国家颁布了27号文件,明确提出了对于 涉密计算机网络 信息安全的 保护措施必要要达到相应的标准,其中包括 安全审计类产品、身份认证类产品、访问控制类产品等等;今年3月,公安部又再次颁发反垃圾电子邮件/全面整顿垃圾电子邮件的通知;今年5月,国防科工委又在对武器、装备、通信等一级保密认证单位的检查中下发了相应的通知明确了对于信息安全保密检查工作的细则共16大则,上百小则;最公安部又在大力整治黄色站点,大快人心;信息产业部组织了专家组专门制订其从2005-2020年的战略规划,这一规划中关于计算机网络分为两组,一组是集中于ERP/CAD等的高端“应用组”,另一组则为专门的信息安全组;公安部同时还在制订全新的信息安全等级保护政策。
“等级保护实施的关键问题是要落实责任制,层层都要有人管,从中央领导到各部门都有责任。” 公安部景乾元处长说。(难道我们就不该对信息安全有些责任么?)
第一,系统安全管理,其中包括系统资源的管理和信息资源分级分类管理。“从目前来看,在很多大型系统中,很多人可能并不清楚,里面究竟有哪些软件、硬件设备?有没有人插进来一个设备或者是删除一个设备?究竟是哪个关键部件出了毛病?等等。这些问题可能没有人知道。” 景乾元说,“此外,信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样,在系统中进入不同的设备、进入不同的操作也要进行区分。”
第二,用户管理。在自己的系统上所注册的合法用户究竟有哪些?他们各自的权限在哪儿?这些问题必须搞清楚,因此,对密码的配制要进行管理。
第三,对安全事件的管理。对网上发生的任何安全事件或者是犯罪案件都要进行管理。这个管理过程可以用PDRR模型进行控制,即在一个信息系统大网络环境下,实现三点一线的管理:一点是局域网的安全环境,二点是安全终端系统,三点是网络安全控制平台。对这三点之间的安全特性进行有效管理,就可形成对系统安全等级的有效管理和控制。
由此可见,2004是中国的信息安全年。
而根据CCID、IDG以及互联网实验室的一些相关调查报告数据表明,今后7年之内信息安全市场年复合增长率高达35%,而3A挂历产品/安全中间件的增长率更是远高于此。所以信息安全大势所趋,所以我们一定要帮助国家走好这一步。
然而,中国目前的网络安全市场现状如何呢?
1、国内的防火墙厂商数家独大,百家争鸣;
以天融信(国家保密局背景)/上海华堂(上海市政府)等为首的国内最早的一批防火墙厂商至今无论是在全国范围内或者是局部地区(华东)都有着明显的市场优势。当然,无可否认的是,他们的研发在国内是最早的,也是应该摘取果实的。但是从90年代到现在,近10年间,国内仍然有超过200家厂商/公司风生水起的涌入这个曾经方兴未艾的防火墙市场,于是一时间,早期的安全老大们受到了咄咄逼人的挑战。价格以及市场的竞争迫使他们缩小了自己的市场份额,后起之秀们(东大系东软,清华系同方/紫光/比威等,浙大系网新/易尚等,南京苏富特(省政府关系),广州天网,交大系捷普,北京中网等数百厂商涌入。这个市场真的有那么好么?
如果真的有那么好的话,那么为何很多防火墙厂商都已经销声匿迹了呢?价格的混战/质量的层次不齐/管理的混乱等等各种因素导致了这一切的发生,但如果仅仅是此可能我们的政府/我们的涉密部门/我们的安全产品的使用者们可能要感觉欣慰的多了。
因为连年的混战/各种媒体的攻势已经将一个观念树立在了中国目前大大小小的CSO/CIO心中——安全=防火墙。
十分之可悲的这种观点,这就和 一滴水 自呼自己为 我是一片海一样。防火墙仅仅是一种边界的安全设备,而且仅仅是能够进行简单的访问控制而已。尽管更多的新一代防火墙集成了IDS功能/DDOS功能等等,但是你可以设想 你本来一只手可以抓一只皮球用力的扔出去,现在要求你抓上3-4个皮球,你能打中目标么。
看门狗就是看门狗,别让它去做什么探照灯/你家后花园小路的方向标等事情。
2、国内的IDS入侵检测系统厂商十年砺剑,今也蹉跎;
理想情况下,防火墙保护了我们的网络边界,于是我们放心大胆的让貌似合法的人都进来了。这些人却做了不齿的事情你能允许么。于是探照灯应运而生。随着北京启明星辰公司/上海金诺网安公司/成都30卫士通公司/中联绿盟公司的IDS陆续的进入市场,并经过了市场的磨练与推广,各家都拥有了自己的市场份额,也正在激烈的争斗中。然而IDS这样的一个被动的检测产品就在这样无休止的争斗中走向了自己夕阳之路。
IDS基于统计/异常检测的模式自从被设计出来之后,很少发生大的变化,而众所周知的IDS的漏报率/误报率已经成为批评IDS人所提及的最大弊病。然而,仅此而已么?
3、杀毒软件厂商口水战四起,核心技术无人热衷。
从老牌的杀毒软件厂商到新生的杀毒新贵无一不热衷于对对手的诋毁与诽谤之中。
不成熟的过渡性产品被接连推上市场,造成了客户机器的频繁死机;伪造的新病毒用以滥竽充数,难道这就是杀毒软件厂商对中国国家信息安全的态度么?商业利益是必要的,也是我们所认同的,但是首先你要为国家负责/为老百姓负责。因为你的利润来自这些方面。如果不是国家的政策性大采购,你能风风光光的摇摆在股市上么?
4、新安全产品的介入,如雨后春笋般,尚缺磨难。
国家政策的倾向性,催生了很多的信息安全产品,无论是身份认证类产品/审计类产品/终端控制类产品/内容过滤类产品都突现出来,这是一件好的事情。无可否认,毕竟中国还有热衷于信息安全的人们,来守卫国家信息领域的疆土安全。但是这些厂商一则新兴,二则实力过小,三则后劲不足,四则市场由不得他们。所以只有走一步看一步了。毕竟他们对国家的信息安全,尤其是近两年的信息安全起到了强有力的兴奋剂作用,毕竟这也让那些大的安全厂商意识到了一些方向上转变,催使他们转变方向,研发新的产品。
说到此处,国内目前的信息安全现状您大概可以了解我对其的认识是怎样的了。以我在美国读书时候所了解到的美国的信息安全技术发展比起来,中国还远远落后。具体可从以下得以了解。
1、在中国 谈及信息安全 2000年前就是防火墙,2003年就是IDS,2004年就是身份认证。安全怎么可能让其中的一个环节代替其整体的作用呢。在美国2000年前做的是彩虹标准,国防部的标准早就规划了安全的各个等级。甚至对于操作系统,也有非常严格划分。WindowsNT也不过是C2级别而已,Ibm AIX5目达到了次高一级。美国的交换机厂商思科CISCO公司早就夺取了互联网的半壁江山,如今他们更推出 自防御网络 的概念,将防火墙/IDS彻底与交换机/路由器集成在一起。瑞典爱立信公司在其下一代的万兆路由器的背板设计中,多槽的复用结构设计,使得你在背板上插一块卡就能有防火墙/杀病毒/VPN功能等等。如果是这样,国内这些所谓的防火墙厂商(且不说其好坏),这些IDS厂商怎么生存。也就是说,单个的安全产品绝对不能越级代表其整体的安全体系说话了。尤其是最终用户们,更不能将放一个防火墙在那里一边当着摆设,一边洋洋自得说“我是安全的,看我有防火墙”。
2、在中国 尤其是我所接触的太多政府机关/军工企业/保密科研机构,信息化建设投资的合理与否且不必说,安全投资原本是没有的;现在有了,为什么国家规定了某些单位信息化必须要给信息安全投资比例不低于15%。好了,这下有钱了,买吧。痛心的是,买回去的“几大件”呢?厂商的工程师跑去安初始化配置了一下,就放在那里了。我曾经检查过多家这样单位的安全产品,上一次的访问察看日志记录,竟然最长的是在两年以前。试问:你怎么能够及时地发现威胁与不安全的事件呢?
说到底,一是不能以偏概全,二是不能有效利用。
很多用户曾经跟我这样说,小李,你也知道我这里漏洞多的很,可我就是找不出来,我没有人手去管理;更者我的技术人员看不懂那些东西;我能找厂商支持两次,五次、八次呢?他们不愿意阿。用户还跟我这样说,我也想好好的管理起来,可是我网络大了,我哪里有精力啊。还有客户说,我网络里 防火墙有 三个牌子的,IDS有2个牌子的,杀病毒的还有好几个牌子的,你让我怎么管。……
为什么用户对信息安全产生了如此多的问题?
前面提到了,百家齐鸣,参差不齐,注重产品,忽视管理等造成了目前的现状。
所以我们必须要在国家信息安全政策的指导下解决这些问题,一方面衍生新的安全产品,另一方面,更重要的利用起目前现有的数百种异构的信息安全产品,在有效利用的同时,将安全管理生命周期化/服务化/工程化,从而为信息安全的最终用户的真正安全做出一些信息安全保障。
对我们信息安全工作者而言,所面临的挑战有三个方面:
1.帮助客户了解跟踪各种可用的安全技术;
2.始终熟知如何将安全性集成到按指数增长的IT设备、系统、应用程序和基础设施的排列组合中;
3.广泛影响人们的意识和行为,以便与利用人性弱点的威胁(如使用易于记忆的密码,因而被潜在的攻击者轻易获取)进行抗争。”
的确,国内目前信息安全收到了广泛的关注,但这不是信息安全科技本身魅力,而是Internet飞速发展和它日益受到的安全威胁对我们工作和生活带来的巨大影响。仔细观察一下我们周围的信息环境,许多都缺乏有效的安全机制,也许有种种的原因,但有一个因素是关键的,甚至是肯定的,部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。
大多数的技术学科都有理论家和实施者,信息安全也不例外,正所谓,我们认识问题要从宏观着眼,但是我们解决问题又需要从微观着手。宏观对于微观有一种指导的作用,微观又保障宏观能不能落到实处。很多安全专业人员理解信息安全的背景理论,但是除非安全系统能够置于应用程序(例如数据的传输、存储和处理)中的正确位置,否则他们的解决方案就不会起作用。另外,如果所用的安全解决方案没有在正确的过程中进行适当的管理(如:变更管理、事件管理、升级),那么所提供的安全级别就会随着时间而降低,直至所用的控制完全失效。
就国内的环境而言,信息安全技术的开发不够开放,缺乏统一的标准,对核心技术的基础研究还处在概念的阶段,并且商业操作的成分太多,缺乏实事求是的精神。信息安全产业无论是从规模和发展水平来看,都远不及应用软件产业,虽然两者都落后于世界先进水平。信息安全产业目前没有形成清晰完整的产业价值链,还处在从单一的安全技术向安全集成、安全管理、安全服务的过渡时期。
作为专业的信息安全人员,我们的使命是提供某种机制帮助客户建立有效的、灵活的安全体系结构,并保护其复杂的应用和资源,而我们又不得不面临不断变化的业务环境、应用程序的开发技术、计算平台、网络环境对安全提出的挑战。
“安全永远滞后于应用!”,深究其原因,我们很容易得到答案,因为在用户的眼中“安全“不是目的,“业务应用”才是,“安全”只是保障其“业务应用”的一种手段,但我们更希望强调的是“好的安全”同时也是促进“业务应用”的手段。正因为这样,作为安全专业人员,我们需要为用户构造一个最适合目前业务活动的“安全体系结构”。
例如:人们通常认为集中计算模型更可靠、更安全,管理更方便。而现在,很多公司已经将计算机资源广泛分布于企业内部或者企业以外很远的地点,再由中心进行虚拟管理,可见企业对IT的选择是方便“业务应用”驱动的,而不是安全驱动的。
信息安全的概念也是与时俱进的,过去是通信保密(COMSEC),昨天是信息安全(INFOSEC),而今天以至于今后是信息保障(IA- Information Assurance)。美国国家安全局(NSA)在IATFV3.1中提出了深度防御(Defense-in-Deepth)的概念,把信息安全上升到信息保障的高度,并提出了人(People)、技术(Technology)、操作(Operation)三方面并举的核心策略,基于这个核心,IATF定义了各种环境下的安全需求和技术方案的框架,对现有的信息安全技术提出了许多新的挑战。
三个因素:人、技术和操作,它们是有层次关系的,人是打底座的,是根本的;技术是顶端的东西,但是技术是要通过人,通过相应的政策和策略去操作这个技术的。
在信息保障的概念下,把信息安全保障分出了四个环节,而不只是三个环节了,它们是PDRR,即保护(P)检测(D)、反应(R)、恢复(R)。认为这些是信息保障必须的环节。
安氏中国正是以这种PDR2的模型来实施他们的安全工程。
除了信息保障的概念以外,纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
趋势
技术/产品
公司
智能
Deep Inspector
NetScreen
Application Intelligence
Checkpoint
整合
实时事件关联、处理
OpenService
Tivoli SecureWay
IBM
天玥网络安全审计系统
启明星辰
管理
Enterprise Security Manager 5.5
Symantec
VigilEnt Security Manager Suit
NetIQ
企业安全计划 ESP
绿盟科技
三个趋势中尤其以“管理”最为突出,如果说以业务应用为中心的安全体现结构就像机器,那么安全管理就像油,机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题,那么安全体现结构提供的安全也将收到损失。而且,安全体系结构的管理与维护相比与其设计、部署要困难的多,因为设计和部署都有明确的开始和完成的时间,而安全管理,则是一个没有真正完成时间的过程,它伴随整个业务应用的生命周期。
而真正的安全概括起来必然
安全要以业务和相关的应用为中心
安全涉及到人/技术/操作三个方面
安全资源具有分布性/动态性/异构性
防御不仅仅在边界而应是多层次的
安全需要不断的实践和有效的管理
安全的发展更需要标准化
想到这里,想起了中国的WAPI标准的风波之事,不由得很是难过,中国就不能够将自己的标准发扬光大么,尤其是信息安全关系国家战略发展的重要标准竟然也落得如此下场。
政治游戏始终玩弄着爱国者的激情。