大型企业开始改造整个信息安全架构以适应新变化

就在几年前,信息安全仍是相对平静并不大引人注目的领域,防火墙、防病毒、入侵检测、虚拟私有网络、认证令牌、安全漏洞扫描及修复等等安全控制措施似乎已经已经很成熟并且能胜任各类业务令牌系统和数据的安全保护需求。

但是近两年的恶性安全攻击事故让人们仿佛失去了信仰,在简单的IP、ARP欺骗和拒绝服务攻击下,防火墙不堪一击;网上交易领域的多重认证大佬RSA令牌也被黑客拿下;安全证书颁发机构被攻破导致虚假证书被大量发放……

新的科技如IPv6、云计算和移动设备更是让传统的安全基础架构无所适从,基于互联网的云计算使企业网络边界被打破,企业移动应用让终端管理成挑战,IPv6加密通讯更是让网络监控审计系统和防火墙访问控制列表成为摆设。

为了积极备战,多数用户开始使用综合强大的安全保卫系统,特别是大型公司以及政府行政事业单位纷纷开始重塑信息安全基础架构设施,国家政策也大力扶植本土信息安全厂商,不仅拨大量基金支持创新的安全技术项目,更是为符合条件的安全公司和人才提供各种政策方面的优惠措施。

信息安全产业立即火热无比,可谓欣欣向荣、朝气蓬勃,各种类型的消费者加大了安全投入是最大的拉动力量,投资界也看好未来的发展势头,众多信息安全概念股前赴后继陆续挂牌上市。

然而,尽管自主产权的信息安全技术不断问世,安全相关专利登记数量飞速增长,令人忧虑的是多数专利产品都停留在应用层面,底层核心关键技术仍然严重依靠外援,这一点儿都不令人轻松,举例来讲,IPSEC被广泛应用于多数VPN产品中,不过在其成为主流十几年之后才被爆出存在严重安全后门,想想在这十来年中,后门控制者在受害者不知情之下窃取了多少加密通讯内容!

实际上,比核心技术缺失更严重的是安全体系的不充分,安全控管上重技术轻管理,安全技术上重建设轻运营,安全产品上重硬件轻软件,安全平台上重系统轻内容,安全管理上重物质轻精神,安全培训上重精英轻大众……在瘦终端和网络相对隔离的时代,这些体系的不充分对安全结果的影响可能并不明显,然而在网络接入和移动终端无处不在的年代,依据木桶理论,这种偏颇会造成严重的失衡,进而使安全体系漏洞百出、安全事故层出不穷、安全损失不可估量。

要解决这些因安全体系不全面不充分带来的不良影响,一方面,信息安全三分技术七分管理,管理跟不上,技术会迷失方向,所以要从高阶管理层的安全观念改变出发,提升安全治理和管理的水平;另一方面,加强对最终用户的安全意识培训,提升大众的安全基础知识和防范技能,只有全民的安全素质得到提升,安全防范体系的总体综合水准才会随之上涨。

最后,再次提醒各位信息安全负责人,在进行信息安全架构重建的关键时刻,要牢牢把握难得的历史机遇,在对高阶管理层和全体员工的安全意识培训方面“两手抓”,方能获得全面稳固的安全管理体系,进而保障业务的持续安全运营。

互联网经济冲击信息安全管理咨询服务

信息安全的重要性不仅仅体现保障国家安全的网络空间安全层面,更是实体企业保障竞争力的现实需要。在信息安全产品和技术层面,尽管在业界存在不少争议和非议,奇虎360借助互联网的优势,通过提供免费的最基础的终端安全保护工具,迅速打破了传统的终端安全特别是防病毒软件被市场上几十家大小厂商瓜分的利益分配格局。

而在信息安全管理咨询服务领域,由于不需像防病毒厂商需要那么强大的技术积淀,入门门槛很低。一名有经验的顾问凭着自己数年积累下来的客户关系就可轻易成立一家企业并且生存下来。昆明亭长朗然科技有限公司安全服务市场分析员James Dong说:初步测算,在国内,将信息安全咨询服务作为产品之一的厂商至少有2000家。

通常,咨询顾问服务是一个虚实相结合的,即靠经验又靠忽悠的行业。信息安全行业也是如此,有几年行业工作经验的、领悟力等资质不太差的、稍稍勤奋努力的、甚至一些自学成材的和不学无术的马屁精们都能轻松入行并且担当大任。纯粹的骗子换上信息安全咨询师的马甲也难逃过甲方信息安全负责人的锐眼,毕竟客户在咨询顾问方面花钱都是在买知识建议、买解决方案,要解决自己不懂的或搞不定的事情。对行业没有一定时间的投入进行研习,肯定会露出马脚的。

信息是当今各类组织的重要资产,需要得到妥善保护。信息的保护不当可能严重威胁到组织的经营管理、持续运营甚至国家安全。保护好组织信息的安全,并不是安装防火墙系统或更新防病毒软件那么简单。尽管大量组织都已经部署了基本的安全防护措施,仍然抵挡不住安全威胁的发展速度,仍然会有各种安全事故发生,简单说,计算机网络信息安全对专业性和技能性的要求较高。

通常多数组织并没有足够的安全资质和技能储备,毕竟安全并不是多数组织的核心商业竞争力,所以组织可以通过购买专业的安全咨询服务来保障信息资产的安全。然而,最近一些年,国家从上至下逐级推动了多项网络信息安全战略计划,重点的行业在法规要求和政府监管之下,早已建立了相对初级的内部信息安全管理体系。

尽管这些战略性行业受到了不少国家政策的保护,但是和国际水平相比,仍然有较大差距,所以不少跨国公司便花大钱请洋顾问来布道,洋顾问们提供的安全咨询服务包括并不限于:安全规划、架构设计、风险评估、法规遵从如等级保护、安全产品选型、信息安全管理体系等等。

在国际视野方面,洋顾问们的理念无疑要领先国内很多年,然而,洋人们的经验往往适合欧美发达地区,在信息安全的战略、设计和规划方面可能和想“走出去”的中资公司的业务战略和规划并不一致,简单说,就是不懂中国特色。

最初的计算机网络信息安全服务往往停留在技术架构、产品部署和后期维护层面,显然不够全面也无法满足业务快速发展和对外扩张的新时代要求。亭长朗然公司James说:新时代的信息安全咨询服务是以信息安全战略规划、架构设计、方案设计以及合规为主的服务活动。能够做得好的,无疑是了解中西方文化差异的信息安全从业人员。所以,当碰到一位中文很跛脚的老外,您不能指望对方在信息安全咨询服务上能给多大帮助;同样,碰到一位见到英文信息安全文章或书籍就头皮发麻的中国人,也别指望能从那得到什么能让人眼睛一亮的信息安全思想源泉。

环顾国内,信息安全管理咨询服务行业呈现极强的封闭性、孤立性和偶然性,一盘散沙且各自为政。每家咨询公司都有部分固定的客户资源,又不断通过竞争开发新客户,在这你争我抢之中,缺乏高端创新,造就了灰色的地下权钱交易,并且浪费了大量的社会资源。

说到底,目前的信息安全管理咨询服务产业弊病太多,暮气沉重,有需求的少量高端客户难以获得高端的咨询,有需求的大量草根客户也无法低价享用基础性普及性的信息安全咨询服务。要解决这种问题,出路何在?亭长朗然公司James说:将信息安全管理知识经验进行标准化和产品化,再借用互联网经济的低价和高效,传统的“关系型”壁垒将被打破。然而,谁将担负起这一重任呢?我们盼望着破局者和产业革新者的出现。