购物车
目前装备了众多安全产品的客户仍然不能完全满意,就连CIO们也不清楚为何曾经认为固若金汤的防线会突然失败而难以高枕无忧的话,那么安全厂商是不是应该做得更多更好?
今年10月在北京举办的第四届中国国际计算机信息系统安全展会上,云集了国内外信息安全领域的各大厂商。现在,但凡跟网络沾边的厂商差不多都扎进了安全领域,市场竞争的严酷和无序超过了我们的预料,安全产品也以100%的年增长率持续攀升。然而,喧嚣的背后客户的热情却在逐渐消退。一位用户向记者抱怨:“尽管我们还是要买防火墙,但实际上防火墙往往只能限制非专业人员的访问,但对专业的黑客攻击毫无办法,谁真正能为我们的安全负责?”
可以说,从2000年起,安全市场就开始启动。时隔2年,虽然用户在应用层面上的认识还有许多不足之处,一贯以“教育者”姿态出现的安全厂商却明显发现时下的客户在有选择地排斥他们。思科在全球防火墙领域的占有率已经是第一,它早在大面积推广网络设备的同时,就把PIX防火墙搭售到各个领域。然而,有些客户仍然要重新购买防火墙,重新进行产品选型,让PIX闲置不用;另一方面,技术人员对不实用的高科技安全产品感到困惑;还有的用户对有些安全产品不切实际的价格嗤之以鼻。当然,安全市场还很不成熟,包括客户和厂商,以及安全技术本身。也许,技术的演进与企业的商业策略又再一次呈现出交替上升的趋势,而随着客户期望值的不断提高,厂商与用户都应该对自身的定位重新进行认真思考。
技术的尴尬
最近读到这样一条新闻:"美国政府片面追求信息安全,导致IT危机”。主要说的是美国政府不太明智地把技术建立在一些昂贵、难以维护和升级的特殊软件上。美国政府希望远离商业软件,因为黑客们在不断利用这些程序的弱点,他们是想用一些难懂的程序来保持安全性。但是,安全性虽然得到了维护,却付出了通信功能削弱的代价。
看来,发达国家与我们遇到了相同的问题,如何追求真正的安全?布什和美国国会对IT系统的拨款达到了创世纪的水平,新建立的“运输安全委员会”的技术启动资金就高达15亿美元。但是钱并不一定能带来好的结果。
网络通讯采用的TCP/IP协议,是通过打包转发数据,而专门的“抓包”程序可以轻易截获数据包,如果信息未加密,经过分析很容易掌握传送信息的内容;有攻击存在,就表明系统存在漏洞,每天都会有新的漏洞出现,漏洞扫描产品可以协助人们发现这些漏洞;身份认证也很关键。如果上述的安全措施都用了,还发生入侵事件,那么就要靠数据库加密了,黑客虽然能够侵入却不能盗取数据。其他的措施还有构筑安全操作系统等等。可以说,单纯追求全面、绝对安全和高科技是没有用的,因为安全是一个宽泛的概念,永远只有相对,没有绝对。
不久前,美国的SM杂志对市场上主流的IDS产品进行了一次测试比较,发现IDS系统经常会发出假警报,而真攻击常常会被追假警报掩盖。在被测试的IDS产品中,有些在假警报的重负下一再崩溃,有些IDS不能捕获所出现的真正攻击,而另有一些IDS产品的报告混杂在假警报中,很容易被错过。测试还发现过分复杂的界面使得关掉假警报非常困难,几乎所有IDS产品在默认设置状态下都会产生频繁的假警报,给用户带来许多麻烦。
更为可怕的是,IDS采用失效开放(Fail Open)的机制,一旦系统停止运作,整个网络或主机就会变成开放的。这与防火墙的失效关闭(Fail Closed)机制正好相反,防火墙一旦失效,整个网络便不可访问。因此,IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以顺利实施攻击而不被发现。面对选择还是放弃IDS的两难境地,技术还不能给予满意的答案,仅仅追求相对安全已经让我们付出了巨大代价。
安全的缺口
几乎每家有实力的安全厂家都在不遗余力地开发自己的全线产品。但是据统计,用了三家以上安全产品的客户占到70%以上。瑞星的总裁刘旭在一次接受采访中谈到“瑞星本身非常希望各个产品之间能够很好地协调,但目前我们只能做到在自己的品牌范围之内达到这个效果,因为我们不可能对每一类防火墙都进行分析研究如何协同工作。”从另外一个方面看,用户如果购买了三、四家的产品,一旦出问题就会相当麻烦,怎么知道是哪家的产品出了问题?然后就是相互扯皮。而如果选用统一品牌的产品,与此相关的所有服务工作相应会由该厂商承担。所谓的网管平台就是想把异构的网络环境管理起来,为了保护客户原有投资,安全也希望是这样,系统良好的集成可以减少误报情况。但遗憾的是,目前在做这方面研究的厂商还很少。
另一方面,许多网管反映,安全产品的易用性较差。就拿需要实时监控的IDS来说,控制页面都是命令型,枯燥乏味。为什么微软的产品卖得好?人们的普遍反应是易用、人性化的。安全产品的使用和易用性有矛盾,使用效果也并不是立竿见影。有些安全厂商已经开始关注这个问题,比如CA准备在其新品中做一些可视化界面,当感染病毒时,报警信息会变红,与网管图类似,可以将所有机器相关安全的状态都显示出来。CA把这种视图叫做安全专家,希望能借此对安全产品呆板的形象做一些改变。
防火墙产品的技术革新可谓名目繁多,现在厂商为了强调自己产品的功能强,在防火墙中加进了各种IDS模块、防病毒模块、VPN模块,将防火墙的功能扩展到其他的安全领域,赛门铁克甚至在自己的网关级安全产品中,整合进了5种安全技术:防火墙、IDS、内容过滤、防病毒和VPN。支持这种做法的厂商自有道理:用户面对的是整体的安全环境,单一的防火墙不足以保护企业网络,而必须与阻断的入侵行为时,即迅速启动联动机制,自动通过开放接口通知防火墙对攻击源进行封堵,从而达到整体安全的效果。
然而,东软公司咨询顾问王虎认为,多种安全产品联动反而增加了系统的安全漏洞。IDS技术由于自身的局限,容易造成漏报和误报,黑客可以利用这个弱点伪装身份进入系统,这将是非常危险的事情。而事实上,已经有很多黑客开发了大量的工具来专门对付联动。
在目前的实际应用中,例如金融行业的数据大集中过程,安全系统不仅要保护数据被窃取,还要保护网络的高可靠性,少出现甚至不出现宕机故障。而面对网络服务的兴起,以前进的企业内部或边界安全从概念上不可同日而语。安全面对的挑战,在成百上千的增加,而且是数量级式的增加,这就要求产品的扩展性很强。事实上,安全技术和产品还存在着很多缺口,亟待厂商填补和改进。
必要的弥补
当然,越来越多的厂商已经觉察到了客户安全的失望情绪,也正在采取必要的措施来弥补安全技术的不足。比如CA,就打算跟业界一些著名的咨询公司使用实施安全系统建设。其产品市场经理谢春颖说:“因为在客户那里,讲安全不是光讲产品就能说服他,一定要给他讲一套安全体系,为什么要实施和怎样做。用户其实不关心最后用上什么样的安全产品。今天这个人讲了防火墙,明天那个人讲了防病毒,但买了产品之后却不知道具体怎么做,无从入手。我们现在准备从一些比较大的客户开始,帮他们建立安全体系规范。安全没有尽头,每处都要更新、评估、审核。”安氏公司首席技术官潘柱延说:“信息安全解决方案已不能理解为简单的硬件配置,个性化的需求也在日渐增加。安氏实施了定位于技术服务的经营理念,正是为顺应新的市场需求所做出的应变。”
“经营反病毒这么多年,令我们很头疼、也令客户很头疼的就是,年年都在网络安全领域花这么多钱,但年年都堵不住,”在这一领域有十几年从业经验的趋势科技全球网络安全事业部执行副总裁张伟钦说到,“现在我们认为仅仅谈一个‘防’字并不能解决所有的问题,尼姆达病毒就是一个很明显的例子,可以说当初谁也没有防住它。当防不住的时候,有一个优秀的‘救火队’就显得很重要了。”作为趋势科技全球化的另外一项重要举措就是推进EPS企业安全保护战略,实际上,EPS战略是其与各个地区许多客户不断交流的结果,很大程度上反映了未来反病毒市场的发展趋势。EPS策略挂着多种服务,SLA只是其中之一,SLA可以解释为服务等级履行保证。张伟钦说:“如果签订了SLA协议,从一定意义上说,就像给自己的网络安全购买了保险”。SLA服务目前已在上海证券交易所、上海电信、深圳华为及深圳电信等关键行业的企业中得到应用。
不管SLA是如何解释的,SLA意味着一种承诺。服务提供者与客户之间将签订正式的合约,只有在签定服务内容履行的基础上,客户才能依约支付费用给服务提供者。国内厂商开始从事SLA服务的已有东软、安氏等几家软件公司,通过服务来软件安全的矛盾,这不失为一条良策。
可以看来,在安全领域群雄逐鹿之时,技术已不是最关键的要义,从客户的角度出发,找好市场定位,才能活得更好。2002年众多厂商纷纷眷顾低端市场,因为低端市场的主体是占中国市场国99%的中小企业,其蕴涵的巨大能量足以影响产业的发展。Check Point、赛门铁克、Nokia、东软、天融信、清华得实、方正等在今年都推出了低端防火墙。今年6月中旬,清华得实首先冲破防火墙的万元大关,随后几个月里,天融信、方正等国内厂商纷纷卷入其中。国外厂商紧随其后,先是思科摇旗呐喊着“一台PC机换整个网络安全”。这此次安全展会上,诺基亚则更是一鸣惊人,推出一款不到3,000元的防火墙产品IP30,含有Check Point VPN和Fire Wall内核,只是吞吐量稍小些,这立刻成为性价比最高的产品之一。
概念的澄清
当客户开始冷静的看待安全厂商的市场竞争,去接纳其诸多变数时,我们可以说客户正在逐渐成熟。但是,市场还没有走入“客户提出需求——厂商改进——客户接纳——并提出新的需求”这样一个良性循环,还有众多的对安全的错误理解横跨在此循环前进的征途上。目前对安全问题的认识有一种倾向,即房子与锁就达几万、十几万,如果算上网络防毒和单机防毒,这个锁的投资与房子的价值也达不成比例了。而且安全产品使用之后,不会有特别明显的效果,因为只有当你受到攻击或者真正感染病毒以后,才会发现它有用。实际的正常工作中,用户也感觉不出安全产品有多大的作用。
现实中,企业网络安全的负责人通常会陷入比较尴尬的境地。因为网络安全相比于企业其他信息系统的建设,它只是一种固定成本投入,没有直接收益。因此,很多业务领导虽然已认识到了网络安全的重要性,但如果他们没有对此进行过全面和深入的策略性思考,技术人员的安全计划和工作成果就很难得到认可,特别是当网络平安无事的时候。“网络安全的投入是不能讲投资回报率的”,诺基亚网络事业部的经理张勇说。因为网络中的安全建设就和现实中银行的保险柜、保安防盗系统类似,是一个可信任银行存在的基本条件。现实社会中,我们不可能等到劫匪来了以后才去装监视器和保险柜,同样,我们也不能等到网络被攻击以后才去构建网络安全。
然而,采用了安全产品又怎么样呢?CA产品市场经理谢春颖说:“安全产品买回去以后,一定要做客户化。国际上有统计,防火墙65%以上的人都用缺省设置,也就是最简单的设置。这不一定适合客户的实际需求。”防火墙最大的吸引力是它被认为能够简化企业安全方面的任务。但是许多企业不通过下载、安装各种补丁程序来保证PC和服务器的安全而是寄希望于防火墙,这就是一种相当危险的想法了。依赖防火墙建立网络的组织往往是“外紧内松”,外表看似非常安全,但内部缺乏必要的安全措施。只要局域网内有一个拨号上网的客户端就等于开了一个后门。“家贼”难防,这或许也是许多公司在不断强化防火墙,但仍然会受到红色代码等恶意病毒袭击的原因。
事实上,网络安全不再仅仅是一项IT技术问题,而有着更宽泛的概念,可以上升到管理和人事层面。因此,安全问题不仅仅应该得到重视,更需要策略性的思考和切实可行的计划。
我要投稿
版权投诉
