首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 点卡 天气 答疑 交友 导航
新浪首页 > 科技时代 > > 科技报刊封面秀专题 > 正文

每周电脑报:关于信息安全的四人对话

http://www.sina.com.cn 2004年03月08日 14:52 每周电脑报

每周电脑报 2004年3月8日封面

  策划/本报编辑部《碰撞》栏目组

  主持/本报记者蒋湘辉

  编者按:绝对的信息安全存在吗?答案是否定的。但如何实现信息安全从“最脆弱防线”到“最小威胁”的转变则需要用户和厂商乃至更多力量的共同努力。金融和电信业是
企业信息化建设中投入最大的两个行业,其信息安全的作法和思路也对其它行业具有重要的参考价值。本期《碰撞》特邀了首创证券技术总监伏劲松博士和中国网通集团信息系统部高级经理单彤以及美国网络联盟(NAI)中国区总经理江永清、网络联盟McAfee网络安全技术部副总裁Parveen Jain聚在一起,就信息系统安全级别的把握、快速反应体系的建立、安全的体制保障、事故责任的划分、第三方安全咨询和岗位设置等问题进行了交流。

  伏劲松:用户自己对系统安全级别的把握和信息的敏感程度有直接关系。对于像券商这样的机构会花很大代价、牺牲一些效率来保障客户数据和机密商业文件的安全。对于普通信息的安全保障,我们也会做风险评估,并在安全投入和潜在可能的损失之间找一个平衡点。

  其实公安部在1999年就发布了有关网络安全保护的国家标准,并从2000年开始执行,但我认为该标准只对产品有效,而对于信息系统的安全等级评估,现有的国家标准解决不了。

  单彤:我们希望国家最好拿出一套针对信息系统的安全等级评估体系,同时可以借鉴国外设有安全系统保险的做法,保险公司可以参照你的安全评估等级来收取保费。

  主持人:为什么现有安全产品解决不了大多数安全问题?

  伏劲松:影响信息安全的因素除了技术机制外,还有管理机制和监督检查机制,用户目前在这三方面都得不到满足。

  NAI:美国网盟最新的IPS技术从某种程度上已经涉及到管理的问题,提供了一个比较好的监督机制。

  单彤:厂商在技术支持方面给用户的还不够。

  公安部的网络安全国标出台后,又出台了一系列的关于数据库、操作系统等厂商产品的安全等级的认证体系。但这种安全评估主要针对厂商的产品,而不是用户的应用系统。如当时微软的NT3.51版本,安全级别是“C2级”,但这个操作系统的认证就花费了一年的时间,对用户而言,可能出现系统还没认证完就该升级的现象。

  NAI:对用户来说最关心的是整个系统的安全性。事实上安全等级最低的产品就是整个系统的泄露点,整个系统的安全实际上是在向安全等级最低的一点来看齐。

  主持人:用户对于网络与信息系统的安全级别该如何把握?

  伏劲松:现有的国家标准只对产品的安全有效,系统的安全等级标准还没有。

  单彤:国内可以借鉴国外设有安全系统保险的做法,并按评估等级来交纳保费。

  伏劲松:就整个信息的安全来讲,我个人认为应该是由三大部分组成:技术机制、管理机制和监督检查机制。对用户而言,可能这三方面目前都得不到满足。

  首先从技术、产品来讲,我们缺少网络安全的人才。国内在计算机安全人才培养体系建设上,还处于起步阶段,现有人才也基本上都是半路出家。厂商在推销安全技术方案时,对我们的整个系统并不了解,但是由于我们在安全技术上的欠缺,很容易受到误导。

  从管理上,大家都有一句话,就是“二八原则”。国内在这方面也有个说法——三分技术,七分管理,这都是一个道理。但安全管理该怎么来做?整个组织架构中是不是该设首席安全官(CSO)这种职务?即使我一个企业做了,整个社会不做又会怎样?因为现在信息技术应用是互连互通的。

  最后还有监督检查的问题,因为安全问题也是一个动态的过程,会随着时间的变化、系统的变化以及技术的发展而产生出新的安全问题,没有有效的监督检查机制,就难以保障系统在运营过程中的安全。

  NAI:伏博士总结的三个问题非常关键,但是对安全厂商而言,我们的目标就是要提供一种全方位、多层次的安全防护——从内容的过滤(包括垃圾邮件的过滤),到网络入侵的检测再到防病毒,以及组织上的防护检测,还是比较全面的。最新的入侵防护技术(IPS),其实从某种程度上已经开始涉及到管理方面的问题,它能够有效地检测并阻止很多问题发生,而这个技术本身也提供了一个比较好的监督机制,同时还可以减少投资。

  JP摩根以前使用一种入侵检测(IDS)产品时要用255套许可软件来管理,现在用了NAI的IPS技术后,许可证减少到30个,而管理面还比以前扩大5倍,现在他们4个人管19个分支机构,每个人用在安全上面的时间只有几个小时。可以说通过技术虽然不能完全解决管理上的所有问题,但通过技术把生产效率提高是可以实现的。

  单彤:网络安全厂商在销售时常为客户做咨询和讲解,但一旦用了产品之后,厂商的支持就少了。因为那时的网络安全厂商是通过集成商来做服务,而集成商的服务是需要收费的。当产品出现问题时,用户还是得找集成商。可以说厂商在技术支持方面给用户的还不够。

  主持人:出了安全事故,厂商的责任如何界定?

  伏劲松:厂商向用户推荐安全产品时一定要跟用户说明该产品的局限性,否则就是麻痹用户。

  单彤:厂商也提供保障系统安全的全方位服务,只是用户不一定买。

  NAI:这个责任很难分,主要看用户买了产品后用得怎么样。

  伏劲松:首创证券还没有发生过这样的问题。我自己认为安全事故的责任可能要根据情况来界定。但是在厂商推荐产品时应该向用户说明该安全产品的局限性。因为大家都知道任何安全产品都不能保证百分之百的安全。比如,厂商卖我一个防火墙,并介绍该产品已通过了某一级别的安全认证,但是在使用中加了一个补丁后,其安全级别可能完全遭到破坏,而这些问题是需要向用户阐明的。厂商不能一味地告诉用户买了我这个产品什么都OK了,否则就是在麻痹用户。

  单彤:关于安全事故的问题,我倒想为厂商说一句话:厂商安全产品的使用效果还和用户自身的能力有很大关系。同时厂商也提供针对系统安全的服务,但用户不一定买。如果买下了所有服务,我觉得企业应该可以用的放心。但如果在遭到黑客绕过你的网关等安全产品进行攻击时出现了安全事故,这个责任不该由厂商来负。

  NAI:我觉得这个责任很难分。这和用户买了产品后用得怎么样有很大关系。比如需要打补丁时你打了没有,有新的病毒代码是否及时把一些特征码编进去。

  其实从技术层面来讲,也没有办法做到绝对安全,就像不可能设计一把谁都没办法打开的锁一样。这个问题对于厂家而言关键在于怎样来充分理解用户真正的需求,并根据用户需求拿出新的技术以满足用户。事实上NAI现有的深层防护技术已经能够帮助用户解决大多数问题。

  主持人:用户如何针对网络安全事故建立起一套快速反应体系?

  伏劲松:证券行业的安全应急系统已经比较规范。

  NAI:建立应对病毒攻击的快速反应保障体系现在变得越来越重要。

  单彤:网通在网络安全方面目前主要支持内部的OA系统。

  伏劲松:在证券行业已经建立了针对系统安全的快速反应机制,其中包括对灾难备份和各种异常事故的具体要求,当然这也是证监会的要求。由于SARS和9.11等突发事件的影响,国内证券业从2003年开始加速建设各种灾难备份中心,一些基本的快速反应体系实际上在几年前已经开始陆续建设,并涵盖了基本的业务流程和核心操作。可以说目前全行业的安全应急系统已经比较规范。

  NAI:建立应对病毒攻击的快速反应保障体系现在变得越来越重要。利用现有的IPS技术,可以建立起一整套快速反应的入侵防护体系。我们知道,传统的入侵检测(IDS)机制,只能够检测到某些攻击,向管理员报告这个信息。而NAI的IPS产品,比如McAfee IntruShield网络入侵防护解决方案不仅可以检测到已知攻击、未知攻击和DoS攻击,而且还可以主动地在这些攻击生效之前就清除它们,确保网络不受蠕虫、病毒、恶意代码以及黑客的攻击。

  主持人:信息安全咨询顾问厂商能否扮演更重要的角色?

  NAI:用户的安全问题可以外包给专业公司。

  伏劲松:国内用户习惯于购买产品,购买服务还需要一个过程。

  单彤:目前国内的安全管理咨询顾问公司本质上还是集成商。

  伏劲松:在对付病毒攻击的快速反应方面,我觉得首创证券在及时反病毒升级方面做的还不错,但我们现在的问题是由于缺少网络安全的专业人员,对病毒的判断不是很准确。系统出了一些故障后,很难快速界定是由于病毒造成的后果还是硬件或应用软件自身的原因。

  单彤:网通在网络安全方面的水平还没能达到证券业那种程度,我们主要是对内部OA系统的支持,只有一套整体防病毒系统。安全的维护基本都由网络管理员依靠自身的经验来支持。不过近期的很多病毒对我们影响倒并不算大,这套防病毒体系也体现出了作用。通常我们3000台经常在线的电脑只有20台左右会受到影响,再结合Windows域管理和网管软件我们可以很快找到这些机器的位置并处理。

  NAI:国际上已经出现了不少信息安全管理的咨询厂商,在中国将来也会有这样的咨询公司(现在可能已经有),其实安全管理咨询公司的长处在于它拥有很多行业在安全方面的经验,可以按照行业客户的需求来集成这些经验。如果和这些公司合作,从某种意义上来说,用户的安全问题也可以外包出去。

  伏劲松:对于用户来讲我们可能更希望有第三方的安全顾问公司的角色出现,因为它们会客观地认识安全问题,不带有任何倾向性。国内前两年也出现过这样的公司,但这种热潮似乎又无声无息了,这可能和市场环境、用户的购买习惯有关系。国内用户习惯购买产品,对购买服务可能需要一个过程,除非这种服务真的物有所值。

  单彤:其实我在工作中已经接触了一些名义上的安全管理咨询顾问公司,不过这些公司通常也都代理某项产品,并希望把这几项产品集成给用户,如主机、网关和网络等自己代理的不同产品。他们并没有从整个安全体系上告诉用户该如何去做,本质上还是集成商。

  我觉得就目前国内大的环境而言,这些第三方服务性公司还很难独立生存。举个例子,IBM在全球的服务做得很好,这和它的硬件卖得多有重要关系,它的大机、服务器比别人卖得多,相应的服务自然就能过来。而纯的服务是很难生存的。

  主持人:对设立专职的信息安全岗位有何建议?

  伏劲松:首创现在的网络安全管理员都是兼职的,但以后肯定会改变。

  NAI:国外很多大企业已经设立了首席安全官(CSO)。

  单彤:目前有两个岗位已经侧重在信息安全管理。

  伏劲松:首创现在没有设专职的网络安全管理员,都是兼职的。我觉得肯定会改变,但需要多长时间谁也说不太清楚。这需要一个过程。

  让我最有感触的是另两类安全问题——交通安全和防火安全。马路上都会写“交通安全人人有责”,每个机构的防火体系也是很完整的,但是提到信息安全,却很少有人提“信息安全人人有责”。大家现在可能都认识到信息安全是对技术而言的,当大家对信息系统的依赖程度越来越高,以后随着整个社会对信息安全重要性的进一步认识,加上舆论和教育的普及,信息安全岗位到那时会自然而然地出现。

  NAI:尽管现在已经有各种防火或者预防交通安全事故发生的措施,事故还是会不断发生,所以我们还是要进一步加强防火、交通的安全管理措施。信息安全也是如此,从美国和欧洲来看,2002年的信息安全预算和2001年相比基本上没有增长,但是2003年比2002年就增长了不少,预计今年比2003年还将明显地进一步增长。很多大企业已经设立了首席安全官(CSO)。

  单彤:网通在系统安全方面设置了两方面的工作职责——服务器的安全管理和微软操作系统的管理,虽然他们都不是专职的,但他们很多工作都会侧重在安全上。

  信息安全以人为本

  “信息安全人人有责”的提法在近两年已经出现,目的是希望用户不要对信息安全的理解只停留在技术层面上,也表明要想解决好信息安全的问题,需要厂商、用户以及更多的社会力量合作。

  引起信息安全事故的直接原因一般可分为两大类,即系统的不安全状态和人的不安全行为。系统的不安全状态主要是依靠技术手段来实现,而改善人的不安全行为要采用管理和监督的方法,使其符合管理者的需要。统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄密造成的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑。在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。

  其实以人为本的信息安全文化建设,没有必要成立单独的部门和开展单独的活动,而是应该在企业总体理念、形象识别、工作目标与规划、岗位责任制制定、生产过程控制及监督反馈等各个方面融合进安全文化的内容。在企业中也许看不见听不到“信息安全人人有责”的标语,但在各项工作中处处、事事体现安全文化,这才是以人为本的实质


  
  
评论】【推荐】【 】【打印】【关闭

 
新 闻 查 询
关键词一
关键词二
 

 发表评论: 匿名发表 新浪会员代号:  密码:
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网