我一直在做信息安全方面的工作,这么多年来我觉得有些小的认识,当我们谈起网络安全或者信息安全时,大家的思维就习惯性的往病毒、防火墙等上面去靠。而实际上信息安全的概念远不是这么狭隘。如果有必要,可以把信息安全的范畴分为广义和狭义。海岸线所关注的,无疑是狭义的安全。
无论病毒与黑客,都是带有攻击性的。防范这些病毒和黑客一般都是被动的,任何防火墙都只有在受到攻击时做出反应,当然还必须是在它能识别的情况下做出反应。所以病毒与防护系统(有软有硬)之间总是一种此消彼长的关系。甚至是病毒在推动着防护产品的升级与换代。而一般的信息安全防护也仅仅停留在建立防火墙这个级别上,国内所谓高安全性的网络,例如银行、证券等,也是通过内外网物理隔离的方式进行了被动防范。
事实上,对于信息安全的规划,应该从主动与被动、内部与外部同时着手。其实大部分的企业在进行安全规划时,他们只是着眼于外部防范。我前段时间和广发银行的一个分行长聊天,他认为他们银行的安全是没问题的,内外网物理隔离,怎么会有问题呢?
我没有反驳他的话,毕竟是我的长辈。但是也说明了连银行这样的机构,他们对信息安全的重视程度仍然不够。可以提个案例。
瑞银美国在20年前出了一次事故,一个网络管理员因为薪水没有达到预期(他希望年收入15-18万美元,实际上收入了12万),于是在他辞职离开前,他在瑞银的数据库里植入了一个木马,在他离开瑞银后的一段时间后,这个木马被激发了。IBM连夜往瑞银派去了30多个工程师协助解决问题,可是大量的数据已经被毁掉,而这个木马带来的后果,至今仍然没有能完全清除,为此,瑞银已经损失了200多亿美元。当然,今天这位植入木马的工程师也在监狱里生活,他没有机会向瑞银争取更高的年薪了。但是这样的木马几乎让瑞银(美国)面临灭顶之灾。这样的木马自身除了需要占据很小的空间外,几乎没有任何征兆,想从瑞银庞大浩瀚的数据海洋中找到它并且成功清除,如同大海捞针。而且你不知道什么时候会被激发,在不经意按下某个按键或者组合按键后,它开始了。。。
信息安全不能仅仅防护外来攻击,来自内部的威胁同样存在,而且一旦出现,远比外来攻击更具有毁灭性。新的技术已经开始关注内部安全,比如身份认证技术,再比如强化身份管理制度等等。招商银行的数字证书就属于身份认证方面,通过数字证书对登录系统的用户身份进行多因素确认,由专门的服务器进行认证。当然了数字证书的便利性稍逊一筹,需要接驳USB口,拔来拔去有些麻烦。生物识别技术方便使用,但是成本太高,不可能给每台终端安装指纹扫描设备或者面部特征扫描设备。动态密码技术相对比较便捷,价格和数字证书相当,但动态密码目前厂商很少,其核心技术大多源自美国RSA公司。RSA目前已被EMC公司收购,而EMC一直是数据存储领域的执牛耳者。
对处于内网上的每台终端或工作站,同样存在管理必要,目前这个方面已经受到重视,国内也有一些厂商提供完整的内网管理软件,比如汉邦和上海昶旭,前者开发的强审计系统已经被一些单位采用,后者与微软合作的“win manager”系统更是针对安装windows系统的内部网络专门开发,可以管理全部内网上的所有终端、设备、接口、行为规范、软硬件安装维护等等。
但总的来说,对于信息安全的重视,无论是厂家还是用户,无论是认识程度还是重视程度,国内还都刚刚起步,希望来这个论坛的业内朋友多多交流心得。 |
