《软件世界》 作者:娄奕娟 祁金华
这是一个机遇与挑战的年代,同时也是一个危机四伏的年代; 这是一个信息资源极度丰富的年代,同时也是一个安全意识和策略严重匮乏的年代。
IT时代经过多年的发展,T(Technology,技术)的含量已经得到了极大的提升和普及,而日积月累之后,就形成了大量的R(Resource,资源)。随着信息资源(Information Resourse,IR)在社会中占据越来越重要的位置,我们将走出以应用信息技术为主的IT时代,向应用信息资源的IR时代快速进发。
然而,对于信息资源,无论是其作用还是其安全,至今不曾有一个社会性的共识。就好像弱水三千,眼前只有一瓢,全然不见其他,更不知道如何才能够安全地、有效率地利用它。
同时,在这个系统漏洞和网络欺骗四处横行的年代,传统的网络结构已经无法满足安全需要,传统的三防(防病毒、防火墙、入侵检测)和3A(管理、认证、授权)手段也无法实现足够的安全防御。
安全,必须超越现有的一切手段,来创造一个可以信赖的网络空间。安全,必须全体动员,从接入终端到传输网络,直到服务器,每一个信息使用、传输和存储的环节,都必须建立在值得信任的基础之上。
我们不得不承认,在后IT时代,安全攻略将发生极大的变革。
尽管普及计算至今还没有成为现实,而安全保障必须无处不在。探寻这个时代的威胁所在,觅得这个时代特定的安全攻略,将是包括安全企业在内所有信息资源消费者的重任——因为安全早已经不是某一个软件或者产品就已经能够解决的问题,甚至不可能出现所谓的一揽子解决方案来保证安全。
以信息资源(IR)应用为中心,建立全新的安全体系,将是后IT时代的安全攻略。
从主机时代、PC时代、局域网时代、互联网时代到将来的IR时代,随着系统复杂性每一步的增加,要获得相当的安全性,总是需要付出越来越多的代价。
就如矛与盾从来都是共生的一样,对于信息系统而言,安全的问题永远都会存在,永远也都是一个不必隐晦的话题。只是,随着社会信息化进程的发展,攻防的转换和升级也在持续地进行着……
威胁高一尺
后IT时代 安全应该怎样?
在信息资源渐成这个时代的主角之后,信息利用的任何一个环节都不应该忽略安全,安全必须成为一种全民性的行为。
在这个对安全的需求必定会继续大幅增长的2005,如何准确地把握安全攻略?
首先,我们需要重新认识目前所处时代的安全特性。
在过去的一年中,信息资源的利用得到了热烈探讨,也加深了人们对它的认识。
中共中央办公厅和国务院办公厅在去年年末发布了《关于加强信息资源开发利用工作的若干意见》(以下简称:意见)认为“信息资源作为生产要素、无形资产和社会财富,与能源、材料资源同等重要,在经济社会资源结构中具有不可替代的地位,已成为经济全球化背景下国际竞争的一个重点。”
可以说,在信息基础建设大规模完成之后,该“意见”的发布,标志着我国后IT时代已经到来。必须利用信息资源创造出更多的价值,将信息化建设的成果推向前进。甚至可以说,一个新的产业,“信息资源产业”已然形成,这个产业将区别于以往所有的产业形态。它的发展将推动传统产业的改造,也将会推动我国的经济结构的变革与优化,甚至推动IR时代的到来。
该“意见”同时也指出“信息安全保障体系不够健全”,必须“加强信息安全保障工作”,这应该被看成是所有信息资源消费者的共同责任。
因此,如何保护信息资源,如何为信息资源创造出一种完备的安全策略,如何使得信息资源既有足够的安全性,又有必须的可用性,就成为了当下最需要解决的问题。
浙江电力的施永益先生说:“安全与信息资源还是有一定差距,涉及企业生产、经营、管理、服务等信息资产已经积累达十年以上。而企业真正实施信息资源安全防护只是近两年的事情。”
因此,我们必须借助包括政府、专家、企业等各方面的力量,找到在IR时代的新型安全攻略,以保障信息化建设的成果,并将信息化建设和信息资源的利用推向新的、更高的阶段。
如同所有其他的资源一样,不可能采用相同的手段来保护所有信息资源的安全。
也正如沈昌祥院士所说,对于信息资源,要坚持管理与技术并重,不能一刀切,不能对全部信息系统规定统一的安全要求,各类信息系统要有灵活多样的信息安全解决方案。
危险,不止于攻击
往日的破坏和攻击行为,在后IT时代,已经演变为对信息资源的非法利用,以便获得非法的经济利益,必须针对这种行为进行遏制。
在后IT时代,安全已经远远超越了原有的攻与防的概念。
企业要在激烈的市场竞争中存活,就要保护好自己的信息资源。否则,也许在一瞬间,企业就将随着信息资源的损毁而灰飞烟灭。CA公司产品市场经理谢春颖认为,现在信息资源已经成为了企业决策的依据,并且会嵌套在业务流程之中。对于企业来说,最大的危险已演变成了“信息资源不能够进行自动流程处理”。由于信息资源利用和业务流程的结合,安全的边界逐渐变得模糊,在可能的攻击之外,保证这种结合上的完整性和顺畅性,将是企业工作的重点所在。
今天的非法信息资源消费者的攻击目标已经从破坏和篡改数据以获得成就感,演变成了对信息资源实现非法利用而达成其追求经济利益目标的目的。必须采取措施,阻止这种非法行为的发生,保护企业的利益。东软安全事业部总经理曹斌认为:“最重要的是要监控网络中信息资源消费者的行为,要从以往的行为中分析特征,对于非法行为,要能够迅速采取安全措施。”
对于信息资源的安全要求,更重要的一点趋势就是需要保证其实时性安全。信息系统总会有漏洞和一些代码缺陷,而主要的软件厂商也会在每年发布超过75000个补丁。企业如果不及时打上补丁,就很有可能使得信息资源发生意想不到的变化。靠人工肯定不能完全解决,必须找到有效的安全应急措施,也必须发展第三方的安全支持服务。
当信息化成为企业日常运营的支撑、信息资源成为企业无形财富,而信息流占据企业运转的中心地位时,安全就成为信息资源的收集、传输、存储和利用的保障。
各个行业、各个企业对于信息的保密程度和信息流动的持续性有着不同的要求,因此对其安全性也有着不同的要求。但整个系统的可视、可控是摆在每个CIO面前急待解决的问题:资产在哪里?它们是否在可控之中?它们曾经遭遇到怎样的安全问题?如何保障以后它们不出事……
有威胁,就必须有应对措施。在传统的安全体系结构中,向来是“兵来将挡,水来土掩”,在攻击和威胁手段出现之后,才会采取相应的补救和防范措施。
然而,往日这种“头疼医头,脚痛医脚”的安全策略已经不再能够满足现在的需要,必须发展和应用新型的安全体系,保证信息资源的安全。
同时,对于很多企业而言,并不一定要求安全万无一失。它们需要在一定的范围内权衡,以便保证最佳的投资回报率。
安全高一丈
安全保守派
出于对ROI的控制,企业不可能无限制地提升安全性。只能尽可能地权衡利弊,重在管理而非纯粹通过技术达到安全需要。
“银行挂牌不能收电费的事件时有发生,用户无法通过银行及时缴纳电费,导致企业资金回笼放慢,还造成了社会影响的受损。”作为全国电力行业率先制定信息安全考核办法的企业,浙江电力现已把信息安全提到了较高的地位,“一旦电网实时调度系统或者存储系统出了故障导致电网的不可调度和操作造成停电,会对社会各行业将造成巨大的损失。因此公司领导提高了对这方面的重视程度,把信息安全从生产安全提升到了经济安全和政治安全的高度。” 浙江电力施永益介绍说。
通过网络从事破坏行为或者是涉及不健康行为的事件在网络时代时有发生,国家有关部门加大了对此类不法行为的查处力度,浙江电力在配合查处这方面的工作却做得不错。除了制度组织以及人力的保证外,技术支持功不可没,它配合管理措施的落实,还起到了一定的威慑力—在保障运营正常进行的同时,也为审计分析和事件的调查提供帮助。施永益介绍说,目前浙江电力把网络安全工作分五部分:全网统一防病毒、在网络关键节点布设起到防护作用的防火墙、有关微软平台的补丁自动升级、数据保护(统一的数据备份系统,其中所有防火墙所有的进出和链接日志做统一的保留,在磁带上保存6个月)、以及目前正在进行中的全网的IP地址授权。但施永益同时承认,要让安全做到无懈可击,就要在传输层、网络层、应用层和管理等方面都加以保障,但目前浙江电力在应用层较为薄弱,而现有的一些安全事件往往产生于此。
尽管已经认识到安全的重要性,但是大多数企业还是将安全的级别定义在一个狭窄的范围之内。很多企业依然将安全定位在网络基础设施的安全之上,因而以购买三防产品作为保障企业安全,依然是他们的主要措施。
赛迪顾问的数据显示,2004年第三季度,中国网络安全产品的销售总额达9.9亿元,同比增长55.3%,比上一季增长35.4%,在细分市场中,防火墙增长率仍在三大类主要产品中居于首位。而在目前国内行业用户的信息安全产品应用和需求状况的调查中,在信息化程度较高的金融行业,防火墙和防病毒软件是用户信息安全系统时的首选,其需求比例分别达到50%和47.1%;其次是入侵检测产品,其需求比例为32.4%。加密软件和3A产品还没有成为需求主流。
“安全是大投入的工程,截至到2004年年底我们目前在安全方面的投入约占信息化投资的10%左右,与同类型的企业相比只是它们的20~30%。我们没有做CA统一认证和加密, 100%防病毒覆盖率加上防火墙已经解决了我们网络中80%的安全问题。”施永益认为,“我认为有效的管理才是最重要的,‘三分技术,七分管理’不为过。”对于银根较紧的CIO们来说,大部分人选择只要把灾难承受能力控制在在可忍受的范围内就行的保守态度。
“CIO们最关心的不是安全,而是其应用服务如何不中断,系统在任何情况下都处于可用状态。”赛门铁克郭训平总结了自己与客户多次打交道的经验。从构建安全的解决方案来看,在投资与安全风险中寻找平衡点是如今中国CIO们较能接受的做法。
跳出三防、3A外
传统的三防、3A已经成为安全的基础设施,必须将企业所有基础设施整合,以求安全。
防守者在明处,攻击者在暗处,安全市场上似乎总是“魔高一丈,道高一尺”。如今,互联网的安全面临着更具攻击性的混合式威胁,而利用应用层的漏洞进行攻击使防御阵线变得更长更脆弱,内容安全正成为安全信息的主角。安全的重点正逐步转移到内部网络安全的建设上来,用户管理、行为管理、内容控制和应用管理将成为未来的安全工作重点。
在这种情形下,原有的三防、3A已不再是有效的“金钟罩”。“三防、3A只能算是基础配置。要保证如今的企业安全,就需要建立一个统一的安全管理及其配置平台,需要有相关人员以及相关的服务支持体系。”曹斌说。
信息资源安全管理的重要性已经倍受关注。曹斌认为:“安全管理不再是管理安全设备,而是管理与安全有关的事件及其需求。监控、分析与防范信息系统中的‘行为’将是安全机制未来的发展方向。