当用户在安全矛盾中寻求自己的安全组织架构如何部署时,厂商也在为此寻找新的突破。
着国内企业信息化水平的提升与外部威胁攻击的加剧,企业面临着日益严重的信息安全威胁。安全已连续数年成为国内CIO最为关心的焦点问题,而企业在信息安全方面的投入也占到了企业整体IT预算的8%以上。
然而,不成熟的企业安全策略、混乱的管理体系,以及落后的管理和执行手段,致使企业在安全方面的投资并不能充分发挥效益,并且时时处于矛盾之中。
三权分立的思路
到现在,很多企业都在安全方面做了不少投入,但新的威胁如恶意软件、木马程序和病毒等每天都会有新的威胁和变种,所以要求持续保护的需求在增加。这些问题使CIO考虑,企业用户如何保障持续性的IT安全。
IBM全球信息科技服务部ISS大中华区总经理黄德荣认为,在中国,有两个因素会迫使企业更多地考虑安全,一是风险管理,因为很多企业都已经或者准备上市;另外是运营的稳定性,目前很多企业的核心应用都采用IT手段,这时任何安全对企业来讲都是不可承受的。像这种稳定运营的案例今年在国内也出现很多起。
对企业来讲都有自己的安全组织架构。在企业初期,先从技术角度看或者是先从流程、人员角度去考虑安全措施都是可行的。但当企业发展壮大时,安全产品日益增多,IT安全流程也繁杂的时候,就需要考虑如何对这些安全技术和产品进行梳理,怎么能够保证企业的IT安全方面的投入能够持续地发挥作用。
其中,安全组织架构真正发挥作用需要三个要素,第一个要素要有标准的制订者,企业做的任何一项IT安全工作是有章可循。比如员工接入到企业的网络里来时一定要有安全认证、安全手段,如果不符合安全要求就不允许进入网络。
另外一块是审计,就是所谓的结果检查者。审计机构通过国家一些安全法规和企业目前的安全架构去判断标准的可行性。
第三是执行者。标准制订好后要有人执行。对于一个企业来讲,标准执行者不一定是企业本身人员,因为安全对从业人员的技能要求会比较高,企业说我要执行这一块可以请第三方,可以通过安全项目招投标的方式来执行,执行的依据是标准这一块,执行的结果由审计来进行检查。
因此,对于一个企业来说,在保证IT安全层面其实需要有上述三个角色,也称之为“三权分立”的思路。
安全,主动防御
当用户配置了大量的安全硬件和软件产品后,发现自己仍然处于安全的威胁之中后,用户开始迷惑,究竟什么样的产品能保障自己的安全,自己还应该为安全付出多少成本。在这种矛盾之中,“主动防御”技术开始被安全厂商重视。
2006年,IBM收购了在企业安全服务商ISS,IBM收购ISS之后得以强化的端到端安全服务能力及优势。并随即开始将ISS与IBM全球信息科技服务部原有的企业IT安全服务能力进行整合。以期充分利用ISS主动防御集成安全平台以及前瞻性安全解决方案,完善IBM的整体安全架构体系。
在强调ISS和其它安全产品不同之处时,黄德荣强调,ISS非常着重于攻击行为的分析,X—Force有一个防护引擎,有PAM等各种不同的模块。PAM模块叫协议行为分析,各种不同协议行为的模式,ISS有一个虚拟补丁的方式,当发现一个漏洞时先采用虚拟补丁的方式来防止任何攻击。
可以这样比喻虚拟补丁,比如房子上的一个漏洞,虚拟补丁看到漏洞时先把它补起来防止受攻击,而另外很多厂商的做法是,先分析这个漏洞可能是会进入冰雹还是雨水,然后专门针对这些去防堵,但这其中就会有误差的可能。例如去年诺顿导致中文WinXP崩溃的“误杀门”事件。
这样一来,通过主动防御去阻止恶意攻击。就能比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范。当然,主动防御是可以自动实现对未知威胁的拦截和清除,用户不需要关注防御的具体细节。