全球互联设备的增长已经大大超过了我们当初的想象,以至于Gartner曾说到2020年全球互联设备的规模将达到250亿台。任谁也难以拒绝这一数字的震撼力,正如笔者已经在畅想那250亿台设备互联情况下为我的前卫生活。而在IT安全从业人士的眼中,这不仅是未来趋势里的生活,无疑更是一份更加艰巨的历史责任。正如联软科技CEO祝青柳所言:“在这人人都在期待的互联世界,这让安全从业者很紧张,企业安全防护任重道远。”
最近,联软科技召开了一次媒体座谈会,祝青柳意味深长地说了这句话。
互联网沟通了世界,但也让世界为此付出了更大的代价
哲学上讲,事物总是有其两面性的,网络也不例外。越来越多的网络连通,在满足使用者创造美好的生活同时也让侵害延伸的更远。例如,人们以往对“黑客”一词的那种技术崇敬度已经远远被厌恶所覆盖。从第三方支付信息的窃取到银行卡的盗刷,从伪基站的诈骗到仿冒邮箱的骚扰等等,基于网络的侵害随着网络的成长而成长。
信息安全如今已经是一个齐家治国平天下问题。对于企业级信息市场而言,祝青柳认为人们也需要认识到这种变化。
首先,信息侵害者已经从简单的技术崇拜演变为附带有商业利益、政治动机的更大范围的集体行为。
“这是网络安全市场过去20年一个比较显着的变化。以前黑客的攻击行为更多是为了展示一下自己的能力,如今这种攻击背后会带有很多商业利益、政治利益驱动。” 祝青柳讲。例如,“中国黑客威胁论”近来又甚嚣尘上,个别美国高官更是乐此不疲,网络攻击侵害设计的已经远不简单是技术问题,在这之外的国家关系、民族政策,以及打击网络犯罪、加强案件协查、信息共享方面让信息安全问题变得更加复杂。
同时,企业级网络攻击从以破坏主要目的变为以信息窃取为主要目的。
从近些年黑客技术的升级演变很容易发现,侵害的手段与企业经营模式的变化有着很大的关系。如今,企业经营越发依赖自身企业数据的运用,侵害手段企业网络的手段也越发朝着企业数据为核心。“以前,黑客把你这个设备给你攻破了,更多是把你这个系统给搞瘫了,但现在他们更多目标你这个设备上的数据,如服务器、存储设备。为此,近些年网络攻击更多是社会工程和技术结合起来的方法来进行攻击,社会工程和技术结合起来的方法来进行攻击” 祝青柳讲。
祝青柳介绍,如今的企业网络攻击来源,不仅来自于互联网,也来自于企业内网,“只要是存在企业敏感数据的地方,都会成为网络侵害的重点。”
第三,不是不努力,只是防不胜防。“从2000年初,我观察到了这样一个变化,那就是企业已经越来越重视信息安全,也从单一手段变成多种手段,例如各种防病毒系统、防火墙系统项目的上马,但如此多种系统累加却让企业不看重负,同时各种安全风险变的比以前越来越严重,保护起来不是越来越简单而是越来越困难。”
企业安全从业者是怎样紧张起来的?
企业信息侵害的变化无疑增强了企业的不安全感,但同时也让IT安全从业者们也变得更加紧张。这种紧张不是因为新的企业信息安全需求让他们无所招架,而是自己的能力能否赢得过历史需求进程在时间里的赛跑的那种焦虑。例如,在满足现有需求的情况下能否给予突破企业期待的服务?在顶替外国高端产品占位上能否建立起的本土的信赖?
1、为互联网的不负责任负责
熟悉互联网历史的人想必是知道互联网的诞生地不在企业,而是学校、实验室,纵使经过TCP\IP、以太网、AppleTalk等的洗礼,互联网从实验室服务于企业生产依然有着太多的水土不服。正如从AWS、谷歌、阿里云这里走出那些云原生应用服务于更广大范围企业需要的互联网+一样,总要经历“困惑”的历史阶段。
“传统互联网技术主要发源于大学,对网络技术的研究一直偏向自由、方便、高效等。但是一旦把这套模式套用在企业的生产制造上,或者企业管理环境中,可管可控性就会比较弱,带来的各种安全问题就会显而易见。为此,2003年联软成立的目标就要致力于为用户构建一个可控的互联世界。”
企业利用网络充分互联是件好事,但也要为自己的可管可控性负起责任,联软显然要担好这份责任。
2、为用户的防不胜防招架
用户并非不理解互联网在可管可控性上的性格缺陷,正如各类网关、代理、防火墙、防病毒套件在历史上的陆续上马,为此思科、华为、华三、F5等背后几乎都有着企业安全的家族图谱。但当初企业引以为荣的这份安全图谱却成了企业的一个累赘。
“传统的企业安全部署往往是这个路径:例如网络准入控制用一个产品,数据防泄露用一个产品,终端安全可能又是一个产品,资产管理可能又是一个产品,但这些产品全部整合在一起会则导致他的资源占用很厉害。这种离散的、烟囱式的、孤岛式的安全系统需要做整合联动,否则的话非常难以防范,特别是利用社会工程的方式进行APP的攻击。用户缺乏统一的基础架构来解决这一历史性难题。这也正是当前越来越多的企业强调统一架构整合的首要原因。为此,我们在2004年就发布了LeagView安全统一管控平台,这个平台是我们在业界首创把网络技术和各种终端管理技术集成在一起,形成统一管控平台。”
3、为“道高一丈”不懈努力
在这方面,祝青柳特别提到了联软在2006年率先在国内业界实现的基于802.1X和EOU网络准入控制的产品以及2008年发布的硬件网络准入控制器并在业界首创了准旁路式部署。
从2003起,EOU一直是Cisco的专有协议,先后在Cisco的路由器和交换机上实现,一直为思科的独家技术。EOU技术的实现原理为EAP认证包封装在UDP包内,在EAP认证的内容中,身份认证其实并不重要,重要的则是安全状态认证。如果安全状态不符合企业策略,汇聚层EOU设备将从策略服务器上下载ACL,限制不安全的客户端的网络访问,并对其进行修复。因其对网络接入设备要求不高,部署相对容易,覆盖面较高,具有很大的市场需求。
祝青柳介绍,联软在2006年是业界第一个实现了基于802.1X和EOU网络准入控制产品,可以跟思科、华三、华为、北电这些公司的网络设备很好的联动。
还有,祝青柳介绍:“2008年的时候,我们发布了硬件网络准入控制器,我们首创了准旁路式部署。以前可能做准入控制,很多传统的防火墙厂商,他们是通过串联式的,串联式的会带来性能问题,可靠性问题,我们通过旁路、准旁路这种方式,一旦这个系统发生故障的情况下,对他的业务完全没有影响。” 旁路模式一般是指通过交换机等网络设备的“端口镜像”功能来实现旁路控制。
4、为企业IT合规承担责任
熟悉IT治理的人更会深切明白,IT合规是一个企业长期稳定发展的基石,企业的合规风险给企业所带来的打击无疑是致命的,同时也是难以弥补甚至是无法弥补的。要做好网络的可控性,势必要为企业的IT合规承担责任。
在这方面,祝青柳似乎更有发言权,因为在其展示案例中,联软的用户更多集中到了金融企业,而祝青柳介绍这些金融机构选择联软的一个重要原因就在于联软可以满足这些IT企业的合规需求。
例如,祝青柳介绍,联软曾经为中国四大银行的其中一家部署了可以针对所有终端的集中化管控,“很好的解决了他的外来人员、外包人员、合同工的管理问题,通过统一的身份认证,使得这些策略让他管理更有效,实现了网络接入管理,终端的设备管理,以及数据防泄露的集中管控。”除此之外,联软还帮助一家政策性银行实现了“一个全网的边界管控,实现路网的账号和安全检查,以及对所有IP电话接入进行控制”的需求。
“掌控”是个价值观
互联世界正在进一步进化,“掌控”的声音也开始无处不在。人人都能掌控这个世界的安全不是一个口号,在人们对安全问题的认识过程中,正在凝聚成一种力量,这种力量让“掌控”变成一种价值观,祝青柳带领联软正在顺应这一趋势。