计算机世界记者 王翌
“国内信息安全服务领域面临的最大问题,可能首先是整个行业的诚信问题,这个问题不解决,国内信息安全服务就无法得到用户的认可,更谈不上产业的形成。去年东软协助公安部门破获的一起案件就很能说明问题。”在刚刚结束的2004中国CSO年会上,东软网络安全事业部总经理曹斌博士向记者讲述了一个故事。
反面教材
2003年某月,某省级电信运营商的网络遭到了连续不断的攻击,几乎导致全省网络服务的中断。作为公共通信服务的提供者,电信运营商每天都会遭遇各种形式的黑客攻击。一般情况下,运营商是不愿意将此类事件报告公安机关的,一方面“面子问题”,另一方面,平时的攻击虽然很频繁,危害却不是很大。但这次的攻击有点儿不同寻常,黑客攻击的手段比较高明,似乎对该运营商的网络系统了如指掌,虽然运营商投入了所有技术力量进行抵御,该黑客的攻击却愈演愈烈,甚至在一段时间内,各地网吧的业主都跑到了运营商的大门前抗议。
此事很快引起了上级主管部门的注意,有关领导甚至曾表示,若实在无法找到肇事黑客,宁可让该运营商暂时停止提供网络服务。运营商在万般无奈的情况下,求助于当地公安机关,在东软网络安全工程师的帮助下,最后终于破案。而案件告破时才发现,这次攻击的发起者居然是一个提供安全服务的小公司的员工。案情其实很简单──该运营商曾经向这个小公司寻求网络安全评估服务,但由于结果不理想,运营商不愿付款。于是,曾为该运营商的网络做过安全状况评估的技术人员在掌握了其大量系统漏洞资料的情况下,轻而易举地利用遍及世界各地的上千台“肉机”发动了持续的大规模攻击,以图报复。
听起来有些不可思议,一个省级电信运营商的网络安全外包服务竟是如此脆弱,以致一个小公司管理上的不规范就能导致全省网络的瘫痪。
为什么会出现这种事情?信息安全服务的“后门”到底在哪里?
用户自己开了后门?
据曹斌介绍,信息安全服务从低到高可以分为三个层面:最低的一个层面就是简单的系统维护、产品安装和方案实施等,基本上是围绕产品和方案的销售来为用户提供的服务,这对厂商的技术实力要求并不高,任何一个拥有成熟产品的公司都可以在其产品售后服务的基础上开发相应的初级服务;第二个层面是安全的咨询和评估,这就需要一定的技术水平,但也是最容易形成产品化的服务,由于需要与客户之间进行更多的沟通,需要更深入地理解客户的数据网络及信息系统,安全评估和咨询已经成为今天信息安全服务的主要方向;第三个层面就是应急响应服务,也就是针对网络及系统安全事故所提供的专业服务,包括应对黑客攻击、病毒侵入等,但由于需要非常专业的技术,目前市场上真正能提供应急响应服务的企业非常少,而随著国家对信息化安全的重视,扶持本土具有一定规模的信息安全服务企业以逐步承担起国家重要部门的信息安全服务已经成为业界的共识。
但是在目前国内“最热闹”的安全咨询与评估领域,诚信问题正成为整个行业持续发展的最大阻力,其中蕴藏的风险甚至远非本文开头那个小故事可比。
曹斌认为,由于安全咨询与评估是目前利润较高的那类安全服务中最容易做成产品的,所以,大部分提供安全服务的企业目前都将注意力集中在这里。按理说,竞争应该是件好事,但在这个领域出现的一些怪事(如前文的反面案例)却已经对整个行业的发展造成了很不好的影响。
“现在要做安全评估好像越来越容易了,很多小公司就是十几个人甚至几个人也敢接大公司的单,事实上,需要安全评估服务的企业也确实没有太小的企业,所以安全评估的单一般都是大单。而那些打著安全服务旗号的小企业,往往是随便从网上下载一些黑客工具,比如漏洞扫描软件等,就用这些随手可得的软件来为企业做网络安全评估服务。”提起安全服务市场的一些怪现象,曹斌也感觉有些无奈,“这种情况的普遍出现也许是由于用户群尚不成熟。国内的用户其实对网络和系统安全的重要性还是没有足够的重视,所以一个省级电信运营商才会去找那么一家小公司来给自己做安全评估服务。考虑网络安全问题首先应该看的绝对不是成本问题,而是用户自身对网络安全有多高的要求,对于那些敏感用户,很可能在网络安全方面的投入会超过其系统前期投资的总和,但这也是值得的,因为一旦网络出现安全问题,损失的往往不只是其在网络建设上的投资,来自企业业务运营层面的损失可能更大。”
如果用户能够更加成熟更加理性地看待安全服务,也许就不会再出现自开后门的事情。要堵住后门,提供安全服务的企业是主力,所以挑选什么样的企业来做安全服务,就像找什么样的士兵来守城一样,一定要找正规军!
??规模产生安全感?
“显然,一个几人到十几人规模的小公司和一个像东软这样规模的大公司比较,其在技术、管理和员工素质等各方面的差距是不言而喻的。”曹斌对不同实力的企业提供安全服务的效果做了比较,同样是外包出来的服务,却有著天壤之别。
在技术实力上,那些有著长期技术积累的大型企业肯定远胜于同类的小公司,其对客户的承诺一般也较为可靠,而一些皮包公司抱著“只做一锤子买卖”的想法,在客户面前也许吹得天花乱坠,最终却往往是打一枪就跑了,客户损失了时间和金钱不说,最重要的是将自身系统的漏洞全都暴露出来,后门的隐患跑到前台!
在管理上,具有长期品牌积累的大型企业,都有一套严密的流程控制手段,对客户来说,安全服务涉及到的是其信息系统的核心,所以,对客户资料的严格保密本身就是一个挑战,而这种管理水平是小企业很难达到的。
至于员工的素质,也可能是最令安全服务企业的老板们头疼的问题,曹斌告诉记者,东软为客户做安全评估服务的员工一般是在学校里最“规矩”的学生,“我们知道很多国内和国外的同行都会找一些曾经的黑客来帮忙,甚至国内有些已经很成规模的企业还有过将单子转包给黑客来做的情况,因为黑客们在技术上肯定没问题,而且转包出去会降低很多成本,但在东软则绝对禁止这种做法。任何一个企业对黑客都很难构成完全的约束力,更何况与企业没有劳动合同的人员,而没有制度来约束的黑客,就只能靠他的自觉性,这显然是非常不稳定的因素,也许今天他会很听话地帮你给客户做安全评估,明天说不定就会去攻击你的客户,因为你给了他这个机会去靠近用户的系统。所以东软只是在研发队伍中引入了一些水平很高的黑客,尤其在产品测试过程中,黑客还确实有很大作用,但我们从来不让有过黑客历史的人接近安全服务领域。由于安全服务的特殊性,我们一般都是从学校里招一些应届生,这些人往往在学校里就是学生干部或者是老师们推荐的骨干,东软首先看重的是他们的人品。经过一年多的培养,由老员工带出来,‘根红苗正’,经验也丰富了,才让他们独立去做。否则不光我们信不过,用户也会怀疑。这些人的薪水也是相当高的,我们必须保证这个队伍的稳定性,你不能想象一个做安全服务的研发团队经常有人跳槽出去,这样的团队不会给客户带来安全感!”
显然,不同规模的企业在技术、管理和团队素质方面的差异直接导致其提供的安全服务水平也存在巨大的差距。但是单靠企业的力量是否就能彻底弥合安全服务自身的漏洞?曹斌认为,制度是成药,行业自律是必要的补品。
到底由谁来守门?
“其实,安全服务这个行业跟律师很像,是个非常专业的领域,同时又是个极特殊的领域,尤其是某些行业的安全服务,动辄便影响到公众的利益,比如电信、金融、司法、政府这些机构都是与公众利益高度相关的,像那个运营商出现的情况如果在金融证券甚至政府机构中重演,其危害是难以想象的!所以,我们一直希望这个行业能建立起一个健全的准入机制,针对每个从业者设立一套严密的资质认证体系,而且这个体系中要包括对企业和个人的两套方案。”曹斌对安全服务行业规范的呼吁恰恰反映了广大用户的心声,在已举办过两届的中国CSO年会上,记者都曾听到用户抱怨:“这个行业好像现在谁都可以做,我们也不知道谁做得好,谁做得不好,所以根本不敢交给他们去做,毕竟安全这个事情是容不得‘万一’的!”
一个健全的行业规范的形成,必须由上级主管部门牵头,整个产业的力量都投入进来,难度颇大。曹斌指出,若能先考虑从某些重点行业入手,由信息产业部、国家安全部门和该行业主管部门携手制订针对该行业的安全服务管理规范,也许是目前最好的解决办法。而在有些行业,现在已经开始出现的行业自律规约也正起著很大作用,不过诚信的问题归根结底不能完全靠自律,“制度才是最后的守门员!”
“安全服务中的诚信问题,折射出这个行业中存在的一些隐忧,要堵住安全服务的‘后门’,用户的重视、主管部门的支持、相关行业规章的完善以及从业者的自律一个都不能少。”曹斌最后满怀希望地告诉记者,“现在我们看到,在南方和东部的经济发达地区,用户已相当成熟,产业的发展已经逐步进入良性的轨道,对安全服务,用户正越来越有信心!”