随着互联网络的普及发展,政治、经济、军事、文化、科技和教育等社会各领域面临的威胁风险日益增多,对安全的需求越来越迫切。网络安全、信息安全已经成为保障机构安全乃至国家安全、社会安全的关键。在政府部门、科研机构,相关厂商和媒体的大力推动下,信息安全迅速全面升温.安全观念正逐渐深入人心.各个政府部门、科研机构、企事业单位纷纷加大了信息安全研发、建设、实施力度。
从信息安全的内涵来看,信息安全是一个安全保障的概念。随着Internet的进一步普及和发展.它在社会生活中的地位日益提升.所面临的威胁也越来越多.原来单纯的网络安全概念已经发生了改变.正逐渐向网络信息安全保障演化。信息安全保障更强调全面性、普及性、健壮性、及时性。安全程度不能用绝对的数字来表示,而应在模糊逻辑基础上尽可能地去量化。
同时.由于黑客攻击手法层出不穷,技术水平不断提高.相应的安全防御技术也必须同步跟进.否则原有的防范措施就可能由于落后而失效.从而导致整个信息安全保障的失败。因此信息安全保障不能仅仅依赖产品.也不能只停留在‘三分技术、七分管理”的概念上,安全不应该作为一个目标去看待,而应该作为一个过程去考虑。应该把信息安全保障看作是一个由风险分析、策略制定、设计、实施、评估、改进、监控预警和应急等若干阶段构成的螺旋式上升的安全管理过程。
此外.信息安全应该是一个动态防御体系。网络安全是一个比较复杂的问题.它涉及到网络边界、网络基础设施、核心业务和桌面等多个层次,涵盖路由器、交换机、防火墙、接入服务器、操作系统、数据库、DNS、WWW、MAIL以及其它一些关键应用系统。静态的安全产品不可能解决动态的安全问题.应该使之客户化、可定义、可管理.需要在客户化的、可操作的安全策略的基础上.构建一个综合考虑了安全需求、技术、管理、相关法律法规等各方面因素的、全面的、多层次的、组件化的安全防御体系。该体系不是各个安全组件的简单叠加,而是组件之间相互协同.实现安全资源的集中管理、统一审计和信息共享的动态防御体系。
正如没有包治百病的药一样.客观来讲不存在一个适合于所有用户的、能够解决所有安全问题的所谓“总体解决方案”。一个好的安全解决方案应该是根据用户的业务模式、业务目标、安全需求等为用户“量身定制”的.以“安全的人”为核心的方案。
正是基于上述理念.我们提出了客户化安全保障服务(C-SAS)的概念:客户化,就是网络安全现状分析客户化、安全需求分析客户化、安全策略设计客户化、防御体系构建客户化、管理客户化、培训客户化、响应客户化。从实质上看.安全保障就是指人(法律法规教育.技能培训.物理安全.人事安全,系统安全管理)依靠技术(保障框架.安全标准.评估.认证.产品).执行安全操作(风险评估.实时监控.入侵检测.报警响应,灾难恢复.审核审计)来保障信息安全。
安全的核心是风险管理和控制.安全保障的目的则是把用户所面临的风险降到用户所能接受的程度.并针对可能发生的安全事件进行分析.同时制定应急的响应措施。服务是可管理的产品.更是一项系统工程。做好服务,需要具有丰富经验的专家帮助完成设计策略、体系模型、等级保护、专业培训、管理制度等的开发和完善:需要“自主可控”的安全产品作基础;需要良好的攻防实验环境以实现动态响应;需要具有开发和攻防经验的专门培训的人员来构筑安全防御体系;需要良好项目实施经验的队伍来实现安全工程的实施和维护。而要达到这个目标.就必须具备雄厚的人才储备、深厚的技术积累、先进的安全理念、丰富的实施经验和诚信敬业的态度。对安全企业来说,诚信比技术更重要.因为安全技术是在攻击与防御的对抗基础上铸就的一把双刃剑—而诚信是安全之魂.更是正义与方向。
2003年,信息安全众多厂商异口同声地描述“服务”将带来的生机与商机,“安全服务”的概念被一次次提出,又一次次翻新。众多用户也在翘首期盼服务将带给自己的便利与轻松。然而,人们更多地发现:我国信息安全的服务技术依旧在简单的人员直接服务上停滞不前;高成本、低安全保障的问题层出不穷;身份认证的难题,导致远程服务几乎成为“空中楼阁”,—个迫切的问题横亘在我们面前—高技术的信息安全服务什么时候才能真正出现并逐渐成熟?
在中科院高能物理研究所的计算机中心,许榕生教授安朴地坐在沙发上思索着这一问题。许教授首先给提出的服务问题定下了一个基调,他说:“服务之路我们要走,就应看明白、想清楚、做扎实。”全球IT服务随着IT业的发展大致由最初的产品阶段到“解决方案”阶段,最后才到IT服务阶段。信息安全服务也是如此。他分析了现在我国信息安全服务存在的种种弊端:投入力度小,说的比做的多;服务供应商有“卖思想”、“卖技术”和“卖体力”之分,尤以“卖体力”最多;专业化程度不高,不仅表现在服务形式上,更体现在服务意识、服务速度和细节感受等多个方面;“有效性”低,重视服务网点的数量,忽视了更重要的服务网络的有效性和智能性;“追风”现象严重,在不景气的市场大背景下,把服务当成一根救命稻草,又缺乏做实的能力和品质。
许教授认为,这还得回到服务源头—用户,从用户的需求去寻找发展之路。他表示首先从用户服务需求层次的多样化来看,每个层次的服务都会有市场,甚至“保修”等保障性的传统服务也有着不小的市场机会。
讲到用户服务需求,记者提到在最近一次信息安全大会上,美国RSA公司北亚区董事总经理冯满亮先生表示,作为信息安全厂商,应该迅速调整为用户服务的模式,迅速地从产品供应商的角色,转换为适应组织流程的安全平台提供商的角色。许教授接口说道:“这其实还只是‘解决方案’的阶段,现在国内安全服务也还只能处于这样的阶段。此阶段的一个关键,就是企业如何提供一个适应国内用户的完善服务,参照怎样的一个体制去做好适应组织流程的安全平台。”
其二,用户需求的提升,呼唤专业、独立的第三方服务,即“服务外包”。
许教授提到在今年7月美国的一次国际会议上,他见到了Bruce Schneier先生一一月区位年轻的密码学大师创办了一家叫做Counterpane Systerms的咨询公司,提供外包的加密安全设计与分析服务,24小时不间断,随时有优秀的安全专家提供安全服务,包括远程服务。
许教授谈到Bruce的“外包服务”观点时,他说:“网络空间安全需求的增加,惟一可行方案就是尽可能地综合利用专家。外包则是能有效做到这一点的惟一方式。”他告诉记者,Bruce预见在不远的将来,我们会见到外包安全服务的业务就像我们在现实世界中见到像Allied security这样的私立安全保卫公司和像ADT这样的报警业务公司一样.许教授认为,只有专业化的公司才能提供优质的专业服务,要保护网络空间安全则需要相当丰富的专业知识。他表示,众多安全厂商需要在业务上做到真正专业化,基于风险评估、策略开发、安装,测试、更新管理等服务的深层次专业化,直至开展管理安全监视这样的深层次业务。许教授的新研究课题里有一个“入侵防范体系设计”,就是专门针对网络入侵的安全,设计攻击防范系(rns)或称作入侵审计系统(IAS)这样的一个服务体系,现在已取得了相当好的成绩,达到了国内领先水平。这个体系设计包括安全管理制度、安全策略、安全事件响应队伍建设、安全监控等系列服务。
许榕生认为,外包安全业务是安全业务的一般进程。他说:“外包的好处显而易见,外包需要利用安全专家的集体智慧。而在国内,这些富有经验的专业人才在哪儿呢?由于待遇问题,这些人才大都不是在公司,便是去了国外,那么解决的办法呢?这就需要‘服务外包’。”他表示,外包服务的专业公司第一层面,需要提供纯服务;第二层面,则是做前期咨询和后期服务,尤其重视监控服务方面;第三层面,就是在项目实施中的优质服务。
最后,对于推动解决高技术信息安全服务在国内的真正出现并逐渐成熟,许教授提供四个层面的协调解决方法:
第一,从国家信息安全服务管理层面看中国信息安全服务,需要加强的是管理,尤其要解决的是标准问题和确定资质。
第二,安全服务公司应该具备对先进技术进行研发的能力。因为,能否持续提供服务取决于一个公司在技术方面有无原创能力和理解能力。技术和产品是做好安全服务的最基本前提。而在此过程中,国家如果有相当强的政策以及标准作保证,则能有效地保障提供的服务质量。同时,这当中服务产品的设计基本原则也需要保证,即最大限度地减少人的参与。
第三,在为用户提供服务的过程中,首先要保证技术和方法的安全性。并且在服务管理上包括两个方面:一是制度方面,二是培训方面。现在的安全服务迫切需要制订制度,出现问题,依靠规范性就可以解决问题。对人员培训能尽量减少出错的可能性。
第四,服务概念要转变从“请服务”到“主动服务”。平时就需提供经常性服务,不能等到问题不可收拾再服务。
