|
网界网记者 赵晓涛 |
应用是信息安全体系不断发展的标杆和动力,衡量安全系统是否成功,最简单也是唯一的标准,就是看它能否适应应用的需求,这也是判定一个生态安全体系是否具有生命力最重要的砝码。
适者生存,这是《达尔文密码:生存竞争的十大丛林法则》一书中的真谛。其实很多商界人士也常乐此不疲地将其转化到市场竞争中来。对于国内蓬勃发展的信息安全市场,越来越多的专业之士提出了“技术适应应用”的口号,那么其生存状况又如何呢?
法则:技术适应应用
近几年新的安全技术、方案逐渐增多,但并非罗列产品就能保证安全,用户需要根据自身业务的特点加以选择,正确的经验是最佳应用 > 最佳技术。
在如火如荼的国内各个行业信息化建设中,信息安全已经逐步凸显其重要性。特别是近3年来,在国内整个IT市场增长放缓的时候,网络安全则是少数快速增长的子市场之一。
根据IDC公布的数字,中国网络安全市场从1999年启动,经过近6年的发展,已经取得22.6%的增长速度,并得到了国内用户的认可。
根据信息产业部的统计,国内目前增长最快的安全用户群体分别是:金融、教育、政府、能源以及大中型工商企业。其中,网络安全硬件、网络安全软件、网络安全服务则是增幅的大头。从传统的防火墙、VPN,到逐渐流行的IDS/IPS、内容过滤、安全认证、分布式全网安全方案,都已经出现了明显的行业化特征。
需要指出的是,当前有更多的厂商和国内用户开始重视网络安全方案与服务的定制化,一些成熟的如金融、电信行业在使用网络安全产品时,也意识到安全方案必须与自身的业务需求相吻合。
因此,记者的看法是,目前国内信息安全产业的模式将会走一条“技术与应用相适应”的路线。
据IDC分析人士披露,预期中国2006年的安全产品市场份额将会达到100亿元人民币。但如果安全厂商希望捕捉到其中的商业机会,则必须熟悉国内用户的行业特点和使用习惯。无疑,针对不同行业用户的新兴安全方案被广为看好,已经开始引导技术向市场转化。
演绎:应用拉动技术
应用并非一成不变,越发明显的行业特征逐渐细分了安全市场,新的安全技术只有符合特定行业的需求,才能确保用户业务的安全可靠。
金融:用数据链拉动安全
如前所述,由于国内各个行业的信息化程度不同,也导致了其对自身信息安全实施的差异。为了更好地配合各行业特殊的需求,众多具有特色的安全方案逐渐显现。
目前在国内信息化建设中,金融行业已经成为了起步较早、投入最大、程度最高的代表。毕竟金融行业作为国民经济的重要组成部分,其网络及信息安全直接关系到国家安全,在国家的信息安全保障体系中占有重要的地位。同时金融系统也属于国家政策要求实施安全等级保护的11大类关键信息基础设施中的重点系统。
由于金融行业的特殊性,金融机构的正常运作必须依赖于信息系统的安全可靠,以减少金融风险,从而保障客户的根本利益不受侵害。由于大部分金融企业的网络建设先后经历了分散式和集中式阶段,因此包含了多种的网络操作系统平台、多种网络协议、基于各种开发模式的业务应用;同时,金融网络系统是面向顾客的交易服务系统,其用户数会随时呈线型增长。
因此,对金融企业来说,单一的安全技术不能满足以上的复杂要求,企业需要在整体考虑的基础上,建立起完整的安全控制体系和保证体系,以保障信息的保密、可用和完整性。
目前针对金融行业的信息安全管理,在传统数据应用层上,加入了对整体网络安全的考虑,一些安全厂商已经和金融机构联手,将金融业组织或流程的管理方法与信息系统安全技术进行结合,以便体现对整个企业安全链进行统一管理的指导思想,同时也统一规范了企业内部人员的管理。
另外,有特色的金融安全方案已经逐步扩大了密码技术的使用,特别是在网络通讯、应用系统等各方面,大量应用高安全性的加密设备,如防火墙设备、可信操作系统、数字签名支付密码器、VPN设备和身份认证技术等。
同时,一些安全公司为金融企业设计了整体信息安全框架规划,从而把安全过程中的有关各方,如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的安全链中,以便有效地保障企业的网络安全和原有投资。
新华人寿IT经理杜大军表示,今后金融行业整体安全水平的高低,已经由传统的安全产品的比较,过渡到整体安全链之间的比较。
教育:内容过滤匹配全网安全
除了金融行业,近几年在安全方面动作较大的还有教育行业,特别是众多高校对于网络安全非常关注。众所周知,由于大学生群体的特殊性,近5年来高校校园网的安全事件层出不穷,特别是伴随着高校校园网可运营方针的提出,高校网络的压力骤增:病毒、攻击、私设代理、不良信息已经成为主要威胁。
大连大学网络中心主任王小庚指出,从以往的安全管理来看,以整体防御的方式确保每一台计算机的安全,对于学校来说只存在理论的可能性,但具体实践起来较为困难。因为很多高校只有数量极为有限的脱离教学任务的专职网管人员,而且他们对实际情况掌握的也不是很熟悉,一般只能完成学校网管中心的局部安全。
从目前来看,高校的计算机网络可分为4大功能类型:教师集中办公的微机网络、学生宿舍日常使用的微机网络、网管中心网络、学校职能部门,如档案室、会计室、校长室、试卷库等部门网络。
正是由于四个不同功能的网络对网络安全的要求是不同的,因此仅仅依靠少量网管实现整个网络的安全是不可能的。教师网络因为权限较大,所以主动染毒性非常强,但是由教师网络发起的对校园网络的内部攻击却非常少。网管中心的网络非常重要但是相对安全。学生宿舍网络由于约束力较差,病毒以及针对网络的内部攻击次数非常多。学校职能部门网络由于涉及到学校的重要信息以及相关考试的信息,所以对保密安全等级要求最高。
同时,由于教育部对于高校网络实名制以及对于整顿不良信息的规定,现在很多高校开始部署信息安全内容过滤与日志系统,而为了保证校园网的运营收益,一些规模较大的高校,也都在进行全网安全方案与认证计费系统的部署。
对于内容过滤,在近两年中很多高校已经开始部署,一些像8e6科技这样的专业公司,还专门推出过整合的内容信息安全方案。不仅能够移除不当网页内容,而且可以避免由于存取不适当的网站(蓄意或意外)给学校带来有害的法律责任和所费不赀的诉讼。
这类方案一般包括独立的软、硬件机体网络安全行为管理系统。而内建的内容过滤技术提供快速和高延展的效能。同时为了配合高校的部署,这类方案一般安装、设定、配置都比较简易,并且可以经由人工验证网址,存储由80种以上类别所组成的大量网页数据库。因此可以实现按使用者和群组指定不同的网站存取权限来自订网络存取政策。
对于全网安全方案与认证计费系统,高校与厂商已经开始联手,在学生网络中进行认证与客户端控制,并进行多种安全因素的绑定,同时在校园网针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。在这种策略下,高校整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。其中不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。
政府与大型企业:完善的内网安全设施
按理说,政府和企业属于不同的行业,不过在信息化方面确有惊人的相似性,他们一般都注重完善的网络基础设施建设,同时普遍具有内外网分隔措施,更重要的是,他们一般都有比较详细的规章制度,因此病毒也许不是他们最主要的问题,但是对于信息的保密性非常关注。
记者曾在去年出版的《应用新干线》上分析过,这两类行业的相似性主要在于他们对网络的可用性要求较高,都无法忍受网络出现单点故障,特别是对于信息加密与安全传输有独到的要求,反映在安全设计上,他们追求防火墙、IDS/IPS的部署,而且有比较全面的网管人员进行安全控制,同时他们对于VPN技术采用的也比较普遍。
另外,针对这两类行业服务器相对较多的情况,一些安全专业厂商已经开发了针对主要应用服务器的虚拟化,使得即使虚拟机出现问题,主要数据和服务仍然可以很快得以恢复。
同时,一些主要政府部门还培养了攻击捕获手,针对攻击展开了针锋相对的网络捕获。这样政府对违法攻击就可以追查到具体的攻击IP,为从法律角度维护网络安全提供了事实依据。
目前,这两类行业已经普遍建立了补丁服务器,对所有安装的应用软件的补丁进行统一管理,对各区域的机器统一升级,使内网计算机针对各种漏洞的补丁达到了最快速度的处理,从而进一步全面保证了内网安全的落实。
绿盟科技的工程师表示,这两个行业的网络管理水平成长较快,像针对传统防火墙等安全设施的速度和控制问题,除了更新设备、增大容量以外,网管人员已经能够很好地对设备进行配置。
同时,针对安全设备的策略冲突问题,目前这两个行业采取的做法也比较类似,均采用由紧到松、逐步放开的策略,即先关闭相应功能,然后根据应用的需求,经过配置实践后再逐一打开相关功能。这样内部网络的安全也得到了一定保证。
而针对网络传输的安全性考虑,目前这两类行业都在积极采用IPSec VPN,有些则更加青睐SSL VPN。神州数码网络的产品经理杨燕群认为,在实施固定点到点的VPN和复杂应用的移动用户接入VPN 时,一般采用IPsec 技术;在实施普通应用的移动用户接入VPN 时,通常采用SSL 技术。
无论采用哪种方式,都可以满足用户的需要,VPN技术可以最大限度地保护着两类行业的信息安全传输,特别是对于存在众多分散机构的企业,不仅为企业的员工、合作伙伴提供对内网资源的安全远程访问,同时也消除了因为远程用户客户端的维护等带来的诸多不便。目前VPN的大力部署完全满足了应用的需求,具有很高的性价比。
生存:产品适应用户
用户随着业务的发展,在安全上的投入也逐渐成熟。理性地选择适合自己的产品,不仅是专业精神的体现,而且也间接推动了技术的走势。
其实不仅仅是上述这几大行业,越来越多的证据显示,安全产品、安全方案只有适应用户的业务发展,才会有市场。相应的,现在的用户越来越专业,他们对于安全产品的选择也有非常多的考量:适应自身的业务,同时也要适应自己的安全需要,在这方面,用户更多地选择理性,杜绝不必要的浪费。
在此,记者以发展快速的IPS产品为例,看看用户在挑选产品的时候,究竟如何考虑自身的情况与需求。
对国内用户来说,为了避免以“系统渗透”为代表的安全事件威胁企业信息安全,因此对于IPS设备的采购在2005年开始井喷。IPS的初衷是针对企业应用进行防御,由于所有流量都要从IPS中通过,保证了设备采取防御的时间。不过带来的问题是,深入包检测让人对于设备的性能有所担忧,特别是当防护选项全都开启的时候,而且IPS一旦出现误报,直接后果肯定比IDS大。
虽然心存疑虑,不过很多国内用户目前大都能依据自身的需求,开展有针对性的分析与测试,并选择适合自己的产品。
比如,根据主流的国内外第三方评测机构的报告,一般IPS产品都可以用吞吐率与延时作为通用的比较参数。但不少懂行的用户表示,必须结合自身的具体需要来看,否则很难讲其意义有多大。而这一用户的数量,已经占到了选购IPS产品用户的六成多。
虽然目前业内顶级IPS厂家众多,且其产品大都支持:HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式,以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN等。但用户仍然表示,需要了解IPS的性能评估数据不能是在“裸奔”或仅打开少量过滤器的前提下取得的。
同时,很多高校的用户为了能够正确选择适合自己情况的产品,他们也不满足单纯的流量测试方式,如单纯的UDP流量或单一的包长度。一些高校用户已经开始结合自身网络流量,采用较为真实的“72%的HTTP + 20%的FTP + 4%的UDP”流量模型,进行模拟测试。而一些政府机构,因为部署了VoIP应用,他们就会更加关心IPS的延时抖动问题,而且用户经常要在语音数据流中混杂一般数据模拟实际情况。
北京大学网络中心主任张蓓表示,用户之所以这样做,主要有两个原因:第一,用户的水平普遍有了提高,他们希望能够挑选适合自己情况的产品;第二,由于IPS产品的复杂性,只有适合用户情况的产品,才可能确保今后应用中的成功与高效益。
一位来自某政府部门的IT负责人曾向记者透露指出,他们单位的网络由于规划较早,带宽只有100Mbps,且由于工作性质原因,还没有升级的计划,因此虽然有厂家推荐高性能的IPS产品给他,但他还是青睐那些性价比较高、能够在64字节或者256字节条件下实现250Mbps线性吞吐的产品。
南京师范大学信息中心主任毛荣明表示,对于安全产品,高性能不仅意味着高成本,而且意味着需要更多、更专业的网管人员进行维护。而来自天津丰益化工的信息主管袁越指出,在公司大部分日常应用中,遇到五花八门数据包的情况极为少见,一般企业遇到的都是一些每秒最多100条TCP、25位新用户的HTTP协议,平均包长多为1000字节,因此它只需要普通的IPS产品就可以,但后期的维护成本与复杂性一定要低。毕竟,他不想给自己找麻烦。
所以说,国内用户应当根据自身的需求与网络流量特征,采用适合自身状况的IPS产品是必要的,而且是明智的。其实不仅仅是IPS,对于安全设备与解决方案来说,只有厂商的方案、技术适应了用户的应用需求,他们才是有市场、有前途的,反之则会被“安全进化论”所淘汰。
幸存者手记
记者在写这篇文章的时候,对于“老达”的理论,总是怀有一种由衷的钦佩。“物竞天择,适者生存”,对很多人来说,仅仅理解了“物竞”而忘了“天择”。在目前的IT圈子中,越来越多的人相信“人定胜天”,对于产业和谐共存的“适者生存”则理解的不够。
就像一位IT渠道商所说的,人们在与邻里相处时都希望和谐相处。一旦进入商战,却总想人为掐死对方。对于信息安全来说,区分这么多的行业,归纳这么多的方案,其内在因素无不体现着“适应”的道理。无疑,“老达”的进化论不仅作用于自然界,其理论所描述的每一个自然界竞争的细节,都会在社会竞争中重现。
翻看《达尔文密码》这本书,大家可以学会从适应环境到学会竞争的过程,对于IT厂商来说,适应用户,调整自己,赢得竞争,是每个渴望成功的厂商都必须经历的过程。而厂商们对待这种“竞争”的态度,则会决定其是生存还是灭亡。
作为媒体,我们希望看到有越来越多负责任的安全人士能切实从用户的需求出发,把自己的技术与用户的业务结合起来。对于信息安全方案,绝不是一家之言,而应是百花齐放。
咨询电话:
总部电话:
客服邮箱:
