本土信息安全已穿上“盔甲”

    話題背景

    國家互聯(lián)網(wǎng)應(yīng)急中心最近的一份抽樣監(jiān)測數(shù)據(jù)，引發(fā)了業(yè)界對于中國信息安全的熱烈討論。根據(jù)該數(shù)據(jù)，2011年有近5萬個(gè)境外IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，參與控制了我國境內(nèi)近890萬臺主機(jī)，其中有超過99.4%的被控主機(jī)，源頭在美國。而仿冒我國境內(nèi)銀行網(wǎng)站站點(diǎn)的IP也有將近四分之三來自美國。

    有觀點(diǎn)認(rèn)為，中國的信息安全在以思科為代表的美國“八大金剛”（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟）面前形同虛設(shè)。而且在絕大多數(shù)核心領(lǐng)域，這八家企業(yè)都占據(jù)了龐大的市場份額。事情是否真的如此？

     眾所周知，信息安全是國家安全的重要組成部分。中國市場上最早從事信息安全的公司基本都誕生在20世紀(jì)末期，而美國從1967年就已開始研究計(jì)算機(jī)安全問題。從我國計(jì)算機(jī)發(fā)展歷史來看，我國的計(jì)算機(jī)、互聯(lián)網(wǎng)快速發(fā)展也是在20世紀(jì)末期，而當(dāng)時(shí)美國已在計(jì)算機(jī)信息安全方面制定了健全的標(biāo)準(zhǔn)。由此可見，中國的信息安全發(fā)展起步落后顯而易見。那么，這種落后是否意味著我國的網(wǎng)絡(luò)是“赤裸裸”地?cái)[在美國面前呢？

    差距迅速縮小

    如果說在上個(gè)世紀(jì)末，乃至本世紀(jì)初，我國的網(wǎng)絡(luò)設(shè)備是美國“八大金剛”的天下，那么今天的中國已經(jīng)在很大程度上擺脫了這種依賴。

    由于政府部門高瞻遠(yuǎn)矚，很早就已開始進(jìn)行信息安全產(chǎn)業(yè)的培育，中國互聯(lián)網(wǎng)方興未艾之時(shí)即為我國信息安全興起之始。今天的中國，網(wǎng)絡(luò)安全廠商已經(jīng)發(fā)展壯大成熟，網(wǎng)絡(luò)安全方面也積累了諸多人才和大量的核心技術(shù)。

    如今防火墻已經(jīng)變得像交換機(jī)一樣為人所熟知，政府、電信、金融等大型行業(yè)用戶不再僅僅面向思科、Juniper等國外品牌進(jìn)行采購。因?yàn)閲鴥?nèi)的產(chǎn)品已經(jīng)足夠成熟，所以選擇高性價(jià)比的自家產(chǎn)品是最佳選擇。而10年前的局面幾乎是由思科、Netscreen（當(dāng)時(shí)還未被Juniper收購）、Checkpoint等國際知名公司一統(tǒng)天下。

    筆者欣喜地看到我國的網(wǎng)絡(luò)安全技術(shù)總體上與美國正在逐步縮小差距，在相當(dāng)大的范圍內(nèi)完全可以替代國外產(chǎn)品。我國已有自己研發(fā)的諸多安全產(chǎn)品，例如審計(jì)類產(chǎn)品、網(wǎng)閘、堡壘機(jī)等等都已經(jīng)成為了在運(yùn)營商、政府、金融等重要行業(yè)檢測與防范入侵的重要設(shè)備，我們完全有能力構(gòu)建一套國內(nèi)自主的信息安全防御體系。

    所以，從某種角度講，雖然現(xiàn)有國內(nèi)本土的信息安全防御沒有達(dá)到“武裝到牙齒”的地步，但至少可以說是穿上“盔甲”了。事實(shí)上也的確如此，在奧運(yùn)、世博、大運(yùn)會等等重要的活動中，通過使用中國本土的主體技術(shù)、服務(wù)構(gòu)建起了良好的防御體系，及時(shí)發(fā)現(xiàn)大量的、多種類的、來自國內(nèi)外的攻擊行為，沒有讓黑客攻擊得逞，也沒有出現(xiàn)重大安全紕漏。

    缺乏安全方法論

    事實(shí)上，即便是在美國這樣的發(fā)達(dá)國家，信息安全防護(hù)也不是靠某種單一產(chǎn)品所能完成的。每一種安全技術(shù)單獨(dú)的存在都是不健全的，體系化的安全防護(hù)才是最終的應(yīng)對方法。

    當(dāng)前，我國已經(jīng)有了自有品牌的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，有了自主的防火墻、IDS等安全產(chǎn)品，但這些遠(yuǎn)遠(yuǎn)不夠。它們彼此單獨(dú)的存在就像一盤散沙，即便單體再優(yōu)秀也無法達(dá)到良好的綜合防護(hù)效果。萬里長城的堅(jiān)固關(guān)鍵不在于每塊磚的堅(jiān)硬，更重要的是這些磚有序地組合成銅墻鐵壁。

    反觀發(fā)達(dá)國家的網(wǎng)絡(luò)防護(hù)，所有的防護(hù)體系均不是單獨(dú)靠產(chǎn)品羅列的，而是以充實(shí)的理論研究為基礎(chǔ)，結(jié)合整體的信息安全解決方案所構(gòu)成的。美國已經(jīng)擁有數(shù)以百計(jì)與安全相關(guān)的各種法案、標(biāo)準(zhǔn)，這種深厚的積累需要持續(xù)積淀。而且，一套好的安全防護(hù)體系不能夠防范所有攻擊，攻與防的不斷博弈導(dǎo)致在IT技術(shù)快速發(fā)展的今天，隨時(shí)可能會發(fā)現(xiàn)新的漏洞。

    正因?yàn)榇�，我們看到了著名的“維基解密”事件、看到了美國國防部網(wǎng)絡(luò)屢次被入侵。無論美國“武裝到牙齒”網(wǎng)絡(luò)防護(hù)體系還是我國自有的防護(hù)體系，都需要悉心研究，做到有效防護(hù)、快速檢測、快速反應(yīng)、快速彌補(bǔ)的良性循環(huán)效果�？陀^地說，當(dāng)前我國信息安全缺少的不是技術(shù)，而是如何讓技術(shù)能夠?yàn)橛脩粽嬲龑?shí)現(xiàn)體系化的、有效的信息安全防護(hù)體系的方法論。

    在防患于未然之時(shí)，我們需要有一套規(guī)范的方法，指導(dǎo)企業(yè)構(gòu)建自己的安全防護(hù)體系，科學(xué)地進(jìn)行投資；而在攻擊入侵之后，需要有快速的響應(yīng)措施迅速清除攻擊危害。

    方法論是關(guān)鍵

    回顧我國信息安全的發(fā)展歷程，當(dāng)前我們最缺乏的是如何形成一套完善的安全防護(hù)體系。

    21世紀(jì)初期，我國曾大量采購防火墻、IDS等安全設(shè)備。經(jīng)過多年建設(shè)后，大型的用戶機(jī)房中總能看到很多防火墻、IDS彼此毫無關(guān)聯(lián)地獨(dú)立工作。難道管理員都無法了解自己所管理的網(wǎng)絡(luò)中的安全狀況？更可怕的是，大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備充斥整個(gè)機(jī)房的大部分空間后，安全隱患已經(jīng)不是一個(gè)普通網(wǎng)絡(luò)管理員所能夠應(yīng)付的事情。所以，大量的用戶開始有新的需要可視化、統(tǒng)一化的網(wǎng)絡(luò)安全管理。

    基于大量的用戶需求，綜合安全運(yùn)維平臺應(yīng)運(yùn)而生，在經(jīng)歷了幾年的成熟期后已經(jīng)能夠?yàn)榇笮陀脩籼峁┯行У陌踩�事件關(guān)聯(lián)分析、精確定位問題、安全形勢趨勢分析等更高層面的功能，解決用戶信息化建設(shè)過程中遇到的信息孤島問題。

    如今，本土化的企業(yè)已經(jīng)成功在海外市場“登陸”，國內(nèi)知名的網(wǎng)絡(luò)安全公司甚至已經(jīng)將相關(guān)安全產(chǎn)品遠(yuǎn)銷到發(fā)達(dá)國家，我國的信息安全技術(shù)已經(jīng)向海外邁進(jìn)了實(shí)質(zhì)性的步伐。

    筆者認(rèn)為，這與我國安全技術(shù)在過去近20年間在技術(shù)、標(biāo)準(zhǔn)等方面的積累有關(guān)，也與這些企業(yè)自身建立的一套行之有效的方法論密不可分。國內(nèi)的優(yōu)秀信息安全企業(yè)憑借多年的技術(shù)積累和積極的標(biāo)準(zhǔn)研究，已經(jīng)由點(diǎn)到面、由技術(shù)到制度等多個(gè)維度形成較為成熟的信息安全建設(shè)方法論。

    今后，技術(shù)、標(biāo)準(zhǔn)、信息安全防護(hù)體系建設(shè)方法論將成為我國信息安全體系成功建設(shè)的關(guān)鍵因素。中國必將自力更生，構(gòu)筑屬于自己的信息安全“萬里長城”！