大型企业开始改造整个信息安全架构以适应新变化

就在几年前,信息安全仍是相对平静并不大引人注目的领域,防火墙、防病毒、入侵检测、虚拟私有网络、认证令牌、安全漏洞扫描及修复等等安全控制措施似乎已经已经很成熟并且能胜任各类业务令牌系统和数据的安全保护需求。

但是近两年的恶性安全攻击事故让人们仿佛失去了信仰,在简单的IP、ARP欺骗和拒绝服务攻击下,防火墙不堪一击;网上交易领域的多重认证大佬RSA令牌也被黑客拿下;安全证书颁发机构被攻破导致虚假证书被大量发放……

新的科技如IPv6、云计算和移动设备更是让传统的安全基础架构无所适从,基于互联网的云计算使企业网络边界被打破,企业移动应用让终端管理成挑战,IPv6加密通讯更是让网络监控审计系统和防火墙访问控制列表成为摆设。

为了积极备战,多数用户开始使用综合强大的安全保卫系统,特别是大型公司以及政府行政事业单位纷纷开始重塑信息安全基础架构设施,国家政策也大力扶植本土信息安全厂商,不仅拨大量基金支持创新的安全技术项目,更是为符合条件的安全公司和人才提供各种政策方面的优惠措施。

信息安全产业立即火热无比,可谓欣欣向荣、朝气蓬勃,各种类型的消费者加大了安全投入是最大的拉动力量,投资界也看好未来的发展势头,众多信息安全概念股前赴后继陆续挂牌上市。

然而,尽管自主产权的信息安全技术不断问世,安全相关专利登记数量飞速增长,令人忧虑的是多数专利产品都停留在应用层面,底层核心关键技术仍然严重依靠外援,这一点儿都不令人轻松,举例来讲,IPSEC被广泛应用于多数VPN产品中,不过在其成为主流十几年之后才被爆出存在严重安全后门,想想在这十来年中,后门控制者在受害者不知情之下窃取了多少加密通讯内容!

实际上,比核心技术缺失更严重的是安全体系的不充分,安全控管上重技术轻管理,安全技术上重建设轻运营,安全产品上重硬件轻软件,安全平台上重系统轻内容,安全管理上重物质轻精神,安全培训上重精英轻大众……在瘦终端和网络相对隔离的时代,这些体系的不充分对安全结果的影响可能并不明显,然而在网络接入和移动终端无处不在的年代,依据木桶理论,这种偏颇会造成严重的失衡,进而使安全体系漏洞百出、安全事故层出不穷、安全损失不可估量。

要解决这些因安全体系不全面不充分带来的不良影响,一方面,信息安全三分技术七分管理,管理跟不上,技术会迷失方向,所以要从高阶管理层的安全观念改变出发,提升安全治理和管理的水平;另一方面,加强对最终用户的安全意识培训,提升大众的安全基础知识和防范技能,只有全民的安全素质得到提升,安全防范体系的总体综合水准才会随之上涨。

最后,再次提醒各位信息安全负责人,在进行信息安全架构重建的关键时刻,要牢牢把握难得的历史机遇,在对高阶管理层和全体员工的安全意识培训方面“两手抓”,方能获得全面稳固的安全管理体系,进而保障业务的持续安全运营。

信息安全产业破局在普及信息安全意识

security-the-future
IT领域的技术安全专家们通常不认为安全意识教育是信息安全管理体系的重点,教育员工似乎只是很简单的安全事务,并不需要多少安全方面的“硬”能力,信息安全高手的价值似乎应该在发现信息系统或流程中的安全漏洞。

另一方面,中国顶级黑客们却认为国内缺乏系统安全漏洞的专业挖掘者,实际上值得尊重的会独立挖掘漏洞并能能力进行设计和编写攻击程序的技术高手不超过5个。大多数都是在行业里混,简单讲都是只会简单编译利用代码的“脚本小孩儿”。

那规模庞大的地下黑产呢?无疑白帽子黑客并不屑于这些不讲道德的丑恶行径,技术高手们也不至于下流到骗广大小老百姓的血汗钱财。聪明的安全高手们一方面天赋异常,出生高贵;另一方面能洒脱到不受环境影响,十足的理想主义者。

中国在信息技术方面仍然在奋起直追,但创新环境仍然很落后,成功的准则是快速复制。信息安全领域方面,也是注重表面应用忽视基础研究,整个行业整个大环境如此,混迹于其中的安全从业者能有多大能耐有所突破有所建树有所不同呢?

我们不是打击国内计算机网络信息安全从业者的自信,我们缺乏的是基础理论研究和普世安全理念,核心的安全基础技术研究需要大量的投入,走出国门的大型跨国公司已经不再服于国际大玩家们在知识产权特别是专利权的压力而加大了研发力度,国内也在逐渐强化对知识产权的保护力度,相信在信息安全基础技术研究上中国会引来明媚的春天。

大环境的改善需要时间,从业人员不懂安全理论只知“按图索骥”、“照葫芦画瓢”地在安全应用层面瞎折腾的做法已经害人不浅,需要认真反省。倘若偏爱某家产品的防火墙管理员不懂访问控制理论,您能指望出入站安全规则得到正确的配置吗?再说了,五百家公司研发出五百个防火墙有本质的操作区别吗?昆明亭长朗然科技有限公司信息安全顾问James Dong接触了不少有识之士,大家都表达了几乎同样的观点和担忧,能改变这种现状的有效方法是普及信息安全基础理论知识。

普及信息安全基础理论知识说到底是在一定范围内进行信息安全意识教育培训以及各类宣传活动,这不仅利于个人和部门,更利于整个业务群体以及整个国家层面的产业升级大计。

简言之,掌握核心创新科技,占领丰富利润领域,需从安全意识教育抓起。让各个层面的使用者不仅了解到信息安全需要“如何”做,更要知道“为什么”要这样做。