赛门铁克中国区总裁 吴锡源

赛门铁克中国区总裁 吴锡源

    在吴锡源看来，面对信息安全威胁挑战的防护策略必须不断创新，同时兼顾高效与灵活。 

    当前，大多数企业的信息安全机制不堪一击。具体来说，这些企业的安全措施所提供的防护级别难以应对它们所承受的实际风险。事实胜于雄辩：虽然各个企业已竭尽所能采取相应防护措施，但是它们仍然频繁受到攻击。据可靠数据统计：仅2005年，大约三分之二的企业至少发生一次安全事故，而半数以上的企业则至少发生三次安全事故。 

    面临挑战的安全管理 

    目前的主要问题在于，大多数企业只是采用侧重边界的高度反应性防御措施，因此无法与当前日新月异的威胁趋势保持同步。新威胁层出不穷，并以前所未有的速度和效率进行传播，在许多情况下必然会导致混乱局面比比皆是。不仅如此，可用于（或至少所分配用于）改善这种局面的资金也相对较少。实际上，Ernst& Young的《2005年全球信息安全调查》显示，各个企业将其安全预算的50%用于“日常操作和事故响应”，仅将17%的预算用于完成“更关键的战略项目”。 

    显而易见，企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。因此，企业所需要的威胁管理解决方案具有以下特点：主动——能够防御未知威胁；全面——能够将所有企业内外的攻击源头阻挡在外；高效——非常经济实惠的选择。 

    在企业努力部署有效威胁管理解决方案的过程中，威胁趋势的日新月异、符合法规要求的需要以及对反应性对策的过度依赖对于它们面临的重重挑战来说只是凤毛麟角。 

    把脉新“安全” 

    传播速度相对较慢的基于文件的病毒和群发邮件蠕虫仍然屡见不鲜。实际上，在2005年上半年，这类威胁在向赛门铁克报告的前10位恶意代码示例中占三类。不过，黑客的动机已明显从追求名声转向牟取暴利，而漏洞开发框架的日渐普及是威胁趋势发生许多显著变化的主要原因之一。 

    ·威胁数量与日俱增 

    这不足为奇。由于黑客的动机越来越强烈，并且开发新型恶意软件的难度越来越低，所以威胁的数量无疑会猛增。不仅如此，威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。例如，2005年上半年，仅针对Win32平台的新病毒和蠕虫变种数量就已达到10800种。与前六个月相比，次数量就增加了48%。 

    ·威胁生成时间日益缩短 

    日益成熟的黑客工具包不断增多的另一恶果是开发新威胁所需的时间明显缩短。因此，从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上，在2005年上半年，此时间段的平均持续时间仅为六天。 

    ·威胁传播速度正在加快 

    虽然近年来这方面威胁的趋势没有显著变化，但是由于威胁的传播速度已经非常惊人，所以这种形势不容乐观。例如，2001年红色代码在37分钟内即可使感染速率增加一倍。而在2003年，Sapphire蠕虫每8.5秒传播速度就会加倍，最终不到10分钟就会感染90%易受攻击的目标主机。而且，认为最终不会出现传播速度更快的威胁完全不切实际。

    ·威胁日益变化莫测 

    导致变种数量不断增多的因素也同时导致混合型威胁层出不穷。通过使用多种利用机制、有效负载和/或传播方法，这类威胁更有可能避开企业防线，然后成功施加负面影响。另外，导致局面日益恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点，而不是网络层的漏洞。这样，他们的攻击往往成为侧重网络层活动对策的漏网之鱼;不幸的是，大多数企业目前只凭借这样的对策来保护自己。 

    首先，威胁数量大增意味着不仅安全员工将承受更大的压力，而且他们所实施的对策在一定程度上也会受到影响。还需要进行更多研究以确定最具破坏力的威胁、需要采取更多防御措施，最终还需要解决更多事故和故障。要使这样的等式重新达到平衡，很可能需要任命更多安全管理员或实施可提高操作效率的工具，特别是在研究和防范活动方面。

    第二个影响是使利用管理补丁程序进行防御的效果微乎其微。过去，从发现漏洞到漏洞被利用之间的时间长达数月，所以制造商可以从容开发和发布补丁程序，然后由企业对这些补丁程序进行测试和实施。但是，目前在发现漏洞后平均需要54天才能发布相关补丁程序，所以根本无法及时提供补丁程序。而且即便能够及时提供，还需要考虑测试和实施相应补丁程序所需时间的问题。在最紧迫的情况下，最高效的企业可能需要几天才能完成该过程。但这根本不具有代表性，企业补丁程序管理流程的常规执行时间至少需要30天。 

    安全之路延伸何方 

    面对不断变化的新威胁，信息安全的环境也在发生着深刻的变革。 

    首先，由于需要保持竞争优势，所以各个企业必须更迅速地应用新兴技术（例如，WLAN、VoIP和Web服务）以及所有现有技术和平台的新版本。一般，各个企业不但必须管理和保护更多计算基础架构和应用程序，而且其中大部分均为新出现的复杂架构和程序，极为分散。结果是由于配置错误和疏忽导致的代码漏洞与日俱增，而且弱点也越来越多。 

    其次，随着内部威胁日益严重，企业的安全观念正发生着深刻的变化。从历史角度来看，企业一般将注意力集中在保护他们与互联网的连接上面，很少保护他们的内部网络和系统。不过，由于第三方连接日益增多，现场办公的合同工需要连接到公司网络，而且公司自身员工的移动性越来越强，从而导致威胁可以绕过互联网边界控制，然后从内部以相对迅猛的速度传播。因此，除了原来必须要保护的日益增多的基础架构外，企业现在还必须保护内部网络和系统。 

    此外，确保内部网络安全的另外一个要素是必须遵从各种“暗示”的法规和法律（如果没有明示）。不过，从所占用的资源数量及有时会提供虚假的安全感角度来看，遵从这些要求反而会产生更多问题。事实上，一份最新调查表明遵从是信息安全活动的最重要的推动因素，该调查还表明由此而引发的主要活动是制定和更新各种策略和程序，而不是切实加强公司的安全架构或整体战略。 

    更现实的还有预算问题，企业面临的这方面挑战在一定程度上变得欲盖弥彰。只需看看现状就足以:目前所制定的安全预算不仅不合理，而且这部分预算的使用方式往往对防御攻击没有帮助，此外这部分预算永远处于与“企业”的其他需要进行竞争的状态。 

    以上复杂因素清楚地表明理想的威胁管理解决方案必须兼顾高效性和灵活性。相对于安全部门可支配的资源而言，他们需要完成的工作过于繁重。与此同时，基础业务需求（不考虑基础架构）可谓常变常新。

    二、“湿件”：另一种思维看安全 

    启明星辰首席技术官 刘恒 

刘恒

    鲁迪卢克在系列科幻小说《湿件》中讲述了一个人类制造的肉身机器人如何控制和改变人类的故事。该书对人类脑力智慧（湿件）与带有编码化知识（软件）的机器人（硬件）的结合并最终摆脱人类控制的前景作了最大胆的想象。 

    无独有偶，“湿件”先后出现在黑客界和医药界，并且成为新经济增长理论的一个术语。如今，启明星辰率先在安全业界引入“湿件”理论，并开始成功应用到安全服务领域。 

    看到“湿件”二字，绝大部分人认为是“事件”的笔误，其实不然，两者毫无瓜葛，截然不同。“湿件”是指与计算机软件、硬件系统紧密相连的人（程序员、操作员、管理员），及与系统相连的人类神经系统。由此可见，“湿件”，是储存于人脑之中，无法与拥有它的人分离的能力、才干、知识等。 

    从某种意义而言， “湿件”是与软件、硬件并列的IT第三大件，人们应该对“湿件”给予充分重视。“湿件”第一次将人的作用突出出来，而且这种作用远远高于软件和硬件。没有软件，硬件是无用的；没有人的操作或指示，软件、硬件一起也做不了什么；由此可见，“湿件”是IT系统最为基础的部分。 

    网络安全的脆弱一环 

    尽管“湿件”的作用如此基础和重要，但是长期以来却未被提到应有的重视高度。尤其是在中国的网络安全领域，对于“湿件”的研究基本是个“空白”，目前，启明星辰公司敏锐地发现这一“空白”，第一次将安全“湿件”与安全服务紧密地联系在一起，第一次将人在信息安全中的决定性作用突出了出来。 

    三个典型的案例很容易说明问题。 

    案例一：某小区的保安系统很健全，24小时有保安守卫，但最近却发现有小偷入户行窃。尽管没有搞清入侵者是从哪儿进来的，有关部门还是贴了一个告示，提醒大家夏天别开窗户以防小偷。由于没有找出问题的症结所在，同样的事情在该小区再次发生。后来有人发现，小区里栏杆的设计不合理，让小偷钻了进去，如果拉两个栏杆，就可以防止这种情况。 

    这个案例说明，我们必须充分了解攻击者和攻击行为发生的原因，才有可能有效防御攻击。 

    案例二：某部门存放重要文档的电脑出了故障，保管文档的人在部门内对电脑进行了修理。一段时间后，该重要文档泄漏了，并被公开到互联网上。经过一番追查，最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明，人员安全意识的缺失是遭到攻击的致命因素。 

    案例三：“你想要值钱的东西吗？想要，你就去拿吧。”全球最著名的黑客Mitnick语出惊人。人们都认为他拥有无人能敌的高超技术，他却在自己的《欺骗的艺术》一书中说，安全的核心和根本，不是技术问题，而是人和管理问题；安全最薄弱的环节是人的因素，穿透人这道防火墙往往非常容易。 

    从这三个案例中，我们不难看出，人的因素在信息安全中是何等重要。这也是启明星辰为何将“湿件”引入安全服务的意义所在。对“安全湿件”的强调，体现了一种系统的安全设计思想，有了这种意识，用户在构建安全系统时会考虑更多的因素。如果用户没有考虑到 “湿件”也是安全系统的一个组成部分，他设计出来的安全防御系统肯定是不健全的，是失去平衡的，结果是花了很多钱，建造的安全系统并不安全。

    完善安全系统 

    信息安全是动态的，是过程，是攻击和防御的平衡，从这个角度讲，可将安全“湿件”划分为攻击型“湿件”和防御型“湿件”。攻击“湿件”和防御“湿件”都可以进一步细分下去。例如，防御型“湿件”还可以按照不同的人、不同类型的知识进行细分。 

    在信息安全系统中，攻击和防御是密不可分、相辅相成的两个方面。一方面，所谓“知彼知己、百战不殆”，只有在攻防结合的基础上，充分地了解甚至先考虑攻击“湿件”，知道攻击“湿件”是什么、在哪里、怎么样，才谈得上有效防御。目前很多安全产品或方案存在着一个严重的缺陷，那就是并不了解攻击者，也就是没有防御的明确目标，只是凭想象强行建立起一种防御系统。其实也许用户根本不需要那么强大的防御系统，这就是忽略了攻击“湿件”产生的问题。 

    安全“湿件”有助于企业提高和完善现有系统的安全性。企业在进行安全投资的时候，应该首先注重培养人才，培养“湿件”，甚至应该把“湿件”摆在硬件和软件之前考虑。实践证明，“湿件”的投资回报率相当高，产生的效果巨大。“湿件”应该是排在软件和硬件之前的基础性的部件。 

    由于防御型“湿件”中的人总是不可避免地具有脆弱性，这给攻击型“湿件”提供了可乘之机，安全风险在所难免，安全产品和安全技术有时也会失灵。刘恒博士指出，许多安全问题仅凭安全产品和技术是解决不了的，必须充分考虑人的因素，用基于“湿件”的服务去解决。 

    从上述角度来看，信息安全的关注点正在发生变化，转向关注“湿件”。高明的用户一方面要构建自己内部的安全“湿件”，另一方面在自身“湿件”不够强健时，则可以购买专业安全公司提供的安全“湿件”。“湿件”作为服务成为主流，无疑是安全产业发展的必然趋势。 

    崭新的安全服务 

    “湿件”与安全服务紧密相关，但是并不能划等号，也不能划大于号或小于号。因为服务强调的是一种形式和过程，而安全“湿件”强调的是安全软件和硬件之外的人的重要性，突出的是系统的有机性，是一种强调完整协调一致的理念。安全“湿件”作为服务的一种形式应该成为安全业界的主流。启明星辰的M2S就是全新的基于“湿件”的安全服务。 

    作为一个重要的防御型“湿件”，M2S体现的是具有标志性的专业化的安全服务。这个体系是在启明星辰TSP理念的指导下，在多年安全服务最佳实践的基础上，结合国际先进的安全服务理念、模型和业务模式，以用户需求为中心，以注重实效为宗旨，推出的一种全面、细致的全新服务模式，主要包括国际化管理咨询、专业化风险评估、实时性管理监控、专家型应急响应等内容。 

    M2S，一个能够进行全面防范、即时监测、专家响应的实时安全过程，是一种全新的安全“湿件”。M2S有4层含义：MMS（Managed Monitoring Services），体现了专业的监控技术与服务；MSS（Managed Security Services），体现了安全企业与国际通用托管式安全服务的融合，强调安全企业要保持国际安全服务的规范性;MtoS（Management to Security），阐明了安全企业倡导的“通过管理达到安全”的理念，也契合了“服务的核心在于人”的理念；MSM（Management Security Monitory），管理安全监控，这里尤其体现了本地化差异性，与国外MSM主要根据设备来实行监控管理不同， M2S致力于解决客户几乎所有的安全问题，范围更为广泛。 

    可以说，“湿件”理论与M2S的有效结合，提升了网络和系统自身的防御能力，为更多的用户提升了生产效能，而将安全“湿件”与服务紧密相联，也完全可以有效帮助信息安全企业在安全服务领域树立新的里程碑。 

    三、安全风险管理的游戏规则 

    绿盟科技专业服务部总监  王红阳

王红阳

    驾驭风险，方可掌控安全。日前，绿盟科技专业服务部总监王红阳，就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题，接受了《软件世界》杂志的采访。 

    软件世界：如何理解风险管理的概念？绿盟科技在这方面的研究有没有什么前沿性的课题？ 

    王红阳：在COSO企业风险管理框架中，风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面，并且付诸明智的行动帮助组织实现战略目标，减少失败的可能并降低不确定的经营结果的整个过程。

     信息安全风险评估（本文以下简称“风险评估”），则是指依据国家、国际有关信息技术、安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程，它要评估信息系统的脆弱性、信息系统面临的威胁，以及脆弱性被威胁源利用后所产生的实际负面影响等，并根据安全事件发生的可能性和负面影响的程度，来识别信息系统的安全风险。 

    信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。 

    软件世界：如何在一个组织的网络中识别出风险所在？ 

    王红阳：风险评估遵循了ISO17799、ISO13335、ISO15408（GB/T18336）、SSE-CMM等一系列的国际和国内标准，这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导，同时在评估算法、评估操作等方面参考了AS/NZS4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 等美国、澳大利亚、新西兰的标准和规范。 

    风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价，即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。 

    风险评估包含了（但不仅限于）以下一系列的技术评估手段和管理评估手段： 

   ·安全扫描：通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。 

    ·人工检查：通过人工方式直接操作评估对象来获取所需要的安全配置信息，主要解决远程无法通过工具软件或设备获得的信息，以及为避免评估意外事件而采取的方法。 

    ·IDS取样分析：通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析。

    ·渗透测试：在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。 

    ·应用安全评估：对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。 

    ·安全管理审计：通过文档审核、策略审核、问卷调查、顾问访谈等形式，对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。 

    软件世界：信息资产风险管理的内容包括什么？通过怎样的策略和方案可以达到风险管理的目的？ 

    王红阳：信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能存在的危害，以便为系统最终安全需求的提出提供依据。同时，也是为了分析网络信息系统的安全需求，找出目前的安全策略和实际需求的差距，为保护信息系统的安全提供科学依据。进而通过合理步骤，制定出适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。 

    信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤，可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，哪些威胁出现的可能性较小，造成的影响可以忽略不计；通过保护哪些资产，防止哪些威胁出现，如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持;更进一步，还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险，这需要建立一个晚上的体系。 

    信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。“三分技术，七分管理”。当前阶段，很多组织已经越来越意识到真正达到信息安全的目标仅仅通过安全产品是不能实现的，结合安全产品的信息安全管理体系（ISMS）的搭建才能实现信息系统的整体安全保障。通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全。ISMS的基本组成部分可以分为四层金字塔结构，最上层是总体方针，第二层是安全组织体系，第三层是涵盖物理、网络、系统、应用、数据等方面的统一安全策略，第四层是可操作的安全管理制度、操作规范和流程。安全组织体系建立健全了组织信息系统的安全管理责任制。它明确定义了组织内部的安全管理组织体系，以便在整个组织体系范围内执行信息安全的管理工作。

图示

    安全策略体系分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求，对安全管理工作具有实际的指导作用。