解剖安全產(chǎn)業(yè)之"安全"(上)
作者:
洪蕾 蘇娟 來源:
CIW 發(fā)布時(shí)間:2006年04月25日 點(diǎn)擊數(shù):
盡管很熱鬧�,但安全還是一個(gè)尚年輕的產(chǎn)業(yè)���,有著自身的陣痛和迷惘:商業(yè)公司掌握著信息安全的最前沿技術(shù)����,可往往只注重商業(yè)競(jìng)爭(zhēng)���,而忽略了安全管理�;另一方面,從企業(yè)的認(rèn)識(shí)來看���,安全就是產(chǎn)品的不斷升級(jí)�,而對(duì)于整個(gè)產(chǎn)業(yè)來說��,安全產(chǎn)品無論如何升級(jí)都只能起到縮小邊界的作用���,并不能徹底杜絕安全隱患……
問渠哪得清如許����,為有源頭活水來���。安全很重要�,安全產(chǎn)業(yè)的健康發(fā)展更重要�。
隨著信息應(yīng)用范圍的不斷擴(kuò)大,在歷經(jīng)2005“井噴”之年后����,信息安全也在自我“修身”��,產(chǎn)業(yè)發(fā)展焦點(diǎn)從一般性信息安全保護(hù)向特定領(lǐng)域的應(yīng)用安全保護(hù)位移�����。在此之間,企業(yè)對(duì)深度安全的關(guān)注使得安全建設(shè)回歸到理性,即從最初的“重信息化建設(shè),輕安全體系構(gòu)建”發(fā)展到“安全意識(shí)的形成�����,并且希望在企業(yè)內(nèi)部實(shí)現(xiàn)安全”�����。
與此同時(shí)�����,個(gè)人用戶也不再僅僅滿足于基礎(chǔ)安全建設(shè),轉(zhuǎn)而更加追求安全實(shí)效�����。城頭變換大王旗����,你方唱罷我登場(chǎng)�����。來自信息技術(shù)領(lǐng)域的安全威脅天天在變��,用戶對(duì)于安全的需求也日新月異�。那么���,如何確保年輕的安全產(chǎn)業(yè)走上安全穩(wěn)妥的發(fā)展之路����?
4月20日,以“應(yīng)用安全�����、服務(wù)創(chuàng)新”為主題的中國第七屆信息安全大會(huì)規(guī)?�?涨埃扇菁{五六百人的會(huì)場(chǎng)不僅座無虛席,還另有兩百多名聽眾站著聽完全天的大會(huì)。 二十幾家國內(nèi)外的安全龍頭企業(yè)匯集一堂�,安全界的重量級(jí)專家也悉數(shù)到場(chǎng)。在現(xiàn)場(chǎng)我們得到這樣的信息:從追求安全建設(shè)轉(zhuǎn)為追求安全實(shí)效���;從關(guān)注安全技術(shù)轉(zhuǎn)為關(guān)注技術(shù)背后的人��;從單打獨(dú)斗轉(zhuǎn)為構(gòu)筑安全聯(lián)盟的長(zhǎng)城……應(yīng)用安全、資源整合��、服務(wù)創(chuàng)新已經(jīng)成為安全產(chǎn)業(yè)的發(fā)展趨勢(shì)和必要條件�。
大會(huì)的會(huì)刊《安全‘世界杯’》從四個(gè)方面對(duì)企業(yè)的信息安全工作提出了建議。
管理安全才安全
從企業(yè)重視安全���、自發(fā)建設(shè)到自覺執(zhí)行安全策略�,安全產(chǎn)業(yè)愈顯理性、成熟����,日益形成了在技術(shù)��、產(chǎn)品���、市場(chǎng)以及應(yīng)用發(fā)展層面的完整產(chǎn)業(yè)效果����。安全產(chǎn)業(yè)中����,安全管理正在成為新的熱點(diǎn)。
作為信息的承載者��,互聯(lián)網(wǎng)最大的缺陷就是開放性和不可管理���,導(dǎo)致企業(yè)連入互聯(lián)網(wǎng)后���,企業(yè)的內(nèi)部系統(tǒng)便處于無處不在的安全攻擊威脅中。P2P�����、IM等網(wǎng)絡(luò)新型應(yīng)用的出現(xiàn),也要求企業(yè)作答日益廣泛的隨之而來的安全防范問題���。網(wǎng)絡(luò)安全本身已不單單是一個(gè)安全問題�,而是置身于更為廣大的網(wǎng)絡(luò)通訊系統(tǒng)環(huán)境中���。如何防止病毒和不安全信息的擴(kuò)散�,這是安全廠商面對(duì)的考題�。
提到這些問題就必然要提到安全管理。管理分為不同的層面����,站在產(chǎn)業(yè)高度,安全領(lǐng)域的管理和技術(shù)不可或缺�����。實(shí)際上��,管理和技術(shù)是密不可分的有機(jī)組成���,且兩者的權(quán)重?zé)o形中左右著信息安全的走向����,但管控乏力也是目前信息安全發(fā)展中暴露出的不爭(zhēng)事實(shí)。面對(duì)高度復(fù)雜的信息網(wǎng)絡(luò)環(huán)境����,管理問題特別需要人們的加倍重視。千頭萬緒中��,統(tǒng)一的管理機(jī)制��、強(qiáng)化的法律威懾�,應(yīng)得到優(yōu)先提高和加強(qiáng)����。對(duì)這一點(diǎn),與會(huì)者達(dá)成了共識(shí)�。
面對(duì)越發(fā)頻繁和花樣翻新的安全特色威脅,技術(shù)基礎(chǔ)���、政策導(dǎo)向以及用戶認(rèn)知是缺一不可的三大元素�����。要使每一個(gè)產(chǎn)品都將其功能發(fā)揮到極至�����,必須明確部署前期的安全策略�����。
會(huì)上�,微軟(中國)有限公司首席技術(shù)執(zhí)行官李志霄向聽眾分享了他對(duì)安全管理策略的理解:“安全的產(chǎn)品必須有共通的設(shè)計(jì)原則,必須包含安全源代碼�、安全默認(rèn)值,落實(shí)安全部署和加強(qiáng)安全認(rèn)知�。目前,所有IT系統(tǒng)都具備軟����、硬平臺(tái),要保證其基本安全性�����,須保證互聯(lián)網(wǎng)保護(hù)模式����,用戶身份訪問控制,以及靈活方便的身份認(rèn)證系統(tǒng)�����。數(shù)字保護(hù)手段強(qiáng)調(diào)四大策略:系統(tǒng)設(shè)計(jì)符合安全守則、開發(fā)人員統(tǒng)一培訓(xùn)機(jī)制��、安全工具簡(jiǎn)單適用����、需要保障平臺(tái)安全性?����!?
確保應(yīng)用更安全
2005年歐洲工商管理學(xué)院的兩位教授聯(lián)合編寫了一本名為《藍(lán)海戰(zhàn)略》的書���,一經(jīng)出版就在企業(yè)界引起轟動(dòng)。書中談到企業(yè)在市場(chǎng)上取得成功的新導(dǎo)向��,即超越產(chǎn)業(yè)競(jìng)爭(zhēng)開創(chuàng)全新市場(chǎng)���。李志霄在分析信息安全發(fā)展趨勢(shì)時(shí)指出�,如今黑客攻擊已經(jīng)從網(wǎng)絡(luò)層進(jìn)入到了應(yīng)用級(jí)別���。與之相對(duì)應(yīng)的是用戶安全意識(shí)的轉(zhuǎn)變��,從一開始目光就聚焦在基礎(chǔ)安全��,從防病毒�,防火墻等轉(zhuǎn)入到現(xiàn)在越來越關(guān)注不同網(wǎng)絡(luò)層次、應(yīng)用層次����、傳輸層次的深度安全。
在產(chǎn)業(yè)需求轉(zhuǎn)變的前提下���,安全企業(yè)應(yīng)當(dāng)及時(shí)從技術(shù)的自我陶醉中抽身出來���,放眼到用戶的感受和需求。與此同時(shí)�,聯(lián)想網(wǎng)御技術(shù)總監(jiān)馬虔借用“藍(lán)海”這一話題引出了安全領(lǐng)域的處女地——應(yīng)用安全����。他說:“在傳統(tǒng)的紅海戰(zhàn)略里面到處充滿了競(jìng)爭(zhēng),最后很多企業(yè)發(fā)現(xiàn)�����,自己總是在關(guān)注如何挫敗市場(chǎng)里的競(jìng)爭(zhēng)對(duì)手��,而不是為客戶提供需求,解決客戶問題���,這樣企業(yè)會(huì)離客戶越來越遠(yuǎn)�����。不可否認(rèn)競(jìng)爭(zhēng)總是存在的����,但是只有超越競(jìng)爭(zhēng)�����,真正為客戶創(chuàng)造價(jià)值�����,才能夠?qū)崿F(xiàn)企業(yè)和客戶的雙贏�?!?
記者在會(huì)場(chǎng)得到這樣一則信息:就目前的安全現(xiàn)狀來說,每個(gè)安全廠商都是基于自己的安全產(chǎn)品來制訂產(chǎn)品應(yīng)用方案����,即使號(hào)稱能夠提供全套解決方案的廠商����,也都是基于自己的產(chǎn)品而對(duì)安全問題進(jìn)行的假設(shè)����,這種產(chǎn)品本位的安全思想具有很大的局限性,它嚴(yán)重阻礙了企業(yè)的安全進(jìn)程��。而事實(shí)上�,每個(gè)行業(yè)都有不同的業(yè)務(wù)流���,因此對(duì)安全有更加個(gè)性化的需求,從而滋生以應(yīng)用為主要目的應(yīng)用安全�����。
