解剖安全产业之"安全"(上)
尽管很热闹,但安全还是一个尚年轻的产业,有着自身的阵痛和迷惘:商业公司掌握着信息安全的最前沿技术,可往往只注重商业竞争,而忽略了安全管理;另一方面,从企业的认识来看,安全就是产品的不断升级,而对于整个产业来说,安全产品无论如何升级都只能起到缩小边界的作用,并不能彻底杜绝安全隐患……
问渠哪得清如许,为有源头活水来。安全很重要,安全产业的健康发展更重要。
随着信息应用范围的不断扩大,在历经2005“井喷”之年后,信息安全也在自我“修身”,产业发展焦点从一般性信息安全保护向特定领域的应用安全保护位移。在此之间,企业对深度安全的关注使得安全建设回归到理性,即从最初的“重信息化建设,轻安全体系构建”发展到“安全意识的形成,并且希望在企业内部实现安全”。
与此同时,个人用户也不再仅仅满足于基础安全建设,转而更加追求安全实效。城头变换大王旗,你方唱罢我登场。来自信息技术领域的安全威胁天天在变,用户对于安全的需求也日新月异。那么,如何确保年轻的安全产业走上安全稳妥的发展之路?
4月20日,以“应用安全、服务创新”为主题的中国第七届信息安全大会规模空前,可容纳五六百人的会场不仅座无虚席,还另有两百多名听众站着听完全天的大会。 二十几家国内外的安全龙头企业汇集一堂,安全界的重量级专家也悉数到场。在现场我们得到这样的信息:从追求安全建设转为追求安全实效;从关注安全技术转为关注技术背后的人;从单打独斗转为构筑安全联盟的长城……应用安全、资源整合、服务创新已经成为安全产业的发展趋势和必要条件。
大会的会刊《安全‘世界杯’》从四个方面对企业的信息安全工作提出了建议。
管理安全才安全
从企业重视安全、自发建设到自觉执行安全策略,安全产业愈显理性、成熟,日益形成了在技术、产品、市场以及应用发展层面的完整产业效果。安全产业中,安全管理正在成为新的热点。
作为信息的承载者,互联网最大的缺陷就是开放性和不可管理,导致企业连入互联网后,企业的内部系统便处于无处不在的安全攻击威胁中。P2P、IM等网络新型应用的出现,也要求企业作答日益广泛的随之而来的安全防范问题。网络安全本身已不单单是一个安全问题,而是置身于更为广大的网络通讯系统环境中。如何防止病毒和不安全信息的扩散,这是安全厂商面对的考题。
提到这些问题就必然要提到安全管理。管理分为不同的层面,站在产业高度,安全领域的管理和技术不可或缺。实际上,管理和技术是密不可分的有机组成,且两者的权重无形中左右着信息安全的走向,但管控乏力也是目前信息安全发展中暴露出的不争事实。面对高度复杂的信息网络环境,管理问题特别需要人们的加倍重视。千头万绪中,统一的管理机制、强化的法律威慑,应得到优先提高和加强。对这一点,与会者达成了共识。
面对越发频繁和花样翻新的安全特色威胁,技术基础、政策导向以及用户认知是缺一不可的三大元素。要使每一个产品都将其功能发挥到极至,必须明确部署前期的安全策略。
会上,微软(中国)有限公司首席技术执行官李志霄向听众分享了他对安全管理策略的理解:“安全的产品必须有共通的设计原则,必须包含安全源代码、安全默认值,落实安全部署和加强安全认知。目前,所有IT系统都具备软、硬平台,要保证其基本安全性,须保证互联网保护模式,用户身份访问控制,以及灵活方便的身份认证系统。数字保护手段强调四大策略:系统设计符合安全守则、开发人员统一培训机制、安全工具简单适用、需要保障平台安全性。”
确保应用更安全
2005年欧洲工商管理学院的两位教授联合编写了一本名为《蓝海战略》的书,一经出版就在企业界引起轰动。书中谈到企业在市场上取得成功的新导向,即超越产业竞争开创全新市场。李志霄在分析信息安全发展趋势时指出,如今黑客攻击已经从网络层进入到了应用级别。与之相对应的是用户安全意识的转变,从一开始目光就聚焦在基础安全,从防病毒,防火墙等转入到现在越来越关注不同网络层次、应用层次、传输层次的深度安全。
在产业需求转变的前提下,安全企业应当及时从技术的自我陶醉中抽身出来,放眼到用户的感受和需求。与此同时,联想网御技术总监马虔借用“蓝海”这一话题引出了安全领域的处女地——应用安全。他说:“在传统的红海战略里面到处充满了竞争,最后很多企业发现,自己总是在关注如何挫败市场里的竞争对手,而不是为客户提供需求,解决客户问题,这样企业会离客户越来越远。不可否认竞争总是存在的,但是只有超越竞争,真正为客户创造价值,才能够实现企业和客户的双赢。”
记者在会场得到这样一则信息:就目前的安全现状来说,每个安全厂商都是基于自己的安全产品来制订产品应用方案,即使号称能够提供全套解决方案的厂商,也都是基于自己的产品而对安全问题进行的假设,这种产品本位的安全思想具有很大的局限性,它严重阻碍了企业的安全进程。而事实上,每个行业都有不同的业务流,因此对安全有更加个性化的需求,从而滋生以应用为主要目的应用安全。
