【CNW.com.cn 专稿】转变之一 从单一关注数据与系统安全转向多关注需求的网络安全

在2000年我做安全咨询的时候，面对的客户主要是技术支撑部门，他们仅仅关注于自己所维护系统中的数据与网络安全。但是在这几年包括未来的很长时间，安全的需求关注点已经发生了根本性的变化。

安全已经受到不同角色的关注，国家安全部门关注的是安全责任，政府监管部门关注的是可信秩序，运营商关注的是安全效益，公众关注的是隐私权益。不同角色的需求存在着很大的差异，这些差异导致了安全已经从原来的技术保障部门关注上升到了多关注的层面。

其实这种需求关注的转变影响着整个安全产业，就拿运营商而言，单纯追求商业价值已经不是其唯一的目标。运营商的客户不仅仅包括消费者或是企业，也会包括国家、政府，满足多种安全需求会引导整个运营商未来的安全建设。这是安全未来发展中需要转变的第一点。

转变之二 从关注脆弱性转向关注结构性安全

谈到安全发展，前段时间我也在和很多业内的朋友聊这个问题，大家都不约而同的谈到了脆弱性的发展。我们不妨先看看现阶段的脆弱性有什么新的变化，举例如下：

* 系统、应用漏洞的数量飞速增长。

* 针对应用、第三方软件的漏洞越来越多。

* 消除默认安全隐患，安全基线逐渐应用。

* 针对应用、第三方软件的补丁管理系统将逐渐应用。

* 安全管理制度的完善、内控的要求使得安全意识逐渐提高。

我们可以发现脆弱性在应用以及第三方软件上越来越多，那是不是我们今天不断消除了脆弱性就能够从概念上引导未来的安全方向呢?答案是否定的。为什么呢?我们不妨看看，传统的IT技术很少考虑安全问题，所以普遍存在脆弱性，基本上可以说现在的安全产品都是为IT产品的脆弱性在服务，大家更加关注与加固、补丁、扫描或是监控，其技术特点也是依附性质的。

随着应用以及第三方软件的不断增多，单纯的补丁是无法解决问题的。像运营商、金融、能源等这些供应链严重依赖IT系统的客户，如果不从IT产品供应商角度应用新的软件工程学，改善产品的安全质量，从结构上消除脆弱性问题，那么目前的安全产品只能疲于奔命，追赶脆弱性的步伐。

如何从结构上消除脆弱性呢?我们不妨看看国内外这方面的一些工作：

* IEEE STD 1471。

* 美国国防部的C4ISR、DODAF和GIG。

* 北约组织的NATO。

* 美国电子政务公众服务体系结构FEA。

* 中国的TCAF(Trusted Cyber Architecture Framework)。

这些工作都是试图从软件体系架构上来关注结构性安全，这才是消除脆弱性的根本途径。绿盟科技参加了TCAF标准化委员会的标准制定工作之后对此具有更加深刻的认识。

不过建立一套完善的体系架构是一项长期的工作，所以在现阶段我们也不能忽视对于脆弱性的跟踪。

转变之三 从关注面向威胁转向关注面向能力

其实与脆弱性一样，大家在安全问题的时候都无可避免的会问，现在的威胁有什么变化，我们不妨看看现在威胁的变化：

1、外部威胁

·关注点从网络、系统转移到应用、数据库、Web。

·由于社会化网络包含的信息价值高，所以针对SNS(社交网络服务)攻击将会越来越多。

·针对特定行业的应用软件的攻击逐渐增多，如SAP。

·攻击者不会放过任何一个热点，热点引发人们关注，攻击也接踵而至。

2、内部威胁

·安全教育会使得内部威胁逐渐减少。

·内部威胁作案将更隐蔽。

·内外勾结作案需要小心。

·身份认证与审计会降低内部威胁的数量。

长期以来，大家做安全都在做一件事情，就是不断地消除脆弱性和威胁本身，包括对脆弱性和威胁的危害进行评估。其实这件事情和现实社会一样，我们无法消灭犯罪分子，也没有办法把所有的凶器都没收了，那我们该做什么呢?其实我们需要的是一种能力，一种即使黑客存在、威胁存在，也可以避免其运行造成危害的能力;我们还需要一种能力，是一旦发生危害行为，我们能够发现的能力;不仅如此，我们还需要对安全事件的应急能力;甚至我们还需要能够通过对那些危害行为实施定位、发现、取证包括执法这样的威慑能力。

举个例子，绿盟科技帮助客户建立的全网流量清洗系统，这套系统并不能消除利用IPv4或是HTTP协议发动的DDoS攻击，但是它为运营商，包括类似于银行等用户提供了几种能力：

* 提供了针对异常流量分析、异常流量清洗、防御能力调度及用户自服务的保障能力。

* 提供了针对发动异常流量攻击行为的监管能力。

* 提供了针对影响基础架构、客户应用等流量攻击的应急能力。

* 提供了对大规模流量攻击的行为发现、定位、跟踪、取证和打击犯罪的威慑能力。

虽然我们知道，安全威胁永远不会消失，但是拥有这些能力再辅以法律，威胁对我们的危害将会大大降低。

可见，关注能力的建设渐渐会成为了运营商安全工作的重点。

转变之四 从关注点的安全转向关注大范围网络环境的安全

以前我也和一些IT界的朋友谈到了安全发展的变化，他们问我，不管你怎么说，安全到最后还不是买一堆安全产品保护好自己的内部网络就可以了吗?其实大部分人都有这种观点，这让我想起最近碰到的一个客户，他负责单位的安全检查，最近他们又要开展安全大检查，他就咨询我们：每次检查时候，员工都不相信我的检查结果，能不能给我一种方法或者一个工具，我直接渗透进去，这不就有效果了吗?

这种观点其实忽视了当今安全发展的特点，目前的安全威胁已经不仅仅是像地鼠打洞一样的直接攻击内部网络了，而是通过大范围网络环境下的各类技术手段造成危害，我们的防护也不仅仅是装上了防盗门、铁栅栏就高枕无忧了。我曾经对那位客户开玩笑说，你可以建立一个挂马网站，然后通过邮件让员工访问这个网站，那些中了木马的系统就存在着脆弱性。虽然这种方式在实行的时候存在着一些管理上的障碍，但是这确实就是目前黑客攻破内部网络最常用的方式。

像全网DDoS流量清洗，包括正在研究的僵尸网络发现、蜜网系统，都是通过大范围网络环境的安全建设来达到区域性防护的目的，其中，一些新的概念，诸如云计算都被很好的应用在安全当中。

安全从原来的关注自己的一亩三分地渐渐向关注大范围网络环境来发展，这点对于拥有网络基础架构的运营商而言更为重要。