就在几年前,信息安全仍是相对平静并不大引人注目的领域,防火墙、防病毒、入侵检测、虚拟私有网络、认证令牌、安全漏洞扫描及修复等等安全控制措施似乎已经已经很成熟并且能胜任各类业务令牌系统和数据的安全保护需求。
但是近两年的恶性安全攻击事故让人们仿佛失去了信仰,在简单的IP、ARP欺骗和拒绝服务攻击下,防火墙不堪一击;网上交易领域的多重认证大佬RSA令牌也被黑客拿下;安全证书颁发机构被攻破导致虚假证书被大量发放……
新的科技如IPv6、云计算和移动设备更是让传统的安全基础架构无所适从,基于互联网的云计算使企业网络边界被打破,企业移动应用让终端管理成挑战,IPv6加密通讯更是让网络监控审计系统和防火墙访问控制列表成为摆设。
为了积极备战,多数用户开始使用综合强大的安全保卫系统,特别是大型公司以及政府行政事业单位纷纷开始重塑信息安全基础架构设施,国家政策也大力扶植本土信息安全厂商,不仅拨大量基金支持创新的安全技术项目,更是为符合条件的安全公司和人才提供各种政策方面的优惠措施。
信息安全产业立即火热无比,可谓欣欣向荣、朝气蓬勃,各种类型的消费者加大了安全投入是最大的拉动力量,投资界也看好未来的发展势头,众多信息安全概念股前赴后继陆续挂牌上市。
然而,尽管自主产权的信息安全技术不断问世,安全相关专利登记数量飞速增长,令人忧虑的是多数专利产品都停留在应用层面,底层核心关键技术仍然严重依靠外援,这一点儿都不令人轻松,举例来讲,IPSEC被广泛应用于多数VPN产品中,不过在其成为主流十几年之后才被爆出存在严重安全后门,想想在这十来年中,后门控制者在受害者不知情之下窃取了多少加密通讯内容!
实际上,比核心技术缺失更严重的是安全体系的不充分,安全控管上重技术轻管理,安全技术上重建设轻运营,安全产品上重硬件轻软件,安全平台上重系统轻内容,安全管理上重物质轻精神,安全培训上重精英轻大众……在瘦终端和网络相对隔离的时代,这些体系的不充分对安全结果的影响可能并不明显,然而在网络接入和移动终端无处不在的年代,依据木桶理论,这种偏颇会造成严重的失衡,进而使安全体系漏洞百出、安全事故层出不穷、安全损失不可估量。
要解决这些因安全体系不全面不充分带来的不良影响,一方面,信息安全三分技术七分管理,管理跟不上,技术会迷失方向,所以要从高阶管理层的安全观念改变出发,提升安全治理和管理的水平;另一方面,加强对最终用户的安全意识培训,提升大众的安全基础知识和防范技能,只有全民的安全素质得到提升,安全防范体系的总体综合水准才会随之上涨。
最后,再次提醒各位信息安全负责人,在进行信息安全架构重建的关键时刻,要牢牢把握难得的历史机遇,在对高阶管理层和全体员工的安全意识培训方面“两手抓”,方能获得全面稳固的安全管理体系,进而保障业务的持续安全运营。
