资深网络安全顾问?曹鹏
??信息安全的具有的CIA三要素保密性、完整性和可用性,决定了任何安全方案不可能把一蹴而就设计完成并且实施。使用者在项目没有实施前都期望自己的安全可以最大化,这符合人们对于安全的期望,可是最安全的数据是放在真空中的硬盘,是没有任何人可以接触的东西,相对来说当保密性最大化的时候,任何信息的可用性就减低为零了,换句话说看起来不错的安全规划实施以后可能没人喜欢它过于严格的策略和对性能操作带来的影响,这就是信息安全,你需要不停的去权衡,反复考虑并计量所有你能控制到的元素和安全类别,然后去组织出一个可以被大多数人接受的方案出来。即使这样,一旦安全项目实施后,抱怨和对新操作不理解的求助就会通过电话向你袭来,你可能疲与于应付甚至到最后不得不更改你认为完美的安全策略,安全间隙越来越大直到所有的人感觉对此失望。今天的安全不再是简单的产品采购项目,需要更多从系统工程安全标准中寻找好的经验和方法。
??为什么需要去做安全,也许是因为有黑客有病毒有各种各样的攻击手段等等,但想想看这并不全面,因为今天我们所处在是一个信息时代,信息是以一种资产的形式出现,所以同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失。安全项目中会有一些环节困扰着客户,比如产品的选择,技术的选择,合作伙伴的选择,笔者就这些问题谈一些经验看法。
??技术的选择,别只看重有形的产品
??很多用户感觉既然投资了就应该购买可以看的到摸的着的安全产品,好象只有这样投资才可以有所收益。其实这方面失败的经验很多,看看最近3年的病毒肆虐和黑客事件,你会发现很多用户其实都购买了专业杀毒软件和防火墙或者入侵检测设备的,但是真正问题出现的时候防护能力还是不堪一击的。尤其是现在的蠕虫病毒将病毒自动传播和漏洞应用结合在一起,以前那种以文件为重点防护的杀毒软件面临了非常大的新技术上的挑战,效果已经大不如前了。在这里我的建议是将安全投资分别投入到使用和管理人员安全培训、专业安全服务和安全产品中去,而且最合适的项目比例应该是1:1:1。换句话说,产品投资在整体的安全项目中并不应该有现在这么高的比例,不妨下次在安全项目中换个思路去考虑会有不错的收获和惊喜。
??产品的选择,性能好可能并不代表什么
??两个防火墙测试,一个最大吞吐量是99M,另一个是97M,当价格一样的时候我们真的就要去选择那个99M的吗,我看并不一定。安全产品不是传统的网络包转发的设备,性能仅仅是为实现更多检查功能的铺垫,如果光有好的性能安全控制功能不够强大也是种浪费。对于安全产品的选择,笔者认为关注功能上的测试应该比性能上的数据来的实用的多,同样稳定性也要比那几百万的并发连接数来的实在的多。
??合作伙伴的选择,远比技术产品来的重要的多
??在安全行业里,我们可以说做全线安全产品很普通,放眼一看国内有近百家信息安全公司大多数都有自己的全系列安全产品,所以说做产品其实并不难,很多大学生毕业设计都可以做出防火墙入侵检测和GAP这些东西来。在产品中能做出自己的创新技术就比较厉害了,看看国内、国外核心厂家的产品哪一个不都是靠自己的创新技术来打市场的。当然最最厉害的就是完全按照标准规范做事情的厂家产品了,质量体系服务体系有ISO900X系列,开发有CMM系列能够完全按照这些标准做事情的厂家做出来的产品肯定错不了。信息安全和时间有非常大的相关性,选择安全产品也不能不关注产品厂家在行业里的生存能力和技术后续发展的升级能力,有时候我们说选择一个好的合作伙伴要比选择一个产品要重要的多。
东软网络安全 微信号:Neusoft_NetEye
