从1995年开始,中国的互联网商业化之后,互联网产业已经取得了很大的发展。政府和企业纷纷上网,电子政务和电子商务如火如荼,互联网和内部网络的安全问题被提上议程。网络安全市场在2002年开始高度成熟,竞争日益激烈。2001年,加密、防火墙和防病毒是我国网络安全市场的三大支柱。2002年,中国网络安全市场进入高速成长期,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。从目前的市场需求来看,预计物理隔离网闸、抗攻击网关、防火墙、防病毒网关、身份认证、加密、入侵检测和集中网管,将成为2003年安全市场的八大趋势。
一、物理隔离
解决方案:物理隔离网闸
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
二、逻辑隔离
解决方案:防火墙
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
三、防御来自网络的攻击
解决方案:抗攻击网关
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
四、防止来自网络上的病毒
解决方案:防病毒网关
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
五、身份认证
解决方案:网络的鉴别、授权和管理(AAA)系统
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
六、加密通信和虚拟专用网
解决方案:VPN
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
VPN的另外一个方向是向轻量级方向发展。
七、入侵检测和主动防卫(IDS)
解决方案:IDS
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
八、网管、审计和取证
解决方案:集中网管
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等。
从2000年的三大主流产品,2001年的四大产品,到目前的八大安全产品,反映出用户对网络安全的重视和安全市场的成熟。
amorer 回复于:2004-08-27 15:41:57
总结的不错~~
一起走过的日子 回复于:2004-08-27 16:13:44
+网络隐患扫描系统
坠落的star 回复于:2004-08-27 16:40:15
我本身从事信息安全方面的技术工作,出于爱国之心。想对信息安全方面发表一些自己的看法,希望大家一起来讨论,因为安全为重中之重.
随着国家从近两年来对于信息安全方面的政策一步步的制订/修订/完善的过程中,我很欣喜的发现国家对于信息安全尤其得重视,并且正在加大各方面的力度。去年,国家颁布了27号文件,明确提出了对于 涉密计算机网络 信息安全的 保护措施必要要达到相应的标准,其中包括 安全审计类产品、身份认证类产品、访问控制类产品等等;今年3月,公安部又再次颁发反垃圾电子邮件/全面整顿垃圾电子邮件的通知;今年5月,国防科工委又在对武器、装备、通信等一级保密认证单位的检查中下发了相应的通知明确了对于信息安全保密检查工作的细则共16大则,上百小则;最公安部又在大力整治黄色站点,大快人心;信息产业部组织了专家组专门制订其从2005-2020年的战略规划,这一规划中关于计算机网络分为两组,一组是集中于ERP/CAD等的高端“应用组”,另一组则为专门的信息安全组;公安部同时还在制订全新的信息安全等级保护政策。
“等级保护实施的关键问题是要落实责任制,层层都要有人管,从中央领导到各部门都有责任。” 公安部景乾元处长说。(难道我们就不该对信息安全有些责任么?)
第一,系统安全管理,其中包括系统资源的管理和信息资源分级分类管理。“从目前来看,在很多大型系统中,很多人可能并不清楚,里面究竟有哪些软件、硬件设备?有没有人插进来一个设备或者是删除一个设备?究竟是哪个关键部件出了毛病?等等。这些问题可能没有人知道。” 景乾元说,“此外,信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样,在系统中进入不同的设备、进入不同的操作也要进行区分。”
第二,用户管理。在自己的系统上所注册的合法用户究竟有哪些?他们各自的权限在哪儿?这些问题必须搞清楚,因此,对密码的配制要进行管理。
第三,对安全事件的管理。对网上发生的任何安全事件或者是犯罪案件都要进行管理。这个管理过程可以用PDRR模型进行控制,即在一个信息系统大网络环境下,实现三点一线的管理:一点是局域网的安全环境,二点是安全终端系统,三点是网络安全控制平台。对这三点之间的安全特性进行有效管理,就可形成对系统安全等级的有效管理和控制。
由此可见,2004是中国的信息安全年。
而根据CCID、IDG以及互联网实验室的一些相关调查报告数据表明,今后7年之内信息安全市场年复合增长率高达35%,而3A管理产品/安全中间件的增长率更是远高于此。所以信息安全大势所趋,所以我们一定要帮助国家走好这一步。
这也正是 司mm转贴的 里面所提到的.但是仅此还远远不够.
然而,中国目前的网络安全市场现状如何呢?
1、国内的防火墙厂商数家独大,百家争鸣;
以天融信(国家保密局背景)/上海华堂(上海市政府)等为首的国内最早的一批防火墙厂商至今无论是在全国范围内或者是局部地区(华东)都有着明显的市场优势。当然,无可否认的是,他们的研发在国内是最早的,也是应该摘取果实的。但是从90年代到现在,近10年间,国内仍然有超过200家厂商/公司风生水起的涌入这个曾经方兴未艾的防火墙市场,于是一时间,早期的安全老大们受到了咄咄逼人的挑战。价格以及市场的竞争迫使他们缩小了自己的市场份额,后起之秀们(东大系东软,清华系同方/紫光/比威等,浙大系网新/易尚等,南京苏富特(省政府关系),广州天网,交大系捷普,北京中网等数百厂商涌入。这个市场真的有那么好么?
如果真的有那么好的话,那么为何很多防火墙厂商都已经销声匿迹了呢?价格的混战/质量的层次不齐/管理的混乱等等各种因素导致了这一切的发生,但如果仅仅是此可能我们的政府/我们的涉密部门/我们的安全产品的使用者们可能要感觉欣慰的多了。
因为连年的混战/各种媒体的攻势已经将一个观念树立在了中国目前大大小小的CSO/CIO心中——安全=防火墙。
十分之可悲的这种观点,这就和 一滴水 自呼自己为 我是一片海一样。防火墙仅仅是一种边界的安全设备,而且仅仅是能够进行简单的访问控制而已。尽管更多的新一代防火墙集成了IDS功能/DDOS功能等等,但是你可以设想 你本来一只手可以抓一只皮球用力的扔出去,现在要求你抓上3-4个皮球,你能打中目标么。
看门狗就是看门狗,别让它去做什么探照灯/你家后花园小路的方向标等事情。
2、国内的IDS入侵检测系统厂商十年砺剑,今也蹉跎;
理想情况下,防火墙保护了我们的网络边界,于是我们放心大胆的让貌似合法的人都进来了。这些人却做了不齿的事情你能允许么。于是探照灯应运而生。随着北京启明星辰公司/上海金诺网安公司/成都30卫士通公司/中联绿盟公司的IDS陆续的进入市场,并经过了市场的磨练与推广,各家都拥有了自己的市场份额,也正在激烈的争斗中。然而IDS这样的一个被动的检测产品就在这样无休止的争斗中走向了自己夕阳之路。
IDS基于统计/异常检测的模式自从被设计出来之后,很少发生大的变化,而众所周知的IDS的漏报率/误报率已经成为批评IDS人所提及的最大弊病。然而,仅此而已么?
国家刚刚颁布了关于信息安全产品的 级别测试 ,数家厂商因而也在其站点上和宣传山打起了我们的产品通过EALX的旗号.但是真的,IDS就止步于此么. 启明星辰刚刚推出了与管理紧密结合的入侵检测系统,可以看做是一个创新的信号.
我的观点,IDS应该要更好的提高其相应的指标,必须要再进一步挖掘其理论的基石,从中得到更新的理念. 如有感兴趣的朋友,可以qq我交流一下想法.
3、杀毒软件厂商口水战四起,核心技术无人热衷。
从老牌的杀毒软件厂商到新生的杀毒新贵无一不热衷于对对手的诋毁与诽谤之中。
不成熟的过渡性产品被接连推上市场,造成了客户机器的频繁死机;伪造的新病毒用以滥竽充数,难道这就是杀毒软件厂商对中国国家信息安全的态度么?商业利益是必要的,也是我们所认同的,但是首先你要为国家负责/为老百姓负责。因为你的利润来自这些方面。如果不是国家的政策性大采购,你能风风光光的摇摆在股市上么?
4、新安全产品的介入,如雨后春笋般,尚缺磨难。
国家政策的倾向性,催生了很多的信息安全产品,无论是身份认证类产品/审计类产品/终端控制类产品/内容过滤类产品都突现出来,这是一件好的事情。无可否认,毕竟中国还有热衷于信息安全的人们,来守卫国家信息领域的疆土安全。但是这些厂商一则新兴,二则实力过小,三则后劲不足,四则市场由不得他们。所以只有走一步看一步了。毕竟他们对国家的信息安全,尤其是近两年的信息安全起到了强有力的兴奋剂作用,毕竟这也让那些大的安全厂商意识到了一些方向上转变,催使他们转变方向,研发新的产品。
说到此处,国内目前的信息安全现状您大概可以了解我对其的认识是怎样的了。以我和美国信息安全厂商打交道所了解到的美国的信息安全技术发展比起来,中国还远远落后。具体可从以下得以了解。
1、在中国 谈及信息安全 2000年前就是防火墙,2003年就是IDS,2004年就是身份认证。安全怎么可能让其中的一个环节代替其整体的作用呢。在美国2000年前做的是彩虹标准,国防部的标准早就规划了安全的各个等级。甚至对于操作系统,也有非常严格划分。WindowsNT也不过是C2级别而已,Ibm AIX5目达到了次高一级。美国的交换机厂商思科CISCO公司早就夺取了互联网的半壁江山,如今他们更推出 自防御网络 的概念,将防火墙/IDS彻底与交换机/路由器集成在一起。瑞典爱立信公司在其下一代的万兆路由器的背板设计中,多槽的复用结构设计,使得你在背板上插一块卡就能有防火墙/杀病毒/VPN功能等等。如果是这样,国内这些所谓的防火墙厂商(且不说其好坏),这些IDS厂商怎么生存。也就是说,单个的安全产品绝对不能越级代表其整体的安全体系说话了。尤其是最终用户们,更不能将放一个防火墙在那里一边当着摆设,一边洋洋自得说“我是安全的,看我有防火墙”。
2、在中国 尤其是我所接触的太多政府机关/军工企业/保密科研机构,信息化建设投资的合理与否且不必说,安全投资原本是没有的;现在有了,为什么国家规定了某些单位信息化必须要给信息安全投资比例不低于15%。好了,这下有钱了,买吧。痛心的是,买回去的“几大件”呢?厂商的工程师跑去安初始化配置了一下,就放在那里了。我曾经检查过多家这样单位的安全产品,上一次的访问察看日志记录,竟然最长的是在两年以前。试问:你怎么能够及时地发现威胁与不安全的事件呢?
说到底,一是不能以偏概全,二是不能有效利用。
很多用户曾经跟我这样说,小李,你也知道我这里漏洞多的很,可我就是找不出来,我没有人手去管理;更者我的技术人员看不懂那些东西;我能找厂商支持两次,五次、八次呢?他们不愿意阿。用户还跟我这样说,我也想好好的管理起来,可是我网络大了,我哪里有精力啊。还有客户说,我网络里 防火墙有 三个牌子的,IDS有2个牌子的,杀病毒的还有好几个牌子的,你让我怎么管。……
为什么用户对信息安全产生了如此多的问题?
前面提到了,百家齐鸣,参差不齐,注重产品,忽视管理等造成了目前的现状。
所以我们必须要在国家信息安全政策的指导下解决这些问题,一方面衍生新的安全产品,另一方面,更重要的利用起目前现有的数百种异构的信息安全产品,在有效利用的同时,将安全管理生命周期化/服务化/工程化,从而为信息安全的最终用户的真正安全做出一些信息安全保障。
unix菜鸟 回复于:2004-08-27 16:50:45
学习中...
坠落的star 回复于:2004-08-29 10:08:16
对我们信息安全工作者而言,所面临的挑战有三个方面:1.帮助客户了解跟踪各种可用的安全技术;2.始终熟知如何将安全性集成到按指数增长的IT设备、系统、应用程序和基础设施的排列组合中;3.广泛影响人们的意识和行为,以便与利用人性弱点的威胁(如使用易于记忆的密码,因而被潜在的攻击者轻易获取)进行抗争。”
的确,国内目前信息安全收到了广泛的关注,但这不是信息安全科技本身魅力,而是Internet飞速发展和它日益受到的安全威胁对我们工作和生活带来的巨大影响。仔细观察一下我们周围的信息环境,许多都缺乏有效的安全机制,也许有种种的原因,但有一个因素是关键的,甚至是肯定的,部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。
大多数的技术学科都有理论家和实施者,信息安全也不例外,正所谓,我们认识问题要从宏观着眼,但是我们解决问题又需要从微观着手。宏观对于微观有一种指导的作用,微观又保障宏观能不能落到实处。很多安全专业人员理解信息安全的背景理论,但是除非安全系统能够置于应用程序(例如数据的传输、存储和处理)中的正确位置,否则他们的解决方案就不会起作用。另外,如果所用的安全解决方案没有在正确的过程中进行适当的管理(如:变更管理、事件管理、升级),那么所提供的安全级别就会随着时间而降低,直至所用的控制完全失效。
就国内的环境而言,信息安全技术的开发不够开放,缺乏统一的标准,对核心技术的基础研究还处在概念的阶段,并且商业操作的成分太多,缺乏实事求是的精神。信息安全产业无论是从规模和发展水平来看,都远不及应用软件产业,虽然两者都落后于世界先进水平。信息安全产业目前没有形成清晰完整的产业价值链,还处在从单一的安全技术向安全集成、安全管理、安全服务的过渡时期。
作为专业的信息安全人员,我们的使命是提供某种机制帮助客户建立有效的、灵活的安全体系结构,并保护其复杂的应用和资源,而我们又不得不面临不断变化的业务环境、应用程序的开发技术、计算平台、网络环境对安全提出的挑战。
“安全永远滞后于应用!”,深究其原因,我们很容易得到答案,因为在用户的眼中“安全“不是目的,“业务应用”才是,“安全”只是保障其“业务应用”的一种手段,但我们更希望强调的是“好的安全”同时也是促进“业务应用”的手段。正因为这样,作为安全专业人员,我们需要为用户构造一个最适合目前业务活动的“安全体系结构”。
例如:人们通常认为集中计算模型更可靠、更安全,管理更方便。而现在,很多公司已经将计算机资源广泛分布于企业内部或者企业以外很远的地点,再由中心进行虚拟管理,可见企业对IT的选择是方便“业务应用”驱动的,而不是安全驱动的。
信息安全的概念也是与时俱进的,过去是通信保密(COMSEC),昨天是信息安全(INFOSEC),而今天以至于今后是信息保障(IA- Information Assurance)。美国国家安全局(NSA)在IATFV3.1中提出了深度防御(Defense-in-Deepth)的概念,把信息安全上升到信息保障的高度,并提出了人(People)、技术(Technology)、操作(Operation)三方面并举的核心策略,基于这个核心,IATF定义了各种环境下的安全需求和技术方案的框架,对现有的信息安全技术提出了许多新的挑战。
三个因素:人、技术和操作,它们是有层次关系的,人是打底座的,是根本的;技术是顶端的东西,但是技术是要通过人,通过相应的政策和策略去操作这个技术的。
在信息保障的概念下,把信息安全保障分出了四个环节,而不只是三个环节了,它们是PDRR,即保护(P)检测(D)、反应(R)、恢复(R)。认为这些是信息保障必须的环节。
安氏中国互联网安全公司正是以这种PDR2的模型来实施他们的安全工程。
除了信息保障的概念以外,纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
趋势
技术/产品
公司
智能
Deep Inspector
NetScreen
Application Intelligence
Checkpoint
整合
实时事件关联、处理
OpenService
Tivoli SecureWay
IBM
天玥网络安全审计系统
启明星辰
管理
Enterprise Security Manager 5.5
Symantec
VigilEnt Security Manager Suit
NetIQ
企业安全计划 ESP
绿盟科技
体现发展趋势的新产品/技术
三个趋势中尤其以“管理”最为突出,如果说以业务应用为中心的安全体现结构就像机器,那么安全管理就像油,机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题,那么安全体现结构提供的安全也将收到损失。而且,安全体系结构的管理与维护相比与其设计、部署要困难的多,因为设计和部署都有明确的开始和完成的时间,而安全管理,则是一个没有真正完成时间的过程,它伴随整个业务应用的生命周期。
而真正的安全概括起来必然
安全要以业务和相关的应用为中心
安全涉及到人/技术/操作三个方面
安全资源具有分布性/动态性/异构性
防御不仅仅在边界而应是多层次的
安全需要不断的实践和有效的管理
安全的发展更需要标准化
想到这里,想起了中国的WAPI标准的风波之事,不由得很是难过,中国就不能够将自己的标准发扬光大么,尤其是信息安全关系国家战略发展的重要标准竟然也落得如此下场。
政治游戏始终玩弄着爱国者的激情。
我和我的团队伙伴们,用自己的精力/用自己的思考/用自己的努力力图为中国国家信息安全增加力量。
我们对于安全的价值观是:
以业务应用为中心,让安全更简单、更个性,让安全体系结构的设计开发技术更加开放!
用开放铸造价值 让服务无所不在
我们希望从 安全产品/安全服务/安全集成/业务应用多个角度去消除异构产品之间的差别,将他们一视同仁,通过软件技术进而合理而有效的利用起来,提高客户的真正的信息安全保障水准。
这里提出一些自己的意见,希望能够得到大家的意见。
总结一下,安全终归是要走向开放之路的,这个“开放”不仅仅是消灭同一产品不同品牌之间的差别,也要消灭不同产品之间的逻辑差别,进而大家和谐的共处于一个安全空间中;这个空间是智能的/可管理的/具有动态可调整特性的一个生命空间。我们人类不正是有了地球大气层这个空间才得以生存如此之久么。然而雨雪霜之间从本质上是没有差别的。不是么?至于各色人种之间不也没有本质的差别么。安全同样如是。
待续...
hcjia 回复于:2004-08-30 10:16:15
不错呀!!顶!!!
uuhs_hiei 回复于:2004-08-30 13:34:43
跟帖的哪位李兄说的好
lurchin 回复于:2004-08-31 11:04:09
写得好,顶
不过国内目前的在安全方面的混乱,可能也是黎明前的黑暗
西门飞 回复于:2004-08-31 20:20:28
期待ing
supersuper 回复于:2004-09-02 11:04:20
总结的不错,很有用
fyx2008 回复于:2004-09-04 22:49:22
说的不错,顶一下。。。。。
see199654 回复于:2004-09-06 19:49:34
好
冰蓝之恋 回复于:2004-09-07 16:23:16
顶!!
wolbit 回复于:2004-09-08 15:04:33
垃圾文字
wolbit 回复于:2004-09-08 15:04:33
垃圾文字
GunKing 回复于:2004-10-11 00:54:25
天涯的版面太乱了。北美好像已经是OVER的了,好不容易翻出沉在这么深的地方。就补贴了吧,个人感觉结构性差了些,估计是由于陆陆续续写在BBS上的缘故吧:)
任何技术/产品都应该并且必须以市场为导向,由市场做为内在的推动力.
如果政府/国家决策部门的政策性拨款以及指令性购买相应的产品,但是事实上市场培育程度还远远不够的时候,自然会造成极大的浪费.
这也就是我文中曾经提到的
"在中国 尤其是我所接触的太多政府机关/军工企业/保密科研机构,信息化建设投资的合理与否且不必说,安全投资原本是没有的;现在有了,为什么国家规定了某些单位信息化必须要给信息安全投资比例不低于15%。好了,这下有钱了,买吧。痛心的是,买回去的“几大件”呢?厂商的工程师跑去安初始化配置了一下,就放在那里了。我曾经检查过多家这样单位的安全产品,上一次的访问察看日志记录,竟然最长的是在两年以前。试问:你怎么能够及时地发现威胁与不安全的事件呢? "
市场驱动为导向是必然的,技术和市场是互相依赖的 ,不是技术好就一定抓住市场 .技术要适合它所处的市场层次
那么在技术不成熟的情况市场作的好? 只能说明目前中国的市场还不够成熟 在利用有利的或者说不利的资源及环境并能够做成这样,只能是个例(eg:UT-StarCom Co.Ltd).
且先不说市场的成熟与否 如果要 技术导向 一个良性的循环 必然要求安全技术 一定要深得客户之心 所谓"投其所好,为其所为" 如何 "投其所好,为其所为" 必然建立在对其网络/应用/管理/...能够进行很详尽的分析的基础之上,没有专业人才肯定是做不了这个事情的.
但是在中国 所谓的 安全顾问 的片子满天飞 ,想起了钱老先生 <围城>;里面那个 兄弟早些年也是留过洋的人 信息安全顾问
首先是要帮助各种客户使其网络更安全并且尽可能的强壮免受黑客的攻击.
通常情况下,安全顾问必须要有相当的安全工程方面的经验并且对安全技术有比较熟练甚至精通的掌握。无论是业余的或者是专业的,这些都是必不可少的条件。
另外信息安全顾问必须了解或者熟悉各类型的安全工具(商业/自由/开源)等等并且能够善用其中的某些工具解决客户网络所面临到的种种问题。
当然,因为精力有限,信息安全顾问不一定能够从程序员的级别去帮客户分析网络中所发生的种种事件;况且就算你讲得出来,客户也不一定能听懂。更重要的是侧重于应用来帮助客户理解安全风险所在。
但是OSI7层协议的基础知识要是不懂,TCP/IP也还是不懂,那还是学一些其他的技术为好了。呵呵~~~~
不过,作为一个信息安全顾问,我认为,首先着眼的应该是全局概念,其次才是敏锐的技术观察力,再次才是深厚的编程功底;说起来,信息安全顾问有一点类似 hacker,只不过力图在 技能与经验之间寻找一个好的结合点罢了。
其次,也是最重要的一点就是——道德,信息安全顾问 在授权许可情况下获取了敏感/机密的数据或者文件,必须要能够遵守自己的道德,不把这些数据泄露出去。否则安全顾问和黑客有什么分别呢?如果是这样的话,不就是利用社交工程+技术手段的黑客么?
大家都在说 安全顾问,我见过好多 来找我的人 的名片上都写有 安全顾问 Security Consultant ,真的有那么多 顾问 么? 呵呵 开玩笑的
中国国家信息安全的一些思考(3)所面临的挑战
信息化愈来愈普及的今天,信息安全的重要程度也日益提高,这带动了全面的信息安全初期建设,政府、企业、机构都在信息化建设中安装了防火墙、防病毒、IDS/IDP、VPN、身份认证、安全审计各种
安全设备和软件(为什么?因为国家相关政策管理部门有个不成文的规定,每年的信息化投资必须要有不低于15%的投入在信息安全方面),在初步缓解了安全隐患的同时,却引入了后续的让安全管理人员十分头痛的一系列问题:
􀁺 1、初步的建设引入了众多异构的安全技术,它们的运行效果无从量化;
􀁺 2、海量的安全事件充斥着大量不可靠的信息,从而变的毫无价值;
􀁺 3、制定安全策略的高层管理人员无法获得对安全态势的全局观;
􀁺 4、安全措施与它所保障的实际业务没有有效的关联;
􀁺 5、安全预警、安全防护、应急响应各子系统没有形成高效的闭环系统,导致安全体系的抗打击能力弱;
那些没有经过处理的、相互独立的原始安全事件不仅不能给我们带来任何价值反而让我们在一些误报的事件上消耗了我们有限的精力,就像“狼来了”的故事一样,当狼真的来了的时候,我们的管理人员和安全机制已经变的麻痹了。
因此我们的安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型的工具,而不仅仅是一些静态的管理模型(安全策略管理、身份管理、安全意识教育等)和一些静态数据模型的呈现。 我们必须要建立一种实时的、动态的、具有人工智能(数据挖掘/自适应/学习)等的对于安全事件进行管理/分析/整合/关联的一套安全模型,而这套模型要支持上百种的异构安全组件,这是一件很困难的事情。
但并不等于没有人/厂商去做,去尽力。
有兴趣的兄弟可以看一下
中软总公司 软件开发“国家队” 对于这一安全模型的建立与描述;
北京中联绿盟 ESP企业安全计划的 对于安全工程化/项目化的一些有益的思路
……
ps:我手头有一些这方面的资料,感兴趣的朋友可以给我发短消息告知联系方式,可以分享以共同进步。
今天实在思路有点乱,点入侵检测的 设计与开发让我有点头大,写得也前言不搭后语的,ft~~~~~~~~~~休息一下 好好想想
前面曾经提到了对于 信息安全的 趋势的大胆的假设与估计:
而在三个趋势中尤其以“管理”最为突出,如果说以业务应用为中心的安全体现结构就像机器,那么安全管理就像油,机器在没有足够的油时就会出现故障。如果安全管理的质量除了问题,那么安全体现结构提供的安全也将收到损失。而且,安全体系结构的管理与维护相比与其设计、部署要困难的多,因为设计和部署都有明确的开始和完成的时间,而安全管理,则是一个没有真正完成时间的过程,它伴随整个业务应用的生命周期。
很遗憾的是,具有中国特色的 管理 尤其是 信息安全管理不仅仅让我们感到了 一丝丝的 悲哀。
信息安全防护能力
隐患发现能力
网络应急反应能力
信息对抗能力
诸等能力的丧失与匮乏,让我们面临着很严峻的考验。
考验:
初步的建设引入了众多异构的安全技术,它们的运行效果无从量化;
海量的安全事件充斥着大量不可靠的信息,从而变的毫无价值;
制定安全策略的高层管理人员无法获得对安全态势的全局观;
安全措施与它所保障的实际业务没有有效的关联;
安全预警、安全防护、应急响应各子系统没有形成高效的数据链系统,导致安全体系的抗打击能力弱。
不仅仅如此,那些没有经过处理的、相互独立的原始安全事件不仅不能给我们带来任何价值反而让我们在一些误报的事件上消耗了我们有限的精力,就像“狼来了”的故事一样,当狼真的来了的时候,我们的管理人员和安全机制已经变的麻痹了。
大家都知道,美国很早以前就在做的C4I战略战术数据链系统,正因为其将三军六部以一个闭环的信息反馈通路连接起来,才能使之美国军队可以在世界上的任何一个角落耀武扬威。
为什么?因为信息沟通的无边界效应使得正确的信息能够在最短的时间内反馈给正确的对象。
这不正是体现了 对于 安全事件 有效的 管理么?
因此我们的安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型的工具,而不仅仅是一些静态的管理模型(安全制度管理、身份管理、安全意识教育等)。
如何去对这样的动态模型工具的描述以及设计我将在其它的文章中进行说明。
接下来,我们来看这样的三对词语:
入侵政府WEB站点<-->;入侵政府FBI内部网络
黑客水平<-->;信息安全水平
网站安全<-->;信息安全
以上这些成对的词语,本来是不成比例的,每一组中,后者的或者在涵盖范围,或者在技术难度上,比前面的大很多,但不得不指出,这些概念被很多人模糊,特别是经过媒体对黑客的片面曲解炒做,很多人就更看不清楚。
遗憾的是,我们的公众、我们的媒体,也包括一部分安全工作者,对此都不是很清晰,我们的报道中,甚至包括一些很专业的杂志上,所谓只要伊拉克培养几个专业黑客就可以扭转海湾战争这种令人啼笑皆非的说法比比皆是。站点安全作为信息安全大体系中的一个很小环节,被太多媒体报道无限夸大了,而看看黑客大战浩如烟海德网上评论,有太多的网民因为我们黑掉了对方的很多网站,就忘记了我们薄弱的信息产业基础,忘记了我们自己的安全体系是多么脆弱。我更为不满的是我们现在一些专家写文章有开始讲黑客故事的趋势。专家在公众和媒体一片混沌时有正本清源的义务,带头贩卖黑客传奇,公众也许看起来津津有味,但对学术来说,是一种堕落。
有人为了说明某些的攻击行为的合理性,提出了中国的信息安全形势,是在对抗中体现的的观点。这个观点我完全同意。但这种对抗,不是你今天黑我十个网站,我明天黑你二十个站的,而是体制、管理、产业、技术的等方面的综合较量。
这种对抗我们归纳为三个层面:
第一是管理层面,这种管理层面不是简单指具体安全实施的管理手段,更多指我们国家信息安全的战略体系,决策层的重视程度,相应的政策。美国的安全体系建设是相对比较好的,安全投入也是相对比较高的。但还是要增加20亿政府特别预算,还是要反思它们丢掉了20年,在两代人中没有形成安全意识。目前我们国家高层领导非常重视安全,提高到国家安全的高度,是令人欣喜的。进一步下去,无论微观还是宏观都有很多工作。比如如何避免重复投资,就象中国有1500家汽车厂,但加起来的产量不如人家一个车型一样,现在国内一下冒出数百种防火墙,但恐怕加起来的销售量也不如人家知名品牌Netscreen的一个型号。除了务实的东西,这里面还有很多务虚的必要,国家要拿出一个整体的、系统的想法出来,《俄罗斯国家信息安全构想》也为我们提供了很好的参考。管理层面不仅要倡导和投入,更要管理和立法,规范企业行为,规范个人行为。自由和混乱是两回事,美国政府也要搞“食肉动物Predator”监控网上言论,FBI甚至逮捕黑客以稳定网络秩序,特工可以在网上设 “钓饵” 抓捕色狼以保护公民利益。
这些都表明,没有绝对的网络自由,一个成熟的政府不仅是对现实社会有强大控制力的政府,同样是对网络这个所谓虚拟的社会有强大控制力的政府。同时,随着国家3~5年实现政务电子化的目标的实现,随着网络对生活方式的不断改造,网络安全对国家安全和公众安全的压力会不断加大,我们在给有关部门提出安全体系建设若干建议时,其中一条就是,按照传统的模式,各部门的领导在电子办公系统里的是资源权限最大的,但无疑作为领导的计算机使用技能和安全意识却要比网络管理人员差很多,同时政务网络的管理员不会有太高的资源权限,但他们的系统权限如何不会非法的变成资源权限?一个体系如何对待这个问题,我想不仅是一个技术模型的问题,也是管理层面必须宏观干预的问题。
第二是产业层面,在通常的情况下,信息安全的对抗是以产业对抗的东西体现的,从个体的角度,是安全公司之间的对抗。现在我们很紧张,就是因为用的东西都是人家的,特别是密码产品方面形成了人家卡脖子,我们关大门的局面。如果我们自己起来几个明星企业,也能把东西卖出去,也能让人家用我们的东西,这形式就会有所改观。这种企业之间的竞争,只要不发生战争,将是未来若干年对抗的主要形式,中国的企业不能总是靠国家或者地方政府立项那点钱活着,也不要老盯着自己锅里的饭,欧美市场打进去有些困难,可以先多考虑第三世界国家的市场。产业对抗方面的背后需要很多的基础,国家支持,人才队伍等等。有些东西是相辅相成的,如果没有好的企业,好的机制,好的条件,再多的人才也是给人家培养。
第三是基础研究层面,应该说中国学术水平的滑坡非常严重,基础研究对信息安全很重要,这点我们的公众、我们的媒体往往意识不到。这个基础研究不仅在密码学等领域,相关的领域非常多,更包括对新的信息安全模型和理论的研究。基础研究不仅是大专院校和科研院所的事情,有规模的企业也有必要进行基础研究积累,举一个例子,目前我们的很多反病毒公司,得到新样本的反应速度不是很快,为什么,有很多制约环节,如病毒分析人员的经验和水平,如特别忌讳特征码提取不科学,造成对正常文件的误报,如要避免把一个病毒的变种作为一个新病毒处理,但这些对我们的反病毒企业都要纯粹依靠人员的经验完成。而国外比较出色的反病毒企业都有一个强大的文件评估系统,采用分布式的结构对可疑样本进行评估。而多数人甚至包括某些反病毒公司自己对此都一无所知,以为反病毒还不是来个病毒样本写一小段汇编就完了。现在完全靠自己在搞的国内反病毒产品能处理的反病毒数量大抵都在5000上下,尽管只相当于国外的1/9,但由于国内企业往往是立足于杀国内流行的病毒来做的,目前还体现不出太大的问题,但随着网络的普及,和新病毒更快的流行速度,我们的企业的"后台基础落差",就越来越成为制约自身发展的机制。
目前公众里有很多狭隘的观点,与媒体的误导关系很大,比如一则安全公司的软广告中包含该公司有多少博士、硕士等,有人评论云"搞安全,别说研究生,教授都不如高中生!"。当然研究生、教授不一定水平就高,但也不是因为他高学历、高职称水平就低吧!
大概小小鬼才黑客主导网络战争的故事总是很吸引人,很多人似乎都有这个评论者的观点。但技术价值不是两个人对决一次来比较的,一个高中生可能很容易就把正在上网的一个密码学家的机器搞的崩溃重起,但这是从作为两个网民"对决"层次来说的,不是从"搞"信息安全这个层次来说的,钱学森先生单打独斗可能不是任何美国大兵的对手,但为什么说他顶五个师?这是理论的价值!而很多人的理解就是这种对决式的,博士算什么,拉出来,和我们的“红客”各配一台服务器,看谁先把谁"黑"了,谁就厉害,这是什么逻辑。
可见一些观念的误导对公众的影响之坏。 期待我们的计算机用户都变成安全专家是不现实的,但我们希望从媒体到公众都有一个全面的信息安全视野,我们不期待每个人的体系都是很清晰的、很专业的,但至少不应该是很狭隘的。无论是从组织体系、技术体系和管理体系的宏观划分;还是从协议层次、安全机制和系统结构单元的三维式描绘;哪怕就是纯技术层面的主机安全、系统安全、内容安全(狭义信息安全)的简单拆分,都有一个整体的思想在里面,至少要让公众的视野逐步全面而立体。让网民和用户把目光从潜层次的网站安全和黑客问题上转回来。特别是不能让我们大批的青少年沉溺于每天下载最新黑客工具,玩玩最新的木马这些无聊的事情上,要让他们知道信息安全是一个涵盖范围广阔的大系统,涉及到密码学、网络协议、操作系统等很多的理论基础知识,成长为一个安全工作者,不仅需要兴趣和爱好,更需要扎实的功底,需要刻苦的努力。
一个社会对某项产业的全面的认识和了解,是这个产业发展的重要保障之一,对信息安全来说,决策层和舆论层的引导尤为重要,我们需要一个全景的信息安全视野,而对从业人员来说,应该有一个更高的要求,这个视野更不是静止的,而是动态的,发展的,这种视野将转化为我们处理安全问题的一个系统的思维。
一是如何用管理手段弥补技术落后问题。
二是如何走出隔离方法的误区,通过整体的思想,在若干不够安全的环节构筑的基础上,能形成一个相对安全的整体。
三是考虑把不可见性/易变性/复杂性/一致性等系统理论等用于解决信息安全问题。
思考这些问题之余我不仅想到,我们这些分布在四面八方的一线安全工作者,每天除了沉浸于规划、编码、工程、项目、文档、测试等琐事的同时,更要拓宽眼界。有一个整体的思想,才不至于迷失,我们看到树叶脉络的同时,也要看到树木,乃至森林。
随着对信息安全的进一步思考,以及与国内外众多安全研究人员充分的交流与沟通,笔者更深刻的体会到了,中国国家信息安全的“第三次浪潮”正席卷而来。如何保卫国家的信息领域的疆土安全,重任在肩。
用康德的话,做为本文的结语:黑夜给了我黑色的眼睛,而我注定要用它来寻找光明。
希望我们广大的信息安全工作者能够帮助国家的信息安全整体发展走向光明的大道
redwaves 回复于:2004-10-11 11:29:35
跟帖的哪位李兄说的好
中国的现状的确如此.我也作网络安全多年了,也曾充当私活大军的一员过从而见过很多用户产品配置全是些默认配置形同虚设.
maqing 回复于:2004-10-11 12:51:04
说的好,不得不顶
one1 回复于:2004-10-11 13:13:23
现在社会上人们的思维基本上已经被同化了,为了赚钱,什么都能做..
从而做管理的要比做技术的多..我的理解..做安全要比黑客难多了..不仅你要会入侵...知道敌人采用的是什么战术...你还要懂得如何防御..甚至让他交卸投降..
但现在中国有真正扎实的技术又有几个?
说什么高中生比研究生强...
但你让他编写一个最起码的查毒程序..又有几个能胜任的...
中国的安全不仅要靠那些正规军的发展..
同时我们大家自身的素质也要提高
gaussong 回复于:2004-10-12 13:05:18
看了以上各位仁兄的帖子,大受裨益!
小弟在此想向各位请教一下:
本人有一些网络(CISCO 、华为)、以及系统(WINDOWS、FREEBSD、SOLARIS)的薄底子,不知道该如何向安全方向发展??
本人一直困惑于:继续在网络方向上深入,但同时如何学好安全?还是完完全全都投入到安全,其他的不管。
请各位不吝赐教!谢谢!
jonny200 回复于:2004-10-12 13:25:23
废话!
frosty 回复于:2005-07-28 07:54:03
楼主,看来你很爱国
我也是
不过现在国内对安全意识不强列
技术人员不过关等 都存在问题
authen 回复于:2005-07-28 08:56:48
引用:原帖由 "frosty" 发表:
楼主,看来你很爱国
我也是
不过现在国内对安全意识不强列
技术人员不过关等 都存在问题
不懂技术的人管技术,懂点皮毛的人做技术主管,自以为是的技术主管把握技术决定权才是最大的问题。
以非技术因素考量技术是国内缺乏核心技术的根本原因。
cnhero 回复于:2005-07-28 16:07:01
引用:原帖由 "gaussong" 发表:
看了以上各位仁兄的帖子,大受裨益!
小弟在此想向各位请教一下:
本人有一些网络(CISCO 、华为)、以及系统(WINDOWS、FREEBSD、SOLARIS)的薄底子,不知道该如何向安全方向发展??
本人一直困惑于:继续在网络?.........
我们两个,背景相同、目的相同、困惑相同! :em02:
风流涕淌 回复于:2006-06-19 14:04:26
四六楼的李兄弟说得不错,学习中
arms 回复于:2006-06-19 15:20:40
混乱的市场,混乱的关系,混乱的公司。。。。
qintel 回复于:2006-06-19 15:21:37
不要说信息安全了,连信息化都是在跟风做秀喊口号。
很多部门的信息化顶多也就是人上上网,看看有没有什么新八卦,或者聊个MM,玩个游戏,这就是信息化。
[ 本帖最后由 qintel 于 2006-6-19 15:22 编辑 ]
achilles168 回复于:2006-06-28 15:10:14
专业提供网络安全解决方案!
UP ,!!!
zhonghuayong 回复于:2006-07-02 15:05:14
不错,保存了~~ 顶一个!!
|
