问渠哪得清如许,为有源头活水来。安全很重要,安全产业的健康发展更重要。
随着信息应用范围的不断扩大,在历经2005“井喷”之年后,信息安全也在自我“修身”,产业发展焦点从一般性信息安全保护向特定领域的应用安全保护位移。在此之间,企业对深度安全的关注使得安全建设回归到理性,即从最初的“重信息化建设,轻安全体系构建”发展到“安全意识的形成,并且希望在企业内部实现安全”。
与此同时,个人用户也不再仅仅满足于基础安全建设,转而更加追求安全实效。城头变换大王旗,你方唱罢我登场。来自信息技术领域的安全威胁天天在变,用户对于安全的需求也日新月异。那么,如何确保年轻的安全产业走上安全稳妥的发展之路?
4月20日,以“应用安全、服务创新”为主题的中国第七届信息安全大会规模空前,可容纳五六百人的会场不仅座无虚席,还另有两百多名听众站着听完全天的大会。 二十几家国内外的安全龙头企业汇集一堂,安全界的重量级专家也悉数到场。在现场我们得到这样的信息:从追求安全建设转为追求安全实效;从关注安全技术转为关注技术背后的人;从单打独斗转为构筑安全联盟的长城……应用安全、资源整合、服务创新已经成为安全产业的发展趋势和必要条件。
大会的会刊《安全‘世界杯’》从四个方面对企业的信息安全工作提出了建议。
管理安全才安全
从企业重视安全、自发建设到自觉执行安全策略,安全产业愈显理性、成熟,日益形成了在技术、产品、市场以及应用发展层面的完整产业效果。安全产业中,安全管理正在成为新的热点。
作为信息的承载者,互联网最大的缺陷就是开放性和不可管理,导致企业连入互联网后,企业的内部系统便处于无处不在的安全攻击威胁中。P2P、IM等网络新型应用的出现,也要求企业作答日益广泛的随之而来的安全防范问题。网络安全本身已不单单是一个安全问题,而是置身于更为广大的网络通讯系统环境中。如何防止病毒和不安全信息的扩散,这是安全厂商面对的考题。
提到这些问题就必然要提到安全管理。管理分为不同的层面,站在产业高度,安全领域的管理和技术不可或缺。实际上,管理和技术是密不可分的有机组成,且两者的权重无形中左右着信息安全的走向,但管控乏力也是目前信息安全发展中暴露出的不争事实。面对高度复杂的信息网络环境,管理问题特别需要人们的加倍重视。千头万绪中,统一的管理机制、强化的法律威慑,应得到优先提高和加强。对这一点,与会者达成了共识。
面对越发频繁和花样翻新的安全特色威胁,技术基础、政策导向以及用户认知是缺一不可的三大元素。要使每一个产品都将其功能发挥到极至,必须明确部署前期的安全策略。
会上,微软(中国)有限公司首席技术执行官李志霄向听众分享了他对安全管理策略的理解:“安全的产品必须有共通的设计原则,必须包含安全源代码、安全默认值,落实安全部署和加强安全认知。目前,所有IT系统都具备软、硬平台,要保证其基本安全性,须保证互联网保护模式,用户身份访问控制,以及灵活方便的身份认证系统。数字保护手段强调四大策略:系统设计符合安全守则、开发人员统一培训机制、安全工具简单适用、需要保障平台安全性。”
确保应用更安全
2005年欧洲工商管理学院的两位教授联合编写了一本名为《蓝海战略》的书,一经出版就在企业界引起轰动。书中谈到企业在市场上取得成功的新导向,即超越产业竞争开创全新市场。李志霄在分析信息安全发展趋势时指出,如今黑客攻击已经从网络层进入到了应用级别。与之相对应的是用户安全意识的转变,从一开始目光就聚焦在基础安全,从防病毒,防火墙等转入到现在越来越关注不同网络层次、应用层次、传输层次的深度安全。
在产业需求转变的前提下,安全企业应当及时从技术的自我陶醉中抽身出来,放眼到用户的感受和需求。与此同时,联想网御技术总监马虔借用“蓝海”这一话题引出了安全领域的处女地——应用安全。他说:“在传统的红海战略里面到处充满了竞争,最后很多企业发现,自己总是在关注如何挫败市场里的竞争对手,而不是为客户提供需求,解决客户问题,这样企业会离客户越来越远。不可否认竞争总是存在的,但是只有超越竞争,真正为客户创造价值,才能够实现企业和客户的双赢。”
记者在会场得到这样一则信息:就目前的安全现状来说,每个安全厂商都是基于自己的安全产品来制订产品应用方案,即使号称能够提供全套解决方案的厂商,也都是基于自己的产品而对安全问题进行的假设,这种产品本位的安全思想具有很大的局限性,它严重阻碍了企业的安全进程。而事实上,每个行业都有不同的业务流,因此对安全有更加个性化的需求,从而滋生以应用为主要目的应用安全。
就产品本身而言,由于没有很好的集成,也严重影响到了应用的实效。目前我们安全产品的集成属于产品的叠加,产品之间没有统一标准的通信接口,和统一的整体解决方案以及互动联合协作,导致用户在选择产品的过程中只能繁琐地进行重复建设。
对此,国家信息化专家咨询委员会委员曲成义指出:要确保应用安全,安全厂商应当真正摆脱产品本位的思想,深入到行业内部、对一些典型应用进行深入的调查和研究,从而提出以应用为主的新型安全解决方案。
携手标准“固”安全
“一流厂商卖标准,二流厂商卖技术,三流厂商卖产品。”这句业界传播甚广的流行语凸显了标准的重要性。标准是技术演进的产物,技术积累与产品成熟更加强了安全产业对标准的诉求。
会上, 国务院信息化工作办公室吕诚昭副司长强调了标准的重要性。制定安全业自己的标准是稳固中国在国际舞台发言权的重要筹码,也是推动产业联盟的重要环节。据思科系统网络技术有限公司安全顾问卢佐华介绍,不久前举行的RSA大会上的一个热点话题就是建立一个安全的开放式架构。目前,在既有的安全标准中已有一些现有模式,如可信计算组织TCG最早的思路,就是在硬件设备中集成安全芯片,通过提供安全属性来保证设备终端安全。另外,还有一个著名组织IETF,即互联网工程任务组。
除了这两个组织一直致力于安全标准的开放联合合作之外,现在各个公司也在致力于这方面的工作,目的是在网上建立一个开放标准的验证模式,以便更好地在各个产品当中无缝集成和应用,解决网上交易以及相关认证方面出现的问题。
“安全是一个生态环境,是一个供应链,不可能只靠硬件厂商,也不可能只靠软件厂商来完成,必须要靠整个供应链,整个生态环境里面各个角色来完成。”构筑一条安全产业联盟战线也是参会企业代表的共同声音。在安全的生态圈中,任何角色都不会单一存在,厂商间的互动交流合作,才能构筑保障信息安全的新长城。
大会声音
国务院信息化工作办公室副司长 吕诚昭
现在高新技术产业的利润仅仅为1.9%。如果知识产权不能得到保护,利润率可能更低。因此,我们必须在国际形成核心计算标准的时候,也拥有自己的专利。我的观点是做标准研究,国内目前唯一能做到就是TPM。因而我呼吁我们的企业也要加入这方面的研究工作.
中国工程院院士 方滨兴
我们对信息安全属性提高结果没有一个量化,目前的一些指标体系没有直接的反映。就好比我们在比较一个设备,比较一个防火墙,更多比较的是自身的属性,没有一个直接对应,不能确定加了这个属性提高了什么样的量化。我们都缺少这方面的具体实践。
国家信息中心首席工程师 宁家骏
信息化不可能一步跨越,要明确需求,强化应用。反思信息化的特点我们可以看到,信息化建设和造一座桥梁不一样,这是一个软工程,属于行动工程。在这种情况下,我们更要强调协调性。
