CIO的安全愁：借我一双慧眼吧

CIO的安全愁：借我一双慧眼吧

编者按:在中国的企业中，有不少CIO都是半路出家－－对安全技术不甚了解，却被“逼”负责整体数据安全。用他们的话来说，“真是要了命了”。实际上，他们需要一个中立的机构来帮帮他们。本期的专题就从袁工的烦恼出发，帮他们除去心中的痛。

在一次安全研讨会上，记者偶然遇到了老朋友袁工，于是攀谈起来。

袁工是一个制造型企业的信息主管，用流行的词汇叫做“CIO”，不过他们自己可从来没想过自己是什么“O”不“O”的，干好领导们要求的工作是正经。

由于是“半路出家”，对信息技术的东西，袁工总是有些不太自信；也是这个原因，袁工的问题也特别多。和袁工聊天的时候，他问记者的一个问题就让记者半天说不出话来：“能不能把USB接口拆掉或者堵上？”

记者追问原因，袁工一肚子苦水：原来由于他们所在的企业有些商业性的机密，安全问题非常重要。虽然局域网并不和Internet相连，但仍不能保证信息绝对不会泄漏，所以他们就把相关的计算机卸掉软驱、不装光驱，尽管用起来有些不方便，但总还是踏实了许多。但如今不同了，新的计算机都有USB接口，使用者用一个小小的移动存储盘就可以迅速地将信息拷贝下来，增加了许多风险，所以袁工他们有了这样的疑虑。

显然，只靠这种非技术的硬性管理是不够的，因为这会大大降低计算机和网络的功能及效率。解决之道当然是网络安全产品。

这个道理袁工现在显然已经明白了，因为记者已经看到他在和多家安全厂商在探讨。不过似乎他的问题并没有全部解决。临走时他问记者：“除了防病毒产品我们已经买了，你说像他们说的这些防火墙、IDS（入侵监测系统）、防黑客、CA认证我都需要买吗？”

“那要看你们有没有这方面的需求了。各种产品的侧重点不一样，所能防范的安全隐患也不同，你应该针对自己的需要选择一种或多种设备。”

“话是不错，可是我怎么知道我的安全隐患有哪些呢？

“你自己不知道吗？”

“不太清楚……再说了，自己知道说出来也没用。说的大了，领导会说你在夸大隐患，想多批钱而已；说小了，真出了事情，我们负得了责任吗？……”

“倒也是。你可以找专家来评估呀？”

“我们倒是愿意花这个钱，但我到哪里找专家呢？”

“……”

是啊，类似袁工的这些问题不少！这么多产品，该选一个还是多个？该选哪一个？这都需要对自己的安全风险有一个恰当、中立的评估。

问题还不仅如此。对于许多已经采用了安全产品的用户来说，对产品产生的效果依然不清楚。防火墙究竟防了多少“火”，IDS的报告到底有多少误报……看着精确得让人头晕的安全日志，又有几个人明白那究竟表示什么？！

对许多CIO来说，安全的产品从采购到管理，还都是雾里开花。但更主要的问题是，即使知道了自己是在雾里，帮助我们走出去的慧眼在哪里呢？谁来帮助我们的CIO做安全风险的恰当评估和安全产品的综合、管理？

自己做？技术水平的限制，自身业务的时间安排，做这些工作实在有些勉强。

厂商和集成商？对他们的实力，似乎只能听他们自己说。即使技术是没问题的，但在商业利益的驱动下，谁来保证他们的画里面没有水分呢？

专家吗？什么样的专家？如何才能寻找到适合自己的专家呢？

当然还有第三方的安全服务提供商。不过这种公司实在还太少……

与从前对网络安全的忽视相比，我们的CIO已经有了很大进步。但如今的网络安全产品就像是一个黑箱，用户只能知其然，而不知其所以然。上面的种种问题，只是表明我们的CIO想花钱买个明白。但，我们能吗？

下次见袁工的时候，真希望能给他一个明确的答案。

悬在半空中的“安全”

潜伏的“危机”

在黑客、病毒大行其道的今天，网络安全的呼声愈来愈高。网络所传播的信息越来越广、速度越来越快的同时，潜伏的“危机”也越来越可怕。这并不是夸大其辞。细细数一下，自然灾害、意外事故；人为使用不当，安全意识差等；计算机犯罪、“黑客”行为；内部泄密、外部泄密；信息丢失；电子谍报；信息战以及网络协议中的缺陷等等，都有可能会给用户带来危害。

与此同时，防火墙、入侵检测、CA认证、漏洞扫描等这些专业术语纷纷进入人们的视野。那么，凭借这些就能应付那些潜在的“危机”，把悬在半空中的心放下来吗？

看似“坚固”的防线

那么究竟国内用户的网络安全状况如何呢？目前，国内用户的安全意识应该说基本上都已经建立起来了。因而大多数企业已经有最基本的安全设施。然而，基本的安全设施是无法完全满足用户的安全需要的。可抱着得过且过或侥幸心理的用户大有人在，他们觉得目前的保障就可以了，不用过分在意那些危言耸听的言辞。还有一些企业的信息化建设投入相对不足，处于有心无力的状态。而更多的则是对“网络安全”的涵义不够了解。不少企业提到安全就只想到防火墙、防病毒，完全不知道网络安全其实是一项系统工程，只觉得有了国外知名厂商的这“两防”产品就可以完全放心。实际上，仅设立防火墙而没全面的安全策略，防火墙就形同虚设。

当然，也有一些信息化进程走在前列的用户在安全体系建设中做得不错。中国轻工业信息中心的李主任介绍说，已经与一家安全厂商合作构建完成自己的安全体系了。工商银行上海分行的柴副总工谈到，由于银行的安全问题相对别的企业更加重要，单从防火墙来说，一般会选择几家厂商的产品，构筑几层防火墙。中国再保险公司的胡经理介绍说企业在建立安全体系时，与企业有良好合作关系的系统集成商给了不少建议，还推荐了安全领域的专业公司。总的看来，除了具有较强实力的大型企业或银行等特殊行业，普通的企业在考虑安全问题时，主要还是听取安全厂商或系统集成商的建议，少数用户或许会请专家或顾问来进行咨询。

谁来当“裁判”？

那么，当企业的安全体系建设完成是不是就一了百了？到底企业的安全体系是不是真的安全，是否存在安全漏洞，如何对缺陷进行补救？这就涉及到安全评估的因素。目前，多数企业还没考虑到对安全体系的评估问题。实际上，这是非常重要的。万一企业的安全体系存在很大问题，而企业对此还懵然不知，肯定要出大问题。少数已经意识到这一问题的企业已经开始着手了。兴澄特钢公司的崔先生介绍，目前公司的安全体系已经基本建成，下一步主要打算进一步优化和评估、鉴定。辽宁电力的刘主任介绍说，公司现在是国家电力的安全示范单位，国家电力对此非常重视，辽宁电力以后将继续搞下去，评估和鉴定工作也将由国家电力来完成。不过，像这样的行业用户，可由上级单位来评估，那么企业用户该找谁？谁能承担起这个“裁判”任务？如果让厂商来做，谁又能保证不出“黑哨”？

可以看得出，构建安全体系时，是不是该完全听厂商或系统集成商令用户感到犹豫。而到真正建好安全体系后，由谁来评估又使用户感到彷徨。偏听厂商或系统集成商的一面之辞肯定不放心。那么找专家？抑或顾问？谁是网络安全方面的专家或顾问？这些问题实实在在地摆在用户面前。

呼唤第三方评估机构

的确，由于目前多数安全厂商的安全策略主要是围绕自己的核心产品，确实没法让用户放心。大庆石油管理局的李主任介绍说，目前企业只能靠自己了解到的情况来建立安全体系，建成后没有人来做评估工作。如果能有独立于厂商之外的评估机构当然最好，这样就可以从公正、实际的立场进行评估。中国银行信息部的王小丽女士认为用户对第三方的评估机构的需求已经越来越明显，这里要注意的另一个问题就是如何能保证评估机构自身的权威性。Cisco的产品经理周 介绍说，企业进行安全采购前，首先需要对整个网络系统的安全需求进行评估，而这需要企业借助专业的安全咨询服务提供商的帮助。专业的安全咨询服务提供商会运用一系列专业的工具和方法论来进行科学的评估，不仅能够客观的了解企业网络系统的现状而且能够结合自身丰富的经验提供专业的建议。而天融信公司的市场部经理朱永春认为，在现阶段，最好还是由用户自己进行需求分析。用户应该认真分析自己关键业务的指标，了解其所具有的风险，从而评估出可能造成的损失，以此为参考选择安全产品。CA公司的产品经理谢春颖女士认为用户在评估方面可以采用由第三方评估机构评估的方式。

看来，第三方评估机构是众望所归。

因而，在现阶段，对于安全评估问题，一种方式可以采用由行业主管建立评估中心进行评估，另一种方式是成立第三方评估机构，而且这一方式应该是极具市场潜力的，应该受到更多的人关注。此外，IT项目里的“监理”制也是现在逐渐健全的一项机制。在安全体系建设中引入“监理”来进行规范，相信也将是一种较好的选择。相信这些做法将会使用户感到自己的安全体系较为客观，同时也不会感到是在花冤枉钱。

除了评估以外，简单、易用的安全管理工具也是用户最关注的一点。就拿防火墙来说，它是大多数企业在布置安全策略时最先考虑的问题。需要提醒用户的是，重要的问题并不是网络是否会受到攻击，而是网络何时受到攻击、谁在进行攻击？所以对于用户来说，审计常规记录和及时响应报警是极为重要的。如果买了防火墙产品后，对所有通过防火墙的重要信息毫不关心等于没用。如何从防火墙系统中看到攻击并及时响应需要用户与厂商进行协商解决。

用户的安全体系建设包括的内容方方面面，相信在更多的用户的努力下，“安全防线”将更加坚固。（应用系统编室）

网络安全关键词

1、网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

2、防火墙

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

3、IDS（入侵监测系统）产品

入侵检测系统（Intrusion Detection System,简称IDS）通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。

4、VPN

VPN（Virtual Private Network）即虚拟专用网络，是基于Internet/Intranet等公用开放的传输媒体，通过加密和验证等安全机制建立虚拟的数据传输通道，以保障在公共网上传输私有数据信息不被窃取、篡改，从而向用户提供相当于专用网络的安全服务，是目前广泛应用于电子商务、电子政务等应用安全保护的安全技术。

安全三步走

目前，我国信息化发展空前迅速，信息安全保障已成为信息化发展的重要部分，政府部门、企事业单位及科研院所、大专院校在结合自身实际需要建设网络信息系统的同时，也在配置安全产品、增加安全功能以保证系统的正常运行。

那么，如何考虑信息安全系统的建设？怎样选购信息安全产品？选购信息安全产品时要考虑那些因素？安全系统建成后怎样发挥安全产品的作用？这些问题是广大信息安全系统建设者所关心的，本文将就这些问题谈谈个人的一些看法。

确定安全需求

建设信息安全系统的首要问题是要搞清楚存在的安全风险，明确安全目标，进而提出安全需求，并以此为基础设计安全解决方案。安全需求的确定涉及以下几个方面：

政策、标准 要全面审查和考虑相关的政策指令，包含与有关安全标准或目标体系结构相符合的东西以及国际、国家、部门、地方等级别上颁发的、强制或指导性的各种规定。

安全威胁评估 安全威胁分成两大类，一类是恶意地利用环境、行动或事件，可能给信息或系统造成的损害。另一类包含授权用户在内的因为纯粹的误操作或偶尔的误用不经意下所犯下的错误，以及系统组件的脆弱性和漏洞。

任务的安全目标 安全目标是从一种大范围、长时期使用的观点提出的，从而可以作为系统的安全风险分析以及选择产品和解决方案的依据。

信息流及其功能和价值 了解系统及其所处理信息的性质非常重要。要分析由于系统资源或系统处理信息的丢失、泄露或被修改对国家、团体和个人在政治影响、社会影响和经济利益方面带来的损害。为了准确地定义安全目标、安全需求，必须了解和分析系统处理或存贮的信息功能、流向和价值。

选择合适的产品

信息安全产品按其功能分为几大类，如访问控制类、加密类、入侵检测类等等。每类产品因设计思想和实现模式不同而衍生出各种有特色的产品。对用户来说，需要选择一款最适宜的。首先用户要搞清楚要保护什么？达到什么安全目标？

安全产品并不是功能越全越好，而且每种产品都有其优点和缺点，没有那家厂商的产品是全方位的冠军，应该以应用需求推动技术采购决策，另外，要考虑安装、配置以及管理的方便性。

中国信息安全产品测评认证中心代表国家开展对信息安全产品的安全性和可靠性进行测评认证工作，其认证证书具有权威性。在一些特殊的部门和领域，如：涉密系统和军方也有本部门的测评认证中心，他们将根据一些特殊要求和标准对产品进行测评并颁发证书。这些都是用户在选购时可以参考或必须执行的。对涉密系统而言，原则上必须选用国产设备，只有在无相应国产设备时方可选用经国家主管部门批准的国外设备。涉及密码技术的安全保密产品必须获得国家密码主管部门的批准。

由于信息安全系统的特殊性，所以不论对安全系统的集成商还是产品的提供商，了解其背景、考察其服务能力十分必要。最好选择有成功案例、社会知名度高且信誉好的企业和产品，对技术支持和服务承诺要落实在协议中避免发生纠纷。

安全功能的配置要和当前系统的整体应用水平配套，对于那些用不到或暂时用不到的功能可以不采购或暂缓采购产品。这样，一是安全目标明确，维护易行；二是经费可以得到有效利用，避免浪费；三是信息技术发展日新月异，购置的产品闲置不用很快将被新的技术产品所取代；四是把下次产品采购的主动权留给自己。

集成后的测试和维护

毋庸置疑，信息安全保护措施不是一劳永逸的。信息技术不断发展，网络系统的功能也在不断完善扩充，网络攻击、病毒传播、恶意破坏的手段不断翻新，因此，对安全提出新的需求。这就要求网络安全管理者及时调整安全策略，采取安全措施：

一、将所有的安全功能模块（产品）集成为一个完整的系统后，需要检查确认集成出的系统是否符合要求。包括：测试安全系统在整个系统中的作用；测试安全系统与网络系统及应用系统的适应性和对它们的影响；跟踪安全保障机制，包括安全管理机制，发现漏洞；完善系统的运行程序和全生命期安全支持计划；准备一份现阶段的安全风险评估报告。

作为一些重要部门可以邀请权威的测评认证机构对安全系统进行一次检查和测试，以确保系统设计满足安全目标并得到主管部门的认可。

二、运行维护阶段要对各种安全问题采取措施，以保证系统的安全水平在运行期间不会下降，具体工作如下：

⑴做好产品的升级和系统打补丁工作。⑵监测系统的安全性能，包括事故报告。⑶对用户进行安全培训，并对培训进行评估。⑷监测新发现的对系统的安全攻击、系统所受威胁的变化以及其它与安全风险有关的因素。⑸监控配置改动对安全的影响。 ⑹评估系统改动对安全系统造成的影响。（国家信息中心信息安全研究与服务中心 李正男 叶红）

数字说话

在当前整体IT市场增长放缓的时候，网络安全是少数保持快速增长的市场之一。中国网络安全市场从1999年开始进入快速成长期，在此后的发展过程中网络安全市场的增长都明显高于软件总体市场的增长。2002年上半年，中国网络安全软件的总销售额为7.7亿元，比去年同期增长48.1%，明显高于软件总体市场23.6%的增长率。1999－2002年上半年中国网络安全软件市场与软件总体市场的销售对比情况如表所示。

表 1999－2002年上半年中国网络安全软件市场与软件总体市场的销售对比

目前，国内网络安全软件产品主要包括防火墙、防病毒、信息加密、安全认证、入侵检测和安全评估、虚拟专用网（VPN）等，以及由上述若干种产品共同组成的网络安全整体解决方案。防火墙和防杀毒软件仍然是2002年上半年网络安全软件市场主要的安全产品，分别占据了市场的34.8%和38.5%的份额。信息加密、入侵检测及安全评估和虚拟专网等产品市场正在不断崛起，尤其是随着金融、电信、政府等重点行业对网络安全产品需求的增加，将会有较大的增加。

图 2002上半年中国网络安全软件产品市场结构

行业用户始终是中国网络安全产品最重要的市场。2002年上半年，网络安全软件的行业用户仍以金融、电信和政府行业为主，三者所占的份额接近70%。教育信息化工程带动了教育行业对网络安全软件产品的需求，市场份额达到了9.9%。此外，对网络安全产品需求较高的行业还有交通、能源等。

本文原载于中国计算机用户