傳統的單點網絡安全產品如殺毒和防火牆軟件被稱為“被動的防御”已不是第一次了。根據IDC的報告,70%的安全損失是由企業內部原因造成的。這樣的數據可能有點聳人聽聞,不過,企業肯定遇到過這樣一些事情:因為某一員工誤操作造成公司服務器上重要文檔丟失;由於沒有清晰定義每位員工在系統內的訪問權限,使本該由一定級別的人員才能掌握的業務秘密洩露……對於這些來自公司內部的安全問題,“兵來將擋,水來土掩”的被動防御確實顯得力不從心。 針對這樣的情況,“主動”的安全管理理念被一些以管理軟件著稱的廠商推崇備至。CA公司11月13日在其首站安全產品巡展中再一次強調了這一理念。一方面借赤壁之戰的典故展示其eTrust安全管理解決方案“掌控安全”的優勢,同時也是在“游說”安全產品的使用者從被動變主動。 在這裡,“主動”的理念是通過落實到安全軟件的一些具體應用點來實現的。一方面協助企業分析安全信息,從分析結果中獲得采取主動的目標。例如CA公司eTrust的組成部分Security Command Center,就是針對安全信息紛繁復雜的情況,通過集中的管理和控制來提升管理員的工作效率。具體的情況可能是,用戶的防火牆來自於不同廠商,他們對同一個威脅的警告是不一樣的。對於這樣的信息,用戶不是產品專家,而這個軟件就可以協助企業分析過濾並決策,迅速對威脅做出反應。另一方面,把現實中體現人類思想的安全規章制度通過3A(管理、授權、認證)一類的安全軟件強制實現。IBM公司推出的Tivoli安全管理軟件,就是希望通過對身份、訪問、隱私乃至威脅的管理來協助企業主動控制安全風險和用戶隱私。 推廣理念的關鍵是將其落實到具體的操作細節,而接受理念的關鍵則在於使用者思想上的轉變。安全領域的大師,網絡技術安全咨詢公司Counterpane Internet Security Inc.的創立者布魯斯?施奈德(Bruce Schneier)在其新推出的《戰勝恐懼》(Beyond Fear)一書中提到:“安全的本質在於它是一個過程,而非產品”。而經歷這一過程的使用者,就是需要安全的企業。 以殺病毒為例,如果不更新殺毒軟件來應對新的威脅,那麼安裝該軟件是起不了什麼作用的。即便進行了更新,還是有可能不走運:殺毒軟件必須等待病毒發動新的攻擊時加以確認,然後再行動起來,更新病毒定義,保護電腦用戶。賽門鐵克公司的CEO約翰?湯普森在最近一次的計算機分銷商展覽會上時說,安全措施的核心問題不應該僅僅停留在問題出現後清除病毒上,而應該轉向通過自動化的補丁措施及軟硬件之間更好地協調對潛在問題的提早預見上。 在現代企業的網絡安全問題中,像這些單靠產品還不夠而需要思維上的轉變,還存在很多。可以發現,雖說現實生活中的安全問題不少,但基本能讓人“安居樂業”,而網絡安全還遠沒有達到這樣的效果。現實生活中的很多經驗和思維方式都沒有應用到網絡安全中去,人們對於網絡安全的認識還是不夠。“如果在大街上隨便問一個人,他們會說安全是把東西鎖住,然後有密碼才能進去。”在今年微軟亞洲研究院主辦的“21世紀的計算”大會中,圖靈獎得主Butler Lampson博士這樣說,5自學網,“實際上的情況並不是這麼簡單,控制或者是鎖起來並不是說賊不能進入這個系統,而是要使他難以進入,一旦被入侵要抓住並懲罰他,並且懲罰必須是有效的。”針對這個層面,在未來的網絡安全中會涉及到一種跟蹤的機制。互聯網架構委員會(IAB)最近表示,准備在今後制定新型的網絡跟蹤系統,迫使那些哪怕是最為狡猾的黑客們也會在作案後留下一些蛛絲馬跡。 還有,Lampson所說的“安全問題是成本很高的,你只需要你真正需要的就可以了”在計算機世界中就很難做到。“不做這項安全投資帶來的損失可能是多少,5自學網,而此項安全措施的投入是多少”的比較經常出現。施奈德在書中說,“安全就是一種思想狀態,而且是一種圍繞解決問題、預見問題以及設想問題的思想狀態。”
