发信人: cn_prince(欢喜王子)
整理人: williamlong(2001-07-25 16:34:49), 站内信件
|
有很多的用户认为,安全产品采用越多,企业的计算机系统就越安全;也有的用户不经过任何考虑和思索就采购安全产品。我认为这些行为都欠妥。
安全软件是越多越好吗?我认为这值得商榷。
可以说,软件是一切信息安全问题的“罪魁祸首”,信息系统的安全问题最终可归结为软件系统的安全问题。无论是易损芯片还是病毒,无论是后门程序还是系统的弱点漏洞问题,也无论是攻击方法还是防护技术都表现在软件方面。安全问题必须用软件来解决,可同时它也被软件系统所暴露。
目前信息安全产品纷繁复杂,品种众多。无论是硬件还是软件,无论是复杂的集中访问控制系统还是一个简单的小程序,它的实现主要都是利用软件程序来实现。繁杂的信息安全产品给用户如何挑选合适的安全产品带来了不便。
安全软件多了会降低效率
大多数信息安全产品需要消耗系统资源或者网络带宽资源,显然,这将降低系统或者网络的工作效率。有些信息安全产品,如入侵检测系统IDS,它需要全面监控网络数据流,准确分析网络行为。这样,它就需要全面监控数据流,占用大量的带宽资源,这势必影响网络效率。特别是基于主机的入侵检测系统,尽管它是一种很有效的信息网络安全工具,但它需要消耗部分的系统资源,降低了系统运行效率。另外,尽管目前防火墙产品很好地解决了吞吐量的问题,但它仍然是企业网外联的“瓶颈”。链路层和网络层加密设备是目前解决广域网线路安全问题的有效手段,但孰不知,使用它们的同时,也大大降低了本来就不太富裕的带宽的传输效率。
安全软件多了也会“相互冲突”
不假思索地采用多种信息系统安全产品,可能会适得其反,达不到应有的效果。任何软件系统都有自己的生存条件和运行环境,一种安全产品的采用,可能会“破坏”另一种安全产品的生存条件,导致这一安全产品不能充分发挥其作用,起不到“1+1=2”的功效。还是举防火墙和IDS的例子,入侵检测系统 IDS需要全面监控网络数据流,分析网络行为,准确判断访问者的行为特征,对入侵行为的连接进行实时阻断。但如果网络上同时又安装防火墙,而防火墙的配置可能很苛刻。因此,能绕过防火墙入侵网络的人,其段段都是非常高明。这样,IDS可能就无法对这种行为有效地收集到需要的多种综合信息,从而不能准确地判断入侵者的入侵行为,导致IDS不能充分发挥其作用。其实,还有很多产品的安全功效是相互冲突和抵消的。
安全软件多了漏洞也可能越多
不假思索地采用信息系统安全产品,也很有可能给入侵者有更多的可乘之机。很多安全软件产品需要建立新的通信端口或要求开放原本需要关闭的端口,这就给很多入侵者提供了进入系统的机会。同时,安全软件安装得越多,尤其是大众化的安全软件产品安装得越多,存在的弱点漏洞也就越多,给入侵者提供的机会也越多,被入侵的机会就越大。目前网络上存在大量的免费安全软件系统供下载使用,这里面存在大量人为的后门程序和弱点漏洞,一经使用可能会后患无穷。安全产品采用越多,配置的复杂度大大增加,企业领导和员工的安全警惕性可能会因有了安全产品而减弱,导致了配置不当、管理不严,从而漏洞百出。
选安全软件要有原则
说实话,我也无法提出一个成熟的方案供用户使用,不过可以提出几点建议供用户参考。记得信息安全权威专家、中国工程院沈昌祥院士早就提出了“信息网络安全工程”的概念,第一个提出了“信息安全工程”的学说。他明确指出信息安全不是一个“简单的安全产品加加减减”的问题,而是一个复杂的系统工程。“信息安全工程”要求企业在实施信息网络安全工程时必须经过严格的企业网络风险评估、安全需求分析、安全策略开发、安全解决方案的研究,还要制定企业网络安全技术标准和规范,进行安全产品的测试和选型,最后才能具体实施,并反复测试和逐步完善。同时,建立企业信息网络安全体系结构,要求企业实施信息网络安全工程时,必须有政策法规、安全组织机构人员和技术配套,并开展对全体人员进行安全意识教育,对安全技术人员进行严格的安全技术培训。因此,基于沈院士的“信息安全工程”理论,不难得出选择安全软件的方法和依据,那就是“必须依据企业本身的信息网络安全需求,必须依据企业的安全策略的具体要求,必须依据企业网络安全具体方案,同时考虑安全风险和安全成本的均衡因素”。
----
prince |
|