开源模式有缺陷 开源安全工具你敢用吗?

有人认为,对抗安全威胁的有效方法就是利用基于开源的信息安全工具来对抗传统的或者非常规的安全威胁。但开源模式也有缺陷。企业敢用吗?

随着互联网的开放程度越来越高,信息安全的内容也跟着发生变化和扩展。黑客的攻击手段越来越出其不意,软件系统本身的漏洞和缺陷也越来越多。

如果说30年前美国小说《P-1的春天》所描述的因病毒控制计算机而酿成灾难的故事叫人难以想象,9年前上映的美国大片《黑客帝国》讲述的科幻故事令人着迷而困惑,那么今天隐藏在网络生活中的计算机病毒和黑客却让人们恐惧和愤恨。

安全产品也不安全

据俄罗斯媒体报道,雅虎用来防止自动注册免费雅虎邮件账户的CAPTCHA人机识别系统已经被俄罗斯的一名黑客击败,雅虎很快就会遭到来自其他邮件账户的垃圾邮件急剧增长的攻击。Windows Vista推出后不久,信息安全专家刘旭就发现它的一个重大漏洞。Gmail 拥有优秀的垃圾邮件过滤功能,但它依然存在着不少安全漏洞。除用户密码保护环节薄弱及取回密码步骤繁琐外,Gmail一直以来都被发现有XSS安全漏洞。当用户不小心访问了某些网页后,用户的Gmail设置可能已经被修改了,而用户还一无所知。

而网络安全服务提供商所提供的安全产品本身的问题也频繁出现。赛门铁克SAV 2007-5-17 Rev 18版本的病毒定义码中,将微软XP系统的Netapi32.dll、Lsasrc.dll两文件判定为Backdoor.Haxdoor病毒,造成杀毒重启后系统崩溃。互联网安全厂商卡巴斯基的杀毒软件用户在升级病毒库至26%时出现一个提示:此前的应用启动失败。然后该杀毒软件就进入死循环状态,导致用户计算机变慢,迫使用户重新启动。

用户不但要防范来自黑客的攻击,还要忍受安全产品本身的漏洞所带来的困扰。难道就没有一种更加有效的思路来改进现有网络安全产品的设计与开发模式吗?

开源优势明显

有人认为,应该用开源的模式设计和开发网络安全产品。因为,对抗威胁的有效方法是以暴治暴,即在开源环境下,用包括黑客在内的众多程序员设计的安全工具来对抗传统的或非常规的安全威胁。

在美国,开源技术已经渗入到很多企业之中,对IT人员来说,开源的影响力不断扩大。根据美国《Network World》的调查,超过70%的美国企业认可开源工具的作用,其中三分之一的IT经理打算在一年内部署开源工具。这个数字意味着开源工具的安全性、稳定性、可维护性已得到市场的认可。但在中国,企业用户对开源的认识还大多停留在Linux,开源邮件安全网关、开源入侵检测、开源漏洞分析、开源VPN等新兴技术还没有引起国内IT界的广泛关注。

诚然,开源的优势不言而喻。通过开源,企业可以清楚地了解开源安全技术的工作原理和实现方法,在选择开源安全技术时更有把握,也更容易得到质量更好的安全方案。在产品和部署的可靠性上,开源的产品都要比选择封闭源代码的、只经过生产厂商测试的商业安全产品有更多保证。

由于用户可以访问开源安全技术及产品的源代码,企业可以根据自己的IT架构和实际需求,方便地对开源安全技术进行定制,添加或删减安全功能模块,得到安全保护需求和执行性能处于完美平衡的最优解决方案。同时,企业无需顾虑自己的安全方案预算是否能够承受开源安全产品的采购和部署费用,因为开源安全产品是免费的。用户在选择开源安全技术时,主要成本来自于对管理人员的培训及对开源安全技术部署的维护,但这个成本与商业产品的采购和部署成本相比,仍然具有优势。

开源安全技术确实可以让网络管理员拥有更好的灵活性,完全拥有源代码的快感,能够对企业自身的安全命运实施控制,可以根据自己需要进行定制,有更加低廉的费用。但是,利用开源模式设计的安全产品就一定很完美吗?

开源也有弊端

对于安全厂商来说,无论自己开源与否,都可以使用开源的代码为自己服务。降低研发成本就意味着利润的增加。但是开源代码在使用过程中产生的问题也很多。

首先,安全产品是给用户使用的,用户对产品是否开源的心理是矛盾的:一方面,用户希望对自己使用的产品有足够的了解,比如加密设备被攻破的可能性有多大,什么情况下需要升级;另一方面,用户不希望知道的人太多–从安全的最小化原则讲,知道的人越少就越安全。

其次,对于大多应用来说,自由代码的编写是开源爱好者的思路,没有具体的使用目标,而厂家推出的产品是要对客户负责的,目的性要强很多。所以对代码的改造是必然的,而代码的再造成本就要重新评估了。

再次,虽然源代码有了,但是对代码本身的测试,是使用开源代码首先要解决的问题。由于开源代码的编写者一般是爱好者,开源一般都是在实验的环境中完成的,对实际的工作环境是否适用就很难考虑周全。

最后,公共代码的漏洞是非常可怕的。因为,如果把公共代码应用到产品上,这段代码本身的缺陷也带入到产品中,就影响到所有采用该代码的产品。

开源下的网络安全产品有其明显的优势,但是其所带来的不良后果也很明显。用户能用开源技术来部署安全吗?